金融学术前沿:数字时代的信息共享与信息保护——浅析《个人信息保护法》
2021年11月30日晚,第131期“金融学术前沿”报告会在复旦大学智库楼209会议室举行。本次时事报告主题是“数字时代的信息共享与信息保护——浅析《个人信息保护法》”,由复旦发展研究院金融研究中心(FDFRC)组织举办,中心主任孙立坚教授主持,报告人为孙教授研究团队成员纪晓东。本文根据报告内容、公开材料以及现场讨论,从热点回顾、处理规则、国际对比与影响和进一步思考讨论等几方面展开。
一
热点回顾
根据中国互联网络信息中心(CNNIC)统计数据显示,截止2020年底,中国手机网民规模已达9.86亿,占全体网民比例达到99.7%。从近十年的增长趋势看,手机网民规模保持稳步增长。中国手机网民在全体国民的渗透率约达69.8%,该数值与欧美发达国家72%-90%的渗透率相比较,仍有一定的增长空间,但增长速度放缓。
图一:手机网民规模及其占整体网民比例,来源:CNNIC《第47次中国互联网络发展状况统计图》
广东省通信管理局APP监管平台共收录597万个版本,242.12万款APP,其在2020年1月至12月期间共发现11835个疑似违规的APP,其中有4581个APP存在私自收集个人信息的问题。随着信息技术的发展,数字社会下商业、公共治理等领域对个人信息等“数据资产”倍加重视。与此同时,随意收集、违法获取、过度使用、非法买卖个人信息、大数据杀熟等问题突出,如何平衡个人信息保护和大数据利用之间的关系成为一大重要问题。
图二:2020年度APP个人信息违规问题分类统计,来源:广东省通信管理局《广东省移动智能终端应用程序2020安全白皮书》
2021年8月20日,《中华人民共和国个人信息保护法》(简称《个保法》)获得通过并公布,并于2021年11月1日起生效实施。此前我国个人信息保护相关规定散落在各法律法规中,《个人信息保护法》是中国第一部专门规范个人信息保护的法律。
表一:相关法律与标准,来源:作者自制
《个人信息保护法》实施后将与《网络安全法》、《数据安全法》共同构架基础,配套法律法规及国家标准形成数据安全法律体系。
二
处理规则、国际对比与意义
大部分应用都有获取非必要信息的可能
《个人信息保护法》第五条至第九条明确了处理个人信息的基本原则,该原则是贯穿个人信息处理活动的总体指引,包括:合法、正当、必要和诚信原则;明确性和相关性原则;最小程度原则;公开透明原则;完整性和准确性原则;安全保证原则。其中,最小程度原则要求处理活动对个人权益产生的影响最小,不得过度收集个人信息,仅限于满足处理目的的最小范围。
参考《常见类型移动互联网应用程序必要个人信息范围规定》对不同类别APP所必需的个人信息规定,过度收集个人信息的行为或遭一定限制。
表二:不同类别APP所必需的个人信息规定来源:《常见类型移动互联网应用程序必要个人信息范围规定》,光大证券研究所
但实际上,几乎所有类别应用都有获取非必要信息的情况。短视频类App在《规定》中“无须个人信息,即可使用基本功能服务”。例如,下载抖音App即可刷小视频,但要想进行关注、点赞、收藏等互动性操作,则需要提供电话号码等注册信息。在实际使用中,应用提供者可能会收集联系人、定位、历史记录等信息(经过用户同意)。
个人信息处理规则
1
个人信息处理规则
以“告知征得同意”为核心
第十三条:
处理个人信息应当取得个人同意,但是有以下情形的,不需取得个人同意:为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;为履行法定职责或者法定义务所必需;为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;法律、行政法规规定的其他情形。
第十四条:
基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
第十五条:
基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
第十六条:
个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
2
个人信息处理规则规范自动化决策,
明确禁止“大数据杀熟”
第二十四条:
个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。提供其他选项或拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
3
个人信息处理规则:
严格保护敏感个人信息
第二十八条:
敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。需具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
第二十九、三十、三十二条:
需要取得个人的单独同意;法律、行政法规另有规定需取得书面同意的,或者规定处理敏感个人信息应取得相关行政许可或者作出其他限制的,从其规定。在告知内容方面,需特别向个人告知处理敏感个人信息的必要性以及对个人权益的影响。
4
个人信息跨境提供规则
第三十九条:
跨境提供个人信息需同时满足的条件:第一,告知向境外提供个人信息的情况,包括境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项。第二,取得个人的单独同意,或具备其他合法性基础。第三,境外接收方未被网信部门列入限制或禁止个人信息提供清单。
第四十条:
跨境提供个人信息需遵循的法律路径:关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者应当通过网信部门组织的安全评估,另有规定的除外。其他个人信息处理者可选择以下任一路径:通过网信部门组织的安全评估;通过专业机构进行个人信息保护认证;与境外接收方订立网信部门制定的标准合同;或者遵循其他法定路径。
《数据出境安全评估办法(征求意见稿)》在相关条款中明确了申报数据出境安全评估的基本流程,同时也在程序性规定的基础上,对于数据处理者申报可能产生的结果(包括程序性结果和实体性结果)做到了可执行落地的细致规定。
国际对比
目前全球共有128个国家通过立法保护个人信息。其中,结合市场规模、规制范围等因素,以欧盟《通用数据保护条例》(GDPR,2018年5月),美国加州隐私保护法(CCPA&CPRA,2020年1月)最具影响力。
欧盟模式表现为政府主导下的严格立法与统一监管:通过欧盟立法要求和规制各成员国建立统一的个人隐私保护法律;以GDPR为核心,构建个人信息保护体系,直接适用于欧盟全境;设立欧盟数据保护委员会(EDPB)确保执法过程的统一性和连续性;要求实体机构设立数据保护官员(DPO)监管内部的数据处理活动合规性。
美国是政府引导下的行业自律模式:基于总体原则下的分散立法,联邦层面总体原则+重点领域/行业立法+地方立法;高度重视行业自律,典型代表TRUSTe行业认证;两大委员会是监管主角,FCC(联邦贸易委员会)针对电信用户,FTC(美国联邦通讯委员会)针对互联网用户。
日本为政府主导+行业自律混合模式:个人信息保护立法主要参考欧盟,行业规范主要参考美国;《个人信息保护法》及个人信息保护委员会从立法、政策、监管角度发挥作用,构建起相对完善的个人信息保护体系;发挥行业自律,典型代表JIPDEC(日本信息处理开发协会)进行P-MARK认证。
在规则的严厉程度上,《个人信息保护法》基本对标欧盟GDPR,加州隐私立法(CCPA&CPRA)相较于其他两部法律较为宽松。预计未来我国也会发起相关行业个人信息保护认证,充分发挥行业自律作用。根据《个人信息保护法》六十二条,国家网信部门将协调有关部分根据本法推进推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务。
在合法性基础上,中国《个人信息保护法》与欧盟GDPR都采取了选择加入(opt-in)模式,即以个人同意作为数据处理合法性理由的,非经个人同意,不得对其个人信息进行处理,并且都对同意的有效性提出了实质性要求,即自愿明确充分知情。加州隐私法以选择退出(opt-out)为主要模式,即除非用户拒绝或退出,则公司可以继续处理用户的个人信息。
在跨境信息提供上,欧盟GDPR和中国《个人信息保护法》均构建了个人信息跨境提供制度框架。其中欧盟GDPR的个人数据跨境办提供规则更灵活,而中国《个人信息保护法》中的个人数据跨境情况下的知情权更广泛、细致。美国CCPA&CPRA没有专门的条款来规制数据跨境传输。数据传输被视作售卖个人信息的一部分。消费者有权拒绝其数据被分享给第三方。
在敏感个人信息的概念与处理规则上,中国《个人信息保护法》强调了对敏感个人信息的处理规则,并创设了处理“敏感个人信息”的应当取得个人“单独同意”的规则,对标同样设定“特殊类别信息”类别、较为严格的欧盟GDPR。美国CCPA&CPRA与前两者相比没有设立相应的概念,规定较为模糊。
在处罚规定上,民事诉讼方面,加州隐私法特点突出,其从实体上和程序上,大大限制了个人信息违法行为的可诉性,更倾向于由检察长行使监管职权。在行政监管方面,美欧立法对违法行为进行了分类,以规定对应的处罚梯度;中国仅以情节是否严重作为梯度的区分标准,给予了执法机关较大的自由裁量权。在刑事责任方面,中国较为严厉,个人信息违法犯罪相关罪名适用主体广泛,入罪门槛极低。
《个人信息保护法》的影响
广告是互联网公司重要的收入来源,其中个性化推荐广告收入占比逐年上升。从消费者角度,根据全国网民网络安全满意度调查活动的公开统计报告,有约九成受访者在日常上网过程中会收到精准广告推送,近半数受访者认为此种做法未获取其同意,且有一成左右的受访者认为没有提供退出机制。
图七:收到精准广告推送情况,来源:《全国网民网络安全感满意度调查统计报告》2020
图八:精准广告提供退出机制的情况,来源:《全国网民网络安全感满意度调查统计报告》2020
图九:发布精准广告事前征求同意情况,来源:《全国网民网络安全感满意度调查统计报告》2020
从用户端看,欧盟GDPR或造成Facebook活跃度短期略微下滑。从收入端看,欧盟GDPR或对Facebook欧洲地区收入增速造成负面影响。
我国网络广告占比持续提升,可替代性弱,广告主对移动互联网营销仍充满信心。从广告市场媒体结构来看,过去几年网络广告占比持续提升。根据艾瑞预测,2021年及2022年网络广告在整体广告市场占比将招过90%。从广告市场媒体结构来看,过去几年网络广告占比持续提升。根据艾瑞预测,2021年及2022年网络广告在整体广告市场占比将超过90%。从2021年广告主分媒介投放趋势来看,移动端仍是广告主营销投资的主要选择,67%的广告主表示将增加移动互联网的投放,互联网广告替代性低。
图十二:2015-2022年中国五大媒体广告收入占比及其预测,来源:艾瑞预测
大部分应用已在过去几年陆续建立起用户隐私政策体系,限制对用户信息过度收集。在国家法律法规的推动、全民对个人隐私信息的重视下,近年来各应用、互联网公司纷纷响应,根据国家政策法规和互联网技术的发展不断进行完善和补充隐私条款与配套体系,以保障用户隐私信息安全。
2017年,包括京东、携程、淘宝、腾讯微信、支付宝等在内的10家企业则联合签署了个人信息保护倡议书,就尊重用户知情权、遵守用户授权、保障用户信息安全等向全社会发出倡议。随后,互联网行业公司对自身用户隐私信息条款及框架不断进行调整完善。2021年7月10日,国家互联网信息办公室发布关于《网络安全审查办法(修订草案征求意见稿)》公开征求意见的通知。征求意见稿包括了“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”等内容。通知的出台,对赴国外上市的企业也将是新的考验。今年10月,为保护用户隐私、进一步落实国家法律法规的要求,腾讯方面发布公告将于近期成立“个人信息保护外部监督委员会”,并公开招募委员会成员。10月15日,人民网官方微博发布文章《个人信息保护法施行在即,跨境互联网券商何去何从》,以富途证券、老虎证券为代表的立足于美港股市场的跨境互联网券商再度走上风口浪尖。如今,富途控股及老虎证券均已经完成赴美上市,在《个人信息保护法》明确了个人信息跨境提供规则的背景下,内地公民的个人信息出境问题或将成为提供美股、港股等全球主要市场股票交易服务的互联网券商将要面临的新考验。10月24日,第三届外滩金融峰会上,央行金融稳定局局长孙天琦就“数字环境下金融牌照的地域边界和客群边界的实现”发表主题演讲。孙天琦给出的定性是,“从业务实质看,跨境互联网券商属在我境内无照驾驶,属非法金融活动,这种定性与资本项目是否完全可兑换无关。”
隐私计算技术有望平衡信息处理、信息共享与信息保护之间的矛盾。隐私计算是一类数据计算方法,可以在保持加密状态不泄露给其他合作方的前提下,进行计算合作的技术。满足同态性的加密函数能够实现在不解密原始数据的前提下对加密数据进行运算,提供了对加密数据的计算能力。
但现有的解决方案效率损失较大,尚不能大规模商用。同态加密的所有中间结果都是加密的,因此服务器不能对中间值做出任何决策,需要提前计算所有的条件分支,增加了函数复杂性,还会造成性能损失。可使用更高级的隐私计算技术解决以上问题,比如联邦学习、安全多方计算、可信计算等。
三
专家点评
全国人大常委会法工委经济法室副主任杨合庆表示,《个人信息保护法》是我国首部专门针对个人信息保护的系统性、综合性法律。对法律的适用范围、以“告知-同意”为核心的个人信息处理规则、个人信息处理活动中个人的权利和处理者义务、大型网络平台的特别义务、国家机关处理个人信息的规范、个人信息跨境流动及履行个人信息保护监管体制、法律责任等内容作出了具体规定。
中国信息安全研究院副院长左晓栋认为,进入网络时代,人们的生产生活高度依赖网络与信息系统,到处留有个人痕迹,近年来比较突出、人民群众高度关注的个人信息被侵权滥用的情况必须得到有效治理,《个人信息保护法》的出台适逢其时。《个人信息保护法》实施过程中,还会陆续出台配套的政策法规。与此同时,还要持续加大普法力度,提高全民个人信息保护意识,形成各界各领域共同参与的全方位个人信息保护的良性局面。
讨论:
关于具体执法的问题。《个人信息保护法》中个人信息的定义和GDPR非常接近,与国内以往立法,如《网络安全法》《民法典》中的定义相比,范围有所扩大,那么处理个人信息的合法性基础也应该相对灵活,否则很容易导致普遍性违法和选择性执法,出现监管过度或监管不足的问题。
关于效率与公平。欧洲模式和美国模式有明显的差异性。美国更加保护创新,欧洲的模式更多强调社会福利,个人的价值是更高的。欧洲GDPR出台以后,大量欧洲中小企业因为承受不了高额的合规成本,导致其创新能力不足,难以支撑和发展,反而大型企业的垄断能力得到强化,这已经有不少实证研究支持。GDPR的目的之一也是规制谷歌等大型企业,结果立法目的并没有完全实现。《个人信息保护法》出发点也许是好的,但有可能导致弱势企业、个人面临更加糟糕的处境,出现好心办坏事的情况。用市场化的手段实现隐私保护的目的,和国家出于社会福利最大化的立场推动大数据发展之间需要进行权衡,可能会顾此失彼。
排版 | 刘宣
往期回顾