个人信息保护法即将实施 如何执行落地备受关注

合规科技王俊 2021-10-19 10:41
个人信息保护法正式落地实施 苹果、支付宝、微信已响应 南财发布《个人信息保护法企业合规启示报告》全文

21世纪经济报道记者 王俊 北京报道

11月1日个人信息保护法将正式实施,作为我国第一部个人信息保护方面的专门法律,个人信息保护法的落地备受关注。10月16日-17日中国法学会网络与信息法学研究会2021年年会在京召开,在“个人信息保护法治”论坛上,不少专家对个人保护法落地执行问题、企业合规难点等展开了讨论。

 “网信办统筹协调职能有待细化”

个人信息保护法第六章专章规定了履行个人信息保护职责的部门。第六十条规定,国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。

中山大学法学院教授高秦伟表示,不同于欧盟专设了个人信息保护的专责机关,我国个人信息保护法确立了国家网信办的统筹协调职能。“但是它的统筹协调职能怎么样去实现,需要讨论。包括如何事先从风险防范的角度介入个人信息保护、如何协调和借鉴个人信息保护争议等,网信办的统筹协调职能有待细化。”

华东政法大学法律学院教授高富平也表示,《个人信息保护法》的落地执行非常重要,如何统一、有效地执行,把《个人信息保护法》精神贯彻到具体的案件当中是非常重要的。

隐私政策需升级

会上,也有企业提出了个人信息保护法落地后给企业带来的合规挑战。

阿里巴巴集团法律研究中心副主任顾伟谈及隐私政策的告知与同意实践中的一些困境。

顾伟表示,隐私政策是平台与用户关于个人信息收集使用规则约定的核心呈现载体,隐私政策的告知与同意已经逐渐成为“告知同意原则”的核心实现路径,随着隐私政策的透明度提升,也成为用户了解自身权益的关键窗口。“隐私政策也是企业内部自律的准绳,作为一个向用户承诺、向监管保证的内部规则,基于对法律、合规理解做的转化。”

《个人信息保护法》对隐私政策提出了新的要求。不过,顾伟指出了目前隐私政策存在的“告知”困境。

一是告知充分完整和清晰易懂的矛盾。他表示,无论是监管部门还是用户,对隐私政策颗粒度的细致程度要求越来越高,隐私政策越来越长,以前不到一万字,现在一万五千字左右。信息披露的颗粒度不断细化,但对用户而言并不能理解这些内容。

二是业务动态变化与提前告知的矛盾。个人信息收集需要提前告知、在具体场景中告知,同时要体现在隐私政策上。“现在很多平台隐私政策更新频率很快,甚至一周更新好几次,这并非好的现象。”他表示。

三是“规则丛林”与业务合规的矛盾。顾伟指出,当前监管体系为多部门共同参与机制,在这种执法权分散的情况,各部门发展自己的规则体系,同一个企业面临不同细化规则的考验,也经常面临不同细化规则解释的问题。

对于用户“同意”的落地也面临现实困境。比如隐私政策将所有信息场景列出来后,采取“一揽子同意”措施,这与信息收集最小必要原则存在一定冲突。

顾伟认为,隐私政策设计要充分保证用户的知情权和决定权,充分透明,接受公众监督。隐私政策升级,要做到“实际做的要充分说明,实际说的要充分执行,承诺条款要清晰易懂,权利条款要自动实现”。

平台对逝者信息处理难度高

个人信息保护法明确死者个人信息保护规则。个人信息保护法第四十九条明确规定,自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。

逝者信息权利在落地中存在难点与挑战。字节跳动数据安全与隐私法务专家李昳婧指出,逝者信息和《个人信息保护法》其他权利相比,权利实现兼具共有难点和特殊性。

她解释称,首先是如何核实要求对死者个人信息行使权利的请求方身份。由于当事人死亡已经无法亲自完成认证,近亲属在不知道密码的情况下,信息处理者为妥善保护原始信息本人,势必要采集更多的信息证明身份,这种情况下,是否被认定为过度采集?现在尚未有明确的规定对该情形下信息处理者信息采集做出规定,实践中存在难点。

其次,死者本身和近亲属的需求可能存在冲突,这种情形具有复杂性。个人信息保护法中没有明确阐述近亲属充分行使的权利范围,比如是否包括知情权,需在实践中论证,企业平台平衡和判断有一定难度。并且,如果迫于近亲属的压力,响应了近亲属权利请求,接下来其他用户还敢不敢用该平台产品,这也是平台顾虑与担心的。

李昳婧指出,逝者信息的处理需要特别妥善周全的考量。

(作者:王俊 编辑:李博)

王俊

记者

21世纪经济报道记者