密码等个信保护技术的价值体现及《个人信息保护法》草案的十个猜测
2020年 10月《个人信息保护法》(草案)征求意见以来,各界向人大平台提出了诸多中肯意见建议,最近两会期间也又产生一众热议,期待后续版本能够体现和反馈这些成果。本文预估了以下这些焦点,以期在立法持续进程中已有和给予关注。
1、个人信息处理的生命周期识别是否尽可能周全
草案被认为缺少了对个人处理的部分生命周期环节,比如个人信息的删除、销毁等环节的条款安排,这些处置环节与公民个人权利的“处分”息息相关,后续审议如何规定,拭目以待。
2、各种个人信息和隐私科技的实践与规制是否体现
针对草案缺少对个信保护技术规定的问题,我们之前在征求意见中提出了在第十一条中增加规定“鼓励保护个人信息技术的开发与开放”,这一表述不仅能够与第五十条个人信息风险防范规定的“采取相应的加密、去标识化等安全技术措施”形成呼应,更能够激发目前和未来以个人信息保护为产业方向、以密码技术为基本配置的各类个信与隐私科技的发展,包括多方计算、同态加密等各类技术。未来是否反映了这些新发展,值得观察。
3、以知情同意为基本前提的个信处理规则是否充分展示弹性
草案构筑的以个人知情同意为基本前提,增加列举若干例外规定,如合同约定、应对突发公共卫生事件等公共利益为例外的处理规则在征求意见稿后引发了广泛讨论,特别是欧盟、美国的某些立法进展(如认为透明度原则可能可以更好的适用于人工智能的数据处理)对知情同意这一基本规则提出了挑战,业界也认为严格和机械的知情同意限制了数据产业的发展。后续审议是否有新变化和更具弹性的立法技术处理,保持好奇。
4、个人信息控制与处理之争是否消停
草案的一个鲜明特点是没有采用影响深远的欧盟GDPR的个人信息的控制者和处理者的二元结构,而统一在“个人信息处理者”这一主体之下规定个信处理的主体义务。这一结构会对个人信息的转移产生与欧盟GDPR不同的交易过程。孰优孰劣,有待化解。
5、删除不能与不能删除的问题
这一问题我们也通过专篇公众号文章进行讨论,可见“企业如何因应个人信息保护法规定的“删除不能””。
6、个信委托处理对“三重授权”冲击
草案第二十二条设计了“个人信息处理者委托处理个人信息的”情形,有解读认为这个规定按照合同相对性原则,将受托方排除在个人信息处理者之外,从而不受限制于履行个信处理者的相关义务,而只需按照合同对委托方负责。包括“将个人信息返还个人信息处理者或者予以删除”,也是合同义务,而非法律强制性义务。草案立法原意是否果真如此,还是进一步修饰完善,亟待澄清。
7、能够“问题导向”的回应某些尖锐、急迫的问题
尽管作为基本法律的个信法不应仅限于头痛医头的解决个别场景问题,但如果能从立法中推导出适用于某一、某些场景的普适性规范,显然更体现立法能力。人脸识别就是这样一个典型,而事实上包括人脸识别等非居所场景的个信采集,都指向了一个基本法律问题,即如何明确草案第二十七条的“在公共场所安装图像采集、个人身份识别设备……”,一旦界定了公共场所,则包括小区出入、公共交通、饭店包厢、甚至为能源优化的电动汽车数据采集就都设定了一个“时空”基准。对“公共场所”“公共安全”的网络化再认识,这是未来包括审议稿和司法解释在内都需要持续更新规定的问题,各国都无法回避。
8、敏感信息与私密信息辨析
草案规定的敏感个人信息和《民法典》规定的私密信息不相同——还如上述的人脸信息,敏感而不私密?从合规实务上的问题是在发生争议时,是按照《民法典》选择保护个人的隐私权,还是选择个信法主张敏感信息侵权的重大法律问题,甚至按照最高人民法院《民事案件案由规定》,立案的案由都可能不一样。
9、个人信息处理活动审计
草案第五十三条规定的“履行个人信息保护职责的部门有权要求个人信息处理者委托专业机构进行审计” 与第五十四条的事前风险评估看似严丝合缝,但将导致实践中第三方审计成为个信审计的标配,成为企业合规成本的不堪之重;另一方面,对个信审计机构等社会化服务市场的催生究竟如何,也亟需看征求意见稿半年多来的新调研。
10、整体定位的当下与高远
个信法产生于内有《网络安全法》《民法典》,外有GDPR、CCPA等立法的“隙缝”之际,一方面需要稳重、笃定,另一方面还要亮点彰显,确实对立法者提出了很高要求。期待后续版本的亮相,而继续充分的征求意见也不可少。
“苏州信息安全法学所”