点击右上角微信好友

朋友圈

请使用浏览器分享功能进行分享

正在阅读:《个人信息保护法》1周年:构建基于规范和信任的数据处理关系(上)
首页> 专题频道 > 正文

《个人信息保护法》1周年:构建基于规范和信任的数据处理关系(上)

来源:数据安全共同体计划2022-11-15 15:47

  作者:高震 抖音集团 数据及隐私法务副总监

  *本文仅代表作者个人观点,不代表所在单位及本公众号立场。

  《个人信息保护法》对于加强个人信息保护法制保障、维护网络生态以及促进数字经济健康发展均具有重大意义,在法律施行一周年之际,笔者作为一位普通数据合规实务工作者,也是作为一位普通的“用户”,尝试从对“数据生态关系”的认识出发,对法律规范的解释提出个人理解,并倡议通过围绕塑造“信任”来实现对个人信息主体的真正尊重和保护。限于篇幅,论证不足之处欢迎各位同仁一起探讨;谬误之处,也望诸位同仁指正。

  一、以“共生”关系看待数据生态格局

  个人信息保护领域的立法和执法实践,始终伴随着“信息安全焦虑”的底色:严重的个人信息安全事件可能成为诈骗、敲诈勒索罪等犯罪的源头,用户在享受移动互联网和智能软硬件服务所带来便利的同时,也因为遭遇营销打扰、大数据杀熟、隐私泄露等问题而对个人信息的收集、使用和流转产生而滋生诸多焦虑。

  受传统资源生态关系中“增加——减少”的线性思维的影响,这种焦虑一方面在潜移默化中营造了用户心中“公开与私密”、“数据收集者与个人”与的二元对立逻辑,另一方面自然地生发出了“控制”的愿望,用户希望能够自己控制和支配数据的流转甚至留存与否。在实践中,这种控制的愿望在数据处理活动的起点——“收集”环节上,引发了用户个人信息的“守卫战”:抵触“被迫交付”个人信息,例如反感“APP不同意隐私政策就不能用”、“不给权限就不能用”,在高度紧张的防御心态下对APP的收集信息的时机和方式采取恶意假设,例如质疑APP“偷偷监听”等等。

  基于传统生态关系的思维惯性所影响的并不仅是个人利益视角下的立场,在更宽泛的维度上也不例外。有一种观点把“数据”比作“石油”,这个观点首要逻辑在于肯定数据的经济价值,而当我们着眼基于“数据”的市场生态格局时,需要避免把这个比喻做扩大化理解:数据并不同石油或传统的“资源”一样,在生态的各主体之间处于近似零和博弈下的此消彼长的二元对立格局

  数字经济时代,数据具有“资源”价值,但数字市场的核心并非仅仅是对数据及其流动的控制,市场主体间的主格局也不是“此消彼长”的二元对立,而更在于在兼顾权益保护的基础上通过数据创造更大的价值。个体、企业、社会乃至国家都是这个市场的参与者、受益者和利益攸关者。例如,我们可以通过大数据分析和自然语言处理解决信息过载与虚假信息,我们可以通过数据分析去发现潜在的产品安全风险,我们还可以通过疾病、医疗数据的共享使用,促进人类健康的总福祉。在采取有效保护机制的前提下,数据的收集、使用并不必然代表个体利益的减损,个体信息的绝对高度保护也不代表社会总福祉的整体增加。

  过去,个人信息保护与数据权属的讨论通常是围绕在传统法律结构体系下围绕人格权、所有权、知识产权以及竞争法等领域进行延展的,而在数字社会与数字经济下,可能更需要在全新的环境中去构建讨论的基础。当然,我们也会清醒的看到数据的过度收集和不当使用会侵犯数据主体的基本权利,也会带来诸如自动化决策造成的不确定性的影响。也正是因为这种现实的风险,我国构建了以《个人信息保护法》为基础的个人信息保护法律体系。《个人信息保护法》构建了一套以“知情-同意”为导向,以“合法公平”、“安全可信”等原则为核心,以“问责制”为基础的框架体系,以“保障公民的人格尊严和其他权益”为价值导向。其立法目的并非赋予个体对于其个人信息的控制性或支配性权益,既包括“规范个人信息处理活动”,也包括“促进个人信息合理利用”。笔者认为可以理解为立法理念层面对数据生态“共生”关系的回应。

  大数据确实重塑了传统社会的格局,而对于数据权属、个人信息保护等可能只有确认了个人、企业、社会、国家之间的共生关系,才可以在一个话语体系下去构建数字权利与权益规则,而这个规则可能并不能直接从原有的规则架构中找到完全契合的切入点,承认现有体系的局限性,不固守定式规则,在实践中的每一个个案中寻找相对可接受的权利切分边界,可能对于我们从业者而言是更加务实的态度。

  二、以“规范”为准绳,明确个人信息保护的路径和依据

  “个人信息处理活动”是《个人信息保护法》的规范对象,明确法律的内涵和标准,对于个人信息处理者践行规范要求具有直接意义。笔者选取了三个对实践具有重要影响的相关规范,谈谈自己的理解和未来法律适用的建议,篇幅原因其它规范不再赘述。

  1.关于“匿名化”的标准:基于风险判断有效性

  作为促进数据合理利用的重要支撑之一,《个人信息保护法》规定个人信息不包括匿名化处理后的信息,并在第七十四条提供了匿名化的定义“匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。”

  然而,“个人信息”的定义中的“可识别性”标准决定了个人信息具有极为广泛的外延,于是,判断匿名化的达成标准成为了实践中的一大难题。如果采取“绝对”不可识别的标准,意味着个人信息处理者要跨越时间、空间、主体等多重因素来判断,似乎是一种“薛定谔” 的匿名,即个人信息处理者无从确切地知道其匿名化是否符合了要求,因为一个处理者评估认为不可识别的信息,可能会因为技术进步或者其他处理者悬殊的成本投入能力而变得具有可识别性,甚至即使这个重识别性非常渺小。

  对匿名化采取绝对性标准,可能会在实践中架空匿名化规则的适用,阻碍个人信息的合理利用和数字经济的有序发展。

  在目前尚为数不多的司法实践中,广州互联网法院在(2021)粤0192民初928号案件判决中写道“在技术高度发达的时代,任何信息理论上都可能被还原为可识别特定自然人的信息,但是在论证是否构成个人信息时,法院会对可实现概率予以评判,避免不当地扩大个人信息保护范围,限制商业交易的市场自由”。借鉴域外经验,欧盟法院在“布雷耶案”(Breyer Case)中认为,“如果识别数据主体的行为本身被法律禁止或实际上不可能(例如它需要在时间、成本和人力方面付出不成比例的努力),那么识别的风险实际上是微不足道的。”以及结合英国信息专员办公室(ICO)正在组织征求意见的匿名化指引,笔者建议,在法律解释层面界定“匿名化”的标准时,宜从风险视角出发,以“有效性”为导向,采取相对化的判断路径,包括:

  (1)在“个人信息”和“匿名化”的二元对立结果之间,根据具体的数据类型和处理场景,综合考虑可识别性的风险大小以及重识别对个人信息主体的影响。

  (2)评估相关技术的可能性时,集中在现有、实际可用的技术上,而非未来可用的技术上。

  (3)评估现实的成本收益比,以一般理性人视角衡量实际的识别动机。

  (4)法律和监管规范的限制。

  (5)个人信息处理者采取合理的努力防止重标识。

  2.明确构建“共同处理”关系是否以原因关系为要件

  2.1 司法和监管对“共同处理”的宽泛判定,并不意味着个人信息处理者可以随意地主张“共同处理”关系

  从域外视角看,GDPR没有对“共同控制者”的判定条件做过多的限制,欧盟法院对“共同控制”的判定规则实际非常宽泛,在一些判决中(如Wirtschaftsakademie 案、Jehovah's Witnesses案、Facebook Fanpage案)“未实际访问、持有数据的主体”,以及“看似受托处理数据的主体”,被判定与直观上的数据控制者一起构成用户个人数据的共同处理。相关判决认为,将在某一个处理活动中原本看似不具备控制者地位的主体判定为共同控制者,有利于数据主体行使权利(包括数据主体权利,也包括诉讼、索赔的权利),也有利于监管问责,由此形成对数据主体更好的保护。这在本质上是一种“责任的升格”逻辑,这种宽范的认定标准并非是为了给予企业间的个人数据流转提供合法性基础方面的豁免。

  中国监管和司法对数据处理关系的判定标准可能会与欧盟存在或多或少的差异,但为了更好地实现个人信息的保护目的,中国法下的实践也很可能会采取“责任升格”的底层逻辑。因此,当企业拟构建或主张某一种数据处理关系时,必须认真区分是否有构成更高责任类型关系的可能。

  2.2 建议明确构建共同处理关系可能需要具备正当必要的原因关系

  个人信息的共同处理不属于“民事法律关系”,法律也尚未明确规定构建需要具备“原因关系”(这里是指导致个人信息处理者共同处理个人信息的基础法律关系)。但这并不意味着处理者可以任意界定数据合作类型。

  根据《个人信息保护法》第20条,判断是否属于共同处理者的条件是:共同决定个人信息的处理目的和处理方式。而根据本法第23条,当个人信息处理者发生“提供”个人信息的行为,应当取得个人信息主体的单独同意。如果两个企业自以为构建了共同处理关系而未征求用户的单独同意,后在监管、司法层面被认定为缺少“原因关系”而属于“提供”而非共同处理关系,则企业可能面临刑事责任(《刑法》第二百五十三条之一侵害公民个人信息罪)。推测监管或司法会在这类场景中主张“原因关系”的构成要件地位是因为:《个人信息保护法》总则的第五条规定“处理个人信息应当遵循合法、正当、必要和诚信原则”,作为“总则”章节的内容,该规定除了适用于“数据处理活动”,在上述“责任升格”逻辑的思维下,还可能被监管和司法部门在个案实践中解释为规范处理者之间“合作类型”(处理者关系)的原则性要求。这意味着,个人信息处理者之间的“原因关系”也应当符合前述原则,即拟主张构成共同处理关系的企业之间应正当必要的基础合作关系,通常是共同经营、提供产品或服务,而不是脱离服务关系的基础而单独主张个人信息的共同处理。

  上述分析仅是笔者个人分析,并且是在“以强调保护个人信息权益为侧重”的理念下的或然性推演,个人信息处理活动的实践中,企业、司法、监管各方的理解可能存在明显差异,在未来的法律解释层面明确共同处理的构成要件,对于正确引导和调整企业的经营行为至关重要。

  3.细化个人信息请求权规则

  《个人信息保护法》第四章规定了个人在个人信息处理活动中的各项权利,并且明确个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。然而,在相关请求和诉讼救济中,如何对个人信息权益与企业的合法利益进行平衡,以及如何设定科学合理的救济程序,仍需进一步在规范解释层面予以明确。一方面可以为用户创制清晰的预期,充分了解其权益的指向和边界;另一方面也为企业提供清晰的操作路径,让法律的保护真正落地。

  首先,在实体权利方面,鉴于个人信息权利并非一项绝对权,尤其在市场经济主体间关系的背景下,应当考虑企业合法且合理的商业利益与用户合法权益、以及个人之间合法权益的兼顾与平衡:

  (1)综合考虑用户权益影响程度与企业合理成本:鉴于个人信息外延的巨大包容性,以及网络时代个人信息的广泛存在性,并非针对所有的个人信息类型都应给予一刀切的保护尺度。当从合理视角判断,权利主张所涉数据类型对于数据主体的价值较低,但却给企业造成较大成本时,应当允许企业拒绝或延迟响应。例如APP的性能日志由较多的技术参数构成,大多数用户访问这些日志并无实际意义(甚至无法理解这些数据),个别用户坚持主张查询、复制这些信息,甚至为此提起诉讼,会给企业带来巨大成本负担,也是对司法资源的挤占。

  (2)数据安全风险的控制目的:允许企业为合理鉴权目的收集数据,即使这些数据可能是超过用户使用服务时提交范围的。

  (3)操作的可实现性:例如用户要求将在A内容平台的“收藏夹”内容转移到B平台,但一方面两个平台的内容、作者均不一致,另一方面作品可能并非标品,技术上无法传导或传导后无法提供播放。

  (4)存在潜在权利冲突的场景,需有更具体的规则指引,死者与其近亲属之间可能在人格权益(隐私、尊严等)方面存在权利冲突,死者在精神、智识层面的私密性数据,如聊天记录、日记,不适宜一概提供给近亲属,避免死者“精神走光”。同时,在救济程序方面,建议明确用户寻求司法救济应当满足前置程序,并适当明确前置程序的方式。比如,用户应当是在向企业官方公布的个人信息保护沟通的专用渠道提交申请,并在拒绝后诉诸司法救济。若即便企业提供了专用行权渠道,仍支持用户略过向企业的请求环节而径行起诉,或者以非专业沟通渠道(如销售客服)的答复作为直接提起诉讼的依据,将造成对诉讼资源的极大浪费。

  *本文整理自作者在数据安全共同体计划(DSC)、CCIA数据安全工作委员会、数据保护官沙龙(DPO)联合举办《<个人信息保护法>实施一周年暨个人信息保护影响评估常用工具表意见征求研讨会》上的发言。

[ 责编:孔繁鑫 ]
阅读剩余全文(

相关阅读

您此时的心情

光明云投
新闻表情排行 /
  • 开心
     
    0
  • 难过
     
    0
  • 点赞
     
    0
  • 飘过
     
    0

视觉焦点

  • 习近平同巴西总统卢拉共同签署联合声明

  • 习近平同巴西总统卢拉共见记者

独家策划

推荐阅读
11月12日至13日,浏阳市委常委、组织部部长、市家居建材产业链链长唐安石带队,市人大常委会党组副书记、副主任、市家居建材产业链副链长张葵红,市人民政府党组成员、副市长、市家居建材产业链副链长谢波等同志参加,赴广东省佛山市开展家居建材产业链招商考察活动。
2024-11-15 17:20
2024年11月12日,江苏省苏州市荷塘月色湿地公园内向日葵竞相绽放,吸引众多游客前来观赏,乐享秋日美景
2024-11-13 15:29
2024年11月12日,湖南省怀化市通道侗族自治县双江镇的烂阳村,山林色彩斑斓,红叶似火,黄叶如金,松柏常青,宛如大自然的调色盘
2024-11-13 15:28
南泥湾是中国军垦、农垦事业的发祥地,是“自力更生、艰苦奋斗”创业精神的发源地。
2024-10-27 17:37
延安地区拥有丰富的煤炭资源,在采矿井约40家,年开采量约5000万吨,但煤质坚硬、自动化程度低等难题严重制约着煤炭产业的发展。
2024-10-27 17:18
近日,在陕西延安举行的“弘扬延安精神,奋进伟大时代” 网上主题宣传系列访谈中,洛川青怡庄园生物科技有限公司副总裁肖小杰介绍,他们企业的苹果按个卖,一个可以卖到10元。
2024-10-25 18:49
堆积起来的生菌木材冒着热气儿,菌种生产厂房里机器轰鸣,滑子菇大棚里农民忙着收“金疙瘩”。
2024-10-25 18:43
你以为的农村是雨天泥泞,还是道路整洁?爬高上低,还是风景无限?高家原则将山体沟道治理作为城市有机更新和创建文明典范城市抓手,让山体沟道,环境大改善。
2024-10-24 18:11
近日,在陕西延安举行的“弘扬延安精神,奋进伟大时代” 网上主题宣传系列访谈中,延安大学经济与管理学院副教授、数字经济专业负责人王珊珊介绍,从卖苹果到卖服务,这是数字技术非常好的一个创新,和产业结合的非常有深度。通过消费者与大自然以及果树的亲密视觉接触,可以提升他们的体验感,增加对苹果这种产品的客户粘性和客户忠诚度。
2024-10-24 18:08
当陕北说书遇到延安美食,碰撞出延安独特的人文魅力。
2024-10-24 18:06
激昂的旋律回荡在空气中,豪迈的歌声飞扬于天地间。壮丽的情怀澎湃在心田里,不朽的精神传承于岁月中……
2024-10-24 17:59
小孩哥小孩姐把安塞腰鼓课间操跳得超燃!
2024-10-24 17:59
青山环绕、绿水蜿蜒,这是吴起南沟村给记者们留下的第一印象。谁能想到,这个位于陕西省延安市吴起县的小村庄,曾经风沙肆虐、植被稀疏。经过二十多年艰辛努力,光秃秃的黄土高坡绿意盎然。
2024-10-24 17:50
在宝塔区河庄坪镇政府的扶持下,延安菌舰生物科技有限公司采用“企业+合作社+农民”模式,带动400余人家门口就业,人均增收2000元。食用菌产业的蓬勃发展,不仅为农民带来稳定收入,更为乡村振兴注入活力。点赞延安菌舰,为农民增收,为乡村添彩!
2024-10-24 17:48
10月23日,“弘扬延安精神 奋进伟大时代”网上主题宣传媒体团来到了延安新材料产业园,亲身体验石墨烯发热背心,感受科技的温暖拥抱。
2024-10-24 11:18
近期,延安市薛张小流域水土保持项目碳汇交易成功!这不仅是一次生态保护与经济发展的双赢,更为延安乡村振兴注入了新的活力!
2024-10-24 11:16
10月22日,“弘扬延安精神 奋进伟大时代”网上主题宣传媒体团来到了位于延安市安塞区南沟村的苹果基地,在这里记者们亲身体验苹果采摘,倾听果农的心声。同时,记者团还开展了一场特别的直播带货活动,助力果农销售苹果。此次活动不仅展现了果农的辛勤付出,也让更多人了解到延安苹果的魅力,为乡村振兴贡献了一份力量。
2024-10-24 11:07
10月23日,“弘扬延安精神 奋进伟大时代”网上主题宣传“逐梦之路”媒体采访团走进延安宜川县,追寻“悬崖造林队”的故事。
2024-10-24 10:27
陕北说书最近火爆出圈,董宇辉在直播中表示向往陕北文化,想成为一个陕北说书人。这一段陕北说书,带你行走在延安的绿水青山间。
2024-10-24 10:21
近日,在陕西延安举行的“弘扬延安精神,奋进伟大时代” 网上主题宣传系列访谈中,延安数据(集团)有限责任公司董事长高延宏介绍,延安的地域特点适宜建立算力中心,要把平台搭建好,把更多的企业引到延安,建立归属在延安的算力中心,更好的服务延安、服务陕西。
2024-10-24 10:18
加载更多