法律共同编织成一张消费者个人信息“保护网”。图/unsplash 


新京报讯(记者 柯锐) 11月1日,《个人信息保护法》正式施行。这是一部保护公民个人信息的专门法律,与《网络安全法》《数据安全法》《电子商务法》《消费者权益保护法》等法律共同编织成一张消费者个人信息“保护网”。


近日,围绕我国在个人信息保护和数据安全方面的现状、存在的短板以及如何加强保护等议题,新京智库联合中国法学交流基金会新兴产业发展及法治环境建设专项基金共同举办主题为“《个人信息保护法》落地实施,如何用好这个‘法’”的研讨会,来自北京大学、中国社科院和工业和信息化部网络产业安全发展中心等机构的相关专家参与研讨。


以具体典型案例推动规则落地


中国法学会副会长、中国人民大学教授王利明强调,《个人信息保护法》要和《民法典》相结合,才能够形成有效适用的一个规则体系。事实上《个人信息保护法》对于个人信息保护规则仍然是有限的,还有大量的保护规则,必须要从《民法典》里去寻找,所以《民法典》才是兜底性法律。例如,精神损害赔偿,禁令制度等等,《个人信息保护法》就没有具体规定。凡是在《个人信息保护法》里面找不到的保护规则,都得回归到《民法典》去寻找。有人认为《个人信息保护法》足以满足对个人信息保护的规定,那这个理解显然是不妥当的,不利于对个人信息的全面有效保护。


北京大学法学院教授薛军表示,《个人信息保护法》的立意非常好,但它的一些规则还需要去明确和细化。在实施中,可以通过一些具体典型案例来推动规则落地。 比如手机的运动数据,单独来看其未必就一定要被界定为个人信息。


现在一些手机名义上叫手机,但实际上是虚拟机。有些网络黑灰产集团利用这种虚拟机来薅羊毛,对此商家和平台深恶痛绝。对此,一个很重要的识别方法就是收集手机的运动数据,来分析其是否属于正常的收集。但如果要经过用户同意才能收集数据,那“羊毛党”通过设置,平台可能就收集不到这些数据,从而影响通过这种方法来识别一些与“猫池”里的虚拟机关联的黑灰产账号。某种意义上这样会损害商业效率。


对此,薛军表示,这就说明在界定个人信息的范围时,一定要根据现实的情况,基于良好的利益衡量来进行界定。通过具体的类似于杭州野生动物园刷脸入园案、微信读书案之类的个案的精细打磨,慢慢把诸如个人信息的范围和分类的问题具体化,落实下来。“在这个过程中,法院是一个很好的抓手,监管部门的专项治理活动等也能发挥积极作用。同时,消协等组织也要发挥积极作用。”


促进数字经济相关产业发展


《个人信息保护法》的作用不仅仅是保护个人信息。工业和信息化部网络安全产业发展中心副主任李新社表示,过去,我们不知道平台或者是应用提供方搜集了哪些数据,搜集这些数据的目的是什么,他们怎么利用这些数据。《个人信息保护法》出台后,明确了不能过度搜集无关的个人信息。《个人信息保护法》《数据安全法》的出现,对于产业的推动作用是明显的。


比如,过去人们去酒店住店,需要刷脸、提供身份证等信息,这些信息都保存在酒店。现在已经有公司在做第三方认证。以后,可能顾客在酒店住店的时候,酒店只需要确认站在面前的这个人是真实存在的,而不需要了解其他个人信息。从产业的角度来讲,这推动了安全产业的发展。


《个人信息保护法》出台实施,一方面提醒了广大消费者注意个人信息,也提醒了企业不能按照过去的玩法过度搜集个人信息。从产业发展的角度来讲,又催生了第三方验证,保障信息不泄露、不被滥用等。“因此,《个人信息保护法》的意义是相当大的。”


对外经贸大学数字经济与法律创新研究中心主任许可表示,“《个人信息保护法》绝不只是个人信息保护的法律,还是一部促进数字经济发展的法律。”


资料图。图/unsplash 


在过去几年,企业存在着滥用个人信息的行为。但另一方面也要注意到,当数据成为新的生产要素,成为数字经济推动力的时候,个人经过数据化加工后的信息,也成为其中重要的生产要素。对此,企业实际上也是可以利用的,但非常重要的是,要给企业很重要的激励,让其摒弃滥用和错误的利用,走向正确的利用。这要进一步明确合规免责边界,推动企业用个人信息做好事,而不是做坏事。


许可表示, 《个人信息保护法》第13条,在《民法典》的基础之上,增加了六项个人信息处理的正当性事由,体现出在平衡个人信息保护和数字经济发展上非常重要的考量。第13条因此也被称为《个人信息保护法》的法眼之所在。所以这部法律是推动中国数字经济健康稳健发展的重要基础。


建立各方参与的个人信息保护体系


许可表示,《个人信息保护法》是中国对于个人信息保护的一个非常郑重的声明。“这具有积极的信号作用,反映了我国保护个人信息的一种决心。”


《个人信息保护法》第11条指出,形成一个政府、企业、社会组织、公众共同参与的个人信息保护的体系,这种各方共同参与的个人信息保护的体系也是落实《个人信息保护法》的核心。


相关社会组织可发挥作用。首先,一些行业协会可以发挥标准制定的作用。其次,通过行业形成一些值得学习和借鉴的最佳实践。再者,科技的发展推动最近几年相关的技术得到大量的关注。从根本上来说,个人信息的保护来自于科技的完善、发展,这也是解决个人信息保护的重要途径。


“公众参与也很重要。公众并不是个人信息的弱者,公众某种意义上说是个人信息能不能被收集的关卡。”许可认为,对公众来说,第一要提升个人信息的素养,不要把一些信息轻易交出去。一些预装的软件、一些明显来源不明的网址不要去打开。第二,《个人信息保护法》充分提升了个人信息的权益,包括查询、查阅、更正、删除、可转移等一系列的权益。个人可以积极去行使这些权益,保护自己在数字空间中的个人信息。第三,适当的情况下,公众可以向相关监管机构提起举报甚至可以发起民事诉讼。


中国社会科学院法学研究所民法研究室主任、中国社科院大学博导谢鸿飞表示,《个人信息保护法》这部法律平衡了个人信息的个人性和公共性,就是一方面要助于产业发展,另一方面个人权益也要得到保护。在实践中,如果要达到比较好的效果,需要比较长的磨合时间。这部法律的实施,涉及方方面面价值的权衡,所以还是得有一个协调过程。


互联网巨头要经历估值的调整


如何充分用好《个人信息保护法》这部法律也是专家们关注的话题。南开大学数字城市治理实验室主任、计算社会科学实验室副主任孙轩表示,个人信息保护需要负面“处罚”与正面“引导”相结合。除了注意个人信息安全的制度,也可考虑个人信息合法合规利用的疏导。比如对公司、企业是否可以进行使用个人信息的评价体系。如果一个企业使用个人信息非常规范,符合《个人信息保护法》等法规要求,可将其评为“五星”,而做得差的企业,会面临淘汰压力。


浙江大学社会治理研究院首席专家方兴东表示,过去中国互联网行业的发展是“隐私驱动”型的。《个人信息保护法》等法律实施后,会推动互联网行业回归到以科技创新驱动的正常轨道。此外,这还将有助于中国互联网的全球化。互联网巨头必须在个人信息保护方面达到欧美标准,才可能在国外合法经营,持续发展,真正实现全球化。


方兴东表示,中国互联网巨头要经历一个估值的重新调整,这个过程跟这些法律会直接相关。目前的几次专项治理行动并不是调整的长期因素,而这些法律会是一个长期的因素。


记者 | 柯锐

编辑 | 张笑缘

校对 | 贾宁