中國信通院仵姣姣:開啟數據合規新篇章——《個人信息保護法》亮點解讀
2021年8月20日,第十三屆全國人大常委會第三十次會議通過《個人信息保護法》,新法將于2021年11月1日起施行。《個人信息保護法》立足于數據產業發展的實踐和個人信息保護的迫切需求,完善了我國數據合規領域的法律體系,更為全面地保障個人權利。市場參與者要按照即將生效的《數據安全法》和剛剛通過的《個人信息保護法》要求,加快數據安全治理體系建設。
一、《個人信息保護法》的立法沿革
2020年10月13日,十三屆全國人大常委會第二十二次會議第一次審議了《個人信息保護法(一審草案)》。2021年4月29日,《個人信息保護法(草案二次審議稿)》在經全國人大常委會會議審議后,面向社會公布并征求意見。二審稿的主要亮點在于進一步完善了處理個人信息的合法性基礎,補充了個人有權撤回同意的內容,新增對具有管理公共事務職能的組織的規范要求,要求按照網信部門制定的標準處理個人信息跨境,加強對向境外司法或執法機構提供個人信息的監管,新增規定死者的個人信息權益由近親屬行使,以及新增超大互聯網平臺特定的個人信息保護義務要求等等。
在2021年8月20日通過的最終三審稿中,主要的亮點和變化體現在:進一步明確了個人信息處理的合法基礎;為個人賦予了撤回同意的權利;強化對未滿十四周歲未成年人的保護;明確界定自動化決策,并對其提出詳細的要求以及完善個人信息跨境提供的規則等。
二、《個人信息保護法》亮點解讀
(一)明確了個人信息處理的合法基礎
《個人信息保護法》列舉了個人信息處理的合法基礎包括授權同意、為訂立或履行個人作為一方當事人的合同所必需、履職必需、應對突發公共衛生事件、在合理的范圍內處理已公開的信息、公益目的等,總體而言采取了優先保護個人權利和社會公共利益的路徑。與國際立法相比,個人信息處理者的合法利益本身不能構成授權同意之外的合規基礎。對一般市場參與者而言,主要的數據處理合規基礎即為授權同意、合同必需和在合理范圍內處理已公開的信息。
對授權同意而言,盡管仍存在授權同意能否真正保障個人信息主體的知情權、授權同意流于形式、強勢一手數據源為后續數據流轉的參與方帶來權利瑕疵“原罪”等問題,實踐中已逐漸形成一定程度上的行業最佳實踐,例如采用交互式彈窗的形式在用戶使用特定功能時逐一獲取該功能必需的數據,明確列出數據共享的目的及合作方名單,在隱私協議條款前簡要介紹核心條款等。因此,在平衡法律要求、用戶體驗和保障消費者知情權方面,行業逐漸開始摸索出一套較為成熟的合規實踐。
對合同必需而言,合同必需的原則與最小必要原則密切相關。因此在獲取數據之前,市場參與者需要區分產品服務的核心功能和附加功能,審慎衡量獲取的數據類型是否是提供相關產品和服務的必要前提。
對處理已公開的信息而言,《個人信息保護法》也在附則對其含義進行了進一步的明確。市場參與者可能需要評估個人信息主體公開信息的具體途徑、目的、預期公開程度、數據使用目的是否超出個人信息主體的合理預期等因素。由于該合規基礎的模糊性較大,相對而言也會存在更多的合規隱患。
(二)為個人賦予撤回同意的權利
考慮到實踐中普遍存在的不支持注銷賬戶、撤回同意投訴無門等問題,《個人信息保護法》要求個人信息處理者提供便捷的撤回同意方式。就“便捷”而言,依照相關國家標準的精神,其便捷程度宜與給予授權的便捷程度相對等。此外,《個人信息保護法》明確撤回同意不影響撤回前基于個人同意已進行的個人信息處理活動的效力。由于數據存在極強的可復制性,個人信息主體在給出首次授權同意后,對于姓名、身份證號、手機號、地址等相對靜態的信息很容易失去控制權。即使在撤回同意后,個人及每一環節數據處理者也很難控制數據的后續流轉。相比而言,更容易落地的是行為類數據,相關數據處理者需要確保在個人信息主體撤回同意后,相關數據被終止收集,必要時也需要對其進行刪除或匿名化。
(三)將不滿十四周歲未成年人的個人信息列入敏感個人信息
針對實踐中兒童早已成為在線教育、線上游戲、視頻網站和社交產品的用戶群體之一,《個人信息保護法》明確要求將不滿十四周歲未成年人的個人信息作為敏感個人信息加以保護。因此相關數據處理者可能需要更改內部數據分級分類的標準,依照我國法律和相關標準對敏感信息的要求對涉及的不滿十四周歲未成年人的個人信息進行特別保護。此外,《個人信息保護法》也要求個人信息處理者對其制定專門的個人信息處理規則。具體而言,處理規則的內容可能會涉及確認用戶年齡的實現方式、確認監護人授權同意的實現方式、針對兒童群體準備專門的個人信息保護文本和用戶協議、未成年人發布信息內容的提示和保護義務、推送內容的管理機制等。同時,對于面向普通公眾提供產品和服務的運營者而言(如搜索服務),是否與專門針對兒童提供產品和服務的運營者在兒童個人信息保護領域的要求有所區分仍有待理論和實踐的進一步探索。例如是否需要額外收集用戶的年齡信息從而將兒童從全部用戶群體中識別出來,此類要求與最小必要原則如何適配等。
(四)針對自動化決策提出明確要求
針對用戶畫像、“大數據殺熟”等問題,《個人信息保護法》立足于維護廣大人民群眾的網絡空間合法權益,充分吸收了成熟國家標準與行業實踐的內容,從算法倫理、數據獲取、數據使用、風險評估和日志記錄的方面對自動化決策進行了規制。
在算法倫理層面,《個人信息保護法》要求數據處理者保證決策的透明度和結果公平合理。參照國際立法的實踐,數據處理者可能需要在用戶協議中向用戶簡明介紹算法的基本邏輯和對用戶權益的影響,不得通過自動化決策對個人在交易價格等交易條件上實行不合理的差別待遇等。
在數據獲取方面,《個人信息保護法》要求數據處理者在進行商業營銷、信息推送時給予用戶拒絕的權利。
在數據使用方面,提供不針對個人特征選項的信息推送可能要求企業對自身的商業模式進行調整,如在自動化決策推薦算法之外,為用戶提供單純依照點擊量、發布時間等統計結果的選項。
在風險評估方面,要求數據處理者在事前進行風險評估,具體的內容可能包括自動化決策系統在準確性、公平性、歧視、隱私和安全方面的影響(包括訓練用數據的影響),并對影響評估中的問題予以糾正。
在日志記錄方面,要求數據處理者對數據的處理活動進行記錄等。
(五)全面規范個人信息跨境的規則
《個人信息保護法》設置專章對個人信息跨境提供的規則進行了全面的規范,與《數據安全法》《網絡安全法》形成了完善的法律體系銜接。其中值得注意的是,在境外司法或執法機構要求提供境內個人信息時需要經過主管機關的批準。由于在實踐中國際禮讓原則逐漸式微,跨國企業可能會在國際訴訟中面臨兩難處境。因此,也有待后續立法進一步明確批準提供證據的具體主管機關、批準程序和時限等內容,更好地維護我國跨國企業在國際法律糾紛當中的利益。
(六)明確個人信息侵權行為的歸責原則為過錯推定
《個人信息保護法》明確了當個人信息權益因個人信息處理活動受到侵害時, 個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任。換言之,個人信息處理者如果不能證明自己在數據處理、數據保護中不存在過錯,將在訴訟中面臨一定程度的敗訴風險。在司法實踐中,龐理鵬訴中國東方航空股份有限公司、北京趣拿信息技術有限公司隱私權糾紛案的被告企業被要求證明自己不存在過錯、已履行的信息安全保護義務、個人信息的具體泄露方以及泄露的具體環節,并最終由于難以提供相關證據而承受了敗訴結果。
與之相反的是,在方月明訴北京金色世紀商旅網絡科技股份有限公司、中國東方航空股份有限公司合同糾紛案中,法院認為企業提供的等保測評報告、對外合作協議、任命數據保護官的通知等證據,滿足了法院關于“充分履行個人信息保護義務”的要求。具體到合作協議的證據留存方面,企業也需要對數據處理的所有參與方、各方的權利義務、違約情況等具體情形進行存證,以證明本方的數據處理符合法律的規定與合作方之間的約定。因此,我們建議相關企業可以參照司法實踐中的經驗,為合規制度的建設和司法實務中企業“證明自己沒有過錯”尋求一定程度的借鑒。
三、結語
《個人信息保護法》的出臺進一步完善了我國在個人信息保護和數據安全領域的立法體系,為個人權益的保護構建了較為完善的法律框架,也為數據產業的市場參與者提供了更為具體的合規指引。企業內部數據合規管控和技術體系的構建已成為緊迫議題。數據處理者應當從戰略和業務實際出發,識別數據合規關鍵風險點,評估整體的信息化策略能否支撐內外部合規需求,盡快建立數據安全治理體系,從而為用戶權益的保障和企業的合規經營提供保障。
作者簡介
仵姣姣,中國信息通信研究院云計算與大數據研究所工程師,主要研究方向為數據交易、數據流通、數據安全等。
聯系方式:wujiaojiao@caict.ac.cn
《個人信息保護法》明確個人信息處理者應當采取必要措施保障個人信息的安全,根據可能存在的風險采取安全技術措施。中國信息通信研究院云計算與大數據研究所推出的“數據安全治理能力評估”(DSG)可在厘清合規義務、結合標準和最佳實踐的基礎上,幫助企業錨定安全風險和提升合規建設。有意向參評和交流者可聯系李雪妮lixueni@caict.ac.cn,13581661287。
作為保護數據不出域、減少泄露風險的重要技術方向,隱私計算技術成為避免數據被泄露、盜用、濫用的手段之一。中國信息通信研究院云計算與大數據研究所牽頭成立隱私計算聯盟,已推出基于多方安全計算、聯邦學習、可信執行環境、區塊鏈輔助隱私計算的功能性測試,隱私計算產品安全性能相關標準和測試方法制定工作也正在推進中。有意向參評和交流者可聯系袁博yuanbo@caict.ac.cn。
