行業商業模式或面臨改變,企業希望實施細則儘快明晰

原標題:行業商業模式或面臨改變,企業希望實施細則儘快明晰

  2021年,數據安全和個人隱私保護成為關鍵熱詞。

  今年6月在首都機場三號航站樓兩名粉絲聚集尾隨跟拍某明星乘機,同時非法獲取100餘條明星身份及航班信息,並在微信群中轉發。一時間,個人隱私保護又成為輿論關注的焦點。

  近日,北京朝陽區法院對上述案件作出判決,兩名粉絲被以侵犯公民個人信息罪依法分別判處拘役5個月、緩刑5個月,拘役4個月、緩刑4個月。

  這是11月1日《中華人民共和國個人信息保護法》生效以來涉及個人隱私保護的一個較為典型的案例。

  此外,11月14日,國家網信辦發佈關於《網路數據安全管理條例(徵求意見稿)》(以下簡稱《徵求意見稿》)公開徵求意見的通知。

  《徵求意見稿》融合了關於個人信息保護和數據安全的法律法規,以更加清晰精鍊的方式,對一系列信息隱私保護、數據安全的法律進行總結歸納,提高了法律的可行性和可理解性。

  這些法律的出台或修訂,無論是對國家、產業,或是企業、個人都將產生深遠的影響。相關行為主體如何在新規則之下兼顧發展與數據安全、隱私,將是決定其未來競爭力的關鍵。

  相關法律完善下仍存在行業性、結構性風險隱患

  中國社會科學院法學研究所民法研究室主任、研究員謝鴻飛向新京智庫表示,今年以來,國家在數據安全和個人信息保護方面的立法不斷完善。據謝鴻飛介紹,2021年1月1日施行的《民法典》在人格權編單獨設一章「隱私權和個人信息保護」,確立個人信息作為一種具體人格權益的法律地位,勾勒出個人信息司法保護的基本框架。2021年8月20日通過的《個人信息保護法》以專門立法的方式對自然人個人信息權益、信息處理規則、信息處理者責任、信息跨境流動、信息監管等關切問題予以回應,對「數字人格」提供了全面的法律保障,與《民法典》遙相呼應。

  謝鴻飛指出,2021年9月1日施行的《數據安全法》立足總體國家安全發展觀,以數據治理安全為切入點,堅持數據安全與數據合理利用的雙重目標,確立了數據分類分級管理,建立了數據安全風險評估、監測預警、應急處置、數據安全審查等基本制度,並明確了相關主體的數據安全保護義務,實行「中央國安委」統籌協調下的監管機制,為數據的安全與監管提供了明確的指引。

  除此之外,《網路安全法》《消費者權益保護法》《反間諜法》《反恐怖主義法》《出境入境管理法》《居民身份證法》等法律法規以及最高人民法院《人臉識別司法解釋》等規範性文件針對特殊主體、特殊行業以及特殊事項的個人信息保護作了更為細緻的規定。

  在謝鴻飛看來,這些規範性文件所構築的全方位個人信息保護網將推動中國個人信息保護邁向一個新台階,促進中國數字經濟的持續健康發展,同時也將為全球數據治理貢獻中國方案。

  相關法律的出台,全面、系統地對個人信息保護工作作出了基礎性制度安排。但是個人信息保護仍存在行業性、結構性的風險隱患。

  中南財經政法大學數字經濟研究院執行院長、教授盤和林表示,當前,在互聯網領域,個人信息的收集、使用十分廣泛,隨意收集、違法獲取、過度使用、非法買賣個人信息、大數據殺熟等問題突出,信息數據治理生態總體狀況不樂觀。

  金融領域個人信息保護也開始受到重視。中國人民銀行行長易綱近日在芬蘭央行新興經濟體研究院成立30周年紀念活動的影片致辭中介紹說,「我們高度重視數字人民幣的個人信息保護問題,並採取了相應的制度安排和技術設計。」在收集個人信息時遵循「最少、必要」原則,採集的信息量少於現有電子支付工具。

  除了互聯網和金融行業,醫療領域信息數據泄露情況也不容樂觀。此前,中國信通院發佈的《2019健康醫療行業網路安全觀測報告》顯示,勒索病毒、數據泄露、網站篡改是醫療行業網路與數據安全風險的三個主要方面。

  中國信息通信研究院互聯網法律研究中心主任方禹表示,金融、醫療等對個人權益影響較大的行業,個人信息保護的緊迫性、嚴峻性比較突出。部分用戶個人信息保護意識尚未建立形成,疏於維護自身合法權益,往往成為多元治理的個人信息保護架構中的薄弱環節。

  同時方禹也強調,個人信息保護工作應該是一個由點及面、循序漸進的持續展開過程,突出重點環節、關鍵領域的治理,並最終形成動態化、常態化的有效保護。

  個人信息侵權的方式具有多樣性

  謝鴻飛表示,《個人信息保護法》的出台有效回應了公民個人信息安全及合法權益的訴求,為正確引導信息處理和加強信息監管提供了堅強的法律後盾。目前,最高人民法院及地方各級人民法院公佈的一些典型案例顯示,個人信息保護不僅涉及教育、市場監管、公安、網信、農業農村等行政機關的信息監管和政府信息公開問題,而且涉及快遞、醫療機構、校外培訓機構等泄露個人信息、倒賣個人信息的問題。這些都表明,個人信息侵權的方式具有多樣性,個人信息保護牽涉的領域具有廣泛性,個人信息保護的難度較大尤其在損害認定問題上。

  北京市京師(深圳)律師事務所聯合創始人王岩飛告訴新京智庫,在一些行業,尤其是互聯網行業存在大量違規使用數據和違規使用個人信息行為。因為在現有的商業模式裏面,如果不使用這些數據,很多業務就有可能做不了。另外,一些金融科技平台,通過購買個人信息去推銷產品,通過群發簡訊或者是用呼叫系統給用戶打電話。

  就目前發生的泄露、倒賣個人信息等侵權事件,明確信息歸屬的責任方就顯得尤為重要。在中國人民大學信息學院副教授黃科滿看來,依據最近一段時間國家出台的一些相關規定,對互聯網平台做了相應的級別劃分。未來在信息處理上,也會對數據的歸屬進行明確,具體來說就是還數於民。

  黃科滿表示,未來的數據分級管理可能會出現三種模式。一種是平台(企業)自有的數據,數據依賴於平台(企業)本身在生產經營活動中所積累的數據,比如銷售上的數據;第二種就是個人本身所掌握的數據,包括個人的一些隱私信息;第三種是個人自己的數據沒有能力去管理授權給國家的或者是第三方機構來維護的數據。

  對於這三種模式的數據,在黃科滿看來,第三種模式是未來比較理想的數據使用模式。個人數據交給專業機構來託管,這樣就變成了企業跟公共數據平台之間的交互。這種模式使得數據可以開發利用,並最大限度地流通起來,而且在這個過程中個人的相應權益得到保護。

  對個人信息數據進行分類、分級明確了數據保護和使用的責任主體,技術則給個人信息隱私保護多增加了一層「保護外套」。

  謝鴻飛向新京智庫介紹,目前關於個人信息與隱私保護的技術主要有三種方式。一是基於數據失真的隱私保護技術。它主要採用交換、添加雜訊等技術對原始數據集進行處理,使敏感數據失真但同時保持某些關鍵數據或者屬性不變。二是基於加密的隱私保護技術。它主要採取安全多方計算、分散式匿名化、分散式關聯規則挖掘和分散式聚類等各種加密技術在分散式環境下隱藏敏感數據。三是基於數據匿名化的隱私保護技術。即根據具體情況有條件地發佈數據,如數據泛化。

  相關行業商業模式或將面臨改變

  《個人信息保護法》施行後勢必也會對一些具體行業的發展模式帶來新的改變。11月3日,工信部就通報了QQ音樂、小紅書、豆瓣等38款App存在超範圍收集用戶個人信息等違規行為,並提出限期整改要求。

  廣東工業大學計算機學院特聘教授劉文印表示,過去的互聯網發展是爆髮式的野蠻生長,背後隱藏著很多問題。如近年來,一些企業和機構利用數據侵害人民群眾合法權益的問題也十分突出。從手機App過度收集個人隱私、行為數據,到上億用戶個人信息泄露,隱私問題屢見不鮮。劉文印認為,相關新法律的出台,會對未來整個行業的發展起到有效的指導作用,既是約束,也是保護。

  謝鴻飛也認為,《個人信息保護法》《數據安全法》等法律施行後,各行各業的商業模式必將隨之更改,野蠻生長將會受到抑制。例如,根據《個人信息保護法》規定,個人信息處理需徵得用戶同意,通過自動化決策方式向用戶推送信息或商業營銷,須提供不針對個人特徵的選項或向個人提供便捷的拒絕方式。若用戶拒絕提供非必需信息則勢必影響個性化推薦的效率,這樣一來數字廣告投放的精準度降低,電商廣告收入或將受到影響。

  雖然用戶拒絕提供個人信息會使數字廣告投放精度受到影響,但盤和林認為,長期來看,數字廣告行業整體依然樂觀,由於在線人數、在線時長增加,未來數字廣告曝光量仍是增長趨勢。只是在數字廣告投放渠道方面,用戶推送廣告模式將轉向對用戶信息要求度更低的社交嵌入和搜索引擎嵌入的廣告模式。

  不僅是互聯網行業,對於電信、醫療等個人信息保護重點行業而言,個人信息處理活動也十分頻繁和普遍。方禹表示,《個人信息保護法》本身就較大調整了保護邏輯和規則,企業的商業模式,甚至是內部架構,勢必也需要作出較大調整。一是要規範個人信息處理活動,按照《個人信息保護法》對「處理」所界定的全生命周期,針對每一個環節進行合規校驗。二是要個人對個人信息處理活動中的權利做業務準備,結合企業性質、規模、風險程度以及有關部門的具體要求,形成符合自身特點和立法要求的權利保障方案。三是要確定個人信息安全保障措施。《個人信息保護法》第51條對個人信息處理者的義務進行了總括性規定,企業需要對照要求確定適合本企業的相關措施。

  謝鴻飛表示,電商、電信、醫療等在商業經營過程中應當注重數據合規計劃的制訂。例如,《個人信息保護法》第24條規定,個人信息處理者進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。這一規定對於電商類、住宿類平台利用大數據「殺熟」起到了嚴格管控作用,平台的個性化定價受到限制。

  不過,方禹表示,商業模式的調整對企業而言既是挑戰也是機遇。《個人信息保護法》既是對過去近十 年中國個人信息保護工作的經驗總結和升華,也對個人信息保護的原則和規則進行了制度重構。前個保法時代,個人信息保護以「知情-同意」為核心而展開,是基於隱私保護的認識基礎上的自然延展。

  行業特性不同決定相關法律落地還存在一些難點

  謝鴻飛指出,《個人信息保護法》實施的難點有兩個方面,一是個人信息處理的事前同意規則,尤其是單獨同意規則在具體操作過程中難以落實。以助貸業務為例,助貸機構在向金融機構推介客戶時,通常需要分享客戶的個人信息,而根據《個人信息保護法》的規定,助貸機構需要告知客戶接收方(金融機構)的名稱、聯繫方式、處理目的、處理方式和所涉及的個人信息種類,在沒有其他合法性基礎的情形下,還需要取得客戶的單獨同意。二是個人信息侵權的事後救濟存在困難,尤其是損害的認定問題。據學者統計,司法實踐中40%的裁判結果都不支持個人信息權益受害人的請求,一個重要原因在於其無法證明其所遭受的損害。

  就金融機構來說,謝鴻飛告訴新京智庫,金融機構本身並不直接接觸用戶,金融機構通常將授權協議前置到助貸環節去勾選,那麼在助貸環節取得用戶單獨授權後是否意味著金融機構就可以直接利用用戶個人信息?對此監管方面目前還沒有明確的態度。除此之外,在金融集團、母子公司之間的信息共享也將面臨困難,金融集團內部的數據流通受阻。

  方禹則表示,個人信息保護在不同領域、不同行業、不同企業之間呈現不同特點,同時隨著時間推移也不斷發生變化。相關法律實施的難點關鍵在於如何適應個人信息保護的動態性。

  方禹指出,對監管機構而言,需要充分發揮指導監督的作用,不斷根據實踐情況作出行政指導。如歐盟數據保護委員會(EDPB)在《通用數據保護條例》(GDPR)實施後,持續發佈指南,來指導具體個人信息保護工作。同時也需要把握執法的頻度和廣度,通過有效執法形成邊界。網路法治建設的突出特點之一,是執法解釋的效果遠優於立法解釋,立法本身需要普適性和概括性,這與互聯網技術特別是移動互聯網技術的裂變性和普及性不相適應,法律制度的具體要求高度依賴實踐情況,需要通過強有力的執法機構予以補充。

  對於因行業特性,相關法律落地執法中遇到的難點,中國網路空間安全協會副理事長、上海交通大學網路空間安全學院教授李建華也認為,相關法律落地難點還體現在行為主體在違反法律後怎麼去處罰的問題,這不僅需要建立一套執法體系,可能還涉及跨部門的溝通。這個過程當中還有很多具體需要細化的可操作、可執行措施。

  在李建華看來,應對數據安全事件的響應和處置能力建設也很重要,要解決針對違法行為怎麼去處罰,由誰去處罰問題,就需要在人才和執法隊伍上面花大力氣去建設。

  實施細則或統一行業標準亟須出台

  黃科滿告訴新京智庫,在《數據安全法》和《個人信息保護法》出台以後,很多企業對相關法律實施細節的不確定性感到焦慮。據黃科滿介紹,很多企業認為自己原來的內部治理體系是能夠合規的。雖然具體細節上可能還有很多要探討,但是之前至少能夠滿足合規要求。當前,具體行業實施細則還沒出台的背景下,企業不清楚公司內部的相關規範現在還能不能合規,所以對很多企業來說,直接反應就是先觀望。

  王岩飛也認為,《數據安全法》、《個人信息保護法》和《網路安全法》三大法其實都有相應的規定,但是具體怎麼去落地實施很多企業搞不清楚,因為沒有強制性的某個標準說是一定要去試用,企業在執行過程中很難去掌控這個度。

  針對當下行業實施細則尚未出台的背景下,企業出現觀望的態度,方禹認為,個人信息保護配套立法十分重要,需要通過相關下位法以及標準規範等不斷釐清個人信息保護具體適用問題。從縱向來看,需要通過相應的行政法規、部門規章以及規範性文件等對《個人信息保護法》作出更為細緻的要求。從橫向來看,金融、醫療、電商等行業領域需要結合本行業本領域出台配套規則,來清晰適用《個人信息保護法》。

  此外,方禹也指出,執法的持續性和相對穩定性十分關鍵。正如前述,個人信息保護工作在較大程度依賴執法解釋來劃定邊界,執法活動本身也是一個形成共識的過程,共識來源於經驗,越豐富的經驗越能形成可靠的共識。

  在謝鴻飛看來,《個人信息保護法》只是搭建了個人信息保護的基本框架體系,奠定了個人信息保護的基礎法地位。其中許多規則如何理解、如何操作仍須進一步明確。不同行業、不同領域、不同主體在信息收集和處理過程中所負擔的義務各不相同,因此各行各業都期望監管部門根據行業特徵制定相應的實施細則或統一的行業標準,為本行業提供可資借鑒的信息處理合規方案。另一方面,各行業也期待具體法律細則提供一個正確的導向,即不要過度強調個人信息的保護,以致信息共享和信息流動嚴重阻滯,制約本行業的發展。

  方禹強調,個人信息保護是一個多方學習、共同治理的過程,按照一定的節奏推進更符合個人信息保護和個人信息合理利用雙重立法目標的要求。據方禹介紹,從歐盟經驗來看,循序漸進的特點十分明顯。2018年,歐盟GDPR實施後,設置了最高2000萬歐元或4%營業額的罰款數額。實踐中,歐盟在處罰力度上較為謹慎,截至2020年底,總體呈緩慢上升趨勢,最高一筆罰款數額是法國對谷歌進行的5000萬歐元處罰,雖然遠超2000萬歐元上限,但僅占谷歌營業額的0.04%左右。今年,由於歐盟對愛爾蘭執法機構的寬鬆態度十分不滿,才促使愛爾蘭作出了兩例較大數額的處罰。

  新京報記者 查志遠 肖隆平

加入好友

台灣疫情資訊

台灣疫苗接種

相關熱門