21世纪经济报道 记者郭美婷 南方财经全媒体 记者李润泽子 实习生 陈安然 广州报道
编者按:
伴随着数字经济发展,对个人信息的采集和利用成为一种“刚需”。个人信息保护不断涌现出新问题,随意收集、违法获取、过度使用、非法买卖个人信息等情况“野火烧不尽”。数据的挖掘利用与个人信息保护之间张力扩大,急需专门法律对个人信息处理活动提供规范样本。
2021年11月1日,《个人信息保护法》正式施行,转眼间即将实施一周年。南财合规科技研究院长期关注个人信息保护议题,持续跟踪报道立法进程、监管动态,反映公众呼声。借此机会,将推出“南财个人信息保护月”系列活动,探讨《个人信息保护法》实施以来的落实情况以及对企业带来的影响。将围绕“守门人”条款的落实、用户个人信息权益的实现、数字广告行业的变革、数字经济发展与合规的平衡等多个维度推出20余篇系列稿件,刊出个人信息保护特刊,并且举办线下高峰论坛。
法律的生命力在于实施,在完成立法后,《个人信息保护法》需司法和执法接力,也需要企业恪守法律要求。我们希望能借助媒体的力量,持续追踪问效,推动个人信息权益的保障,提升全社会个人信息保护的水位线。
数字经济极大地改变了社会生活。人们享受着各类APP带来的便利,也为这些电子平台贡献了海量的数据资源。那么,用户能否获知APP收集了哪些个人信息?当不再使用某APP时,能否从该平台上完全清除掉自己的个人资料?又能否将原有的个人资料挪到另一个APP上?
去年11月正式落地的《个人信息保护法》(下称《个保法》)给出了答案。其中,第四章“个人在个人信息处理活动中的权利”以7个条文,对知情权、决定权、查阅复制权、可携带权等个人在信息处理活动中享有的权利作出了全面的规定,并赋予了可诉性。
《个保法》实施一年,纸面中的个人信息权益逐步走向执法、司法实践中。然而,针对个人的信息权益行使,目前在司法上尚未达成共识,有赖于进一步细化规则的制定和统一尺度的设置。对企业而言,这也意味着一改过去混沌的数据管理模式,全面梳理和厘清用户个人信息处理的全流程及其依据。未来,或将是一场“刀刃向内”的改革。
权利范围界定之难2021年3月1日,某电商平台一用户周女士拨通了客服电话,称其母亲接到陌生来电,对方对周女士购物留下来的个人信息有所了解,出于对个人信息泄露的担忧,周女士希望平台告知并披露其所收集的个人信息。
该要求遭到客服的拒绝,周女士同日向该平台隐私专职部门邮箱发送相同请求的邮件亦未得到回复。周女士遂以侵犯个人信息查阅、复制权为由,将平台诉至法院。
今年5月,该案迎来了二审判决,法院支持了原告提出的大部分个人信息披露请求,并要求该平台在30天内做出答复。
该案的重要法律依据正是《个保法》。该法于去年11月正式实施,历经一年,不少案件渐次进入司法程序。
保护个人信息权益是《个保法》的根本目的。第四章“个人在个人信息处理活动中的权利”以7个条文,对个人在信息处理活动中享有的各种针对信息处理者的权利作出了全面的规定,并赋予了可诉性。
其中,知情权、决定权、查阅复制权等,进一步细化和完善了此前《民法典》《网络安全法》等立法的规定;而可携带权等规定的创设性提出,在实现个体自决权、防止平台数据垄断等方面发挥了效用。
然而,如何落实这些权利并非易事。多位受访专家告诉21世纪经济报道记者,颇具争议的一点便是如何界定行使这些权利的范围。
以该案为例,法院虽然支持披露了平台自认已实际收集且应当披露的个人信息(包括用户注册信息、订单信息、收货信息、设备信息、IP地址等),以及平台与第三方共享的个人信息(包括支付信息、第三方SDK从平台收集的个人信息、共享给其他第三方的信息)和浏览信息,但是却驳回了以下两类个人信息披露请求。
一类是平台《隐私政策》中包含但未实际收集的个人信息,另一类是用于用户画像的个人信息。针对后者,一审判决认为,如无法证明用户画像对个人权益产生重大影响,则相关披露要求不予支持。且由于原告没有上诉,二审法院并未对此作出分析。
“我认为该一审判决或存在可商榷之处。”中国人民大学法学院教授、民商事法律科学研究中心执行主任石佳友表示,根据《个保法》第24条第三款,通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。该款强调的是个人信息主体的拒绝权,确保透明度原则的落实和打击算法黑箱,而非剥夺个人信息主体的查阅复制权。平台通过收集用户原始数据加工处理形成衍生数据,若仍具有身份识别功能,也应属于复制查阅权的范畴。
在上海财经大学法学院教授叶名怡看来,查阅复制权的客体包括个人信息本身和处理情况两方面,其中处理情况指的是存储、加工、向第三方披露或共享,以及自动化决策形成的数据画像等。
此外,针对一审法院驳回原告主张的删除权的做法,石佳友也持不同意见,因为原告在诉讼中提出了信息删除要求,这相当于《个保法》中撤回同意的情形。当然,遗憾的是,由于一审原告未上诉,二审法院未能对这些问题进行进一步审理。
“目前非常突出的问题是,查阅权、复制权、删除权等的具体范围在司法上都未完全达成共识。由于法律的细化规定尚未出台,导致实践中对相关问题的认识存在分歧。”石佳友说。
“刀刃向内”的改革司法把好了推进个人信息权益的落地的“事后”关口,但“事前”保障的重担还压在企业身上,企业亟需通过内部的数据合规整改,以符合《个保法》提出的相关要求。
在法律赋予个人在个人信息处理活动中的多项权利中,查阅复制权在技术实现和权利落地上相对简单。21世纪经济报道记者近日实测发现,如今大量APP都已设置了查阅复制权实现的渠道,包括在交互页面上直接设置按键、联系专人申请、提供书面请求等。
多位受访专家表示,考虑到不同企业信息处理实际情况的差异,上述措施本身并未有优劣之分,目前衡量其是否符合立法本意的一大标准是“便捷度”。
例如,身份验证作为其中关键而必要的一环,能够防止个人信息被泄露甚至盗取。叶名怡指出,在身份验证技术已相对成熟的今天,平台不宜以无法验证身份为由拒绝披露个人信息,或设置较高的身份验证门槛。
然而,在北京尚隐科技有限公司CEO张仁卓看来,APP可供个人查询和复制的范围也往往不能覆盖企业收集的全部个人信息。个人信息主体行权的实现,将成为企业内部信息管理能力的试金石。
过去,企业只需把住一进一出两道关口,合规收集个人信息并防止泄露即可。而响应用户请求的查阅复制权则要求企业在内部走过漫长的路径:首先进行身份或合法性验证;其次,发现相应的数据、生成数据地图,同时确定数据所有者、确定数据收集和使用的合法性、确定数据存留期限;然后,再确定该业务操作自动化能力,创建子任务、进行子任务跟踪;最终,汇总生成友好的个人信息主体权利报告,通知用户,并提供用户浏览和下载报告的途径。
只有全面厘清收集、交换、流转、处理、共享、存储等所有流程以及其依据,方可完美匹配到个人信息主体查询权利的行使。然而,目前大部分企业的内部数据管理都处于较为混沌的阶段。“这是一项‘刀刃向内’的变革。”张仁卓评价。
对比起查阅复制权,在隐私协议中落实数据可携带权的平台寥寥可数。“目前可携带权的实施细则还有待明确,企业优化相关的技术和安全保障能力存在一定成本压力,欠缺积极落实可携带权的动力。而社会公众对于可携带权比较陌生,普遍不了解其涵义和行使条件。”石佳友直言。
删除权则是另一项需企业花费更多精力、成本及技术实力实现的权利。中国社会科学院国际法研究所副研究员何晶晶认为,《个保法》第四十七条规定了删除权行使的五个条件,这要求企业作出持续监测和准确判断。
首先,处理目的的已实现、无法实现以及不再必要等标准的界定,需要企业梳理和盘点自身业务类型,明晰自身个人信息处理行为的目的,判断出个人信息的最小必要范围;其次,当前的相关法律法规对保存期限的规定并不统一,若其他法律法规规定的保存时限长于完成处理目的所需的最短时间,在面对用户的删除请求时,企业需投入较大的合规成本以全面梳理和判断;再次,个人撤回同意的情形有可能对企业与之相关的后续业务影响巨大,企业需考虑在必须满足个人要求的前提下保障自身利益;最后,由于数据的可复制性、无损性和流动性,一旦进入互联网则无处不在,大量原始数据与衍生数据交织重叠,导致追踪和删除个人信息在实现上有一定技术难度。
保障个人信息权益意味着巨大的成本,类似的阵痛也曾发生在《通用数据保护条例》(GDPR)出台后的欧盟企业身上。据Gartner2019年的调查数据显示,大多数企业每月要处理50到100个不同类别的权限请求,单个访问请求的处理成本超过1500美元。
如何化被动为主动法律上的共识尚未达成,企业内部改革动力不足、举步维艰,《个保法》确立的“个人在个人信息处理活动中的权利”应如何真正落地?
“核心是配套规则的制定。”石佳友表示,除制定司法解释、行政法规或规章外,标准也极为关键,与个人信息相关的国家标准、行业标准等,都可能成为司法实践中重要的考虑因素;由行业协会或专业委员会出台具体标准,在现阶段是最具有现实可行性的路径。
叶名怡也认为,直接通过法律细致地规定和厘清相关权利义务如何落实并不现实,法律永远滞后于实践。更可能的路径是,在行政法规、行政规章或者示范性规则等方面率先形成共识,法院再以典型案例形成司法上统一的尺度,最后对个人在个人信息处理活动中的权利范围和落实做立法上的细化和明文规定。
以删除权为例,个人往往无法真正核验企业是否履行该义务,只能通过事后监管,以行政为主导,司法作为最后救济手段。如此各方发力,我国的个人信息保护水平才能逐步提高。
对于企业而言,张仁卓认为改变现状还应从内部数据梳理和管理入手,与法务部门联合,建立起相应的管理团队与技术团队。
何晶晶则提出,数字技术的快速发展要求企业能够与时俱进的更新合规手段与模式,全面高效的管理内部数据合规工作,“法律+科技”的智能合规模式能够取得良好效果。例如21世纪经济报道记者发现,腾讯游戏就通过上线AI问答助手的形式便捷响应用户查阅和复制个人信息。
事实上,落实个人信息权益行使对于企业合规工作也带来一些启示。
大家都知道,购买一台汽车至少的都要几十万,对于资金不足的人就只能选择贷款购买了,而...
2 为什么房贷年限要选三十年 原来有这些好处房贷申请除了选择还款方式,还款年限也是要决定的,主要包括有10年、15年、20年、25年、30年...
3 花呗额度怎么快速提升 以下几种方法你有试过吗花呗是大众熟知的一款消费信贷平台,通常花呗额度在500-5万之间,只是普遍见的都是几千的最...
4 支付宝除了借呗还有什么借款平台 支付宝借款分享来了如今,越来越多的人使用支付宝作为他们的普通支付方式,为了满足用户的资金需求,支付宝...
5 ETC遭拉黑了还能走人工通道上高速吗 车主请注意ETC就是电子不停车收费,车主安装ETC后,经过高速公路收费站时就不用停车缴费,相比人工缴...
6 2023年退休人员基本养老金上调3.8%真的吗 答案来了养老是我们必须要面对的问题,而养老保险的参与可以保障我们年老生活质量,关于2023年调整...
大家都知道,购买一台汽车至少的都要几十万,对于资金不足的人就只能选择贷款购买了,而...
2 为什么房贷年限要选三十年 原来有这些好处房贷申请除了选择还款方式,还款年限也是要决定的,主要包括有10年、15年、20年、25年、30年...
3 花呗额度怎么快速提升 以下几种方法你有试过吗花呗是大众熟知的一款消费信贷平台,通常花呗额度在500-5万之间,只是普遍见的都是几千的最...
4 支付宝除了借呗还有什么借款平台 支付宝借款分享来了如今,越来越多的人使用支付宝作为他们的普通支付方式,为了满足用户的资金需求,支付宝...
5 ETC遭拉黑了还能走人工通道上高速吗 车主请注意ETC就是电子不停车收费,车主安装ETC后,经过高速公路收费站时就不用停车缴费,相比人工缴...
6 2023年退休人员基本养老金上调3.8%真的吗 答案来了养老是我们必须要面对的问题,而养老保险的参与可以保障我们年老生活质量,关于2023年调整...
撤稿申请|
备案号:鄂ICP备2022006215号 Copyright © 2002-2022 metaversezj.com.cn 元宇宙之家 版权所有