2020年10月21日,中国人大网公布《个人信息保护法(草案)》全文,向社会公开征求意见,意见反馈时间截至2020年11月19日,个人信息立法正式进入了快车道。随着《民法典》的生效,可以预计,个人信息保护相关权利的行使将成为纠纷高发的领域,这对掌握大量个人信息的企业和机构提出了更高的要求。”* 关注新则公众号回复关键词『个人信息』,即可获取《个人信息保护法(草案)》全文。文 | 史宇航 法学博士,注册信息安全专业人员(CISP)
汇业律师事务所顾问(微信号:shihyuhang)
本文由作者向新则独家供稿
随着《个人信息保护法(草案)》(“草案”)在2020年10月开始征求意见,个人信息立法正式进入了快车道。草案设立的最高5000万元或高达上一年度营业额5%的罚金极具威慑力,无疑会迫使企业将自己的数据合规计划提上议程,同样也会迫使越来越多的法务、律师关注隐私合规(也称作“个人信息合规”或“数据合规”)这一领域。即使是不考虑《民法典》与《个人信息保护法(草案)》,“法学博士生诉抖音案”“黄某诉微信读书案”与“俞某某诉天猫、淘宝、支付宝、乐友案”等典型案件已然将机构的个人信息保护能力置于司法程序的检视之下,所造成的影响远不止于案件中赔偿的金额。而在《民法典》即将生效,《个人信息保护法(草案)》开始征求意见的背景下,个人信息权利(益)变得更加重要。可以预计,自然人个人信息权利的行使将会成为纠纷高发的领域,掌握大量个人信息的机构将频繁面临投诉与诉讼,再加上高额罚金震慑,这要求相关机构尽快建立和完善自己的个人信息权利响应机制。在《个人信息保护法(草案)》所带来的最大变化之一,在于对《民法典》中规定的个人信息权利进行了细化:除了权利的细化,草案还要求个人信息处理机构应当建立个人行使权利的申请受理和处理机制,如果机构拒绝个人行使权利的请求的,应当说明理由。权利的细化意味着个人信息主体可以更加方便地行使自己的权利,也意味着处理个人信息的机构需要建立有效的机制,协助自然人对个人信息进行查阅、复制、修改、删除。这并不是一项简单的工作,在数据合规实务中,我发现很多企业对自己内部数据的流动情况、数据类型并没有清晰地掌握,数据散落在不同部门手里。比如我访谈过的某企业员工个人信息由HR部门负责,但部分岗位的劳务派遣(保安、保洁)人员又由行政部门负责,消费者个人信息则可能由不同品牌部门各自为政,这还未将网络安全与其他类型数据风险纳入考量。造成数据管理混乱的原因,一方面是因为管理层缺乏对数据要素与数据合规的重视,没有编列专门部门并设置预算;另一方面也是因为缺乏相应的数据监管能力。对于机构来说,开展数据合规当然离不开内部法务与外部律师密切合作,内部法务可以更加了解业务线,更容易设置各种“基线”与“红线”;外部律师则可以具有更宽广的视角以及同业的合规实践供机构参考。并且,开展数据合规工作的动因之一就是来自于法律法规的压力,如欧洲的GDPR、美国加州的CCPA、中国的《网络安全法》《数据安全法(草案)》《个人信息保护法(草案)》,需要机构围绕着法律相关权利与义务开展工作,这是法务与律师的“主场”,其他咨询公司、信息安全公司难以替代。对于大型互联网平台,需要在知识产权领域花费大量精力构建“通知-删除”机制,设立“反通知”流程,并且可能还需要自己承担纠纷“仲裁者”的角色,初步判断投诉的侵权行为是否成立。对于个人信息保护领域来说,机构也都需要沿着知识产权内控机制的路径,构建自己的个人信息权利响应机制。目前绝大多数企业还主要通过隐私政策中的邮箱手动响应来自自然人的权利请求,当《民法典》以及《个人信息保护法》生效后,这种手工作坊式的响应方式可能无法再满足频繁的自然人权利请求,需要构建专门平台或在产品、服务中直接嵌入能够响应个人信息权利请求的模块。如在App检查中被重点关注的账号注销功能,对很多App应用来说就是难以实现的“天堑”。机构面临来自个人信息保护内外部巨大的压力,可能单凭自身的力量无法实现合规要求,往往需要第三方隐私科技供应商的协助。根据iapp在发布的《2020隐私科技供应商报告》中,隐私科技的供应商的数量已经从2017年的44家增长到2020年的343家,GDPR的适用以及全球隐私保护立法的加速是促成隐私科技供应商增长的原因。iapp的报告将隐私科技分为以下类别:1. 评估管理倾向于将隐私计划的不同功能自动化,例如将隐私影响评估操作化,定位风险差距,展示合规性,并帮助隐私保护负责人扩展需要电子表格、数据输入和报告的复杂任务。2. 同意管理能够帮助组织收集、跟踪、展示和管理用户的同意。3. 数据映射(data mapping)解决方案可采用手动或自动形式,帮助组织确定整个企业的数据流。4. 数据主体请求解决方案帮助组织方便希望行使其数据权利的个人进行查询。这包括涉及访问权、纠正权、可移植性和删除权的请求。5. 事件响应解决方案帮助企业应对数据泄露事件,向相关利益相关者提供信息,说明哪些数据被泄露,必须履行哪些通知义务。6. 隐私信息管理为企业提供广泛的、通常是自动化的全球最新隐私法律信息。7. 网站扫描是一种服务,主要是检查客户的网站,以确定嵌入了哪些Cookie、beacons和其他跟踪器,以帮助确保遵守各种Cookie法律和其他法规。8. 企业隐私管理——解决方案旨在服务于隐私办公室的需求以及组织的整体业务需求。9. 活动监控帮助组织确定谁可以访问个人数据,以及何时访问或处理这些数据。这些解决方案通常带有控制功能,以帮助管理活动。10. 数据发现往往是一种自动化的技术,帮助组织确定和分类他们所拥有的个人数据的种类,以帮助管理隐私风险和合规性。11. 去标识化/假名化解决方案帮助数据科学家、研究人员和其他利益相关者从数据集中获取价值,而不损害特定数据集中数据主体的隐私。12. 企业通信是帮助组织以安全的方式进行内部通信,避免员工通信危险泄露的解决方案。隐私科技在中国虽然方兴未艾,但已露端倪。中国电子技术标准化研究院在2019年就已经联合App专项治理工作组推出“App个人信息保护合规评估工具”(https://zcpt.cesidsat.com/cms/index),以问卷的形式对App进行评估。百度也推出了“史宾格安全及隐私合规平台”,基于 AI 检测技术,提供隐私风险项检测、隐私专项检测、场景检测、权限过度收集与使用情况检测等产品服务,深度挖掘 App 隐私合规风险产生的源头。伴随着未来《民法典》《个人信息保护法》的生效与适用,隐私科技也会有巨大的潜力。对于律师与法务来说,隐私科技所提供的产品与服务不是竞争对手,而是需要充分利用提高自己工作效率的工具,正如《荀子·劝学》中所说:“君子性非异也,善假于物也”。但是,在个人信息保护领域“徒法不足以自行”,单纯依靠法律文件无法让个人信息的保护做到尽善尽美,在草案第五章,就专门要求个人信息处理机构“采取相应的加密、去标识化等安全技术措施”。法务与律师需要熟悉技术,知道不同技术能够实现的不同目标。比如《网络安全法》《民法典》与此次公布的草案都给了“经过处理无法识别特定个人且不能复原的除外”(匿名化处理)开了绿灯,允许匿名化处理后的数据不在个人信息的范畴内,不必遵守个人信息保护的相关规定。在2020年9月美国斯坦福大学计算机系教授李飞飞联合斯坦福医学院教授阿诺·米尔斯坦等科研人员在《自然》发表了题为《利用环境智能照亮医疗的黑暗空间》的论文中,专门强调了隐私保护在环境智能领域所扮演的重要作用,并演示了不同技术所能实现的隐私保护目标:Fig. 4: Computational methods to protect privacy. Illuminating the dark spaces of healthcare with ambient intelligence
对技术的稔熟将有助于律师、法务在知悉权利义务的基础上探索更合适的解决方案,将privacy by design(通过设计保护隐私)这一理念更好地贯穿在法律服务中,并且能够更好地与IT、信息安全、开发人员进行交流。
在国家推荐标准《个人信息工程指南(征求意见稿)》中更是贯彻了这一理念,根据privacy by design的理念制定相应的策略:这一标准虽然仍处于征求意见阶段,但已经具有一定的完成度,因此律师与法务的法律意见也不应有太大偏离。个人信息是一个非常宽广的概念,任何类型的机构都或多或少需要面临隐私保护、个人信息保护的问题,不同行业机构在不同场景下的问题、可用方案都不尽相同。《个人信息保护法(草案)》刚刚颁布就已经掀起了点点涟漪,后续的征求意见稿、文本正式通过、生效以及在司法实践中运用都将持续推动我国个人信息保护工作,最终大幅优化我国个人信息保护的图景。篇幅有限,只能到此为止,但我期待能够在这一领域交流更多的想法与思考。