南财个保月丨专访周辉:发展合规科技是实现个人信息保护敏捷治理的关键一招

合规科技吴立洋,实习生仇双 2022-11-15 08:10

发展个人信息保护合规科技,是根本上将治理责任落到实处,从源头上实现个人信息保护敏捷治理的关键一招。

南财个保月丨数据治理脚步加快,合规服务商迎来“风口”? 南财个保月丨明星条款“单独同意”实践一年:跨境、金融等行业如何改变应对? 南财个保月丨互联网狂奔近三十年,数据合规与企业发展如何平衡? 展开更多

南方财经全媒体 记者吴立洋 实习生仇双 北京报道

编者按:

伴随着数字经济发展,对个人信息的采集和利用成为一种“刚需”。个人信息保护不断涌现出新问题,随意收集、违法获取、过度使用、非法买卖个人信息等情况“野火烧不尽”。数据的挖掘利用与个人信息保护之间张力扩大,急需专门法律对个人信息处理活动提供规范样本。

2021年11月1日,《个人信息保护法》正式施行,转眼间即将实施一周年。南财合规科技研究院长期关注个人信息保护议题,持续跟踪报道立法进程、监管动态,反映公众呼声。借此机会,将推出“南财个人信息保护月”系列活动,探讨《个人信息保护法》实施以来的落实情况以及对企业带来的影响。将围绕“守门人”条款的落实、用户个人信息权益的实现、数字广告行业的变革、数字经济发展与合规的平衡等多个维度推出20余篇系列稿件,刊出个人信息保护特刊,并且举办线下高峰论坛。

法律的生命力在于实施,在完成立法后,《个人信息保护法》需司法和执法接力,也需要企业恪守法律要求。我们希望能借助媒体的力量,持续追踪问效,推动个人信息权益的保障,提升全社会个人信息保护的水位线。

2021年8月20日,《中华人民共和国个人信息保护法》由第十三届全国人民代表大会常务委员会第三十次会议通过,自2021年11月1日起施行。

作为一部在个人信息保护领域提纲挈领的上位法,《个人信息保护法》明确了个人信息处理的基本规则,还从信息跨境、信息处理者义务等实践维度提出了具体要求,例如提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者应当制定平台规则,定期发布个人信息保护社会责任报告等。

现今,个保法落地已逾一年,以大型互联网平台为代表的个人信息处理者落实《个人信息保护法》要求的具体情况如何,法条中规定的个人信息处理原则是否在各类信息处理实践中得到落实?

聚焦《个人信息保护法》颁布一周年以来的热点问题,南方财经全媒体-21世纪经济报道记者专访中国社科院法学所网络与信息法室副主任周辉,从《个人信息保护法》的立法理念和落地一年来的合规实践两个角度,分析当前个人信息保护在平台治理与跨境治理中面临的实际问题,结合实践需求探讨个人信息保护的发展方向。

(中国社科院法学所网络与信息法室副主任周辉|受访者供图)

南财:《个人信息保护法》第58条规定了企业的发布个人信息保护社会责任报告的义务,在您看来,企业相关的信息披露对于个人信息社会治理有何助益?当前企业相关的信息披露还有哪些需要进一步补充和改进的地方?

周辉:大型网络平台使用并存储海量的个人数据,与每个人的自身权益息息相关。平台通过及时报告,向社会公布其社会责任履行情况,可以使得上述企业公开其个人信息收集、使用规则,避免信息的过度收集、使用等问题,从而从源头上降低个人信息泄露的风险。

企业对外公布的社会责任报告中,除了平台所提供服务涉及的类型、平台自身及平台内产品或服务提供者因个人信息违法被处罚情况、个人信息安全事件发生情况、诉讼纠纷情况等,还应披露企业制度体系、企业组织架构、个人信息合规实践等基本情况。

从企业制度体系角度,企业应说明隐私政策文本是否符合法律规范,是否建立或健全个人信息分类管理机制、教育培训机制、应急响应机制,有利于公众全面了解企业的个人信息管理制度。

从企业组织架构角度,企业应公开个人信息工作架构以及主要由外部成员组成的独立监督机构,有利于公众全面了解企业的个人信息保护制度。

从个人信息合规实践角度,企业应披露自身在个人信息方面的收集、存储、使用、传输、用户权利保障的情况,涉及个人信息出境、利用个人信息自动化决策、个人信息委托处理的,还应当说明企业进行上述行为时是如何规范使用和保护个人信息,有利于公众全面了解企业的个人信息保护实践情况。

南财:第58条还规定,大型平台应制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务,对违法违规的平台内产品服务提供者停止提供服务等要求,您觉得应如何保证相应治理责任真正落实、有效实现?

周辉:发展个人信息保护合规科技,是根本上将治理责任落到实处,从源头上实现个人信息保护敏捷治理的关键一招。因此,要完善政策机制,为个人信息保护合规科技提供支持、指引和激励。

第一,在立法执法和司法政策上明确将应用合规科技作为企业合规计划、合规管理体系的重要内容,逐渐以可靠的合规技术替代合规监管人。第二,基于个人信息保护一般规范和特别规范,对市场上不同类型的合规技术进行分类评价,为不同类型和规模的企业提供应用指南。第三,结合电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者等不同个人信息处理主体特点,发布个人信息保护合规创新试点方案,培育可靠合规技术产品,进而在充分试点基础上推广全行业应用。第四,结合典型案例,发掘个人信息合规科技应用最佳实践,在提供声誉奖励的同时,明确行业对齐标准。

南财:随着跨境数字经济的发展,个人信息在全球范围流动愈加频繁,这给个人信息安全治理带来了怎样的挑战?个保法中对数据跨境的基本条件、合规义务、评估要求等进行了规定,但也有很多细节问题有待进一步明确,您认为我国当前的数据跨境治理工作还存在哪些难点亟待解决?

周辉:随着国际经济全球化和区域一体化不断发展,各国尝试在维护公共利益等原则的基础上,建立个人信息跨境流动生态圈,以便发挥个人信息跨境流动在降低企业经营成本、支撑企业国际运营、促进国际合作等领域的积极作用。个人信息跨境流动给个人信息安全治理带来了巨大挑战,个人信息出境规则如何适应中国国情以及如何与国际规则接轨成为亟待解决的难题。

为实现个人信息在全球范围的合理有序流动,我国对个人信息跨境活动予以规制的体系化规定,主要见于《数据安全法》《个人信息保护法》,特别是《数据出境安全评估办法》。《个人信息保护法》从顶层立法设计对个人信息跨境作出制度安排,以专章“个人信息跨境提供的规则”规定了向境外提供个人信息的基本条件和基本制度。已经生效的《数据出境安全评估办法》对个人信息出境安全评估、个人信息保护认证和签订个人信息出境标准合同三种合规路径作了进一步细化,这对于规范个人信息跨境活动提出了明确指引。但是,如何确保我国个人信息出境规则可以在国际数据跨境活动得到普遍认可、个人信息跨境处理活动认证有效执行、个人信息出境标准合同能够为境外数据接收方普遍接受等问题仍然需要关注实践探索,并不断在发展中完善。

南财:在您看来,应如何围绕《个人信息保护法》和《数据安全法》等法律法规构建我国跨境数据合规评估体系?

周辉:第一,应推动建立企业在跨境数据合规的自律机制,一方面企业在进行数据跨境活动时应根据《个人信息保护法》第五十四条、五十五条关于合规审计与风险评估制度,增强企业自我合规审计、自主风险评估的积极性。另一方面企业应根据《数据出境安全评估办法》的规定主动开展数据出境风险自评估,分析数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,配合国家网信部门的数据出境安全评估,实现以自律为主、自律与他律相结合的跨境数据合规评估体系建设。

第二,应在遵循市场规律的前提完善第三方评估机制,鼓励第三方机构有竞争性地参与安全评估机构选聘,尽量避免政府部门单方面内部指定评估机构。为提高参与安全评估效果,可以提高第三方评估机构准入门槛。政府部门建立跨境数据合规评估体系的初衷,就是希望通过政府公权力提高数据跨境治理工作能力。但需要提防的是,跨境数据合规评估机构会逐渐被管制对象通过各种手段和方法所俘虏的风险,导致评估机构最终被产业所控制,成为少数利益集团谋求超额利润的工具,落入“监管俘获”的陷阱。因此需要加入第三方评估机构进入机制,使市场评估机构与政府部门指定评估机构通过市场相互竞争的方式,避免“监管俘获”现象在数据跨境治理工作中出现。

第三,可以参考国际经验做法,如欧盟在GDPR中将“经批准的行为准则或认证(Approved Codes of Conduct/Certification)”与第三国数据处理者具有约束力和执行力的适当的保障措施(Appropriate Safeguards)的承诺结合,作为认证跨境传输个人数据需满足的适当的保障措施之一,并在GDPR第42条以及第43条就认证的相关要求、有效期限及认证机构等进行了详细规定。经批准的认证机制旨在建立一个符合欧盟数据法的正式认证,并具有自己的标志,鼓励数据处理者适用该认证制度。数据处理者可以自愿申请请求认证,得到批准后,使用这种标志以证明其数据活动符合欧盟的相关规定和认证,并据向欧盟外第三国进行数据传输而无须特别批准。

策划:曹金良 陈磊

统筹:王俊

记者:吴立洋 实习生 仇双

(作者:吴立洋,实习生仇双 编辑:王俊)

吴立洋

上海中心记者

关注数字经济与文化产业合规问题,微信:ww1625124926