(网经社讯)2020年10月13日,十三届全国人大常委会第二十二次会议第一次审议了《个人信息保护法(草案)》(以下简称草案)。虽然近年来我国个人信息保护力度不断加大,但在现实生活中,一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人⺠群众生活安宁、危害人⺠群众生命健康和财产安全等问题仍十分突出。在信息化时代,个人信息保护已成为广大人⺠群众最关心最直接最现实的利益问题之一。本草案共计8章70条,但是对行业却有着重大影响,以下几点思考,仅供大家参考。
一、个人信息的定义
个人信息的定义在⺠法典与网络安全法中基本相同,业内称之为“识别”路径(即用识别作为标准来判断是否构成个人信息的方法),在两高司法解释与个人信息安全规范中的定义却在识别路径的基础上,增加了“反映自然人活动情况的各种信息”,业内一般称之为“识别+关联”路径。显然,后两者的定义比前两者更宽泛。再来看草案的定义:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。草案采用的是识别+关联路径。由于关联信息的范围极广,几乎没有限制,所以采用识别+关联路径后,个人信息的范围将会非常宽。
例如有些信息通常情况下并不能与个人信息相关联,但是在某些特殊情况下也许会与个人信息相关联,被纳入个人信息的范围。同理,个人信息与敏感信息的分类分级也不能只是参照《个人信息安全规范》,不同的个人信息可能会因为某些情形提高或降低敏感程度。另外个人信息并不单单只是电子信息,也可能存在于纸质上,甚至一瓶血液也属于个人信息,所以草案的适用范围其实非常广泛。
二、个人信息控制者与个人信息处理者
从GB/T 35273-2017《个人信息安全规范》到GB/T 35273-2020《个人信息安全规范》的定义中均使用了个人信息控制者的概念,只是将有权决定修正为了有能力决定,大部分人都认为中国可能也会参照GDPR的“控制者-处理者”概念,包括ISO/IEC 27701 隐私信息管理体系中也是区分控制者和处理者。已经开展合规的公司也都是参照了GDPR和ISO/IEC 27701进行的整改。很多公司也希望通过认定自己是处理者的身份来降低合规成本及法律责任。
但是到了民法典又引入了新的概念,“个人信息控制者”这一概念并没有出现,相反,提出了“信息处理者”。此处理者非彼处理者。虽然民法典未作定义,但是结合条款,或许一旦有收集、存储、使用、加工、传输、提供、公开等个人信息的行为,就会被认为是处理者。相较于欧洲数据保护法框架下的处理者,显然所指向的范围宽泛的多,几乎不在区分控制者与处理者。
草案延续了民法典的做法,使用了“个人信息处理者”,并给出了定义,指自主决定处理目的、处理方式等个人信息处理事项的组织、个人,此定义又与《个人信息安全规范》中的“个人信息控制者”概念相似。
所以以后对公司“控制者-处理者”的认定,应结合不同法域下法律的规定,判断公司在当地的角色。公司应根据依据不用法域下的法律法规及与合作方的协议约定,确定公司需要履行的法律义务。
例如在疫情期间,理发店基于政府的要求,收集进店人员的信息,理发店并不属于“个人信息处理者”。按照草案的要求,政府应与理发店约定委托处理的目的、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对理发店的个人信息处理活动进行监督。
三、个人信息保护与数据安全
根据《网络安全法》关于个人层面的信息保护要求,应该做到数据安全+个人的信息控制权利+网络运营者等相关方尊重个人控制权利的义务。但是大部分公司现阶段对个人信息保护的理解还停留在数据安全的维度,希望通过技术手段,解决所有个人信息保护的问题。实践中仍然需要增加对个人信息主体权利的保护及满足个人信息权利的义务。草案进一步明确了个人在个人信息处理活动中的各项权利,包括知情权、决定权、查阅权和复制权、更正权、删除权、解释权。个人信息处理者的义务除了安全保障义务外,还应当包括设置信息保护负责人、合规审计、风险评估、泄露补救措施等。
另外,安全与隐私在实践中也可能存在矛盾,比如为了保证安全可能会收集手机设备号,或者使用人脸识别技术,但这样做也有可能侵犯了个人隐私,所以在具体操作中应当综合考虑各种因素,根据个人信息影响评估作出最终的方案。
四、匿名化“陷阱”
在杨合庆主编的《中华人民共和国网络安全法解读》中,将个人信息去匿名化的重任,交给了国家标准:“对个人信息匿名化处理的具体规则和技术要求等,本条未作具体规定,应当遵守有关标准和技术规范要求。”
但在实践中并没有绝对的匿名化技术,国标也只有去标识化指南,并没有匿名化指南。甚至在草案中也提到了个人信息处理者向第三方提供匿名化信息的,第三方不得利用技术等手段重新识别个人身份,似乎也与匿名化的定义个人信息经过处理无法识别特定自然人且不能复原的过程有矛盾。
公司想要通过匿名化的途径来减少法律责任的方法并不行得通。比如在2006年,美国流媒体平台Netflix举办了一个预测算法的比赛(Netflix Prize),比赛要求在公开数据上推测用户的电影评分。Netflix 把唯一识别用户的信息抹去,认为这样就能保证用户的隐私。但是University of Texas at Austin 的两位研究人员表示通过关联Netflix公开的数据和IMDb网站上公开的记录就能够识别出匿名后用户的身份。在中国,也有公司将个人地理位置添加噪声后出售给催收公司,被公安机关认定为构成侵犯公民个人信息罪。
最后,《个人信息保护法(草案)》不仅仅是一部法律,也是《网络安全法》中重要的一项制度,同时,《个人信息保护法(草案)》与《国家安全法》《⺠法典》《刑法》《数据安全法》以及更多的法律法规、行政法规、部门规章、司法解释、国家标准共同组成我国网络安全与数据保护法律体系。而在大数据信息时代,如何平衡好保护个人信息和维护公共安全的关系也需要在实践过程中不断探索与检验。
作者介绍:
孙鹏程
浙江省法学会网络法制研究会理事
主要领域:擅长互联网、金融领域。
陈思
北京大成(杭州)律师事务所 合伙人
杭州市律协互联网信息专业委员会秘书长
清科集团沙丘创业中心特聘导师
浙江省法学会网络法制研究会理事
主要领域:擅长社交电商企业合规、互联网、金融领域