企业处理个人信息的逻辑将重塑,合规压力增大。
个人信息保护法合规启示报告
21世纪经济报道记者王俊 实习生李尹汝 北京报道
近年来个人信息保护不断涌现出新问题,随意收集、违法获取、过度使用、非法买卖个人信息等情况“野火烧不尽”。信息数据的挖掘利用与个人保护之间张力扩大,急需专门法律对个人信息处理活动提供规范样本。今天(11月1日),个人信息保护法正式实施,为个人信息加上“安全锁”。
个人信息保护法明确了个人在信息处理活动中的知情权、决定权、限制权、拒绝权、查阅、复制权、可携权、更正、补充权、删除权。个人的权利地位得到很大的转变,一改企业强势、个人弱势的局面,企业处理个人信息的逻辑将重塑,面临巨大的合规压力。
21世纪经济报道记者梳理发现,目前苹果、微信、QQ、支付宝等已做出反应,苹果称将把儿童的个人数据作为敏感个人数据,提供已故家庭成员账号的访问请求;微信增加了个人信息浏览和导出机制,设置了系统权限和授权管理入口以及个性化自主控制途径;支付宝则发布了一版简化的隐私权政策,用户更易读。
隐私政策需升级更新
个人信息保护法将“告知-同意”确立为个人信息处理规则的核心。隐私政策作为平台与用户关于个人信息收集使用规则约定的核心呈现载体,已经逐渐成为“告知同意原则”的核心实现路径。可预见,隐私政策的调整完善将成为各大平台落地个人信息保护法的“当务之急”。
此前,有业内人士指出隐私政策存在的“告知”困境,告知充分完整和清晰易懂之间存在矛盾。无论是监管部门还是用户,对隐私政策颗粒度的细致程度要求越来越高,隐私政策越来越长,信息披露的颗粒度不断细化,但用户可能并不理解这些内容。
国外有研究成果表明,如果用户要阅读提供给他们的所有隐私政策,每年需平均付出244个小时;如果只是粗略阅读,每年需平均付出154个小时。这意味着,每人将平均每天花费40分钟阅读和理解各企业的隐私政策。如果计入准确理解所需的时间、专业知识和精力,那么这一“知情”的成本更为高昂。
支付宝已更新其隐私权政策对此作了改良,相较于此前冗长详尽的隐私政策,推出了简要版的隐私政策,约1000字,从如何收集信息、如何存储和保护信息、如何对外提供信息、用户如何访问和管理自己的信息四个方面进行了阐述,并结合了视频与图表的形式。同时,支付宝也提供了完整版隐私权政策,用户可点击“支付宝隐私权政策(完整版)”查看。
接下来,信息处理者的隐私政策或将迎来密集调整、完善。“隐私政策设计要充分保证用户的知情权和决定权,充分透明,接受公众监督。”上述业内人士表示。
自动化决策将受约束
自动化决策是算法时代的个人信息处理方式,指的是“通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动”。
个人信息保护法确立我国算法自动化决策治理的基本框架。平台作为最重要的自动化决策的主体,须承担事前风险预防义务、事中安全运行义务与事后的相关责任。
个人信息保护法赋予个人获得说明及拒绝自动化决策的权利。其中第二十四条规定,通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
这一定程度上意味着,个人获得了有限的“算法解释权”。 在法律落实的过程中,相应的算法说明必须提供对决策有意义的信息,而不是简单的、泛泛的信息。
并且,通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
此次iOS版本的微信 v8.0.16版本中,单设了个性化广告管理,用户可选择关闭“个性化广告”。若选择关闭,用户看到的广告数量不会减少,但将不再推送个性化广告,与用户偏好相关度降低。
接下来,企业利用个人信息进行自动化决策,应当进行个人信息影响评估,考虑是否属于信息推送、商业营销的情况,如果是,则应提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
逝者个人信息处理需周全考量
一直以来,企业作为个人信息采集主体,在权利天平中占据绝对高地。个人信息保护法明确了个人在信息处理活动中的知情权、决定权、限制权、拒绝权、查阅、复制权、可携权、更正、补充权、删除权。个人的权利地位得到很大的转变,一改企业强势、个人弱势的局面,企业处理个人信息的逻辑需进行调整。
近日,苹果向广大用户发送了一封邮件,表示已为2021 年 11 月 1 日起正式实施的《中华人民共和国个人信息保护法》做好了积极准备。苹果宣布尊重中国消费者在《中华人民共和国个人信息保护法》下享有的知情、查阅、更正、转移、限制处理和删除其个人数据的权利。
苹果称,中国消费者有权要求苹果提供其个人数据的副本,并解释 Apple《隐私政策》和本说明以及其他相关的个人数据处理规则。
知情、查阅、更正等用户基本权利将随着法律的实施落地,需在各大企业的信息处理过程中体现。
值得注意的是,个人信息保护法明确死者个人信息保护规则。个人信息保护法第四十九条明确规定,自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。
此次苹果宣称,在中国大陆客户不幸去世等特殊情况下,其近亲属有权依法查阅、更正或删除死者的个人数据。他们可以通过登录 Apple 的数字遗产门户网行使这一权利。
但逝者信息权利在落地中存在难点与挑战。字节跳动数据安全与隐私法务专家李昳婧曾分析逝者信息处理的特殊性。首先是如何核实要求对死者个人信息行使权利的请求方身份。由于当事人死亡已经无法亲自完成认证,近亲属在不知道密码的情况下,信息处理者为妥善保护原始信息本人,势必要采集更多的信息证明身份,这种情况下,是否被认定为过度采集?现在尚未有明确的规定对该情形下信息处理者信息采集做出规定,实践中存在难点。
其次,死者本身和近亲属的需求可能存在冲突,这种情形具有复杂性。个人信息保护法中没有明确阐述近亲属充分行使的权利范围,比如是否包括知情权,需在实践中论证,企业平台平衡和判断有一定难度。并且,如果迫于近亲属的压力,响应了近亲属权利请求,接下来其他用户还敢不敢用该平台产品,这也是平台顾虑与担心的。
可见,在法律落地的实操中,难点与挑战将逐步展现。
应优先出台头部企业外部独立监督机制等配套规定
“个人信息保护法共计八章七十四条,立法者想要在有限的篇幅里实现对个人信息处理活动的全面调整,对于部分较为复杂的问题只能做出框架性规定,事后的具体落实有待司法解释、行政法规、部门规章予以进一步细化。”中国人民大学法学院教授张新宝曾指出。
他建议,抓紧制定出台相应配套规定,尤其是针对敏感个人信息、个人信息跨境、头部企业外部独立监督机制等五方面,应优先制定出台配套相关规定。
关于敏感个人信息保护规则,张新宝表示,个人信息保护法对敏感个人信息处理规则包含较多的概括性规定以及指引性规定。目前我国关于敏感个人信息保护相关的法律文件,主要是《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》、《儿童个人信息网络保护规定》等,相关规定还有待进一步加强。
对于头部企业外部独立监督机制的配套规定也亟待完善。个人信息法第五十八条规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。
张新宝表示,现阶段加强头部企业的外部独立监督,对营造个人信息保护的行业治理机制,提升个人信息保护的治理水平具有重要意义。这类机构应当如何行使监督权,职权独立性如何得到保障?其运作需要国家网信部门制定进一步的规章制度加以规范。
个人信息保护的实施落地离不开各个监督监管部门的相互配合。
根据个人信息保护法第六十条,履行个人信息保护责任的部门可分为两类,第一类是负责统筹协调个人信息保护工作和相关监督管理工作的国家网信部门,包括中央网信办和地方网信办。第二类是负责个人信息保护监督管理职能的国务院内有关部门以及县级以上的地方人民政府的有关部门,其内含的个人信息保护机构具体负责履行职能责任。
张新宝强调,前述两个部门机构都负有个人信息保护的法定职责,因此需要明确二者之间的职责关系。
他建议,国家网信部门应作为牵头单位负责联合调查的组织协调工作,其他部门内含的个人信息保护机构根据各自管辖领域的执法权限参与其中,进而实现统筹协调,各行其职。
(作者:王俊,实习生李尹汝 编辑:蔡姝越)
21世纪经济报道及其客户端所刊载内容的知识产权均属广东二十一世纪环球经济报社所有。未经书面授权,任何人不得以任何方式使用。详情或获取授权信息请点击此处。