南财《个人信息保护法企业合规启示报告》2:企业数据管理迎挑战 合规压力大

合规科技王俊 2021-08-23 21:06

8月20日,《个人信息保护法》由第十三届全国人民代表大会常务委员会第三十次会议通过,自2021年11月1日起施行。

纵观《个人信息保护法》近二十年的立法路程,互联网高速发展,大数据时代到来,伴随着高频、高速、高密度的数据交流传输,作为原材料的个人信息滥用问题相伴而至。

对个人信息保护的立法呼声越来越高,急需一部专门法律定分止争。《个人信息保护法》千呼万唤始出来。

南方财经全媒体集团合规科技研究院长期关注个人信息保护议题,持续跟踪报道立法进程、监管动态、公众呼声。借《个人信息保护法》落地之际,推出解读报告《个人信息保护法合规启示报告》。

该报告分为上下篇,第一篇《个人信息处理新变局》梳理立法路径与模式,聚焦个人信息处理逻辑的转变,第二篇《企业合规风险研判》则将目光放到企业合规的重点与难点,以及新的信息处理机制在数字经济发展中面临的新挑战。报告受中国社会科学院法学研究所副研究员、中国法学会网络与信息法学研究会副秘书长周辉指导。

本篇报道为报告上篇的拆解报道,聚焦《个人信息保护法》给企业带来的信息处理模式变革。

个人信息自主权给企业带来冲击

一直以来,企业作为个人信息采集主体,在权利天平中占据绝对高地。《个人信息保护法》明确了在个人信息处理活动中个人的各项权利,包括知情权、决定权、限制权、拒绝权、查阅、复制权、可携权、更正、补充权、删除权。个人的权利地位得到很大的转变,一改企业强势、个人弱势的局面,企业处理个人信息的逻辑需进行调整,面临巨大的合规压力。

既然个人享有一系列个人信息权利,也意味着平台负有协同配合个人权利行使的义务。只要进行个人信息收集的企业都必须知道他们拥有哪些个人信息、存储在何处、如何处理这些信息,以及与谁共享这些信息等,并需要根据用户个人需求,灵活和准确地响应数据主体访问查询、同意、更正、删除、数据迁移等要求。

从技术角度来看,并非易事。 

以简单的查询功能为例,用户看似简单的诉求,传导到企业端需要进行极为庞杂的运作。RSA大会2018年的沙盒创新冠军BigID最早只解决一个问题,对数据进行检索归类,指出信息是属于哪个实体,简单讲就是告诉企业用户收集的个人信息在哪里,目前该公司已估值10亿美元。

市场端也给出了佐证。国际隐私专家协会(IAPP)发布的《隐私技术购买及部署情况报告》展示了欧盟《通用数据保护条例》(GDPR)等法规生效后,哪些产品正在被使用,哪些隐私技术被纳入了购买预算。位居榜首的是数据映射和数据流,占24%。个人数据发现是计划购买中第二高的类别,占23%。可以看到,了解组织拥有什么数据、数据位于何处、数据如何流动以及数据与谁相关,是在企业中创建隐私合规框架并帮助组织遵守法规(如GDPR)的基础。

根据《福布斯》报告,GDPR让美国财富500强企业多花费了78亿美元合规成本,普华永道给出更明确的合规成本估计:68%的公司预计将花费100万到1000万美元。

单独同意、删除权等增加企业合规成本

《个人信息保护法》第二十三条要求:如果企业向第三方提供其处理的个人信息,应向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。

三审过程中,不少委员提到这一规定不利于数据流动。对于企业而言,向第三方转移个人信息必须通知个人并取得单独同意,法律的合规成本较高,操作层面实现难度大。

此外,删除权也给企业带来不少压力。

信息删除权是指个人一定条件下能够针对信息处理者提出删除某些个人数据的权利。信息删除权能加强保护个人隐私、防范风险,并且作为调整个人与信息处理者力量差异的砝码,消弭双方之间不平等。 

《个人信息保护法》明确赋予了个人删除权利,扩大了个人行使删除权的情形。对信息处理者课以更严格的义务,信息处理者应当主动或者根据个人的请求删除,将相应个人信息的删除定位为经营者应当主动履行的义务。

北京尚隐科技有限公司CEO张仁卓告诉21世纪经济报道记者,《个人信息保护法》和《数据安全法》落地后,为响应法律,企业合规成本必然增加,部分业务需进行较大调整。人员、管理制度与流程构建,由此产生的效率下降、业务重构、管理系统的构建以及运维成本等,将成为企业无可回避的支出。

南财合规科技研究院合规建议:《个人信息保护法》落地后,企业需建立完善的删除实现机制。 

目前信息处理者对响应个人删除权仍存在不足,删除权是企业支撑个人行权的难点之一。

在个人自行操作删除个人信息的情形下,企业应当阐明个人信息删除权的实现机制,展示具体示例来辅助个人操作。进一步完善隐私政策及呈现方式,对涉个人信息删除权的内容根据重要性对字体、格式、注释等作出调整,后台设置显著、明晰的流程指导、服务个人行使删除权。

完善风险评估。个人信息的删除涉及场景多,除了个人自身以外,可能涉及其他利益主体。企业需仔细研判其中的法律风险,设计合理的评估机制,在信息处理各流程中识别风险,积极响应。

个人申请删除个人信息后,企业数据处理的合法性基础不复存在。如删除难以实现,运营商是否继续存储全部或部分个人信息、是否匿名化处理继续存储的信息及其安全保障程度、彻底删除个人信息的期限和程序等,均需做出后续处置说明。

算法面临强监管

算法是数字平台处理海量个人数据、绘制个人画像、精准定价与个性化推送的“生产工具”,已经成为平台运行的核心动力。

北京科技大学文法学院副教授张凌寒撰文称,随着十余年平台经济的高速发展,算法自动化决策的滥用与伦理缺失的累积危害已经进入了显现期。

《个人信息保护法》从一审稿到成文,在不断强化对自动化决策的规制,回应了社会关切。

《个人信息保护法》要求“不得对个人在交易价格等交易条件上实行不合理的差别待遇”,或指向近年来备受关注的“大数据杀熟”。利用算法进行“不合理的差别待遇”被法律禁止,信息处理者义务增强。

此前,我国已从反垄断的制度框架下对歧视性定价问题进行了规范。《反垄断法》第十七条规定,禁止具有市场支配地位的经营者没有正当理由对条件相同的交易相对人在交易价格等交易条件上实行差别待遇。

《个人信息保护法》增加了“大数据杀熟”条款,进一步丰富了对歧视性定价问题的规制路径。中国信通院互联网法律研究中心高级研究员杨婕表示,按照《个人信息保护法》的规定,无论个人信息处理者是否具有市场支配地位,只要个人信息处理者利用个人信息进行自动化决策,对个人在交易价格等交易条件上实行不合理的差别待遇,就是法律所禁止的行为。

一审稿中要求“个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明”。“个人认为”依赖于个人对算法的警惕与自主意识,不同人的认知差可能会导致该条款的约束性不足。此后二审稿删除“个人认为”这一表述,把责任主体转移到了信息处理者身上。

《个人信息保护法》还明确,在决策对个人权益造成重大影响时赋予个人主体拒绝权,“向个人提供便捷的拒绝方式”。不仅赋予个人主体拒绝权,并且需提供“便捷”的拒绝方式,对信息处理者有较强的制约。

《个人信息保护法》将平台算法治理时点前移,治理手段升级,相关义务增加,初步确立了算法问责制的基本框架。算法透明和算法公平,不仅是道德层面的要求,亦是法律义务。

南财合规科技研究院合规建议:

目前,基于算法自动化推荐而提供个性化信息内容服务已然逐渐成为各类App“标配”,为了更多样化地满足各类用户的使用需求,追求定制化、独特性的移动互联网应用,必须依赖于“用户画像”等类似技术实现数据驱动与用户增长,培养流量黏性。

企业需进一步完善自己的隐私政策,告知个人信息的收集会被用于用户画像和个性化展示,并征得用户的同意,充分保障用户知情权。在正式进行自动化决策前,应当就自动化决策的透明和公平性做好充分说明。

随着用户自主控制权提升,《个人信息保护法》要求信息处理者需提供“便捷”的拒绝方式,这也意味着企业需优化相关设置,包括提供直观的关闭和退出选项、在用户选择退出后对相关个人信息进行删除、提供相应的投诉机制。

企业进行自动化决策,需遵循目的明确和最小化处理原则。2021年3月正式出台的《常见类型移动互联网应用程序必要个人信息范围规定》,个性化推荐所依赖的“设备信息、广告标识符”等并未作为必要个人信息类型予以规定,“最小化处理原则”是自动化决策的重要原则,企业应遵循该原则进行信息处理。

(作者:王俊 编辑:李博)