浅议以《个人信息安全规范》为主干梳理企业的个人信息保护合规规则体系
编者按:
随着国家标准《个人信息安全规范》(GB/T 35273-2017)的正式发布【国家标准《个人信息安全规范》全文】,社会各界对该标准的关注在逐渐升温。本公号将陆续邀请一些参与到该标准制定,或者在其工作中实际运用过该标准的朋友撰写文章,请他们和大家分享对该标准的看法,或者转载对该标准的评论文章。本文作者是腾讯数据隐私合规资深专家赵冉冉。
浅议以《个人信息安全规范》为主干
梳理企业的个人信息保护合规规则体系
包括笔者在内的互联网企业合规工作者们,往往会被“如何梳理个人信息保护合规规则体系”这一难题所困扰。粗略一算,现行有效涉及个人信息的法律法规有几十部,横跨民、刑、行政等部门,相关条款大多细碎笼统,极难梳理成方便在实际工作中落地的体系。《个人信息安全规范》(以下简称《规范》)于近期发布,为解决上述问题提供了一套系统的答案,也理所当然的受到了来自于互联网行业的高度关注。
作为《规范》编写组的一员,笔者经常会被问到这样的问题:《规范》的效力究竟如何?我们是否有必要及如何围绕其构建隐私合规规则框架?等等。简而言之,由于《规范》的国家标准属性,大家对《规范》是否是可靠的、官方的、长久有效的答案尚存疑问。而随着近期个人信息专项立法提上日程的可能性日益增大,相信这种疑问也会日益加剧。就此,笔者有以下个人愚见,望能抛砖引玉,也期待批评斧正。
一、 个人信息的概念和外延是动态发展的,标准的灵活性可以很好满足这种动态发展的需要
作为本文所讨论的核心,个人信息的概念和外延是随着技术进步和社会变迁所不断发展的:个人信息这一概念最早出现在19世纪末的美国(至少大部分美国学者如是认为),彼时新英格兰地区人口膨胀,人与人之间的距离因此被压缩,而照相机和大规模印刷的广泛民用,导致以娱乐明星为代表的一些名人的私生活被肆意报道,这些名人想通过法律讨个公道,但当时美国的法律尚不能为其提供一个站的住脚的诉由。这种来自于现实的紧迫需求,催生出一系列影响深远的文章和判决,从而在美国树立起了“隐私权”这么一个新概念。顾名思义,当时所保护的个人信息还被限定于“隐私”,也就是不被公众所知的私生活信息。
下一次社会的巨大变迁所导致的个人信息概念进化,是在二战期间:此时个别政府利用其通过人口普查收集到的个人信息,识别境内的少数族裔并加以迫害,这使人们意识到:能对其切身利益产生影响的,不仅仅是私生活信息,还包括那些与个人身份相关的已公开过的信息,这使个人信息概念的重心向身份相关偏移。到了20世纪70年代,个人计算机及互联网开始在民用领域广泛应用,网站可以通过快捷的方式采集到大量的用户身份相关的信息,这一巨大的技术进步加重了政府及民众在个人信息滥用方面的忧虑,并促使欧美等国在个人信息保护方面达成了一系列原则性共识。就这些共识来看,个人信息的私生活及秘密属性被进一步淡化,其概念的重点被彻底的转移至与个人身份相关上面,并形成了现在国际上主流的个人信息定义及外延。
以史为鉴,笔者认为个人信息是一个动态的概念,随着社会及技术的发展而不断进化。在我国,互联网行业是最为崇尚技术创新的领域之一,随着相应技术的推陈出新,势必会或多或少的影响到个人信息的定义,随之也会影响到保护个人信息的方式方法。
众所周知,立法的周期相对漫长,较难适应这种随时都有可能发生的局部变化;在民事司法领域,侵犯个人信息的损害赔偿是一个国际性难题,就算个人可以证明其权利被侵害,也很难证明其因此遭受的实际损失。再加上个人信息侵权往往会呈现受侵害主体数量庞大但具体到每人的损害极小的特点,而我国又没有类似于美国的集团诉讼制度,这就导致个人较难通过民事诉讼的途径获得补偿。民事案件的稀缺,导致相应典型判决和司法解释无法及时反映个人信息的变化发展。
相较而言,国家标准虽然也要经过立项、起草工作组讨论稿、对外征求意见等数个环节和层层把关,但相对来说还是比较灵活的,这就使标准有可能成为作用于法律与实践之间的“润滑剂”,对动态发展的个人信息提供动态的保护建议。
二、 个人信息专项立法将会为《标准》提供统一系统的法律依据,《标准》也可以为个人信息专项立法提供实践经验及落地方案
《规范》是一部国家标准,更确切的说,是一部推荐性而非强制性的国家标准。它所推荐的,是企业满足个人信息保护法规要求的最佳实践,其根本出发点是法律。
在《网络安全法》出现前,个人信息保护的规定散见于几十部法规之中,不仅缺乏完整的体系,各法规之间存在矛盾的情况也非常普遍。特别需要的注意的是,这些法规中有些年代已较为久远,在当时的条件下,要想搞清楚一些涉及个人信息的行为的影响是极其困难的,而面对上述未知,消除风险的最直接的办法就是作出禁止性规定。《网络安全法》的颁布生效,为个人信息保护提出了相对系统的法律要求,并消除了一些不合理的禁止性规定。但是,《网络安全法》中关于个人信息的条款仅有寥寥几条,很难涵盖个人信息保护的全部重要领域,这为《规范》的编写提出了挑战。所以,在《规范》的一些条款中,都多多少少的显露出了受某些国际上比较成熟的法规影响的印记。
笔者理解,对这些条款的移植,其实是通过引入国际上的成熟经验,在坚持国内法律所确定的基本原则的基础上,弥补国内法律要求的空白。考虑到上述经验已被实践反复检验且获得了国际上的广泛认可,未来个人信息专项立法与其兼容的可能性很大,就算有个别不兼容之处,也可以通过修订《规范》加以调和。总之,未来个人信息立法将会在现有法律法规的基础上,为《规范》提供一套更加系统全面的法律依据。
另一方面,如果个人信息专项立法2018年正式进入立法研究计划,则根据一般的立法周期,现在距其正式发布生效还要几年的时间。在这期间,《规范》将被广泛采纳并经受实践的检验,而这些经验也可以成为专项立法工作的重要参考。更重要的是,如之前所述,在个人信息专项立法发布生效后,《规范》仍可以发挥其法律与实践间的润滑剂的作用,以动态的方式保护动态发展的个人信息。
三、 以法律为根,以《规范》为干,以更加具体的相关标准为枝叶,构建企业的个人信息保护合规规则体系
我们开展合规工作的第一步,一般是对现行规则的梳理。规则是用文字对立规本意的描述,一方面这种描述因篇幅所限很难做到事无巨细,另一方面同样的文字描述也可能会有多种合理的解读。要想进一步明确企业关心的问题,我们经常要通过各种渠道向监管问询,而找到合适的答疑者往往是最困难的事情,有时耗费了不少人力,最后问到的答案还是不准确的。
《规范》严格按照信安标委的相关流程制定,这意味着我国网络安全相关的主管部门在该标准制定过程中,均对该标准提出了意见和建议。对此,《规范》也均作了吸纳。换句话说,《规范》替我们完成了梳理法规及咨询监管的工作——《规范》将相关法律法规梳理成体系,并在此基础征求、总结了各主要监管部门的解释和态度。此外,如前所述,《规范》作为作用于法律与实践之间的润滑剂,具有重要的现实价值和必要性,而其与未来个人信息专项立法的互促互补关系,也保证了其将长期具备指导实践的重要作用。总之,以《规范》为干构建企业的合规规则体系,是完成该项工作的捷径。
《规范》已经发布,它为我们勾勒出了企业在个人信息保护合规方面的大图,而正在制定中的相关标准,也在沿着《规范》所确定的框架,从两个维度继续细化相应的合规建议:
第一,针对某一具体个人信息处理行为的专门标准,如数据出境、安全影响评估等;
第二,针对具体类型或行业的个人信息的专门标准,如金融服务、健康医疗等。
上述标准是对《规范》中重要问题的进一步细化,企业可以根据各自业务的实际情况有选择的将其纳入到相应章节,从而构建出以法律为根,以《规范》为干,以更加具体的相关标准为枝叶的个人信息保护合规规则体系。
本公号此前发布的对《个人信息安全规范》的评论文章如下: