《中华人民共和国个人信息保护法(以下简称《个人信息保护法》)》即将于2021年11月1日起正式施行,这标志着我国个人信息保护立法体系进入新的发展阶段。
该法旨在保护公众的数据隐私,要求包括互联网公司在内的单位,不得过度收集个人信息,更不能进行“大数据杀熟”,对人脸、指纹等个人敏感信息的处理进行了规划,也建立完善了个人信息保护投诉、举报工作机制等,为个人信息权益提供有效的制度保障,也为信息产业明确了经营行为的合法性边界,与《国家安全法》《网络安全法》《民法典》和《数据安全法》等法律法规共同构建起个人信息法律保护篱笆,广泛关系个人、企业和社会的利益,堪称中国互联网转向合规经营的一个重大突破。
加强个人信息保护是互联网行业大趋势
近年来,公众个人信息泄露的现象有逐渐加重的趋势。据国家互联网应急中心(CNCERT)编写的《2020年我国互联网网络安全态势综述》统计发现,政务公开、招考公示等平台未脱敏展示公民个人信息事件107起;涉及未脱敏个人信息近10万条;个人信息非法售卖事件203起;监测并通报联网信息系统数据库存在安全漏洞、遭受入侵控制,以及个人信息遭盗取和非法售卖等重要数据安全事件3000余起。
据中国消费者协会于8月29日发布的《APP个人信息泄露情况调查报告》显示,遇到过个人信息泄露情况的人数占比为85.2%,没有遇到过的仅占14.8%。一些单位“内鬼”为牟取不法利益铤而走险,一些地方肆无忌惮利用网络非法采集、窃取、贩卖和利用公众个人信息,甚至形成黑色产业链,引起各界对加强个人信息保护立法的广泛呼吁。
《光明日报》2012年9月介绍,我国针对个人信息的法律法规并不少,有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,其中包括规范互联网信息规定、医疗信息规定、个人信用管理办法等,但是相关保护条款内容不集中、阐述不清晰、适用不明确、范围受局限、处罚不具体,因而可操作性差。自从2015年国家提出大数据战略以来,在公众个人信息保护层面,越来越凸显法律法规与产业行业发展不配套的问题,因此,出台《个人信息保护法》可以进一步规范和促进整个产业行业发展。
《个人信息保护法》作为国内首部针对个人信息权益进行保护的法律,该法与《网络安全法》《数据安全法》共同构成中国网络法律体系的四梁八柱,标志着取得了中国数据法规体系与欧盟GDPR(《通用数据保护条例》)等国家地区法规接轨的新进展。而且,《个人信息保护法》不仅充分考虑国内实际情况,也吸收借鉴了国内相关法规的长处,部分内容的针对性实效性甚至超越了国外同类法规。如人脸识别是本法规范的一个重要内容,也是相对于欧盟GDPR法案的特色之处,该法规定,人脸、指纹等生物信息属于敏感信息,从此对于人脸信息的收集和处理,有了法律上的说明和约束。
不必闻法色变,但要依法合规
《个人信息保护法》的适用范围并非针对某一类特定企业,凡进行个人信息处理的企事业单位、国家机关均在其中,所以一些人认为只是互联网公司受到管理约束是不准确的。归根结底,国家制定法规,根本目的是促进数据产业规范发展,而不是遏制数字经济。认为《个人信息保护法》会刮起数据风暴的,还应该对该法进一步加深认识和理解。
中国人民大学法学院教授张新宝也认为,就“个人对个人信息保护和企业对个人信息利用”之间的矛盾而言,应该既强化个人敏感信息的保护,又强化个人一般信息的利用,致力于实现个人利益、企业利益和国家利益的三方平衡。
需要看到的是,《个人信息保护法》对大型互联网平台设定了特别的个人信息保护义务,如定期发布个人信息保护社会责任报告、接受社会监督等。这是挑战,也是机遇。法律将管理义务交由平台企业,大企业要制定相应的平台规则,且公正、公平、公开地进行规范。这一过程,也是头部企业树立标杆的过程。政府需要引导建构行政执法和解协议制度,及时向全社会公布情况,允许企业有机会有时间进行整改和提高,持续优化产品功能,不断提高用户信息保护水平。
守法者最自由。对于掌握海量公众信息的互联网公司来说,在严格遵守《个人信息保护法》的基础上,还应该更为主动,如成立主要由外部成员组成的独立机构,组织对个人信息处理活动进行监督,对违法处理个人信息的产品或者服务应进行调整或废止,对公众个人数据的存储进行分级管理,并进行完全匿名化的、标志化的处理,定期发布接受社会监督的公众信息保护社会责任报告,类似的主动作为,可以为其加分,实现长远发展。
对于《个人信息保护法》引发的企业合规成本提升问题,应该算作是近20年互联网野蛮发展所必须付出的代价,“欠的账总要还”。也可以说这是互联网数据行业的改革阵痛,一些有远见的公司将会通过提升公众个人信息的数据质量和利用效率去化解合规成本,通过合法途径收集优质的公众个人数据和信息,利用大数据、5G、人工智能等新技术进行深度开发和利用,使公众个人信息数据能够发挥更大的经济价值,而这相对于此前的野蛮搜集使用公众个人信息,不亚于脱胎换骨般的涅槃新生,在获得公众和政府充分认可的同时,也会成为真正的百年大企。
立法只是万里长征第一步,未来还需更多探索实践
天下之难,不难于立法,而难于法之必行。《个人信息保护法》作为一部涉及范围广泛的法律,仍然存在需配套完善之处,以便更好地施行。
如何立足国情妥善处理与其他相关法规的关系,将是《个人信息保护法》实施的首要问题。不同国家地区有不同的实际情况,因此在公众个人信息的保护上,也存在差异。如欧盟的GDPR要求欧盟层面及各成员国都应当建立独立的数据监管机构,负责监督条例的实施,并建构了数据主体向监管机构投诉、受理及处理等一整套行政框架。而在美国的联邦层面虽也设立负责隐私执法的联邦贸易委员(FTC),但各行业领域采取了分类监管的模式。我国《个人信息保护法》客观上涉及各个领域和多个部门、多项法规,不仅需要在机构运行上进行磨合调整,也需要整合、修改和补充原有的法律规范,建立规范、系统、协调的法律体系,更好地管理和指导互联网企业等单位建立个人信息采集、传输、存储、共享、出境等各个环节的合规体系,让个人信息保护制度稳定性和开放性兼备,势在必行。
进一步界定公众个人信息相关概念尤为重要。作为一部法律,《个人信息保护法》不可能面面俱到,只能明确在个人信息保护上的基本原则、基本制度、基本行为规范和法律责任,很多具体细节还需进一步完善,很多概念还需进一步界定,才能让该法充分发挥作用。如匿名化是不是判断“个人信息”的唯一标准,去标识化的信息或聚合的信息到底是不是个人信息,还要明确“个人信息”是否包含一些易产生争议的数据类型,如“消费历史记录或消费趋势”“视觉、热量、嗅觉”等。这些细节和概念如果不进一步界定的话,未来在该法的执行和落实上会出现很多混淆。
新规则的制定,可能会对现有存量商业模式产生很大影响,有可能会开辟新的市场。比如隐私计算技术在经历大规模概念验证和试点部署之后,在2021年进入真正尝试规模化应用阶段,区块链 隐私计算技术在帮助企业进行大数据开发应用与个人隐私保护之间将会达到新的平衡。如建构“数据信托”制度下的数据要素市场,对于公众个人,意味着与其相关的个人数据将被保存在公共服务器中,并由数据信托机构管理,企业则可以通过信托关系来访问和处理相关数据,而个人将获取“数据红利”。如企业安防领域也将会迎来春天,在安全系统建设、数据安全事件监测预警等领域,也会有新一轮的大发展。
毫无疑问,《个人信息保护法》能够在很大程度上震慑甚至改变此前对公众个人信息过度收集、泄露的乱象,但就当前来说,公众个人信息保护的配套制度建设和法律完善仍然任重道远。
但不管怎样,针对公众个人信息野蛮掘金的时代已经结束,雄鸡一叫天下白,是到了通过《个人信息保护法》、《数据安全法》等法规,重新构建互联网数据新秩序的时候了。
文:半岭松风 / 数据猿