我们是否做好了数据可携落地的充分准备?这是法律出台后仍面临的现实拷问。
8月20日,《个人信息保护法》由第十三届全国人民代表大会常务委员会第三十次会议通过,自2021年11月1日起施行。
纵观《个人信息保护法》近二十年的立法路程,互联网高速发展,大数据时代到来,伴随着高频、高速、高密度的数据交流传输,作为原材料的个人信息滥用问题相伴而至。
对个人信息保护的立法呼声越来越高,急需一部专门法律定分止争。《个人信息保护法》千呼万唤始出来。
南方财经全媒体集团合规科技研究院长期关注个人信息保护议题,持续跟踪报道立法进程、监管动态、公众呼声。借《个人信息保护法》落地之际,推出解读报告《<个人信息保护法>合规启示报告》。
该报告分为上下篇,第一篇《个人信息处理新变局》梳理立法路径与模式,聚焦个人信息处理逻辑的转变,第二篇《企业合规风险研判》则将目光放到企业合规的重点与难点,以及新的信息处理机制在数字经济发展中面临的新挑战。报告受中国社会科学院法学研究所副研究员、中国法学会网络与信息法学研究会副秘书长周辉指导。
本篇报道为报告上篇的拆解报道,聚焦《个人信息保护法》新增的数据可携带权。
数据可携带权为的是强化个人对于个人信息的控制权,促进数据自由流动,激发互联网领域的创新活力,破除大平台的数据垄断。
但是,这个美好的愿景真的会实现吗?
随着公众对个人信息保护的重视,个人数据逐渐流向安全高地,赋予个人的“可携带权”是否会让个人更倾向于大平台,使得促进竞争的愿景落空。
其次,对于中小企业而言,为落实“可携带权”,人员管理配置、数据接口等技术升级以及个人数据转出后带来的损失等,将增加合规成本,加重企业负担。这对企业来说只是短暂的阵痛,还是会在大浪淘沙中出局?
我们是否做好了数据可携落地的充分准备?这是法律出台后仍要面临的现实拷问。
打破互联网巨头的数据垄断
《个人信息保护法》第四十五条规定,”个人请求将其个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”,明确赋予了个人可携权。
中国人民大学法学院教授石佳友此前就曾呼吁立法明确个人信息可携带权,他告诉21世纪经济报道记者,赋予个人可携带权,可以强化信息主体对个人信息的利用和控制,承认信息本身的价值,促进信息流通与共享。
可携带权借鉴的是欧盟《通用数据保护条例》(GDPR)对数据可携带权的设立。彼时,欧盟创设这一制度,为的是实现个人信息的自决权,并通过用户发起的数据流动促进企业间相互竞争。
“数据的共享与流通对企业而言利益冲突太大了,但如果给个人赋权,增加可携带权,企业就无话可说了。”北京尚隐科技有限公司CEO张仁卓分析称。
不少专家认为,数据可携带权的引入,一定程度上可以使得数据在不同经营者之间的流动,促进经营者公平竞争,解决数据平台的数据垄断问题。
但这个愿望能实现吗?从欧盟的实践来看,结果似乎不尽如人意。
对外经济贸易大学数字经济与法律创新研究中心执行许可直言,欧盟可携带权的做法,非但没有促进竞争,反而让如脸书、谷歌等大型企业形成联盟,联盟内的企业数据格式统一,可互转移,但如果用户想将数据转至其他平台,则因无法兼容的接口而落空,最终加剧垄断。
浙江垦丁律师事务所合伙人李晋沅从另一个角度表达了担忧。他认为,现实中,数据安全保护的技术高低让作为数据主体的消费者“用脚投票”。
“在风险较大,且对接收数据企业的技术和安全保障能力缺乏认知的情况下,数据主体转移个人信息的意愿会被明显地抑制,可能更愿意将自己的个人信息储存在那些比较知名、自己相对信得过的大公司系统里,使得数据自由流通成为一种美好的幻想。”李晋沅告诉21世纪经济报道记者。
哪些信息可携带?
欧盟的数据可携带权“失利”,在许可看来,与其规定的可携带权的客体范围密不可分。
GDPR及欧盟制定的《数据可携带指南》规定了个人数据涵盖的范围。一部分是数据主体主动提供的数据,如填写的个人资料信息,姓名、性别、年龄、家庭住址等;另一部分则是数据控制者通过观测数据主体在使用某些服务而记录的个人数据,如某人的搜索历史记录、交通数据、位置数据以及可穿戴设备跟踪的心跳数据等。但不包括个人用户的精准画像、信用评级、人物影响力等通过对上述两种数据进行后续分析推断得到的衍生数据,也不包括匿名或不涉及数据主体的数据。
许可表示,欧盟将可携带权的客体定为机器可读的个人数据,就必然会面临各企业数据不兼容的阻碍。而该项权利的执行又非常克制,当个人行使数据的可携带权时,如果企业间原本的数据接口不兼容,GDPR并不会要求企业额外花费高额的成本,设立与第三方进行数据交换的渠道,则数据的转移并未成功实现。
《个人信息保护法》对于数据可携带权的规定还比较笼统。关于数据可携带权适用的数据范围尚不明确。并且,数据可携带权下传输的数据形式不明确。需要未来具体细化的标准规范出台。
华东政法大学教授、互联网法治研究院院长、数据法律研究中心主任高富平认为,个人“可携带”的只限于用户在登录注册APP时提供的信息,企业基于对个人的观察形成的信息并不能包括罗列在内。不能给消费者过多干预市场自然竞争的权利。”
许可也表示,在中国数据与信息两分法的背景下,若可携带权转移的是个人信息,能够满足各方的利益期待。该信息仅限于个人提供的、不包括企业后续加工处理的信息。
他解释称,一方面,可携带权可得到实质的落地,保证了个人对其信息的自决权;另一方面,对于企业而言,传输数据所要付出的合规成本远超过转移信息。前者需要设立新的接口,后者则只需落实个人信息的查询复制权。
但是,张仁卓认为,对数据可携带权的理解,要从数据流动和释放数据价值的角度来考虑。可携带权对打破数据领域的垄断以及数据孤岛局面极其重要。如果,过于限制个人信息的范围,那实践中的意义将大打折扣。
仍待网信部门出台细则
目前《个人信息法》可携带权内容写得较为原则,设置了“符合国家网信部门规定条件”的前提,后续有待网信部门出台实施细则。
对企业来讲,需对可携带权带来的影响研判,及时作出反应。比如,其带来的数据安全风险。
“数据携带权的规定使得个人数据的传输和转移变得十分频繁,为恶意攻击提供难得的机会,尤其是当多个服务提供商都可以访问用户的个人数据时,很难保证他们都在技术和用户认证方面做得完善。”李晋沅认为,当一些数据接收者的技术能力有限或对数据主体的认证力度不够时,黑客、数据黑产、数据灰产等恶意攻击者利用虚假身份盗取个人数据、以数据或注入错误代码的方式来进行违法犯罪活动的可能性显著提高。
许可建议,可携带权在不同行业、不同类型、不同场景下采取不同方案。比如应极为审慎对待金融信息,只能向在法律上明确规定、获得认证或达到标准的企业转移。
至于可携带权带来的竞争格局影响,专家们持不同观点。
个人在未知情况下“用脚投票”给大企业的概率大,中小企业自身收集的个人信息很可能被转移到其他公司手里,用户忠诚度和信任度都难以确定,中小企业投身于数据的收集分析以及产品的创新意愿将降低。李晋沅建议,未来应该有更多的配套法律法规,以消解可携带权可能对社会创新和公平竞争带来的负面影响。
许可认为,为了防范个人信息在各大企业间转移而不对小企业开放,应严格地将可携带权的主要应用场景限制在大企业向小企业开放的场景中,大企业间不属于可携带权的对象。
石佳友则持乐观态度,认为可携带权给了个人筛选企业的权利,有利于数据流动与竞争,从而提高市场整体的信息安全保障水平。
(作者:王俊,郭美婷 编辑:李博)
21世纪经济报道及其客户端所刊载内容的知识产权均属广东二十一世纪环球经济报社所有。未经书面授权,任何人不得以任何方式使用。详情或获取授权信息请点击此处。