点击右上角微信好友

朋友圈

请使用浏览器分享功能进行分享

正在阅读:《个人信息保护法》1周年:构建基于规范和信任的数据处理关系(上)
首页> 专题频道 > 正文

《个人信息保护法》1周年:构建基于规范和信任的数据处理关系(上)

来源:数据安全共同体计划2022-11-15 15:47

  作者:高震 抖音集团 数据及隐私法务副总监

  *本文仅代表作者个人观点,不代表所在单位及本公众号立场。

  《个人信息保护法》对于加强个人信息保护法制保障、维护网络生态以及促进数字经济健康发展均具有重大意义,在法律施行一周年之际,笔者作为一位普通数据合规实务工作者,也是作为一位普通的“用户”,尝试从对“数据生态关系”的认识出发,对法律规范的解释提出个人理解,并倡议通过围绕塑造“信任”来实现对个人信息主体的真正尊重和保护。限于篇幅,论证不足之处欢迎各位同仁一起探讨;谬误之处,也望诸位同仁指正。

  一、以“共生”关系看待数据生态格局

  个人信息保护领域的立法和执法实践,始终伴随着“信息安全焦虑”的底色:严重的个人信息安全事件可能成为诈骗、敲诈勒索罪等犯罪的源头,用户在享受移动互联网和智能软硬件服务所带来便利的同时,也因为遭遇营销打扰、大数据杀熟、隐私泄露等问题而对个人信息的收集、使用和流转产生而滋生诸多焦虑。

  受传统资源生态关系中“增加——减少”的线性思维的影响,这种焦虑一方面在潜移默化中营造了用户心中“公开与私密”、“数据收集者与个人”与的二元对立逻辑,另一方面自然地生发出了“控制”的愿望,用户希望能够自己控制和支配数据的流转甚至留存与否。在实践中,这种控制的愿望在数据处理活动的起点——“收集”环节上,引发了用户个人信息的“守卫战”:抵触“被迫交付”个人信息,例如反感“APP不同意隐私政策就不能用”、“不给权限就不能用”,在高度紧张的防御心态下对APP的收集信息的时机和方式采取恶意假设,例如质疑APP“偷偷监听”等等。

  基于传统生态关系的思维惯性所影响的并不仅是个人利益视角下的立场,在更宽泛的维度上也不例外。有一种观点把“数据”比作“石油”,这个观点首要逻辑在于肯定数据的经济价值,而当我们着眼基于“数据”的市场生态格局时,需要避免把这个比喻做扩大化理解:数据并不同石油或传统的“资源”一样,在生态的各主体之间处于近似零和博弈下的此消彼长的二元对立格局

  数字经济时代,数据具有“资源”价值,但数字市场的核心并非仅仅是对数据及其流动的控制,市场主体间的主格局也不是“此消彼长”的二元对立,而更在于在兼顾权益保护的基础上通过数据创造更大的价值。个体、企业、社会乃至国家都是这个市场的参与者、受益者和利益攸关者。例如,我们可以通过大数据分析和自然语言处理解决信息过载与虚假信息,我们可以通过数据分析去发现潜在的产品安全风险,我们还可以通过疾病、医疗数据的共享使用,促进人类健康的总福祉。在采取有效保护机制的前提下,数据的收集、使用并不必然代表个体利益的减损,个体信息的绝对高度保护也不代表社会总福祉的整体增加。

  过去,个人信息保护与数据权属的讨论通常是围绕在传统法律结构体系下围绕人格权、所有权、知识产权以及竞争法等领域进行延展的,而在数字社会与数字经济下,可能更需要在全新的环境中去构建讨论的基础。当然,我们也会清醒的看到数据的过度收集和不当使用会侵犯数据主体的基本权利,也会带来诸如自动化决策造成的不确定性的影响。也正是因为这种现实的风险,我国构建了以《个人信息保护法》为基础的个人信息保护法律体系。《个人信息保护法》构建了一套以“知情-同意”为导向,以“合法公平”、“安全可信”等原则为核心,以“问责制”为基础的框架体系,以“保障公民的人格尊严和其他权益”为价值导向。其立法目的并非赋予个体对于其个人信息的控制性或支配性权益,既包括“规范个人信息处理活动”,也包括“促进个人信息合理利用”。笔者认为可以理解为立法理念层面对数据生态“共生”关系的回应。

  大数据确实重塑了传统社会的格局,而对于数据权属、个人信息保护等可能只有确认了个人、企业、社会、国家之间的共生关系,才可以在一个话语体系下去构建数字权利与权益规则,而这个规则可能并不能直接从原有的规则架构中找到完全契合的切入点,承认现有体系的局限性,不固守定式规则,在实践中的每一个个案中寻找相对可接受的权利切分边界,可能对于我们从业者而言是更加务实的态度。

  二、以“规范”为准绳,明确个人信息保护的路径和依据

  “个人信息处理活动”是《个人信息保护法》的规范对象,明确法律的内涵和标准,对于个人信息处理者践行规范要求具有直接意义。笔者选取了三个对实践具有重要影响的相关规范,谈谈自己的理解和未来法律适用的建议,篇幅原因其它规范不再赘述。

  1.关于“匿名化”的标准:基于风险判断有效性

  作为促进数据合理利用的重要支撑之一,《个人信息保护法》规定个人信息不包括匿名化处理后的信息,并在第七十四条提供了匿名化的定义“匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。”

  然而,“个人信息”的定义中的“可识别性”标准决定了个人信息具有极为广泛的外延,于是,判断匿名化的达成标准成为了实践中的一大难题。如果采取“绝对”不可识别的标准,意味着个人信息处理者要跨越时间、空间、主体等多重因素来判断,似乎是一种“薛定谔” 的匿名,即个人信息处理者无从确切地知道其匿名化是否符合了要求,因为一个处理者评估认为不可识别的信息,可能会因为技术进步或者其他处理者悬殊的成本投入能力而变得具有可识别性,甚至即使这个重识别性非常渺小。

  对匿名化采取绝对性标准,可能会在实践中架空匿名化规则的适用,阻碍个人信息的合理利用和数字经济的有序发展。

  在目前尚为数不多的司法实践中,广州互联网法院在(2021)粤0192民初928号案件判决中写道“在技术高度发达的时代,任何信息理论上都可能被还原为可识别特定自然人的信息,但是在论证是否构成个人信息时,法院会对可实现概率予以评判,避免不当地扩大个人信息保护范围,限制商业交易的市场自由”。借鉴域外经验,欧盟法院在“布雷耶案”(Breyer Case)中认为,“如果识别数据主体的行为本身被法律禁止或实际上不可能(例如它需要在时间、成本和人力方面付出不成比例的努力),那么识别的风险实际上是微不足道的。”以及结合英国信息专员办公室(ICO)正在组织征求意见的匿名化指引,笔者建议,在法律解释层面界定“匿名化”的标准时,宜从风险视角出发,以“有效性”为导向,采取相对化的判断路径,包括:

  (1)在“个人信息”和“匿名化”的二元对立结果之间,根据具体的数据类型和处理场景,综合考虑可识别性的风险大小以及重识别对个人信息主体的影响。

  (2)评估相关技术的可能性时,集中在现有、实际可用的技术上,而非未来可用的技术上。

  (3)评估现实的成本收益比,以一般理性人视角衡量实际的识别动机。

  (4)法律和监管规范的限制。

  (5)个人信息处理者采取合理的努力防止重标识。

  2.明确构建“共同处理”关系是否以原因关系为要件

  2.1 司法和监管对“共同处理”的宽泛判定,并不意味着个人信息处理者可以随意地主张“共同处理”关系

  从域外视角看,GDPR没有对“共同控制者”的判定条件做过多的限制,欧盟法院对“共同控制”的判定规则实际非常宽泛,在一些判决中(如Wirtschaftsakademie 案、Jehovah's Witnesses案、Facebook Fanpage案)“未实际访问、持有数据的主体”,以及“看似受托处理数据的主体”,被判定与直观上的数据控制者一起构成用户个人数据的共同处理。相关判决认为,将在某一个处理活动中原本看似不具备控制者地位的主体判定为共同控制者,有利于数据主体行使权利(包括数据主体权利,也包括诉讼、索赔的权利),也有利于监管问责,由此形成对数据主体更好的保护。这在本质上是一种“责任的升格”逻辑,这种宽范的认定标准并非是为了给予企业间的个人数据流转提供合法性基础方面的豁免。

  中国监管和司法对数据处理关系的判定标准可能会与欧盟存在或多或少的差异,但为了更好地实现个人信息的保护目的,中国法下的实践也很可能会采取“责任升格”的底层逻辑。因此,当企业拟构建或主张某一种数据处理关系时,必须认真区分是否有构成更高责任类型关系的可能。

  2.2 建议明确构建共同处理关系可能需要具备正当必要的原因关系

  个人信息的共同处理不属于“民事法律关系”,法律也尚未明确规定构建需要具备“原因关系”(这里是指导致个人信息处理者共同处理个人信息的基础法律关系)。但这并不意味着处理者可以任意界定数据合作类型。

  根据《个人信息保护法》第20条,判断是否属于共同处理者的条件是:共同决定个人信息的处理目的和处理方式。而根据本法第23条,当个人信息处理者发生“提供”个人信息的行为,应当取得个人信息主体的单独同意。如果两个企业自以为构建了共同处理关系而未征求用户的单独同意,后在监管、司法层面被认定为缺少“原因关系”而属于“提供”而非共同处理关系,则企业可能面临刑事责任(《刑法》第二百五十三条之一侵害公民个人信息罪)。推测监管或司法会在这类场景中主张“原因关系”的构成要件地位是因为:《个人信息保护法》总则的第五条规定“处理个人信息应当遵循合法、正当、必要和诚信原则”,作为“总则”章节的内容,该规定除了适用于“数据处理活动”,在上述“责任升格”逻辑的思维下,还可能被监管和司法部门在个案实践中解释为规范处理者之间“合作类型”(处理者关系)的原则性要求。这意味着,个人信息处理者之间的“原因关系”也应当符合前述原则,即拟主张构成共同处理关系的企业之间应正当必要的基础合作关系,通常是共同经营、提供产品或服务,而不是脱离服务关系的基础而单独主张个人信息的共同处理。

  上述分析仅是笔者个人分析,并且是在“以强调保护个人信息权益为侧重”的理念下的或然性推演,个人信息处理活动的实践中,企业、司法、监管各方的理解可能存在明显差异,在未来的法律解释层面明确共同处理的构成要件,对于正确引导和调整企业的经营行为至关重要。

  3.细化个人信息请求权规则

  《个人信息保护法》第四章规定了个人在个人信息处理活动中的各项权利,并且明确个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。然而,在相关请求和诉讼救济中,如何对个人信息权益与企业的合法利益进行平衡,以及如何设定科学合理的救济程序,仍需进一步在规范解释层面予以明确。一方面可以为用户创制清晰的预期,充分了解其权益的指向和边界;另一方面也为企业提供清晰的操作路径,让法律的保护真正落地。

  首先,在实体权利方面,鉴于个人信息权利并非一项绝对权,尤其在市场经济主体间关系的背景下,应当考虑企业合法且合理的商业利益与用户合法权益、以及个人之间合法权益的兼顾与平衡:

  (1)综合考虑用户权益影响程度与企业合理成本:鉴于个人信息外延的巨大包容性,以及网络时代个人信息的广泛存在性,并非针对所有的个人信息类型都应给予一刀切的保护尺度。当从合理视角判断,权利主张所涉数据类型对于数据主体的价值较低,但却给企业造成较大成本时,应当允许企业拒绝或延迟响应。例如APP的性能日志由较多的技术参数构成,大多数用户访问这些日志并无实际意义(甚至无法理解这些数据),个别用户坚持主张查询、复制这些信息,甚至为此提起诉讼,会给企业带来巨大成本负担,也是对司法资源的挤占。

  (2)数据安全风险的控制目的:允许企业为合理鉴权目的收集数据,即使这些数据可能是超过用户使用服务时提交范围的。

  (3)操作的可实现性:例如用户要求将在A内容平台的“收藏夹”内容转移到B平台,但一方面两个平台的内容、作者均不一致,另一方面作品可能并非标品,技术上无法传导或传导后无法提供播放。

  (4)存在潜在权利冲突的场景,需有更具体的规则指引,死者与其近亲属之间可能在人格权益(隐私、尊严等)方面存在权利冲突,死者在精神、智识层面的私密性数据,如聊天记录、日记,不适宜一概提供给近亲属,避免死者“精神走光”。同时,在救济程序方面,建议明确用户寻求司法救济应当满足前置程序,并适当明确前置程序的方式。比如,用户应当是在向企业官方公布的个人信息保护沟通的专用渠道提交申请,并在拒绝后诉诸司法救济。若即便企业提供了专用行权渠道,仍支持用户略过向企业的请求环节而径行起诉,或者以非专业沟通渠道(如销售客服)的答复作为直接提起诉讼的依据,将造成对诉讼资源的极大浪费。

  *本文整理自作者在数据安全共同体计划(DSC)、CCIA数据安全工作委员会、数据保护官沙龙(DPO)联合举办《<个人信息保护法>实施一周年暨个人信息保护影响评估常用工具表意见征求研讨会》上的发言。

[ 责编:孔繁鑫 ]
阅读剩余全文(

相关阅读

您此时的心情

光明云投
新闻表情排行 /
  • 开心
     
    0
  • 难过
     
    0
  • 点赞
     
    0
  • 飘过
     
    0

视觉焦点

  • 南铁迎来返程客流高峰

  • 湖南长沙:节后招聘求职忙

独家策划

推荐阅读
素有“魔鬼城”之称的大同土林,是经过数万年第四系上更新统马兰组和第四系下更新统泥河湾组共同演变形成的奇特地质地貌。
2023-01-28 17:31
2023年1月26日,福建省福州市非遗展示馆,畲族演员现场舞蹈展演。该展示馆推出了畲族非遗、传统纺织技艺、现场舞蹈展演等迎新春活动,邀市民、游客共庆新春佳节。
2023-01-27 07:52
2023年1月24日,浙江省台州市临海市紫阳古街热闹非凡,吸引了广大市民和游客前来观光游览,乐享春节假期
2023-01-27 07:47
内蒙古乌兰察布:雪后火山别样美
2023-01-25 16:37
兔年的中国“味道”
2023-01-24 17:12
欢乐的节日
2023-01-23 17:40
2023年1月21日,祁连山国家公园甘肃省张掖段肃南片区雪后美景。一场降雪过后,祁连山国家公园甘肃省张掖段肃南片区,远处的巍峨祁连山脉被皑皑白雪层层包裹,苍松翠柏,矗立其间,雪后草原,分外妖娆。
2023-01-23 11:22
2023年1月19日,雪霁初晴的甘肃省张掖七彩丹霞景区,在晨光照耀下,丹山沟壑明暗鲜明、韵律奇妙、唯美如画。
2023-01-20 09:31
2023年1月18日,郑州北车辆段熔接工正在对货车车辆配件进行切割作业。
2023-01-19 10:03
2023年1月17日晚,山西省运城市“关公故里中国年”盐湖七彩灯会在河东池盐文化博览园中禁门广场举行
2023-01-18 09:54
 2023年1月15日,全球首架C919国产大飞机抵达青岛胶东国际机场进行验证飞行。
2023-01-16 18:36
2023年1月14日,“一眼千万年——世界琥珀艺术展”在广东省博物馆开展。该展精选700余件琥珀原矿、虫珀、植物珀、琥珀雕件、琥珀饰品、琥珀文物和琥珀艺术品,配合馆藏动植物标本,讲述琥珀的形成、分布、分类等有关科学和人文知识。
2023-01-16 10:25
2023年1月15日,云南省红河哈尼族彝族自治州蒙自市花卉市场品种繁多,购销两旺,不少市民到这里选购鲜花,迎接新春佳节的到来。
2023-01-16 09:21
2023年1月13日,江西省吉安市吉州区庐陵文化生态园色彩斑斓,呈现出赏心悦目的冬日美景。
2023-01-15 10:46
2023年1月12日,安徽省马鞍山市雨山区人武部依据《军队功勋荣誉表彰条例》,联合军地有关单位举行“送立功喜报”仪式,向二等功臣江伟家送去“二等功之家牌匾”、立功喜报和立功奖励金,营造了“崇尚荣誉 建功军营”的浓厚氛围。
2023-01-13 11:26
2023年1月12日,国家统计局数据显示,2022年全年全国居民消费价格指数(CPI)比上年上涨2.0%。工业生产者出厂价格指数(PPI)比上年上涨4.1%。从12月份当月看,CPI同比上涨1.8%,涨幅比上月扩大0.2个百分点;PPI同比下降0.7%,降幅比上月收窄0.6个百分点。
2023-01-12 17:45
2023年1月11日凌晨,中国铁路郑州局集团有限公司干部职工利用高铁“天窗”,对济郑高铁郑州万滩黄河公铁大桥进行全面检查养护作业
2023-01-12 10:19
2023年1月9日,游客在重庆市沙坪坝区的磁器口古镇游览。春节将至,千年古镇磁器口景区,熙来攘往、游人如织
2023-01-12 10:16
2023年1月10日,在湖南省郴州市安仁县,南华大学第一临床学院的研究生开展送医送药下乡的志愿者活动,他们走村串户给当地老百姓检查血压、血氧饱和度,开展义诊服务,送去健康关怀。
2023-01-11 10:19
加载更多