周辉：合规实践的难点在于如何理解单独同意，合规发展需要法律+技术

21世纪经济报道记者 胡天姣 北京报道

北京时间1月21日，中国社科院法学所网络与信息法室副主任周辉在“南方财经法律高峰论坛2022”中，在“征信数据合规”中表示，从《刑法修正案（七）》一直到去年11月份，整个网络信息领域的立法节奏都在不断地加快。

“一个需要关注的新趋势是，若要真正实现数据的合规，除了现有的法律规则之外，还需要配套技术。”周辉称，现在有一些新的机构在成长与发展，旨在能建法律+技术的手段。

周辉指出，征信业务里涉及的数据合规场景与个人信息里的定义稍有不同。征信业务采集的信息不单是个人、自然人的信息，还包括企业主体的信息。由此，在范畴意义上，征信业务里面的征信信息的范畴相对更广。

他强调，个人信息的合规里，“同意”是其中最重要的一个环节。 “同意是指个人在充分知情的前提下，所自愿、明确作出的同意。此外，《个人信息保护法》体现了具有中国特色的制度设计，即规定了‘单独同意’，在包括对敏感信息、信息出境等的处理过程中，都需要获得用户的单独同意。

“目前合规实践的难点就在于如何理解单独同意。”周辉进一步称，《网络安全数据管理办法（征求意见稿）》对单独同意做了一定的界定，我个人认为，所谓的单独同意，并非意味着在需要每类信息的处理中都会跳出弹窗，它其实可以通过在统一的弹窗下，但这统一的弹窗需要给每一分类信息的处理留有空间。

此外，周辉表示，除了‘同意’外，《个人信息保护法》最大的价值，体现在促进数据流通，这其中规定了一些不需要经过个人同意信息处理的合法性事由。

然而，周辉称，“删除问题”是实践中的一个较大的痛点。以往理解的‘删除’是用户自身提出要求后的个人信息处理者的被动义务行为，而如今，只要满足‘删除’的条件，个人信息处理者是是有主动性的删除义务，否则将可能引发民事责任、行政责任乃至刑事责任。

对于哪些属于豁免删除的内容，周辉解释说，《个人信息保护法》和《网络数据安全管理条例（征求意见稿）》对场景予以丰富。如在金融监管，业务监管或会要求对客户的信息保存规定最低期限。另外则是若个人信息已与系统内的其他用户的信息融合在一起，在技术上不具有‘删除’的操作性，但这并不意味着信息可以被使用，相反，需要信息拥有者采取必要的安全措施予以保护。

在相应的责任方面，周辉指出，刑事责任是《个人信息保护法》里最有冲击力的一个方面。“其刑事责任较欧盟的GTPR的责任条款更严，从金额方面对比，前者的处罚，最高为5000万元人民币，而就营业额来说，可以达至上一年度营业额的5%。”

在他看来，“对征信信息所确定的门槛非常低”是值得关注的一点。会否结合数字话时代对入罪的门槛做些适当调整，对财产类、人身类等信息作出不同区分与平衡是今后的考量。

周辉表示，为了让法律更有效的实施，《个人信息保护法》还增加了公益诉讼机制。“它所涵盖的主体非常之多，其中包括人民检察院，这由此意味着全国几千所检察院均可以提起公益诉讼。它还包括了省级以上的消费者组织，但具体组织还需明确。”

周辉说，一个同样需要关注的趋势是，若想要真正实现数据合规，除了现有的法律规则外，需要辅之以更多的技术。“我们关注到目前有一些新的机构在不断发展，希望能够搭建法律+技术的手段，其中包括如何自动化的获取用户的同意，如何保证数据安全及个人信息不泄漏。对于当前数字经济时代的合规，希望法律人将来可以更多的与技术圈的人一起努力，设计出一个更有时代价值的合规思路与方案。”