本文来自微信公众号:财经E法(ID:CAIJINGELAW),作者:殷继,编辑:朱弢,头图来自:视觉中国


大数据时代,个人信息无时无刻不被收集及处理,这为人们的生活带来了便利,也带来了烦恼。比如:电商平台知道我们的消费喜好,可以跨平台持续推送广告;支付平台了解我们财务状况,不停地推送借贷信息;内容平台的个性化推荐,试图让我们在它们那花更多时间…… 


人们将个人信息交付给大大小小的平台,以换取便利。个人信息记载我们是谁、家住哪里、从事什么职业、有着怎样的兴趣偏好等等。但人们却无法知道这些信息是否安全,也无法了解这些信息被如何使用,是用来推送精准营销广告,还是用来“大数据杀熟”,亦或者落入不法分子手中。


8月20日,第十三届全国人大常委会第三十次会议正式通过了《个人信息保护法》,这是中国关于个人信息保护位阶最高的综合性法律,它对公民在处理个人信息活动中的权利、个人信息处理者的义务、个人信息跨境传输、监管部门及罚则等方面作出全方位的规定。这部法律在提供强有力保障同时,还兼顾数字经济发展。


《财经》E法围绕着10个关键词,对个人信息保护法进行解读。


一、“根据宪法”


个人信息保护法第一条即开宗明义,为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。


个人信息保护法三次审议稿中关于第一条的变化<br>
个人信息保护法三次审议稿中关于第一条的变化


其中,“根据宪法”四个字,是在三审过程中加入的,这表明:中国将个人信息受保护的权利提升至更高的高度,其来源于宪法:国家尊重和保障人权,公民的人格尊严不受侵犯,公民的通信自由和通信秘密受法律保护。


个人信息权益应当如何保护?这在立法过程中存有争议,有学者认为,“个人信息权益”作为人格属性的私权,应当以民法权利为框架展开相关的规则设计;但也有学者认为,如果认定个人信息权益具有排他性,将无法释放其公共价值,而且,如果依据民事主体平等、意思自治来处理个人信息,将导致个人无法对抗强大的个人信息处理者,诸如互联网巨头。


中国人民大学法学院教授张新宝指出,面对强大的个人信息处理者,抽象的民事权利规定容易被虚化,沦为“纸面上的权利”;个人信息保护的有效性必然有赖于国家规制,实践中站在维权第一线的其实往往是监管者而非个人。


北京大学法学院教授、法治发展研究院执行院长王锡锌认为,国家负有对公民人格尊严和隐私、安宁进行保护的义务。随着信息时代的来临,该种义务扩展到对个人信息相关权益的保护。


因此,在个人信息保护的最终文本中的“根据宪法”,看起来不过是增加了四个字,但实际强调该法不隶属于某一部门法,让国家可以通过积极手段为个人信息保护提供保护,对强大的个人信息处理者加以制衡,同时发挥统筹作用,以平衡个人信息保护与数据产业发展。


二、“告知—同意”


“告知—同意”为个人信息处理的核心规则,保障个人的知情权及决定权。在实践中,互联网企业推出的App通常以勾选“隐私协议”来获取用户一揽子授权,用户经常面临着“不同意即不可用”的困境。


个人信息保护法多个条文强调个人自主选择时的意志自由,应当遵循诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息,以及明确个人授权时应当“在充分知情的前提下自愿、明确作出”。此外,强调了个人可撤回授权,以及对敏感个人信息的处理应当取得单独同意或书面同意。


敏感个人信息为:包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息<br>
敏感个人信息为:包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息


在个人信息保护法出台之前,王锡锌认为,个人信息保护法落地的关键在于:走出“告知-同意”的困境。


“我们打开任何APP,里面有一大堆很长的隐私政策条款,那只是用户知情权的范畴,而决定权则包括用户可以限制、拒绝、撤回、删除个人信息的处理,决定权意味个人在多大程度上享有基于自由意志做选择和决定的权利。”王锡锌表示。


据《财经》E法了解,目前App主要以勾选“隐私协议”来获得用户一揽子的授权同意,未来App若要收集个人敏感信息,可能要获得用户单独且明确的同意。


三、禁止过度收集


企业在提供产品或服务时,到底要收集多少个人信息?又能保留多长时间?如果用户拒绝提供个人信息,能否拒绝为其提供产品或服务?


个人信息保护法明确,收集个人信息应当仅限于实现处理目的的最小目的,不得过度收集个人信息。明确除特殊规定之外,个人信息的保存期限应当为实现处理目的所必要的最短时间。


个人信息保护法中关于禁止过度收集和最短储存时间的规定<br>
个人信息保护法中关于禁止过度收集和最短储存时间的规定


另外,个人信息保护法还明确规定,如果用户不同意或撤回授权后,个人信息处理者不得拒绝提供产品或者服务,除非该个人信息为必需的。


个人信息保护法中关于个人信息处理者拒绝提供产品或服务的例外<br>
个人信息保护法中关于个人信息处理者拒绝提供产品或服务的例外


何谓必需?国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门此前联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》(下称《规定》)可做参照。《规定》明确了39类常见类型移动应用程序必要个人信息范围。


实践中,一些App涵盖多项业务功能,例如:短视频网站不再是单一的内容资讯平台,也有可能为电商平台、社交平台。那么App开发者是否会通过扩展功能来收集更多个人信息呢?


“扩展功能收集个人信息必须获得用户自主同意,用户拒绝后不得影响基本功能的使用。”中国电子技术标准化研究院网安中心测评实验室副主任何延哲表示。


四、禁止“大数据杀熟”


“个人信息保护法三审稿重点对‘大数据杀熟’提出禁止性规则。”上海交通大学数据法律研究中心执行主任何渊表示。个人信息保护法明确,不得对个人在交易价格等交易条件上实行不合理的差别待遇。


个人信息保护法关于禁止“大数据杀熟”的规定<br>
个人信息保护法关于禁止“大数据杀熟”的规定


“大数据杀熟”通常指企业通过掌握消费者的经济状况、消费习惯、对价格的敏感程度等信息,在交易价格等方面实行歧视性的差别待遇。


在此之前,新闻曾曝光美团外卖会员比非会员配送费高出两倍的新闻。美团回应表示,是由于软件存在定位缓存,与用户实际位置产生了偏差,导致了配送费预估不准。


全国人大常委会法工委经济法室副主任杨合庆认为,“大数据杀熟”行为违反了诚实信用原则,侵犯了消费者享有公平交易条件的权利,应当在法律上予以禁止。”


五、算法规制


个人信息保护法对“自动化决策”进行了定义。互联网平台基于用户画像进行的“千人千面”“猜你喜欢”的个性化推送,就是一种典型的自动化决策。


个人信息保护法关于“自动化决策”的定义<br>
个人信息保护法关于“自动化决策”的定义


互联网企业通常会根据用户在注册App时填写个人信息,以及通过跟踪用户的使用行为来为用户打上标签,生成“用户画像”,并用于内容推送、精准广告营销等业务中。


示例:标签为性别、年龄、手机品牌、省份、爱好;标签集合为用户画像<br>
示例:标签为性别、年龄、手机品牌、省份、爱好;标签集合为用户画像


过去面临的问题是,用户难以拒绝算法推荐,或者关闭算法推荐的按钮隐藏很深。上海消保委曾点名微信,称朋友圈广告不能一键关闭,个性化广告推荐关闭入口极为隐蔽,需要触及十余个页面,在用户点击关闭后,有效期仅为6个月。


个人信息保护法明确,个人信息处理者应当提供非“自动化决策”选项、以及提供便捷的拒绝方式。另外,当“自动化决策”对个人权益有重大影响时,个人有权要求予以说明、以及有权拒绝。


个人信息保护法关于限制“自动化决策”的条文<br>
个人信息保护法关于限制“自动化决策”的条文


“在个人信息保护法框架下,对自动化决策提出了更高的个人选择权与透明度。在选择权层面,需要产品的功能让用户能够方便地拒绝。”汇业律师事务所史宇航律师表示。


六、可携带权


用户能否将自己在微信的头像、昵称等信息一键导入其他平台?这关乎个人在多大程度上对个人信息享有自决权,但另一方,倘若批量用户将个人信息“携号转网”可能会导致原有平台的数据利益受损。


用户对个人信息享有可携带权的支持者认为,可携带权将有利于打破大企业的数据垄断,促进数据共享与数据流通;但反对者则认为,行使可携带权将为企业增加过多的责任,未必有利于市场的良性竞争。


此前,腾讯诉字节跳动关于抖音、多闪超范围使用用户微信、QQ用户头像、昵称的案件,即涉及到关于个人信息“可携带权”的讨论。法院在诉前裁定抖音、多闪停用相关的信息。目前,该案仍在法院审理中。


中国人民大学未来法治研究院副教授丁晓东认为,在具体场景中赋予个体以数据携带权,可以提升用户福利,促进市场与社会的公共利益。在他看来,在商业使用场景中,企业应当满足用户实现数据转移的愿望,同时需要兼顾企业利益,但对于公共部门采集个人数据,应当积极推动可携带权落地。


个人信息保护法关于限制“可携带权”的条文<br>
个人信息保护法关于限制“可携带权”的条文


个人信息保护法为可携带权开了道“口子”,但具体可携带的场景,还有待于相关部门作出更细化的规定。


七、限制跨平台使用


个人信息保护法对于数字营销行业将带来巨大影响,尤其是对于跨平台的广告推送业务。例如:用户在抖音中看到商品广告并做停留,打开淘宝时依旧看到该广告,这样的过程即可能涉及双方、甚至多方之间的数据合作。


举例:跨平台的广告推送<br>
举例:跨平台的广告推送


一位在互联网公司从事数据合规的人士告诉《财经》E法,个人信息保护法的限制性规定,将会给数字营销业务造成极大冲击。


个人信息保护法关于限制个人信息跨平台使用的条文<br>
个人信息保护法关于限制个人信息跨平台使用的条文


此种情形将与苹果升级iOS系统后的做法相似,每个App都需额外再次询问用户是否愿意被跟踪。根据国内外多家数字营销公司数据,80%以上的用户会选择点击“要求App不跟踪”。


个人信息保护法第二十三条规定,当向第三方提供个人信息时,应当取得个人的“单独同意”。正如大量用户在苹果设备弹窗中拒绝跟踪,用户同样也可能拒绝授权企业对外提供行为。


“对于行业而言,如何在产品中实现单独同意还有待观察。”上述从事数据合规的人士表示。


八、 “守门人”的责任


“能力越大、责任越大”,掌握海量个人信息的互联网行业巨头,如国内的新BAT、国外的谷歌、脸书及苹果,被学界称为“守门人”。各界普遍认为,这些企业应当对用户个人信息承担更多责任。但是,收集和使用个人信息的,不是只有巨头。


“规范企业的个人信息处理活动是个人信息保护法的基本任务。”张新宝对此表示。


《财经》E法从多家头部互联网企业内部了解,企业若要实现“个人信息处理合规”,不仅需要通过内部搭建规章制度、流程机制来规范个人信息处理收集、存储、使用、加工、传输、提供、公开、删除等环节满足合规要求。更重要的是从“技术层面”来有效地保障个人信息处理过程中的安全。


对企业而言,满足个人信息保护法的合规要求,需要持续地投入人力、物力、财力来实现,成本极高,有可能导致中小企业在竞争中处于劣势。


欧盟的GDPR对于中小企业(员工少于250人)实施特殊豁免政策,减轻其实现数据合规的义务,但根据2019年,欧盟委员会和欧盟理事会便组织各成员国监管机构开展GDPR执法回顾总结发现,GDPR实施后对于中小企业的特殊豁免政策尚未得到完全落实,这进一步增加中小企业的合规成本。


个人信息保护法关于限制“小型个人信息处理者”的条文<br>
个人信息保护法关于限制“小型个人信息处理者”的条文


个人信息保护法明确,将对“小型个人信息处理者”专门制定个人信息保护规则、标准。


九、监管及处罚


对于个人信息保护的监管,长期处于“九龙治水”状态,对于企业而言,面临极大的监管压力。


个人信息保护法明确规定,由国家网信部门统筹执法工作。在一些法律专家看来,个人信息保护法实施后,国家网信部门、国务院有关部门(工信部、公安部及各个行业主管部门)会各司其职,多部门的监管竞合问题将会逐渐得到解决。


“未来的个人信息保护及监管要进入法治化、规范化的轨道,第一要解决“网信部门与其他部门”权力分配、行使的问题;第二要解决各不同级别网信部门和其他行政部门监管权力分配、行使的问题。”张新宝对此表示道。


张新宝称,在个人信息保护法立法过程中有个小插曲,在哪一级别的行政部门能行使处罚权的问题上,直到二审稿依旧没有定论,最终到了三审稿中才明确“省级以上”的行政部门才有权处罚。


张新宝建议,“网信部门应牵头编制一份执法手册,明确与其他行政部门、各上下行政部门的权限划分和执法流程,这样才能实现法治化及规范化。”


个人信息保护法的罚则部分规定,对于违法情节严重的,最高可面临“五千万元以下或者上一年度营业额百分之五以下罚款”,而GDPR的最高处罚标准为,2000万欧元或者上一财政年度全球年营业额的4%。


个人信息保护法与GDPR最高处罚的条文比较<br>
个人信息保护法与GDPR最高处罚的条文比较


“处以上一年度营业额5%的高额罚金,对头部互联网企业而言面临极大合规成本,但这样的压力中小互联网企业也同样面临,互联网行业野蛮生长时代可能即将结束,但也容易进一步形成垄断。”何渊对此评论,“这恐怕又将落入反垄断审查的循环”。


十、平衡保护与发展


中国网络空间安全协会网络治理与国际合作工作委员会秘书长谢永江认为,个人信息保护法出台,标志着中国网络空间安全的法律体系的“四梁八柱”已形成。


以2012年《全国人大关于加强网络信息保护的决定》为开端,《网络安全法》(2016)、《电子商务法》(2017)陆续出台。除了专门的法律,传统法律的制定、修订工作,也给予网络空间前所未有的关注,《消费者权益保护法(修订)(2013)、《刑法修正案》(九)(2015)、《民法总则》(2017)、《民法典《人格权编》(2020)都补充了个人信息保护相关条款。


散落在多部法律中的条款一定程度上回应了公众关切,但个人信息保护法出台意味着更完整的个人信息保护法律体系


然而,在互联网时代,新事物层出不穷,对个人信息保护边界和规则的探索,可能也并非只靠出台一部法律即可到达终点。


华东政法大学法律学院教授、数据法律研究中心主任高富平以GDPR为例指出,GDPR仅从数据主体权利出发来保护数据主体权利,对于数据处理者是否可以分享数据或是否享有数据重用权(re-use)却只字未提。当欧盟想发展数字经济时,忽然发现之前制度设计的缺陷。


另外,企业能否利用经过匿名化、去标识化处理个人信息呢?


个人信息保护法虽区分了匿名化信息(指个人信息经过处理无法识别特定自然人且不能复原的过程)和去标识化信息(是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程),并明确,匿名化信息不再属于个人信息保护法保护的个人信息,但是针对去标识化信息并未确立专门的处理规则。


在清华大学法学院副院长、教授程啸看来,“个人信息保护以保护个人信息权益为核心,法律本身不解决数据的权属问题。去标识化只是一个安全技术措施,去标识化后的信息本身无法直接识别特定的自然人,但是与其他信息结合后仍然可以识别。故此,去标识化的个人信息仍然是个人信息,应适用个人信息保护法。”


在高富平看来,已通过的个信息保护法似乎在超越GDPR,强化信息主体的权利。“我们只有再等上若干年“试错”,让产业遭受一些阵痛,或者才能更好地推进数字经济的发展。”


法律的生命在于实施,个人信息保护法也需要在实施中不断调整。按照立法目的的描述,这部法律并非要赋予一方排他性权利,限制个人信息的使用,而是需要寻求个人信息保护与保护数字产业发展的平衡。


从这个意义上来说,未来需要政府、企业、相关社会组织、公众共同参与,一起打造个人信息保护的良好环境。颁布仅仅是开始,个人信息保护法未来将如何落地,如何持续地发挥效力,又如何与时俱进,还有待于持续的检验。


本文来自微信公众号:财经E法(ID:CAIJINGELAW),作者:殷继