南方财经全媒体 21世纪经济报道记者 吴立洋,王巍,钟雨欣,郑雪 北京报道
(资料图片仅供参考)
2022年11月1日,在《中国人民共和国个人信息保护法》(简称《个人信息保护法》)正式实施一周年之际,由中央网信办网络法治局指导,中国社会科学院法学研究所主办,南方财经全媒体集团承办的“《个人信息保护法》实施一周年实践与展望”高峰论坛在京举行。高峰论坛邀请监管部门、专家学者与行业代表,共同探讨个人信息保护的发展。
个人信息保护离不开企业对各项法律原则与要求的落实,在一年的实践过程中,有哪些前沿案例和合规经验可供全行业学习参考,又存在哪些共性问题需要加以解决?
在本次论坛的圆桌讨论环节,来自中国电子技术标准化研究院的专家、环球律师事务所的律师代表以及蚂蚁、腾讯、阿里巴巴、抖音、快手等互联网企业的行业代表,围绕法律落地难点、企业合规实践等问题展开讨论。
个人信息保护与合理利用平衡难题待解
蚂蚁集团隐私保护研究中心主任李海英对蚂蚁落实《个人信息保护法》的具体措施进行了介绍。她表示,在技术方法层面,成立于2017年的蚂蚁集团的隐私保护办公室有70%的员工是技术人员,以及很多支持隐私保护产品技术实现的技术人员,通过不断的技术创新,使得隐私保护相关专利成果一直走在前列。
产品方面,蚂蚁集团一方面将隐私保护根植于产品开发应用的全流程中,通过事前的隐私保护影响评估,事中的风险监测和事后的后督、审计来保障产品的个人信息保护合规性。另一方面,蚂蚁集团推出的“用户保护中心”已经为数亿用户提供最简单直观的个人信息保护指引,用户可以直接管理个人想保护的相关设置。
腾讯研究院首席数据政策专家王融分享了腾讯在个人信息保护领域所做的积极探索。一是整体组织架构革新,在原有数据保护团队的基础上进一步升级,把法务和安全技术人员结合在一起,提升团队专业性。二是加强内部制度建设,依据法律法规在企业内部进行规则细化,在数据安全保护方面,企业内部制定了大量详细的指引文件。三是技术赋能隐私保护,腾讯建立了隐私保护平台,通过一系列技术工具,保障平台各项产品个人信息保护合规实现。四是积极拥抱监管,配合工信部、网信办等监管部门发起的专项行动。
阿里巴巴集团法律研究中心副主任顾伟介绍了阿里巴巴在落实《个人信息保护法》方面的实践。据介绍,阿里内部设置了专门的个人信息保护负责人,全面贯彻落实“数据采集最小必要性”、“用户知情和决定权最大化”,以及“全方位安全保障能力最强化”三个原则方向,来规范全生命周期中的隐私保护和数据安全。
具体实践上,8月24日,淘宝与1400多家第三方生态合作伙伴共同完成了一项“重量级”升级改造,正式上线订单号码保护功能。用户开通虚拟号码保护功能后,订单全流程不会再出现收货人的真实手机号码,而是以自动生成的虚拟号码代替。此举可最大程度保护用户隐私信息安全,同时避免不必要的电话短信打扰。
顾伟介绍,具体在《个人信息保护法》落地过程中,仍然面临个人信息权益保护和合理利用平衡的问题。企业正在加大投入通过多方计算从技术上保证数据安全可控,但是是否实现法律所规定的匿名化,仍待监管部门进一步细化规则。
抖音集团数据及隐私法务总监刘笑岑则结合抖音在《个人信息保护法》生效前后的数据合规体系化与制度化落地实践进行了分享,以个人信息权益保障为例,她表示,在实体层面主要体现为用户行权的线上化功能,App为用户提供了可以对平台已收集的部分个人信息进行自主线上化查阅、复制和删除的功能和便捷入口,建立双清单机制,在保障用户知情决定权的同时体现了平台透明度。
在流程层面主要体现为技术赋能和合规功能的产品化,考虑到集团内部产品众多,集团内部研发了个人信息权利保障SDK一站式解决方案,即将合规能力集成为一站式服务供相关产品接入使用,通过技术手段保证合规尺度上的拉齐,具体包括提供隐私政策优化、及时性告知、个人信息权利行使、权限和授权管理等多个功能。
快手科技数据隐私法务总监赵洋介绍,《个人信息保护法》颁布生效后,快手科技从三大层面对个人信息保护能力进行了提升:首先是隐私加密的技术,推动共建共治,与电商商家、快递公司等紧密合作,启动了消费者订单全流程加密项目;其次是数据保护的能力,将用户个人信息进行加密、脱敏、隔离保护,并配备访问控制、权限审计、数据加密等安全措施,降低信息泄露风险;再次是标准认证的水平。
除了技术和制度体系层面的工作,快手推动了用户服务感知的提升,力求让用户通过快手产品能够感受到《个人信息保护法》带来的益处,例如在侧边栏提供隐私政策摘要、个人信息收集清单等。
结合企业界代表在落地实践中积累的经验和遇到的实际问题,中国电子技术标准化研究院网安中心测评实验室副主任何延哲给出了自己的看法与建议。他表示,设计执行标准与法律最大的区别在于,标准需要保证具体法条的落地实施,因而必须在可操作性层面考虑很多。
他进一步表示,当前《个人信息保护法》执行标准在两方面还需要更为具体的支撑:一是权利的实现标准,对于用户的知情权乃至复制、查阅、携带、撤回、删除、更正等等一系列权利的实现,现有的规范标准是落后于《个人信息保护法》要求的,当前对APP、网站的改造工作在技术上实现了很大进步,但还只是相对容易实现的部分,远达不到法律层面的权利诉求。
二是《个人信息保护法》提出的对中小企业个人信息保护的减免事项,目前还未被纳入标准的考虑范畴,目前大部分中小企业还只停留在隐私政策层面,如何激发他们开展下一步合规动作的动力与能力,是否需要给予协助,在法律实施层面能否有更为具体的指导意见需明确。
“如果这些问题能够得到更多关注,相信业界个人信息保护能力还将跨出一大步。”何延哲说。
环球律师事务所合伙人孟洁律师则表示,《个人信息保护法》已经实施一周年,未来仍有可以发展和细化之处,比如怎么合理划分“守门人”平台、如何与国际规则联动等等。在个人行权方面,目前查阅、复制已经能较好地实现,但可携带权涉及到不同平台之间数据转移,落地仍面临难点。“大型互联网平台在此背景下可以发挥自己的技术优势,思考如何去做一些顺势而为的事情,形成最佳实践。”
中小企业需更多合规指引
在圆桌讨论的后半部分,对于下一阶段如何拓展个人信息保护实践的广度和深度,形成更为清晰明确的行业合规共识,参会的专家学者与企业、律师代表也给出了自己的看法与建议。
李海英认为,个人信息保护的难点在于,如何实现个人信息定义中的“匿名化”,使个人信息保护与数据经济发展实现更好地平衡。对于如何“解题”,她认为可以从以下三方面着手:首先,制定个人信息匿名化在技术和管理规则方面的具体指引;其次,制定小型个人信息处理者的专门个人信息保护规则,中小企业个人信息保护合规方面可能存在成本、技术能力等方面的限制,建议针对该情况,根据《个人信息保护法》62条规定,制定专门的规则和标准。再次,建议建立配套激励相容规则。激励企业合规实践,对企业能够证明合规尽责的,在执法和司法中予以考虑。
围绕个人信息保护的“同意”和“单独同意”,王融表示,《个人信息保护法》第十三条规定了个人信息处理者处理个人信息的七类合法性事由,“个人信息保护建立在个人同意的唯一基础之上”是长期存在的误区,未来需要理清多元化的合法性基础。而《个人信息保护法》第二十、二十一条二十三条很好地区别了不同处理者之间的法律责任关系,包括共同处理,委托处理以及企业向独立第三方提供个人信息的场景。三个条款对应三种不同的场景与法律关系,因此,第二十三条的单独同意有特定的适用场景,而不是只要涉及到数据处理合作都必须单独同意。“在数据处理的复杂生态下,推动《个人信息保护法》更好地落实,需要清晰界定各方权利以及安全责任边界。”
对于《个人信息保护法》的未来和发展,顾伟建议,首先头部企业尽可能多参与行业标准起草和制定,以输出更多行业实践。其次,在促进个人信息合理利用方面,仍需有更多的数据要素合理有序流通优秀实践案例出来,引导行业从业者更好的参与数据要素市场构建。三是针对个人信息保护,需要科学区分不同类型个人信息处理者的权利义务,引导和规范企业更好地履行自身法律责任,完善自身合规治理体系。
对于实践中的难点问题,参与发言的嘉宾也进行了深入讨论。刘笑岑表示,由于当前个人信息定义外延较为宽泛,在绝对匿名化难以实现的前提下,能否探索一些相对匿名化或阶段匿名化(例如引入隐私计算技术可以实现的合规价值)在《个人信息保护法》项下的适用空间和适配方案,这也是事关数据要素能否真正进入市场流通并充分发挥资源配置效果的核心所在;在单独同意方面,根据《个人信息保护法》第13条之规定以及人大法工委的立法释义,本身获取单独同意适用于在同意制度的基础上落实一些高风险场景的额外告知和交互等合规义务,如果个人信息处理不是基于同意而是其他合法性基础,则不需要取得个人的同意以及单独同意,相关的基础性问题是否有机会加以辨析和明确。
赵洋认为,在《个人信息保护法》及配套规则已经相对完备基础上,对企业而言,在现实中一些细节如何完善是当下的难点,以隐私政策摘要为例,企业需要进行实质判断和形式判断,即选取隐私政策的哪些内容,用什么方式去呈现出一个提纲挈领的摘要。这项工作不但需要相关法律法规的指导,也有赖业界同仁一起积累良好的实践经验及合规素材,广泛征求包括专家学者和产品用户在内的社会各界的意见,不断完善。
孟洁针对企业面临的现实问题,给出了自己的建议。她表示,企业在开展合规工作时应匹配业务发展的水位,按照自身所在行业的实际情况来完善相关措施,在实践中应注重将技术、组织与制度紧密结合。要“主动而为”,通过发布社会责任报告、设立独立监督机构等方式,更好地将企业的合规实践展示给公众,接受社会的监督。此外,中小企业可以考虑结合人工智能、区块链、大数据等新技术发展业务,与监管部门增加互信,形成监管、企业、社会多方协同的治理体系。