产品中心

仵姣姣:企业数据合规有新章程六个方面读懂《个人信息保护法

日期:2022-05-21 22:36:19 作者:乐鱼在线 来源:乐鱼体育安卓版下载 阅读:5

  中新经纬客户端8月25日电 题:《仵姣姣:企业数据合规有新章程,六个方面读懂个人信息保护法》

  十三届全国人大常委会第三十次会议8月20日表决通过《中华人民共和国个人信息保护法》(下简称《个人信息保护法》),自2021年11月1日起施行。《个人信息保护法》立足于数据产业发展的实践和个人信息保护的迫切需求,完善了我国数据合规领域的法律体系,更为全面地保障个人权利。市场参与者要按照即将生效的《数据安全法》和刚刚通过的《个人信息保护法》要求,加快数据安全治理体系建设。相比一审草案和二审稿,在最终通过的《个人信息保护法》中,主要有以下亮点和变化:

  《个人信息保护法》列举了个人信息处理的合法基础包括“取得个人同意;为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;为履行法定职责或者法定义务所必需;依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”等,总体而言采取了优先保护个人权利和社会公共利益的路径。与国际立法相比,个人信息处理者的合法利益本身不能构成授权同意之外的合规基础。对一般市场参与者而言,主要的数据处理合规基础即为授权同意、合同必需和在合理范围内处理已公开的信息。

  对授权同意而言,尽管仍存在授权同意能否真正保障个人信息主体的知情权、授权同意流于形式、强势一手数据源为后续数据流转的参与方带来权利瑕疵“原罪”等问题,实践中已逐渐形成一定程度上的行业最佳实践,例如采用交互式弹窗的形式在用户使用特定功能时逐一获取该功能必需的数据,明确列出数据共享的目的及合作方名单,在隐私协议条款前简要介绍核心条款等。因此,在平衡法律要求、用户体验和保障消费者知情权方面,行业逐渐开始摸索出一套较为成熟的合规实践。

  对合同必需而言,合同必需的原则与最小必要原则密切相关。因此在获取数据之前,市场参与者需要区分产品服务的核心功能和附加功能,审慎衡量获取的数据类型是否是提供相关产品和服务的必要前提。

  对处理已公开的信息而言,《个人信息保护法》也在附则对其含义进行了进一步的明确。市场参与者可能需要评估个人信息主体公开信息的具体途径、目的、预期公开程度、数据使用目的是否超出个人信息主体的合理预期等因素。由于该合规基础的模糊性较大,相对而言也会存在更多的合规隐患。

  考虑到实践中普遍存在的不支持注销账户、撤回同意投诉无门等问题,《个人信息保护法》要求个人信息处理者提供便捷的撤回同意方式。就“便捷”而言,依照相关国家标准的精神,其便捷程度宜与给予授权的便捷程度相对等。此外,《个人信息保护法》明确撤回同意不影响撤回前基于个人同意已进行的个人信息处理活动的效力。由于数据存在极强的可复制性,个人信息主体在给出首次授权同意后,对于姓名、身份证号、手机号、地址等相对静态的信息很容易失去控制权。即使在撤回同意后,个人及每一环节数据处理者也很难控制数据的后续流转。相比而言,更容易落地的是行为类数据,相关数据处理者需要确保在个人信息主体撤回同意后,相关数据被终止收集,必要时也需要对其进行删除或匿名化。

  针对实践中儿童早已成为在线教育、线上游戏、视频网站和社交产品的用户群体之一,《个人信息保护法》明确要求将不满十四周岁未成年人的个人信息作为敏感个人信息加以保护。因此相关数据处理者可能需要更改内部数据分级分类的标准,依照我国法律和相关标准对敏感信息的要求对涉及的不满十四周岁未成年人的个人信息进行特别保护。此外,《个人信息保护法》也要求个人信息处理者对其制定专门的个人信息处理规则。具体而言,处理规则的内容可能会涉及确认用户年龄的实现方式、确认监护人授权同意的实现方式、针对儿童群体准备专门的个人信息保护文本和用户协议、未成年人发布信息内容的提示和保护义务、推送内容的管理机制等。同时,对于面向普通公众提供产品和服务的运营者而言(如搜索服务),是否与专门针对儿童提供产品和服务的运营者在儿童个人信息保护领域的要求有所区分仍有待理论和实践的进一步探索。例如是否需要额外收集用户的年龄信息从而将儿童从全部用户群体中识别出来,此类要求与最小必要原则如何适配等。

  针对用户画像、“大数据杀熟”等问题,《个人信息保护法》立足于维护广大人民群众的网络空间合法权益,充分吸收了成熟国家标准与行业实践的内容,从算法伦理、数据获取、数据使用、风险评估和日志记录的方面对自动化决策进行了规制。

  在算法伦理层面,《个人信息保护法》要求数据处理者保证决策的透明度和结果公平合理。参照国际立法的实践,数据处理者可能需要在用户协议中向用户简明介绍算法的基本逻辑和对用户权益的影响,不得通过自动化决策对个人在交易价格等交易条件上实行不合理的差别待遇等。

  在数据获取方面,《个人信息保护法》要求数据处理者在进行商业营销、信息推送时给予用户拒绝的权利。

  在数据使用方面,提供不针对个人特征选项的信息推送可能要求企业对自身的商业模式进行调整,如在自动化决策推荐算法之外,为用户提供单纯依照点击量、发布时间等统计结果的选项。

  在风险评估方面,要求数据处理者在事前进行风险评估,具体的内容可能包括自动化决策系统在准确性、公平性、歧视、隐私和安全方面的影响(包括训练用数据的影响),并对影响评估中的问题予以纠正。

  《个人信息保护法》设置专章对个人信息跨境提供的规则进行了全面的规范,与《数据安全法》《网络安全法》形成了完善的法律体系衔接。其中值得注意的是,在境外司法或执法机构要求提供境内个人信息时需要经过主管机关的批准。由于在实践中国际礼让原则逐渐式微,跨国企业可能会在国际诉讼中面临两难处境。因此,也有待后续立法进一步明确批准提供证据的具体主管机关、批准程序和时限等内容,更好地维护我国跨国企业在国际法律纠纷当中的利益。

  《个人信息保护法》明确了当个人信息权益因个人信息处理活动受到侵害时, 个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。换言之,个人信息处理者如果不能证明自己在数据处理、数据保护中不存在过错,将在诉讼中面临一定程度的败诉风险。

  具体到合作协议的证据留存方面,企业也需要对数据处理的所有参与方、各方的权利义务、违约情况等具体情形进行存证,以证明本方的数据处理符合法律的规定与合作方之间的约定。因此,我们建议相关企业可以参照司法实践中的经验,为合规制度的建设和司法实务中企业“证明自己没有过错”寻求一定程度的借鉴。

  《个人信息保护法》的出台进一步完善了我国在个人信息保护和数据安全领域的立法体系,为个人权益的保护构建了较为完善的法律框架,也为数据产业的市场参与者提供了更为具体的合规指引。企业内部数据合规管控和技术体系的构建已成为紧迫议题。数据处理者应当从战略和业务实际出发,识别数据合规关键风险点,评估整体的信息化策略能否支撑内外部合规需求,尽快建立数据安全治理体系,从而为用户权益的保障和企业的合规经营提供保障。(中新经纬APP)

乐鱼在线
乐鱼在线 @ 版權歸所有 乐鱼在线