王锡锌:完全依赖“告知-同意”规则或难实现个人信息保护
今年4月,个人信息保护法草案二审稿提交全国人大常委会会议审议。草案确立了以“告知-同意”为核心的个人信息处理一系列规则。其中备受争议的一点在于,“告知-同意”规则在实践中能否真正发挥效力?可能遇到哪些阻力?
5月22日,环球律师事务所在京举办“聚焦数据保护新热点,共探数据治理新思路”会议。会上,北京大学法学院教授、法治与发展研究院执行院长王锡锌就上述问题分享了他的观点与建议。
南都记者梳理发现,草案一审稿共19次提到“告知”,25次提到“同意”。草案二审稿则15次提到“告知”,30次提到“同意”,如“在取得个人的同意等七种情形下,个人信息处理者方可处理个人信息”。
王锡锌直言,在实践中,作为草案核心处理规则的“告知-同意”很难发挥保护个人信息的作用。
草案二审稿第四十四条拟规定,个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理。
王锡锌分析,“告知-同意”规则代表个人有知情和决定的权利。知情权的核心建构了一套“企业等个人信息处理者处理个人信息的合规规则”。也就是说,个人有权利要求企业告知自己,要处理自己的哪些信息以及为何处理等。而决定权的核心是个人对个人信息处理者行为的控制。
在他看来,个人的决定权如何行使是未来的核心问题。在实践中或许会出现如下场景——个人在面对大型平台等强势权力的时候,很难基于个人自由意志做出选择和决定。“这种力量具有控制性、主导性,处于弱势地位的个人难以对抗。”
王锡锌认为,赋权只是一种保护的基础,是必要条件。但仅通过赋权的自主控制,无法实现个人信息保护的目的。“在极端的意义上,自主控制其实不过是给了我们一个自主选择被奴役的权利。”
“如果对手跟我一样甚至比我弱一点,不需要讲什么‘保护’自己。当我们讲‘保护’,其实已经暗含了对方是比我强大,我们需要一个外在的力量来支援。这个力量只能是国家。”他说。
如何走出“告知-同意”规则的困境?王锡锌建议,国家宜建立“告知-同意”规则的国家标准以及相应的投诉举报机制,相应的监管部门对此进行审查;企业着重于内部组织控制和行为控制,不断审查和反思“告知-同意”的处理规则。
另外,他建议第三方评估企业的合规标准,在“个人赋权”和“国家规制”的双轮驱动下保护个人信息。“从政府角度来看,企业合规是一种义务。但从企业角度来说,合规也可以是一种重要的市场竞争策略。”
文|孙朝