11月1日,个人信息保护法正式实施。这部旨在保护公民个人信息的专门法律,早在起草之时就引发了社会各界的广泛关注。新法落地后,关于其产生影响、实施效果、如何完善的讨论仍不绝于耳。
作为数字社会的一个重要议题,立法保护个人信息不仅事关个人权益的维护,也关系到数字经济整体的健康发展。而伴随着技术的飞速进步,法律也必将依据实际情况的发展变化而不断调整、升级。
为此,我们将目光投向了个人信息保护法实施后的一些热点问题,并在此基础上展开系列报道,以期广而告之法律条文及其内涵、传递各方在具体法律落实中的反馈,为进一步做好个人信息保护提供有益参考。
本文来自微信公众号:法治周末报(ID:fzzmb01),作者:尹丽(法治周末记者)、薛佳莹(法治周末见习记者),责任编辑:马金顺,题图来自:视觉中国
“单独同意”的威力逐渐显露。
北京某科技集团法务人员骆雄章(化名)发现,个人信息保护法实施前后,不少企业陆续在其平台上新增了隐私政策弹窗,告知新法实施后企业在隐私政策上的变化,或专门就特定个人信息采集事项征求用户同意。
在骆雄章看来,这些变化无疑与个人信息保护法所规定的单独同意原则直接相关。他认为,新法实施后,不得不提的就是数据营销领域。而目前,数据营销基础之上的广告收入,正是许多大型互联网企业的主要营收来源。
野蛮生长后的“一剂猛药”
在11月1日正式实施的个人信息保护法中,“单独同意”总共出现了6次。如第二十三条规定:“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。”
除了上述情形,还有“个人信息处理者公开其处理的个人信息”“处理敏感个人信息”等四种情形都应当取得个人的单独同意。
值得一提的是,个保法之外,我国其他法律法规中也涉及到处理个人数据需要取得单独同意的情形。比如,《汽车数据安全管理若干规定(试行)》第九条规定,汽车数据处理者处理敏感个人信息,应当取得个人单独同意,且个人有权自主设定同意期限。
而“单独”二字,意味着不得将特定对象的授权与其他授权内容进行“捆绑”以获得个人同意。
“一定意义上说,单独同意是中国独创的制度,是对于中国的个人信息保护治理实践的一种回应和总结,有着特殊的实践意义。” 北京师范大学网络法治国际中心执行主任、北京师范大学法学院副教授吴沈括在接受法治周末记者采访时说。
对于野蛮生长多年的数据营销而言,单独同意好比“一剂猛药”。骆雄章直言,过去,数据营销中使用的个人信息或数据不少都通过灰色渠道获取,对于数据的处理过程也堪称悄无声息。但个保法实施后,获取个人信息数据必须取得单独同意,这让不少企业都“慌了”。
北京一家数据营销公司相关负责人的感受是:“今年更严格了。”但他表示,好在公司非常重视数据合规,“很早就请律师帮我们各种规范操作”。据他了解,行业内“的确有些公司做得比较过分”。
“如果告知用户,平台将采集其个人信息数据用于营销,我相信,绝大多数用户都不会同意。”骆雄章说。并且,根据个保法规定,需要单独同意的环节不仅仅是采集这一环节,还包括数据的公开、在平台间的共享等环节。“试想,如果平台频繁跳出征求用户单独同意的界面,那很可能会让用户体验大打折扣,甚至让他们弃平台而去。”
由此,骆雄章认为,单独同意让企业在数据营销方面的操作空间大打折扣。
广悦数据合规研究院专家组成员、广悦律师事务所合伙人冯清清介绍,根据数据合规项目中企业客户咨询的频率高低,她的团队梳理出了备受关注的六大合规问题。其中,单独同意排在第二。
“对企业的法务而言,他们已经知道要做什么,但往往不知道怎样做。”冯清清告诉法治周末记者。有客户向她抱怨:在实际操作中,如果机械地按照法律要求取得用户单独同意,那平台“可能就废了”。
合规会不会让企业“做死”?
冯清清以某款健康管理产品为例,对单独同意带来的企业“痛点”进行说明——
用户体验健康管理服务时,需要通过绑定智能穿戴设备实现身高、体重、肺活量等健康生理数据的上传。智能穿戴设备作为上述体征数据的提供方,根据个保法规定,需要就对外提供个人数据的行为向用户履行单独同意义务。同时,健康生理数据作为敏感个人信息,产品运营方的接收行为,构成了对敏感个人信息的收集,同样需要取得用户单独同意。如后续用于线上市场营销的,《信息安全技术健康医疗数据安全指南》还要求再次单独取得用户同意。
有企业法务总监曾咨询冯清清:考虑到可能需要多次取得用户单独同意,能否在最开始的时候提供一张完整的授权清单,让用户只需要勾选一次?她给出了否定的答案。
“如果这样做,就违背了单独同意的初衷所在。”她解释说,不能过于纠结法律条款具体的字面要求,而忽视了法条背后的法理。单独同意要保护的是用户对个人信息享有的知情权和决定权,从而让个人有权拒绝对其个人信息的收集和使用。
冯清清认为,在实践中,取得单独同意并不一定会给用户带来负面体验,而是可以根据实际情况做得更流畅。
她向法治周末记者展示了某品牌线下活动的预约界面。记者注意到,在该界面“提交预约”按钮上方,共有“本人同意将本人的个人信息用于统计分析和剖析”等五项关于个人信息处理的条款。每一条款前,都设置了可供用户勾选的方框。
“这样的做法就比较明智。”冯清清评价说。
她建议,面对个保法提出的单独同意要求,企业首先应该根据自身典型业务场景,梳理好可能触发单独同意的情况。其次,评估单独同意的时间点,确保在用户实际进入对应业务场景时再触发,避免因提前申请授权而构成“过度索权”。再次,选择合适的操作方式。比如,手机App、小程序等产品可以选择在线上以弹窗方式获取用户单独同意,而在门诊体检、汽车购销等线下场景,企业采取签署纸质授权书、扫码填表等形式则更为便捷。
就数据营销而言,冯清清观察到,企业在合规方面的行动变得更加积极主动。“今年,有客户在开通云存储服务、授权第三方运营产品时,会有意识地在合同中加上关于数据风险和个人信息保护义务上的约定。”
“有的企业做完合规后,业务并没有减少,反而是增加了。”她解释说,虽然这不一定是合规的功劳,可能是企业增加营销费用带来的效果,但也说明一个问题——合规并没有让企业“做死”。事实上,个人信息保护法并不仅以保护个人信息权益作为唯一的价值取向,国家利益及公共利益的维护、个人信息的合理使用同样是法律实务中需要关照的价值。
就单独同意原则对个性化广告推送的影响,吴沈括提醒,在个人信息保护法中,除了单独同意之外,还有其它六种例外情形。“这些例外情形其实也是一种创新的契机。”
“真正的挑战”尚未到来
法治周末记者采访了多位北京居民,提及对平台采集、使用个人数据用于营销信息推送等需要单独同意的情形,他们均表示“不会同意”。
其中,保险从业者刘杰说,自己惧怕个人信息被不恰当地利用,进而给工作和生活带来一定风险。她认为,个人信息滥用早已经不是新鲜事,“不然那些针对孩子家长的推销电话是哪儿来的”?
尽管有过个人信息可能从某平台流出的经历,但刘杰只是对此表示“恶心”,并称再也不会使用该平台。“我想起诉,但没时间,成本太高了。”
吴沈括介绍,如果企业未能获得用户的单独同意而向用户推送广告或有其他需要用户单独同意的行为,我国法律为用户提供了三种救济途径:通过社会组织获得社会救济;通过行政机关获得行政救济;直接向法院起诉。
他特别强调,公益诉讼以其专业性、公正性、中立性、高效性,在个人信息保护中能够发挥重要作用。“期待最高人民法院在个人信息侵权司法解释中能作出进一步的制度设计。”
提及单独同意原则对数据营销的影响,上海交通大学数据法律研究中心执行主任、上海交通大学法学院副教授何渊以苹果改变隐私政策事件作类比。
“就一些个性化广告而言,本身其针对的是某一个群体的特定标签,并不针对个体。也就是说,它们是没有办法直接被推送到用户手机的。关键在于,要让广告匹配到手机的识别符。去年,苹果提出手机识别符属于个人信息。这意味着如果要推送广告,就必须以弹窗形式明示用户。而大部分用户不接受广告推送,这导致美国广告行业损失惨重。巨头如脸书(已改名为Meta)一下子丢掉了三分之一的广告费。”
不过,何渊认为,对欧美企业而言,它们需要面对的“杀手锏”并非用户同意,而是集体诉讼。“我国法律并未规定个人信息保护诉讼中的最低赔偿,而是根据实际损失进行赔偿。因此,相比欧美企业,中国企业在个人信息保护方面的真正挑战还没有到来。”
专家质疑“用技术突破法律”
2020年,骆雄章所在的公司有意收购一家濒临破产的隐私计算公司,但最终作罢。不想,到了今年,这家公司一下子站到了“风口”,估值达数亿元。哪怕是刚起步的隐私计算公司,融资时也至少能拿到两三千万元。
有人认为,隐私计算公司的金字招牌——隐私计算技术,能够在保护数据本身不对外泄露的前提下实现数据分析计算,做到数据的“可用不可见”,这就绕过了单独同意原则,从而大大降低了企业的合规成本。
对此,何渊并不认同:“从法律的角度上来说,只要使用了数据,就是产生了数据的共享行为,也就需要获得用户的单独同意。”
而要获得用户单独同意,不是没有办法,只是企业的合规成本会相应提高。“用隐私计算技术去突破个保法的相关规定,这条思路是不对的。应该思考的是,如何将单独同意的成本降低?”
何渊进一步指出:“数据进入交易之前,都需要对其进行‘安检’。包括数据来源、持有者是否合法等,应由法律专业人士一一查证。”
“让用户也能享受数字经济的红利”
冯清清告诉法治周末记者,在国际视野下,中国的个保法提出的单独同意,堪称同意规则中最为严格的规定。
具体而言,个保法的同意模式是“选择-加入”(opt-in),即以个人同意作为数据处理的合法性基础,在此项下明确规定了单独同意的适用情形。
而欧盟GDPR(《通用数据保护条例》)采取的虽然也是“选择-加入”(opt-in)模式,但没有明确规定单独同意,只是对同意的有效性提出了实质要求,比如自愿、明确、充分知情。
美国加利福尼亚州的CCPA(《加州消费者隐私法》)和CPRA(《2020加州隐私权法》)则以“选择-退出”(opt-out)为主要模式。即除非用户拒绝或退出,否则企业可以继续处理用户的个人信息。
“如果询问用户,是否同意被平台追踪进而使用其个人数据,我估计百分之百的人都不会同意。”何渊坦言。而在数据经济领域,最成功的应用就是广告。一旦用户选择关闭广告推送,意味着平台广告收入锐减。
对此,他提出,将部分广告收益与用户共享或许是一种解决方案。“一方面,个人信息能得到更好的保护,另一方面,用户也能享受数字经济的红利。”何渊说,“巨头公司在数据世界中已经得到了很多。用户和企业不一定形成对立,还可以进行合作,比如以数字税、数字费的形式。在企业和用户之间,不能是零和博弈。”
何渊介绍,在欧美国家,已经出现了一些数据信托机构,它们能够代表个人与企业就数据的收集和应用进行合作洽谈。
此外,韩国政府也已经推出了MyData(意为“我的数据”)计划,希望借此推动金融领域的数字化进程。通过MyData计划,相关金融服务提供商可以根据消费者的要求收集和分析分布在不同领域的个人数据,并打造定制化服务和产品。
“我认为,未来,用户与企业实现利益的共赢是完全可能的。关键在于,如何用技术保障个人信息安全的情况下,在制度方面进行创新。”何渊说。
本文来自微信公众号:法治周末报(ID:fzzmb01),尹丽(法治周末记者)、薛佳莹(法治周末见习记者),责任编辑:马金顺