RM新时代平台足球

資料圖。圖/unsplash 

2021年，數據安全和個(gè)人隱私保護成為關(guān)鍵熱詞。

今年6月在首都機場(chǎng)三號航站樓兩名粉絲聚集尾隨跟拍某明星乘機，同時(shí)非法獲取100余條明星身份及航班信息，并在微信群中轉發(fā)。一時(shí)間，個(gè)人隱私保護又成為輿論關(guān)注的焦點(diǎn)。

近日，北京朝陽(yáng)區法院對上述案件作出判決，兩名粉絲被以侵犯公民個(gè)人信息罪依法分別判處拘役5個(gè)月、緩刑5個(gè)月，拘役4個(gè)月、緩刑4個(gè)月。

這是11月1日《中華人民共和國個(gè)人信息保護法》生效以來(lái)涉及個(gè)人隱私保護的一個(gè)較為典型的案例。

此外，11月14日，國家網(wǎng)信辦發(fā)布關(guān)于《網(wǎng)絡(luò )數據安全管理條例（征求意見(jiàn)稿）》（以下簡(jiǎn)稱(chēng)《征求意見(jiàn)稿》）公開(kāi)征求意見(jiàn)的通知。

《征求意見(jiàn)稿》融合了關(guān)于個(gè)人信息保護和數據安全的法律法規，以更加清晰精煉的方式，對一系列信息隱私保護、數據安全的法律進(jìn)行總結歸納，提高了法律的可行性和可理解性。

這些法律的出臺或修訂，無(wú)論是對國家、產(chǎn)業(yè)，或是企業(yè)、個(gè)人都將產(chǎn)生深遠的影響。相關(guān)行為主體如何在新規則之下兼顧發(fā)展與數據安全、隱私，將是決定其未來(lái)競爭力的關(guān)鍵。

相關(guān)法律完善下仍存在行業(yè)性、結構性風(fēng)險隱患

中國社會(huì )科學(xué)院法學(xué)研究所民法研究室主任、研究員謝鴻飛向新京智庫表示，今年以來(lái)，國家在數據安全和個(gè)人信息保護方面的立法不斷完善。據謝鴻飛介紹，2021年1月1日施行的《民法典》在人格權編單獨設一章“隱私權和個(gè)人信息保護”，確立個(gè)人信息作為一種具體人格權益的法律地位，勾勒出個(gè)人信息司法保護的基本框架。2021年8月20日通過(guò)的《個(gè)人信息保護法》以專(zhuān)門(mén)立法的方式對自然人個(gè)人信息權益、信息處理規則、信息處理者責任、信息跨境流動(dòng)、信息監管等關(guān)切問(wèn)題予以回應，對“數字人格”提供了全面的法律保障，與《民法典》遙相呼應。

謝鴻飛指出，2021年9月1日施行的《數據安全法》立足總體國家安全發(fā)展觀(guān)，以數據治理安全為切入點(diǎn)，堅持數據安全與數據合理利用的雙重目標，確立了數據分類(lèi)分級管理，建立了數據安全風(fēng)險評估、監測預警、應急處置、數據安全審查等基本制度，并明確了相關(guān)主體的數據安全保護義務(wù)，實(shí)行“中央國安委”統籌協(xié)調下的監管機制，為數據的安全與監管提供了明確的指引。

除此之外，《網(wǎng)絡(luò )安全法》《消費者權益保護法》《反間諜法》《反恐怖主義法》《出境入境管理法》《居民身份證法》等法律法規以及最高人民法院《人臉識別司法解釋》等規范性文件針對特殊主體、特殊行業(yè)以及特殊事項的個(gè)人信息保護作了更為細致的規定。

在謝鴻飛看來(lái)，這些規范性文件所構筑的全方位個(gè)人信息保護網(wǎng)將推動(dòng)我國個(gè)人信息保護邁向一個(gè)新臺階，促進(jìn)我國數字經(jīng)濟的持續健康發(fā)展，同時(shí)也將為全球數據治理貢獻中國方案。

相關(guān)法律的出臺，全面、系統地對個(gè)人信息保護工作作出了基礎性制度安排。但是個(gè)人信息保護仍存在行業(yè)性、結構性的風(fēng)險隱患。

中南財經(jīng)政法大學(xué)數字經(jīng)濟研究院執行院長(cháng)、教授盤(pán)和林表示，當前，在互聯(lián)網(wǎng)領(lǐng)域，個(gè)人信息的收集、使用十分廣泛，隨意收集、違法獲取、過(guò)度使用、非法買(mǎi)賣(mài)個(gè)人信息、大數據殺熟等問(wèn)題突出，信息數據治理生態(tài)總體狀況不樂(lè )觀(guān)。

金融領(lǐng)域個(gè)人信息保護也開(kāi)始受到重視。中國人民銀行行長(cháng)易綱近日在芬蘭央行新興經(jīng)濟體研究院成立30周年紀念活動(dòng)的視頻致辭中介紹說(shuō)，“我們高度重視數字人民幣的個(gè)人信息保護問(wèn)題，并采取了相應的制度安排和技術(shù)設計。”在收集個(gè)人信息時(shí)遵循“最少、必要”原則，采集的信息量少于現有電子支付工具。

除了互聯(lián)網(wǎng)和金融行業(yè)，醫療領(lǐng)域信息數據泄露情況也不容樂(lè )觀(guān)。此前，中國信通院發(fā)布的《2019健康醫療行業(yè)網(wǎng)絡(luò )安全觀(guān)測報告》顯示，勒索病毒、數據泄露、網(wǎng)站篡改是醫療行業(yè)網(wǎng)絡(luò )與數據安全風(fēng)險的三個(gè)主要方面。

中國信息通信研究院互聯(lián)網(wǎng)法律研究中心主任方禹表示，金融、醫療等對個(gè)人權益影響較大的行業(yè)，個(gè)人信息保護的緊迫性、嚴峻性比較突出。部分用戶(hù)個(gè)人信息保護意識尚未建立形成，疏于維護自身合法權益，往往成為多元治理的個(gè)人信息保護架構中的薄弱環(huán)節。

同時(shí)方禹也強調，個(gè)人信息保護工作應該是一個(gè)由點(diǎn)及面、循序漸進(jìn)的持續展開(kāi)過(guò)程，突出重點(diǎn)環(huán)節、關(guān)鍵領(lǐng)域的治理，并最終形成動(dòng)態(tài)化、常態(tài)化的有效保護。

個(gè)人信息侵權的方式具有多樣性

謝鴻飛表示，《個(gè)人信息保護法》的出臺有效回應了公民個(gè)人信息安全及合法權益的訴求，為正確引導信息處理和加強信息監管提供了堅強的法律后盾。目前，最高人民法院及地方各級人民法院公布的一些典型案例顯示，個(gè)人信息保護不僅涉及教育、市場(chǎng)監管、公安、網(wǎng)信、農業(yè)農村等行政機關(guān)的信息監管和政府信息公開(kāi)問(wèn)題，而且涉及快遞、醫療機構、校外培訓機構等泄露個(gè)人信息、倒賣(mài)個(gè)人信息的問(wèn)題。這些都表明，個(gè)人信息侵權的方式具有多樣性，個(gè)人信息保護牽涉的領(lǐng)域具有廣泛性，個(gè)人信息保護的難度較大尤其在損害認定問(wèn)題上。

北京市京師（深圳）律師事務(wù)所聯(lián)合創(chuàng )始人王巖飛告訴新京智庫，在一些行業(yè)，尤其是互聯(lián)網(wǎng)行業(yè)存在大量違規使用數據和違規使用個(gè)人信息行為。因為在現有的商業(yè)模式里面，如果不使用這些數據，很多業(yè)務(wù)就有可能做不了。另外，一些金融科技平臺，通過(guò)購買(mǎi)個(gè)人信息去推銷(xiāo)產(chǎn)品，通過(guò)群發(fā)短信或者是用呼叫系統給用戶(hù)打電話(huà)。

就目前發(fā)生的泄露、倒賣(mài)個(gè)人信息等侵權事件，明確信息歸屬的責任方就顯得尤為重要。在中國人民大學(xué)信息學(xué)院副教授黃科滿(mǎn)看來(lái)，依據最近一段時(shí)間國家出臺的一些相關(guān)規定，對互聯(lián)網(wǎng)平臺做了相應的級別劃分。未來(lái)在信息處理上，也會(huì )對數據的歸屬進(jìn)行明確，具體來(lái)說(shuō)就是還數于民。

黃科滿(mǎn)表示，未來(lái)的數據分級管理可能會(huì )出現三種模式。一種是平臺（企業(yè)）自有的數據，數據依賴(lài)于平臺（企業(yè)）本身在生產(chǎn)經(jīng)營(yíng)活動(dòng)中所積累的數據，比如銷(xiāo)售上的數據；第二種就是個(gè)人本身所掌握的數據，包括個(gè)人的一些隱私信息；第三種是個(gè)人自己的數據沒(méi)有能力去管理授權給國家的或者是第三方機構來(lái)維護的數據。

對于這三種模式的數據，在黃科滿(mǎn)看來(lái)，第三種模式是未來(lái)比較理想的數據使用模式。個(gè)人數據交給專(zhuān)業(yè)機構來(lái)托管，這樣就變成了企業(yè)跟公共數據平臺之間的交互。這種模式使得數據可以開(kāi)發(fā)利用，并最大限度地流通起來(lái)，而且在這個(gè)過(guò)程中個(gè)人的相應權益得到保護。

對個(gè)人信息數據進(jìn)行分類(lèi)、分級明確了數據保護和使用的責任主體，技術(shù)則給個(gè)人信息隱私保護多增加了一層“保護外套”。

謝鴻飛向新京智庫介紹，目前關(guān)于個(gè)人信息與隱私保護的技術(shù)主要有三種方式。一是基于數據失真的隱私保護技術(shù)。它主要采用交換、添加噪聲等技術(shù)對原始數據集進(jìn)行處理，使敏感數據失真但同時(shí)保持某些關(guān)鍵數據或者屬性不變。二是基于加密的隱私保護技術(shù)。它主要采取安全多方計算、分布式匿名化、分布式關(guān)聯(lián)規則挖掘和分布式聚類(lèi)等各種加密技術(shù)在分布式環(huán)境下隱藏敏感數據。三是基于數據匿名化的隱私保護技術(shù)。即根據具體情況有條件地發(fā)布數據，如數據泛化。

相關(guān)行業(yè)商業(yè)模式或將面臨改變

《個(gè)人信息保護法》施行后勢必也會(huì )對一些具體行業(yè)的發(fā)展模式帶來(lái)新的改變。11月3日，工信部就通報了QQ音樂(lè )、小紅書(shū)、豆瓣等38款App存在超范圍收集用戶(hù)個(gè)人信息等違規行為，并提出限期整改要求。

廣東工業(yè)大學(xué)計算機學(xué)院特聘教授劉文印表示，過(guò)去的互聯(lián)網(wǎng)發(fā)展是爆發(fā)式的野蠻生長(cháng)，背后隱藏著(zhù)很多問(wèn)題。如近年來(lái)，一些企業(yè)和機構利用數據侵害人民群眾合法權益的問(wèn)題也十分突出。從手機App過(guò)度收集個(gè)人隱私、行為數據，到上億用戶(hù)個(gè)人信息泄露，隱私問(wèn)題屢見(jiàn)不鮮。劉文印認為，相關(guān)新法律的出臺，會(huì )對未來(lái)整個(gè)行業(yè)的發(fā)展起到有效的指導作用，既是約束，也是保護。
 

資料圖。圖/unsplash 

謝鴻飛也認為，《個(gè)人信息保護法》《數據安全法》等法律施行后，各行各業(yè)的商業(yè)模式必將隨之更改，野蠻生長(cháng)將會(huì )受到抑制。例如，根據《個(gè)人信息保護法》規定，個(gè)人信息處理需征得用戶(hù)同意，通過(guò)自動(dòng)化決策方式向用戶(hù)推送信息或商業(yè)營(yíng)銷(xiāo)，須提供不針對個(gè)人特征的選項或向個(gè)人提供便捷的拒絕方式。若用戶(hù)拒絕提供非必需信息則勢必影響個(gè)性化推薦的效率，這樣一來(lái)數字廣告投放的精準度降低，電商廣告收入或將受到影響。

雖然用戶(hù)拒絕提供個(gè)人信息會(huì )使數字廣告投放精度受到影響，但盤(pán)和林認為，長(cháng)期來(lái)看，數字廣告行業(yè)整體依然樂(lè )觀(guān)，由于在線(xiàn)人數、在線(xiàn)時(shí)長(cháng)增加，未來(lái)數字廣告曝光量仍是增長(cháng)趨勢。只是在數字廣告投放渠道方面，用戶(hù)推送廣告模式將轉向對用戶(hù)信息要求度更低的社交嵌入和搜索引擎嵌入的廣告模式。

不僅是互聯(lián)網(wǎng)行業(yè)，對于電信、醫療等個(gè)人信息保護重點(diǎn)行業(yè)而言，個(gè)人信息處理活動(dòng)也十分頻繁和普遍。方禹表示，《個(gè)人信息保護法》本身就較大調整了保護邏輯和規則，企業(yè)的商業(yè)模式，甚至是內部架構，勢必也需要作出較大調整。一是要規范個(gè)人信息處理活動(dòng)，按照《個(gè)人信息保護法》對“處理”所界定的全生命周期，針對每一個(gè)環(huán)節進(jìn)行合規校驗。二是要個(gè)人對個(gè)人信息處理活動(dòng)中的權利做業(yè)務(wù)準備，結合企業(yè)性質(zhì)、規模、風(fēng)險程度以及有關(guān)部門(mén)的具體要求，形成符合自身特點(diǎn)和立法要求的權利保障方案。三是要確定個(gè)人信息安全保障措施?！秱€(gè)人信息保護法》第51條對個(gè)人信息處理者的義務(wù)進(jìn)行了總括性規定，企業(yè)需要對照要求確定適合本企業(yè)的相關(guān)措施。

謝鴻飛表示，電商、電信、醫療等在商業(yè)經(jīng)營(yíng)過(guò)程中應當注重數據合規計劃的制訂。例如，《個(gè)人信息保護法》第24條規定，個(gè)人信息處理者進(jìn)行自動(dòng)化決策，應當保證決策的透明度和結果公平、公正，不得對個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。這一規定對于電商類(lèi)、住宿類(lèi)平臺利用大數據“殺熟”起到了嚴格管控作用，平臺的個(gè)性化定價(jià)受到限制。

不過(guò)，方禹表示，商業(yè)模式的調整對企業(yè)而言既是挑戰也是機遇?！秱€(gè)人信息保護法》既是對過(guò)去近十年我國個(gè)人信息保護工作的經(jīng)驗總結和升華，也對個(gè)人信息保護的原則和規則進(jìn)行了制度重構。前個(gè)保法時(shí)代，個(gè)人信息保護以“知情-同意”為核心而展開(kāi)，是基于隱私保護的認識基礎上的自然延展。

行業(yè)特性不同決定相關(guān)法律落地還存在一些難點(diǎn)

謝鴻飛指出，《個(gè)人信息保護法》實(shí)施的難點(diǎn)有兩個(gè)方面，一是個(gè)人信息處理的事前同意規則，尤其是單獨同意規則在具體操作過(guò)程中難以落實(shí)。以助貸業(yè)務(wù)為例，助貸機構在向金融機構推介客戶(hù)時(shí)，通常需要分享客戶(hù)的個(gè)人信息，而根據《個(gè)人信息保護法》的規定，助貸機構需要告知客戶(hù)接收方（金融機構）的名稱(chēng)、聯(lián)系方式、處理目的、處理方式和所涉及的個(gè)人信息種類(lèi)，在沒(méi)有其他合法性基礎的情形下，還需要取得客戶(hù)的單獨同意。二是個(gè)人信息侵權的事后救濟存在困難，尤其是損害的認定問(wèn)題。據學(xué)者統計，司法實(shí)踐中40%的裁判結果都不支持個(gè)人信息權益受害人的請求，一個(gè)重要原因在于其無(wú)法證明其所遭受的損害。

就金融機構來(lái)說(shuō)，謝鴻飛告訴新京智庫，金融機構本身并不直接接觸用戶(hù)，金融機構通常將授權協(xié)議前置到助貸環(huán)節去勾選，那么在助貸環(huán)節取得用戶(hù)單獨授權后是否意味著(zhù)金融機構就可以直接利用用戶(hù)個(gè)人信息？對此監管方面目前還沒(méi)有明確的態(tài)度。除此之外，在金融集團、母子公司之間的信息共享也將面臨困難，金融集團內部的數據流通受阻。

方禹則表示，個(gè)人信息保護在不同領(lǐng)域、不同行業(yè)、不同企業(yè)之間呈現不同特點(diǎn)，同時(shí)隨著(zhù)時(shí)間推移也不斷發(fā)生變化。相關(guān)法律實(shí)施的難點(diǎn)關(guān)鍵在于如何適應個(gè)人信息保護的動(dòng)態(tài)性。

方禹指出，對監管機構而言，需要充分發(fā)揮指導監督的作用，不斷根據實(shí)踐情況作出行政指導。如歐盟數據保護委員會(huì )（EDPB）在《通用數據保護條例》（GDPR）實(shí)施后，持續發(fā)布指南，來(lái)指導具體個(gè)人信息保護工作。同時(shí)也需要把握執法的頻度和廣度，通過(guò)有效執法形成邊界。網(wǎng)絡(luò )法治建設的突出特點(diǎn)之一，是執法解釋的效果遠優(yōu)于立法解釋?zhuān)⒎ū旧硇枰者m性和概括性，這與互聯(lián)網(wǎng)技術(shù)特別是移動(dòng)互聯(lián)網(wǎng)技術(shù)的裂變性和普及性不相適應，法律制度的具體要求高度依賴(lài)實(shí)踐情況，需要通過(guò)強有力的執法機構予以補充。

對于因行業(yè)特性，相關(guān)法律落地執法中遇到的難點(diǎn)，中國網(wǎng)絡(luò )空間安全協(xié)會(huì )副理事長(cháng)、上海交通大學(xué)網(wǎng)絡(luò )空間安全學(xué)院教授李建華也認為，相關(guān)法律落地難點(diǎn)還體現在行為主體在違反法律后怎么去處罰的問(wèn)題，這不僅需要建立一套執法體系，可能還涉及跨部門(mén)的溝通。這個(gè)過(guò)程當中還有很多具體需要細化的可操作、可執行措施。

在李建華看來(lái)，應對數據安全事件的響應和處置能力建設也很重要，要解決針對違法行為怎么去處罰，由誰(shuí)去處罰問(wèn)題，就需要在人才和執法隊伍上面花大力氣去建設。

實(shí)施細則或統一行業(yè)標準亟須出臺

黃科滿(mǎn)告訴新京智庫，在《數據安全法》和《個(gè)人信息保護法》出臺以后，很多企業(yè)對相關(guān)法律實(shí)施細節的不確定性感到焦慮。據黃科滿(mǎn)介紹，很多企業(yè)認為自己原來(lái)的內部治理體系是能夠合規的。雖然具體細節上可能還有很多要探討，但是之前至少能夠滿(mǎn)足合規要求。當前，具體行業(yè)實(shí)施細則還沒(méi)出臺的背景下，企業(yè)不清楚公司內部的相關(guān)規范現在還能不能合規，所以對很多企業(yè)來(lái)說(shuō)，直接反應就是先觀(guān)望。

王巖飛也認為，《數據安全法》、《個(gè)人信息保護法》和《網(wǎng)絡(luò )安全法》三大法其實(shí)都有相應的規定，但是具體怎么去落地實(shí)施很多企業(yè)搞不清楚，因為沒(méi)有強制性的某個(gè)標準說(shuō)是一定要去試用，企業(yè)在執行過(guò)程中很難去掌控這個(gè)度。

針對當下行業(yè)實(shí)施細則尚未出臺的背景下，企業(yè)出現觀(guān)望的態(tài)度，方禹認為，個(gè)人信息保護配套立法十分重要，需要通過(guò)相關(guān)下位法以及標準規范等不斷厘清個(gè)人信息保護具體適用問(wèn)題。從縱向來(lái)看，需要通過(guò)相應的行政法規、部門(mén)規章以及規范性文件等對《個(gè)人信息保護法》作出更為細致的要求。從橫向來(lái)看，金融、醫療、電商等行業(yè)領(lǐng)域需要結合本行業(yè)本領(lǐng)域出臺配套規則，來(lái)清晰適用《個(gè)人信息保護法》。

此外，方禹也指出，執法的持續性和相對穩定性十分關(guān)鍵。正如前述，個(gè)人信息保護工作在較大程度依賴(lài)執法解釋來(lái)劃定邊界，執法活動(dòng)本身也是一個(gè)形成共識的過(guò)程，共識來(lái)源于經(jīng)驗，越豐富的經(jīng)驗越能形成可靠的共識。

在謝鴻飛看來(lái)，《個(gè)人信息保護法》只是搭建了個(gè)人信息保護的基本框架體系，奠定了個(gè)人信息保護的基礎法地位。其中許多規則如何理解、如何操作仍須進(jìn)一步明確。不同行業(yè)、不同領(lǐng)域、不同主體在信息收集和處理過(guò)程中所負擔的義務(wù)各不相同，因此各行各業(yè)都期望監管部門(mén)根據行業(yè)特征制定相應的實(shí)施細則或統一的行業(yè)標準，為本行業(yè)提供可資借鑒的信息處理合規方案。另一方面，各行業(yè)也期待具體法律細則提供一個(gè)正確的導向，即不要過(guò)度強調個(gè)人信息的保護，以致信息共享和信息流動(dòng)嚴重阻滯，制約本行業(yè)的發(fā)展。

方禹強調，個(gè)人信息保護是一個(gè)多方學(xué)習、共同治理的過(guò)程，按照一定的節奏推進(jìn)更符合個(gè)人信息保護和個(gè)人信息合理利用雙重立法目標的要求。據方禹介紹，從歐盟經(jīng)驗來(lái)看，循序漸進(jìn)的特點(diǎn)十分明顯。2018年，歐盟GDPR實(shí)施后，設置了最高2000萬(wàn)歐元或4%營(yíng)業(yè)額的罰款數額。實(shí)踐中，歐盟在處罰力度上較為謹慎，截至2020年底，總體呈緩慢上升趨勢，最高一筆罰款數額是法國對谷歌進(jìn)行的5000萬(wàn)歐元處罰，雖然遠超2000萬(wàn)歐元上限，但僅占谷歌營(yíng)業(yè)額的0.04%左右。今年，由于歐盟對愛(ài)爾蘭執法機構的寬松態(tài)度十分不滿(mǎn)，才促使愛(ài)爾蘭作出了兩例較大數額的處罰。


編輯：薛姣