仵姣姣:企业数据合规有新章程,六个方面读懂《个人信息保护法》
十三届全国人大常委会第三十次会议8月20日表决通过《中华人民共和国个人信息保护法》(下简称《个人信息保护法》),自2021年11月1日起施行。《个人信息保护法》立足于数据产业发展的实践和个人信息保护的迫切需求,完善了我国数据合规领域的法律体系,更为全面地保障个人权利。市场参与者要按照即将生效的《数据安全法》和刚刚通过的《个人信息保护法》要求,加快数据安全治理体系建设。相比一审草案和二审稿,在最终通过的《个人信息保护法》中,主要有以下亮点和变化:
一、明确了个人信息处理的合法基础
《个人信息保护法》列举了个人信息处理的合法基础包括“取得个人同意;为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;为履行法定职责或者法定义务所必需;依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”等,总体而言采取了优先保护个人权利和社会公共利益的路径。与国际立法相比,个人信息处理者的合法利益本身不能构成授权同意之外的合规基础。对一般市场参与者而言,主要的数据处理合规基础即为授权同意、合同必需和在合理范围内处理已公开的信息。
对授权同意而言,尽管仍存在授权同意能否真正保障个人信息主体的知情权、授权同意流于形式、强势一手数据源为后续数据流转的参与方带来权利瑕疵“原罪”等问题,实践中已逐渐形成一定程度上的行业最佳实践,例如采用交互式弹窗的形式在用户使用特定功能时逐一获取该功能必需的数据,明确列出数据共享的目的及合作方名单,在隐私协议条款前简要介绍核心条款等。因此,在平衡法律要求、用户体验和保障消费者知情权方面,行业逐渐开始摸索出一套较为成熟的合规实践。
对合同必需而言,合同必需的原则与最小必要原则密切相关。因此在获取数据之前,市场参与者需要区分产品服务的核心功能和附加功能,审慎衡量获取的数据类型是否是提供相关产品和服务的必要前提。
对处理已公开的信息而言,《个人信息保护法》也在附则对其含义进行了进一步的明确。市场参与者可能需要评估个人信息主体公开信息的具体途径、目的、预期公开程度、数据使用目的是否超出个人信息主体的合理预期等因素。由于该合规基础的模糊性较大,相对而言也会存在更多的合规隐患。
二、为个人赋予撤回同意的权利
考虑到实践中普遍存在的不支持注销账户、撤回同意投诉无门等问题,《个人信息保护法》要求个人信息处理者提供便捷的撤回同意方式。就“便捷”而言,依照相关国家标准的精神,其便捷程度宜与给予授权的便捷程度相对等。此外,《个人信息保护法》明确撤回同意不影响撤回前基于个人同意已进行的个人信息处理活动的效力。由于数据存在极强的可复制性,个人信息主体在给出首次授权同意后,对于姓名、身份证号、手机号、地址等相对静态的信息很容易失去控制权。即使在撤回同意后,个人及每一环节数据处理者也很难控制数据的后续流转。相比而言,更容易落地的是行为类数据,相关数据处理者需要确保在个人信息主体撤回同意后,相关数据被终止收集,必要时也需要对其进行删除或匿名化。
三、将不满十四周岁未成年人的个人信息列入敏感个人信息
针对实践中儿童早已成为在线教育、线上游戏、视频网站和社交产品的用户群体之一,《个人信息保护法》明确要求将不满十四周岁未成年人的个人信息作为敏感个人信息加以保护。因此相关数据处理者可能需要更改内部数据分级分类的标准,依照我国法律和相关标准对敏感信息的要求对涉及的不满十四周岁未成年人的个人信息进行特别保护。此外,《个人信息保护法》也要求个人信息处理者对其制定专门的个人信息处理规则。具体而言,处理规则的内容可能会涉及确认用户年龄的实现方式、确认监护人授权同意的实现方式、针对儿童群体准备专门的个人信息保护文本和用户协议、未成年人发布信息内容的提示和保护义务、推送内容的管理机制等。同时,对于面向普通公众提供产品和服务的运营者而言(如搜索服务),是否与专门针对儿童提供产品和服务的运营者在儿童个人信息保护领域的要求有所区分仍有待理论和实践的进一步探索。例如是否需要额外收集用户的年龄信息从而将儿童从全部用户群体中识别出来,此类要求与最小必要原则如何适配等。
四、针对自动化决策提出明确要求
针对用户画像、“大数据杀熟”等问题,《个人信息保护法》立足于维护广大人民群众的网络空间合法权益,充分吸收了成熟国家标准与行业实践的内容,从算法伦理、数据获取、数据使用、风险评估和日志记录的方面对自动化决策进行了规制。
在算法伦理层面,《个人信息保护法》要求数据处理者保证决策的透明度和结果公平合理。参照国际立法的实践,数据处理者可能需要在用户协议中向用户简明介绍算法的基本逻辑和对用户权益的影响,不得通过自动化决策对个人在交易价格等交易条件上实行不合理的差别待遇等。
在数据获取方面,《个人信息保护法》要求数据处理者在进行商业营销、信息推送时给予用户拒绝的权利。
在数据使用方面,提供不针对个人特征选项的信息推送可能要求企业对自身的商业模式进行调整,如在自动化决策推荐算法之外,为用户提供单纯依照点击量、发布时间等统计结果的选项。
在风险评估方面,要求数据处理者在事前进行风险评估,具体的内容可能包括自动化决策系统在准确性、公平性、歧视、隐私和安全方面的影响(包括训练用数据的影响),并对影响评估中的问题予以纠正。
在日志记录方面,要求数据处理者对数据的处理活动进行记录等。
五、全面规范个人信息跨境的规则
《个人信息保护法》设置专章对个人信息跨境提供的规则进行了全面的规范,与《数据安全法》《网络安全法》形成了完善的法律体系衔接。其中值得注意的是,在境外司法或执法机构要求提供境内个人信息时需要经过主管机关的批准。由于在实践中国际礼让原则逐渐式微,跨国企业可能会在国际诉讼中面临两难处境。因此,也有待后续立法进一步明确批准提供证据的具体主管机关、批准程序和时限等内容,更好地维护我国跨国企业在国际法律纠纷当中的利益。
六、明确个人信息侵权行为的归责原则为过错推定
《个人信息保护法》明确了当个人信息权益因个人信息处理活动受到侵害时, 个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。换言之,个人信息处理者如果不能证明自己在数据处理、数据保护中不存在过错,将在诉讼中面临一定程度的败诉风险。
>相关《仵姣姣:企业数据合规有新章程,六个方面读懂《个人信息保护法》》内容:
1、 商品期货历史数据下载:期货信息怎么收集?
纽约商品交易所的黄金期货买卖是由交易所营业时间内的公开叫价交易时段和交易所收市后的电子交易时段所组成。传统的公开叫价时间内的报价由于是由出市代表叫喊,人为的流程会令市场价格较为波动。在电子交易时段内,因为交易所是以自动配对的方式将市场内...【继续阅读】
2、 OYO宣布招聘2名工程和数据科学高级领导者
全球旅游技术平台 OYO 周三表示,将任命两名新的工程和数据科学高级领导人。 Nirdosh Chouhan 从 Apple 加盟,担任 OYO 的工程高级副总裁。Kranthi Mitra Adusumilli 之前在在线食品配送公司 Swiggy 工作,他将成为 OYO 的高级首席数据科学家。 Chouhan 将...【继续阅读】
3、 舍得做客《陆家嘴对话》,与企业大咖共同探讨品牌背后的东方美学
理财鱼小提示:舍得做客《陆家嘴对话》,与企业大咖共同探讨品牌背后的东方美学 2021 年年底,第十届上海高级定制周在沪举办。期间,由中国金融信息中心、上海证券报、上海石油天然气交易中心共同出品的高端访谈节目《陆家嘴对话》围绕主题“以东方美学助力上海...【继续阅读】