资料图。图/unsplash
2021年,数据安全和个人隐私保护成为关键热词。
今年6月在首都机场三号航站楼两名粉丝聚集尾随跟拍某明星乘机,同时非法获取100余条明星身份及航班信息,并在微信群中转发。一时间,个人隐私保护又成为舆论关注的焦点。
近日,北京朝阳区法院对上述案件作出判决,两名粉丝被以侵犯公民个人信息罪依法分别判处拘役5个月、缓刑5个月,拘役4个月、缓刑4个月。
这是11月1日《中华人民共和国个人信息保护法》生效以来涉及个人隐私保护的一个较为典型的案例。
此外,11月14日,国家网信办发布关于《网络数据安全管理条例(征求意见稿)》(以下简称《征求意见稿》)公开征求意见的通知。
《征求意见稿》融合了关于个人信息保护和数据安全的法律法规,以更加清晰精炼的方式,对一系列信息隐私保护、数据安全的法律进行总结归纳,提高了法律的可行性和可理解性。
这些法律的出台或修订,无论是对国家、产业,或是企业、个人都将产生深远的影响。相关行为主体如何在新规则之下兼顾发展与数据安全、隐私,将是决定其未来竞争力的关键。
相关法律完善下仍存在行业性、结构性风险隐患
中国社会科学院法学研究所民法研究室主任、研究员谢鸿飞向新京智库表示,今年以来,国家在数据安全和个人信息保护方面的立法不断完善。据谢鸿飞介绍,2021年1月1日施行的《民法典》在人格权编单独设一章“隐私权和个人信息保护”,确立个人信息作为一种具体人格权益的法律地位,勾勒出个人信息司法保护的基本框架。2021年8月20日通过的《个人信息保护法》以专门立法的方式对自然人个人信息权益、信息处理规则、信息处理者责任、信息跨境流动、信息监管等关切问题予以回应,对“数字人格”提供了全面的法律保障,与《民法典》遥相呼应。
谢鸿飞指出,2021年9月1日施行的《数据安全法》立足总体国家安全发展观,以数据治理安全为切入点,坚持数据安全与数据合理利用的双重目标,确立了数据分类分级管理,建立了数据安全风险评估、监测预警、应急处置、数据安全审查等基本制度,并明确了相关主体的数据安全保护义务,实行“中央国安委”统筹协调下的监管机制,为数据的安全与监管提供了明确的指引。
除此之外,《网络安全法》《消费者权益保护法》《反间谍法》《反恐怖主义法》《出境入境管理法》《居民身份证法》等法律法规以及最高人民法院《人脸识别司法解释》等规范性文件针对特殊主体、特殊行业以及特殊事项的个人信息保护作了更为细致的规定。
在谢鸿飞看来,这些规范性文件所构筑的全方位个人信息保护网将推动我国个人信息保护迈向一个新台阶,促进我国数字经济的持续健康发展,同时也将为全球数据治理贡献中国方案。
相关法律的出台,全面、系统地对个人信息保护工作作出了基础性制度安排。但是个人信息保护仍存在行业性、结构性的风险隐患。
中南财经政法大学数字经济研究院执行院长、教授盘和林表示,当前,在互联网领域,个人信息的收集、使用十分广泛,随意收集、违法获取、过度使用、非法买卖个人信息、大数据杀熟等问题突出,信息数据治理生态总体状况不乐观。
金融领域个人信息保护也开始受到重视。中国人民银行行长易纲近日在芬兰央行新兴经济体研究院成立30周年纪念活动的视频致辞中介绍说,“我们高度重视数字人民币的个人信息保护问题,并采取了相应的制度安排和技术设计。”在收集个人信息时遵循“最少、必要”原则,采集的信息量少于现有电子支付工具。
除了互联网和金融行业,医疗领域信息数据泄露情况也不容乐观。此前,中国信通院发布的《2019健康医疗行业网络安全观测报告》显示,勒索病毒、数据泄露、网站篡改是医疗行业网络与数据安全风险的三个主要方面。
中国信息通信研究院互联网法律研究中心主任方禹表示,金融、医疗等对个人权益影响较大的行业,个人信息保护的紧迫性、严峻性比较突出。部分用户个人信息保护意识尚未建立形成,疏于维护自身合法权益,往往成为多元治理的个人信息保护架构中的薄弱环节。
同时方禹也强调,个人信息保护工作应该是一个由点及面、循序渐进的持续展开过程,突出重点环节、关键领域的治理,并最终形成动态化、常态化的有效保护。
个人信息侵权的方式具有多样性
谢鸿飞表示,《个人信息保护法》的出台有效回应了公民个人信息安全及合法权益的诉求,为正确引导信息处理和加强信息监管提供了坚强的法律后盾。目前,最高人民法院及地方各级人民法院公布的一些典型案例显示,个人信息保护不仅涉及教育、市场监管、公安、网信、农业农村等行政机关的信息监管和政府信息公开问题,而且涉及快递、医疗机构、校外培训机构等泄露个人信息、倒卖个人信息的问题。这些都表明,个人信息侵权的方式具有多样性,个人信息保护牵涉的领域具有广泛性,个人信息保护的难度较大尤其在损害认定问题上。
北京市京师(深圳)律师事务所联合创始人王岩飞告诉新京智库,在一些行业,尤其是互联网行业存在大量违规使用数据和违规使用个人信息行为。因为在现有的商业模式里面,如果不使用这些数据,很多业务就有可能做不了。另外,一些金融科技平台,通过购买个人信息去推销产品,通过群发短信或者是用呼叫系统给用户打电话。
就目前发生的泄露、倒卖个人信息等侵权事件,明确信息归属的责任方就显得尤为重要。在中国人民大学信息学院副教授黄科满看来,依据最近一段时间国家出台的一些相关规定,对互联网平台做了相应的级别划分。未来在信息处理上,也会对数据的归属进行明确,具体来说就是还数于民。
黄科满表示,未来的数据分级管理可能会出现三种模式。一种是平台(企业)自有的数据,数据依赖于平台(企业)本身在生产经营活动中所积累的数据,比如销售上的数据;第二种就是个人本身所掌握的数据,包括个人的一些隐私信息;第三种是个人自己的数据没有能力去管理授权给国家的或者是第三方机构来维护的数据。
对于这三种模式的数据,在黄科满看来,第三种模式是未来比较理想的数据使用模式。个人数据交给专业机构来托管,这样就变成了企业跟公共数据平台之间的交互。这种模式使得数据可以开发利用,并最大限度地流通起来,而且在这个过程中个人的相应权益得到保护。
对个人信息数据进行分类、分级明确了数据保护和使用的责任主体,技术则给个人信息隐私保护多增加了一层“保护外套”。
谢鸿飞向新京智库介绍,目前关于个人信息与隐私保护的技术主要有三种方式。一是基于数据失真的隐私保护技术。它主要采用交换、添加噪声等技术对原始数据集进行处理,使敏感数据失真但同时保持某些关键数据或者属性不变。二是基于加密的隐私保护技术。它主要采取安全多方计算、分布式匿名化、分布式关联规则挖掘和分布式聚类等各种加密技术在分布式环境下隐藏敏感数据。三是基于数据匿名化的隐私保护技术。即根据具体情况有条件地发布数据,如数据泛化。
相关行业商业模式或将面临改变
《个人信息保护法》施行后势必也会对一些具体行业的发展模式带来新的改变。11月3日,工信部就通报了QQ音乐、小红书、豆瓣等38款App存在超范围收集用户个人信息等违规行为,并提出限期整改要求。
广东工业大学计算机学院特聘教授刘文印表示,过去的互联网发展是爆发式的野蛮生长,背后隐藏着很多问题。如近年来,一些企业和机构利用数据侵害人民群众合法权益的问题也十分突出。从手机App过度收集个人隐私、行为数据,到上亿用户个人信息泄露,隐私问题屡见不鲜。刘文印认为,相关新法律的出台,会对未来整个行业的发展起到有效的指导作用,既是约束,也是保护。
资料图。图/unsplash
谢鸿飞也认为,《个人信息保护法》《数据安全法》等法律施行后,各行各业的商业模式必将随之更改,野蛮生长将会受到抑制。例如,根据《个人信息保护法》规定,个人信息处理需征得用户同意,通过自动化决策方式向用户推送信息或商业营销,须提供不针对个人特征的选项或向个人提供便捷的拒绝方式。若用户拒绝提供非必需信息则势必影响个性化推荐的效率,这样一来数字广告投放的精准度降低,电商广告收入或将受到影响。
虽然用户拒绝提供个人信息会使数字广告投放精度受到影响,但盘和林认为,长期来看,数字广告行业整体依然乐观,由于在线人数、在线时长增加,未来数字广告曝光量仍是增长趋势。只是在数字广告投放渠道方面,用户推送广告模式将转向对用户信息要求度更低的社交嵌入和搜索引擎嵌入的广告模式。
不仅是互联网行业,对于电信、医疗等个人信息保护重点行业而言,个人信息处理活动也十分频繁和普遍。方禹表示,《个人信息保护法》本身就较大调整了保护逻辑和规则,企业的商业模式,甚至是内部架构,势必也需要作出较大调整。一是要规范个人信息处理活动,按照《个人信息保护法》对“处理”所界定的全生命周期,针对每一个环节进行合规校验。二是要个人对个人信息处理活动中的权利做业务准备,结合企业性质、规模、风险程度以及有关部门的具体要求,形成符合自身特点和立法要求的权利保障方案。三是要确定个人信息安全保障措施。《个人信息保护法》第51条对个人信息处理者的义务进行了总括性规定,企业需要对照要求确定适合本企业的相关措施。
谢鸿飞表示,电商、电信、医疗等在商业经营过程中应当注重数据合规计划的制订。例如,《个人信息保护法》第24条规定,个人信息处理者进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。这一规定对于电商类、住宿类平台利用大数据“杀熟”起到了严格管控作用,平台的个性化定价受到限制。
不过,方禹表示,商业模式的调整对企业而言既是挑战也是机遇。《个人信息保护法》既是对过去近十年我国个人信息保护工作的经验总结和升华,也对个人信息保护的原则和规则进行了制度重构。前个保法时代,个人信息保护以“知情-同意”为核心而展开,是基于隐私保护的认识基础上的自然延展。
行业特性不同决定相关法律落地还存在一些难点
谢鸿飞指出,《个人信息保护法》实施的难点有两个方面,一是个人信息处理的事前同意规则,尤其是单独同意规则在具体操作过程中难以落实。以助贷业务为例,助贷机构在向金融机构推介客户时,通常需要分享客户的个人信息,而根据《个人信息保护法》的规定,助贷机构需要告知客户接收方(金融机构)的名称、联系方式、处理目的、处理方式和所涉及的个人信息种类,在没有其他合法性基础的情形下,还需要取得客户的单独同意。二是个人信息侵权的事后救济存在困难,尤其是损害的认定问题。据学者统计,司法实践中40%的裁判结果都不支持个人信息权益受害人的请求,一个重要原因在于其无法证明其所遭受的损害。
就金融机构来说,谢鸿飞告诉新京智库,金融机构本身并不直接接触用户,金融机构通常将授权协议前置到助贷环节去勾选,那么在助贷环节取得用户单独授权后是否意味着金融机构就可以直接利用用户个人信息?对此监管方面目前还没有明确的态度。除此之外,在金融集团、母子公司之间的信息共享也将面临困难,金融集团内部的数据流通受阻。
方禹则表示,个人信息保护在不同领域、不同行业、不同企业之间呈现不同特点,同时随着时间推移也不断发生变化。相关法律实施的难点关键在于如何适应个人信息保护的动态性。
方禹指出,对监管机构而言,需要充分发挥指导监督的作用,不断根据实践情况作出行政指导。如欧盟数据保护委员会(EDPB)在《通用数据保护条例》(GDPR)实施后,持续发布指南,来指导具体个人信息保护工作。同时也需要把握执法的频度和广度,通过有效执法形成边界。网络法治建设的突出特点之一,是执法解释的效果远优于立法解释,立法本身需要普适性和概括性,这与互联网技术特别是移动互联网技术的裂变性和普及性不相适应,法律制度的具体要求高度依赖实践情况,需要通过强有力的执法机构予以补充。
对于因行业特性,相关法律落地执法中遇到的难点,中国网络空间安全协会副理事长、上海交通大学网络空间安全学院教授李建华也认为,相关法律落地难点还体现在行为主体在违反法律后怎么去处罚的问题,这不仅需要建立一套执法体系,可能还涉及跨部门的沟通。这个过程当中还有很多具体需要细化的可操作、可执行措施。
在李建华看来,应对数据安全事件的响应和处置能力建设也很重要,要解决针对违法行为怎么去处罚,由谁去处罚问题,就需要在人才和执法队伍上面花大力气去建设。
实施细则或统一行业标准亟须出台
黄科满告诉新京智库,在《数据安全法》和《个人信息保护法》出台以后,很多企业对相关法律实施细节的不确定性感到焦虑。据黄科满介绍,很多企业认为自己原来的内部治理体系是能够合规的。虽然具体细节上可能还有很多要探讨,但是之前至少能够满足合规要求。当前,具体行业实施细则还没出台的背景下,企业不清楚公司内部的相关规范现在还能不能合规,所以对很多企业来说,直接反应就是先观望。
王岩飞也认为,《数据安全法》、《个人信息保护法》和《网络安全法》三大法其实都有相应的规定,但是具体怎么去落地实施很多企业搞不清楚,因为没有强制性的某个标准说是一定要去试用,企业在执行过程中很难去掌控这个度。
针对当下行业实施细则尚未出台的背景下,企业出现观望的态度,方禹认为,个人信息保护配套立法十分重要,需要通过相关下位法以及标准规范等不断厘清个人信息保护具体适用问题。从纵向来看,需要通过相应的行政法规、部门规章以及规范性文件等对《个人信息保护法》作出更为细致的要求。从横向来看,金融、医疗、电商等行业领域需要结合本行业本领域出台配套规则,来清晰适用《个人信息保护法》。
此外,方禹也指出,执法的持续性和相对稳定性十分关键。正如前述,个人信息保护工作在较大程度依赖执法解释来划定边界,执法活动本身也是一个形成共识的过程,共识来源于经验,越丰富的经验越能形成可靠的共识。
在谢鸿飞看来,《个人信息保护法》只是搭建了个人信息保护的基本框架体系,奠定了个人信息保护的基础法地位。其中许多规则如何理解、如何操作仍须进一步明确。不同行业、不同领域、不同主体在信息收集和处理过程中所负担的义务各不相同,因此各行各业都期望监管部门根据行业特征制定相应的实施细则或统一的行业标准,为本行业提供可资借鉴的信息处理合规方案。另一方面,各行业也期待具体法律细则提供一个正确的导向,即不要过度强调个人信息的保护,以致信息共享和信息流动严重阻滞,制约本行业的发展。
方禹强调,个人信息保护是一个多方学习、共同治理的过程,按照一定的节奏推进更符合个人信息保护和个人信息合理利用双重立法目标的要求。据方禹介绍,从欧盟经验来看,循序渐进的特点十分明显。2018年,欧盟GDPR实施后,设置了最高2000万欧元或4%营业额的罚款数额。实践中,欧盟在处罚力度上较为谨慎,截至2020年底,总体呈缓慢上升趋势,最高一笔罚款数额是法国对谷歌进行的5000万欧元处罚,虽然远超2000万欧元上限,但仅占谷歌营业额的0.04%左右。今年,由于欧盟对爱尔兰执法机构的宽松态度十分不满,才促使爱尔兰作出了两例较大数额的处罚。
记者 | 查志远 肖隆平
编辑 | 张笑缘
校对 | 杨许丽
