個人信息保護(hù)法將如何兼具效率、安全與成本?
10月21日,備受矚目的《個人信息保護(hù)法(草案)》(以下簡稱“草案”)在中國人大網(wǎng)公布,開始向社會征求意見,意見反饋時間截至2020年11月19日。
草案吸納了國內(nèi)個人信息保護(hù)的監(jiān)管實(shí)踐,并借鑒“GDPR”等域外法規(guī)的經(jīng)驗(yàn),注重與《民法典》《數(shù)據(jù)安全法》《電子商務(wù)法》等規(guī)范的協(xié)調(diào),明確了個人信息的定義及處理原則,并對自動化決策、跨境流動等熱點(diǎn)話題進(jìn)行回應(yīng)。
當(dāng)前網(wǎng)絡(luò)信息時代,個人信息與商業(yè)的聯(lián)系程度愈發(fā)緊密。多位專家認(rèn)為,此次立法將直接服務(wù)個人用戶的企業(yè)影響深遠(yuǎn),金融、醫(yī)療、教育類的企業(yè)因涉及收集敏感個人信息也將面臨更嚴(yán)格的規(guī)制。
面對基于大數(shù)據(jù)進(jìn)行用戶畫像等商業(yè)行為,草案在自動化決策上對個人信息使用者提出了更高要求。個性化商業(yè)營銷及廣告投放、提供數(shù)據(jù)處理服務(wù)等業(yè)務(wù)均會受到影響。
對于日漸增多的跨境業(yè)務(wù),草案被賦予了必要的域外適用效力,以保護(hù)中國境內(nèi)個人的權(quán)益,也使外來跨境企業(yè)及中國出海企業(yè)需要面對多個法域的監(jiān)管。
盡管《個人信息保護(hù)法》尚未最終確立,企業(yè)加強(qiáng)個人信息保護(hù)已是大勢,與大數(shù)據(jù)利用之間的關(guān)系如何平衡、如何適應(yīng)法律合規(guī)經(jīng)營將成為關(guān)鍵。
在當(dāng)前的征求意見階段,多位專家表示,在個人信息的定義、自動化決策、個人信息使用者的各項(xiàng)規(guī)范以及監(jiān)管體制方面,還有待進(jìn)一步商榷。
哪些企業(yè)將受影響?
此次立法目的,重點(diǎn)在于規(guī)制個人信息的處理行為,對個人信息權(quán)益進(jìn)行保護(hù)。
個人信息和個人信息的處理因此有了界定:個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。個人信息的處理包括個人信息的采集、存儲、使用、加工、傳輸、提供、公開等活動。
此前尚未被明確定位的敏感個人信息,則表述為一旦泄露或者非法使用,可能導(dǎo)致個人受到歧視或者人身、財產(chǎn)安全受到嚴(yán)重危害的個人信息,包括種族、民族、宗教信仰、個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等信息。
“從草案來看,包括敏感個人信息的定義等,均充分借鑒了國外的一些經(jīng)驗(yàn)。”中國政法大學(xué)法律碩士學(xué)院院長、教授許身健認(rèn)為,草案借鑒了較多歐盟2018年5月實(shí)施的《通用數(shù)據(jù)保護(hù)條例》(以下簡稱“GDPR”)的相關(guān)規(guī)范。“GDPR”被業(yè)內(nèi)認(rèn)為是目前全球主要經(jīng)濟(jì)體中對數(shù)據(jù)信息保護(hù)管轄范圍最寬、立法新意最多、處罰最為嚴(yán)厲的規(guī)范。
面對新規(guī),當(dāng)前經(jīng)營何種業(yè)務(wù)的企業(yè)將受到重要影響?
“該法對直接服務(wù)C端用戶且需要處理用戶個人信息的企業(yè)影響更大,各類互聯(lián)網(wǎng)服務(wù)提供者,如電商平臺、社交平臺、直播平臺、游戲服務(wù)商等。”浙江墾丁律師事務(wù)所合伙人王瓊飛介紹,這些企業(yè)可能會大規(guī)模收集用戶個人信息并進(jìn)行精準(zhǔn)化營銷等商業(yè)用途或利用大數(shù)據(jù)建模用于用戶管理等。
“從法律適用而言,受影響最大的企業(yè)類型是直接面向個人用戶的企業(yè)。從規(guī)則變化來看,金融、醫(yī)療、教育類的企業(yè)也會受到不小的影響,這類企業(yè)涉及收集敏感個人信息,將面對更嚴(yán)格的規(guī)則,需要考慮更多合規(guī)因素。”北京安理律師事務(wù)所高級合伙人王新銳向21世紀(jì)經(jīng)濟(jì)報道記者分析,一些服務(wù)器在國外的跨境企業(yè)涉及個人信息的跨境提供,同樣需要考慮跨境方面的特殊規(guī)則。
在個人信息保護(hù)法草案征求意見稿公布的同一天,3家國有銀行的6家分支機(jī)構(gòu)吃到了“侵害消費(fèi)者個人信息”的罰單。因侵害消費(fèi)者個人信息依法得到保護(hù)的權(quán)利,違反反洗錢管理規(guī)定,泄露客戶信息等違法違規(guī)行為,這些機(jī)構(gòu)被處罰金額超4000萬元。
“與數(shù)據(jù)聯(lián)系緊密的互聯(lián)網(wǎng)新經(jīng)濟(jì)相關(guān)企業(yè)會受到較大影響,但是受影響的企業(yè)不限于互聯(lián)網(wǎng)新經(jīng)濟(jì),傳統(tǒng)經(jīng)濟(jì)中涉及到個人信息處理的一些企業(yè)也將會受到影響。”西南政法大學(xué)民商法學(xué)院副教授曹偉舉例,公交車的付費(fèi)系統(tǒng)(包括手機(jī)支付、刷公交卡支付等)因涉及到對個人信息的采集,也將受到影響。
同時,立法規(guī)定,在公共場所安裝圖像采集、個人身份識別設(shè)備,應(yīng)當(dāng)為維護(hù)公共安全所必需。上海交通大學(xué)數(shù)據(jù)法律研究中心執(zhí)行主任何淵告訴21世紀(jì)經(jīng)濟(jì)報道記者,“公共安全”一詞含義較廣,依照草案,布局在各個場所的智能攝像頭如若使用都將征得用戶同意,甚至與公安系統(tǒng)合作的相關(guān)科技企業(yè)都將受到影響。
簡言之,一切涉及到個人信息的采集、存儲、使用、加工、傳輸、提供、公開等活動的企業(yè)都會受到此法的影響,與個人信息處理的關(guān)系越密切的企業(yè)受到影響越大。
對于個人信息“不包括匿名化處理后的信息”的定義,何淵認(rèn)為還待商討,有必要對“匿名化”作擴(kuò)大化和寬松化的解釋,強(qiáng)調(diào)“去標(biāo)識化”也符合“不能識別特定個人且不能復(fù)原”的規(guī)定,絕對的“匿名化”從技術(shù)角度來看不可能實(shí)現(xiàn),將會嚴(yán)重阻礙數(shù)據(jù)的流動及利用。
“醫(yī)療行業(yè)處理信息時,普遍是用的‘去標(biāo)識化’而不是用‘匿名化’。”王新銳介紹,因?yàn)獒t(yī)療行業(yè)出于科研考慮對數(shù)據(jù)有一定要求,需要數(shù)據(jù)具有可追溯性、統(tǒng)一性、連續(xù)性,因此國內(nèi)外的醫(yī)療數(shù)據(jù)基本是將相關(guān)數(shù)據(jù)去標(biāo)識化處理,往往做不到匿名化。
哪些商業(yè)行為將被規(guī)制?
對于上網(wǎng)痕跡被平臺收集分析推送廣告等商業(yè)行為,草案規(guī)定,通過自動化決策方式進(jìn)行商業(yè)營銷、信息推送,應(yīng)當(dāng)同時提供不針對個人特征的選項(xiàng)。此外,對于可能對個人權(quán)益造成重大影響的自動化決策活動,個人有拒絕權(quán)。
王新銳表示,依據(jù)上述條例,常見的個性化商業(yè)營銷、個性化廣告投放、提供數(shù)據(jù)處理服務(wù)等業(yè)務(wù),都會或多或少受到影響。
“這里既包括廣告,也涉及‘大數(shù)據(jù)殺熟’。如何從個人信息中剝離出大數(shù)據(jù)進(jìn)行合法使用,是草案的重要意義之一。”中國政法大學(xué)傳播法研究中心副主任朱巍此前告訴21世紀(jì)經(jīng)濟(jì)報道記者,在使用網(wǎng)絡(luò)過程中,用戶的權(quán)益相對而言變得很小,而且被侵權(quán)的方式很隱晦,如果沒有一個原則性的法律去保障,企業(yè)可能將隨著科技的進(jìn)一步發(fā)展而開啟“潘多拉魔盒”,對用戶造成不利影響。
如何處理用戶信息成為關(guān)鍵,此前立法已明確,原則上需要獲得個人信息主體的同意。草案同意貫徹以“告知—同意”為核心的處理規(guī)則,但強(qiáng)調(diào)了個人有權(quán)撤回同意、重要事項(xiàng)發(fā)生變更的應(yīng)當(dāng)重新取得個人同意、處理敏感個人信息應(yīng)取得單獨(dú)同意或書面同意。
“采用大數(shù)據(jù)技術(shù)來分析特定用戶的消費(fèi)習(xí)慣,從而進(jìn)行差異化定價,應(yīng)該被限制于用戶知情同意以及法律允許的范圍之內(nèi),保障消費(fèi)者的知情權(quán)與選擇權(quán)。”北京大學(xué)電子商務(wù)法研究中心主任薛軍向21世紀(jì)經(jīng)濟(jì)報道記者表示,不應(yīng)對企業(yè)收集使用用戶信息簡單地貼上合法與否的標(biāo)簽,而是需要回到數(shù)字時代的數(shù)據(jù)治理以及個人信息保護(hù)的源頭來判別。
以此次立法對于“用戶同意”規(guī)則的細(xì)化為例,薛軍提到,法條涉及是否需要明示同意、是否需要單獨(dú)同意、具體場景采用何種方式、場景轉(zhuǎn)化時是否需要再次同意等,均對用戶擁有的權(quán)限進(jìn)行了具體表述,豐富了信息主體受保護(hù)的權(quán)益。
與“GDPR”相比,草案中有關(guān)自動化決策的內(nèi)容對個人信息處理者提出了更高的要求。王新銳表示,“GDPR”規(guī)定,在履行合同必要、法律授權(quán)要求且采取恰當(dāng)措施、數(shù)據(jù)主體明示同意的三種情況下,個人沒有針對自動化決策的拒絕權(quán)。但草案未對個人針對自動化決策的拒絕權(quán)進(jìn)行限制,相較于“GDPR”,個人權(quán)利范圍更廣,處理者的義務(wù)也相應(yīng)更重。
對于個人信息處理者,草案要求“利用個人信息進(jìn)行自動化決策,應(yīng)當(dāng)保證決策的透明度和處理結(jié)果的公平合理”,但未進(jìn)一步解釋應(yīng)如何履行。王新銳認(rèn)為,這種情況下,差異化的理解可能導(dǎo)致實(shí)踐中對該義務(wù)的履行程度不一。
針對“透明度”,“GDPR”明確規(guī)定控制者應(yīng)明確告知數(shù)據(jù)主體使用了自動化決策(包括用戶畫像),此類情形下涉及的相關(guān)邏輯,以及此類處理對于數(shù)據(jù)主體的重要性和可能產(chǎn)生的后果,相較于草案更加細(xì)化。在確保“結(jié)果公平合理”方面,“GDPR”則通過數(shù)據(jù)主體的反對權(quán)、豁免情形下施與控制者特定義務(wù)(例如采取適當(dāng)措施保障數(shù)據(jù)主體的權(quán)利、自由、正當(dāng)利益)等制度設(shè)計來間接達(dá)到這一效果。
何淵表示,在涉及自動化決策的商業(yè)行為中,相關(guān)數(shù)據(jù)是否被定義為個人信息還有待商榷。“立法應(yīng)列舉‘個人信息’是否包含一些易產(chǎn)生爭議的數(shù)據(jù)類型,如‘消費(fèi)歷史記錄或消費(fèi)趨勢’‘瀏覽記錄、搜索記錄,以及網(wǎng)站及應(yīng)用程序等網(wǎng)絡(luò)活動信息’‘視覺、熱量、嗅覺’等。”何淵表示,明確之后則可按照重要數(shù)據(jù)、敏感數(shù)據(jù)及一般數(shù)據(jù)等對個人信息進(jìn)行分級,并提供不同程度的相應(yīng)保護(hù)。
跨境企業(yè)將面臨多法域規(guī)則
當(dāng)前,數(shù)據(jù)安全也成為國家安全的一部分,成為國際競爭間的關(guān)鍵,草案借鑒有關(guān)國家和地區(qū)的做法,賦予了必要的域外適用效力,以充分保護(hù)中國境內(nèi)個人的權(quán)益。
“草案可以視為與國際接軌的一個延伸,美國、澳大利亞、新西蘭、新加坡等地均修改了個人信息保護(hù)法,因此我們?nèi)绾瓮晟啤⑦m用法律與國際接軌,也是個人信息保護(hù)法出臺的一個重要原因。”朱巍表示。
在此基礎(chǔ)上,將對于外來跨境企業(yè)及中國企業(yè)出海分別產(chǎn)生哪些影響?
“對于外來跨境企業(yè)而言,無論其是在中國境內(nèi)處理個人信息,還是在境外向境內(nèi)自然人提供服務(wù),都被納入草案的適用范圍。”王新銳分析,這些企業(yè)首先面臨的是個人信息跨境的問題,需要選擇適當(dāng)?shù)目缇硞鬏敽戏ɑA(chǔ)。如果其未在中國境內(nèi)處理個人信息,還應(yīng)在境內(nèi)設(shè)立專門機(jī)構(gòu)或指定代表。
曹偉認(rèn)為,這意味著外來跨境企業(yè)的合規(guī)管理成本將增加,要對境內(nèi)外進(jìn)行個人信息處理的行為均合規(guī)管理。如果數(shù)據(jù)處理行為同時發(fā)生在歐盟境內(nèi),則將受到草案和歐盟“GDPR”的約束,合規(guī)管理將變得更加復(fù)雜。
同樣,對于出海的中國企業(yè)而言,如果在境內(nèi)處理海外的個人信息,也會受到草案的相關(guān)規(guī)制。這種情況下,出海企業(yè)可能需要面臨不同的法域規(guī)則,有較大的合規(guī)負(fù)擔(dān)。
對跨境企業(yè)進(jìn)行規(guī)制的另一面則是,個人信息保護(hù)法也成為中國企業(yè)出海發(fā)展的強(qiáng)有力后盾,呼應(yīng)了網(wǎng)絡(luò)信息時代對中國經(jīng)濟(jì)保護(hù)的相關(guān)訴求。
例如,草案第43條規(guī)定,任何國家和地區(qū)在個人信息保護(hù)方面對中國采取歧視性的禁止、限制或者其他類似措施的,中國可以根據(jù)實(shí)際情況對該國家或者該地區(qū)采取相應(yīng)措施。
如何平衡數(shù)字經(jīng)濟(jì)發(fā)展與個人信息保護(hù)?
盡管草案還在審議階段,最終版可能在某些規(guī)則上有調(diào)整,但已極大程度上體現(xiàn)了國家對個人信息的立法保護(hù)趨勢。
“當(dāng)前,以數(shù)據(jù)為新生產(chǎn)要素的數(shù)字經(jīng)濟(jì)蓬勃發(fā)展,數(shù)據(jù)的競爭已成為國際競爭的重要領(lǐng)域,而個人信息數(shù)據(jù)是大數(shù)據(jù)的核心和基礎(chǔ)。”在立法的必要性上,官方介紹這是促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展的重要舉措,在保障個人信息權(quán)益的基礎(chǔ)上,促進(jìn)信息數(shù)據(jù)依法合理有效利用。
個人信息保護(hù)與大數(shù)據(jù)利用之間的關(guān)系如何平衡成為關(guān)鍵。企業(yè)此時應(yīng)如何適應(yīng)法律,在應(yīng)用數(shù)據(jù)的基礎(chǔ)上保證自身行為合規(guī)?
“作為企業(yè)而言,隨著個人信息保護(hù)的立法從模糊變得越來越清晰,應(yīng)將法律法規(guī)明確的個人信息保護(hù)義務(wù)落到實(shí)處,做到合法合規(guī)經(jīng)營,尤其要避免企業(yè)因?yàn)樾淌潞托姓L(fēng)險而陷入生存發(fā)展的危機(jī),甚至面臨刑事處罰。”王瓊飛認(rèn)為,對于法律沒有明確賦予企業(yè)的義務(wù),企業(yè)可以根據(jù)自身發(fā)展需求爭取合理的空間,不應(yīng)當(dāng)過于縛手縛腳。例如,此次立法并沒有照搬“GDPR”規(guī)定可攜帶權(quán),便是結(jié)合數(shù)字經(jīng)濟(jì)發(fā)展實(shí)際情況的考量。
王新銳建議,在個人信息保護(hù)法最終出臺前,企業(yè)應(yīng)提前開展合規(guī)性審查。具體而言,應(yīng)梳理、識別企業(yè)中涉及個人信息處理的各類業(yè)務(wù)類型;針對涉及個人信息處理的業(yè)務(wù)類型,從信息收集、使用、加工、存儲、傳輸、提供等各個環(huán)節(jié)進(jìn)行排查,例如,個人信息處理活動是否有合法性基礎(chǔ)、處理活動是否符合個人的通常預(yù)期、是否涉及個人信息跨境提供、是否涉及事前風(fēng)險評估等;針對審查中發(fā)現(xiàn)的問題,盡快制定相應(yīng)的改正措施,降低合規(guī)風(fēng)險。
“企業(yè)進(jìn)行合規(guī)管理時,應(yīng)當(dāng)堅持‘非脫敏信息授權(quán)使用,已脫敏信息自由使用,不確定時謹(jǐn)慎使用’的原則。”曹偉表示,除非公務(wù)部門因必要之使用外,對非脫敏個人信息的使用應(yīng)取得該個人信息指向的自然人授權(quán);已經(jīng)脫敏個人信息的使用無需授權(quán),可以自由使用;在無法確定該個人信息是否已經(jīng)脫敏時,應(yīng)當(dāng)采取謹(jǐn)慎的原則,即最好不使用,以免個人信息權(quán)益遭受侵害。
曹偉強(qiáng)調(diào),政府對于非脫敏個人信息的使用也應(yīng)當(dāng)取得授權(quán),只是在極少數(shù)公務(wù)活動中,無法或來不及或者不宜取得授權(quán),而使用該個人信息的使用為必要時,才能不經(jīng)授權(quán)而使用非脫敏信息。此時,公務(wù)部門能夠未經(jīng)授權(quán)使用非脫敏個人信息的特殊情形、某些必須對該無法確定是否脫敏的個人信息使用的特殊情形均應(yīng)由法律進(jìn)一步規(guī)定。
對于草案中對個人信息使用者的各項(xiàng)規(guī)范及其可能帶來的影響,薛軍建議,應(yīng)審慎評估其合理性及必要性,如對個人信息的行使范圍及方式、進(jìn)行合規(guī)管理后增加的費(fèi)用負(fù)擔(dān)、監(jiān)管體制能否落實(shí)等問題均需要被納入立法考慮中。
最新評論