原标题:个人信息保护法今起实施 需在保护与合理利用之间找平衡
《个人信息保护法》将于11月1日正式实施。作为我国第一部个人信息保护的专门法律,《个人信息保护法》将自然人姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等全面纳入保护范围,为信息处理者的合规工作提供了明确的方向性指导。
从国际范围来看,欧盟的制度经验值得我们借鉴。
2016年以来,欧盟发布系列法律法规,旨在对数据本土化以及各主体数据的获取、合作、数据迁移的问题进行具体规定,为欧盟个人数据的自由流通提供保护,这个保护既是对个人权益的保护,也是对数据获取者合理使用数据的权利的保护。
在我国,《个人信息保护法》《数据安全法》等法律法规的出台也都为了在减少数据侵权相关事件的同时,推动数据资源从“台后”走到“台前”。
数字经济是科技进步、经济发展的必然趋势,因而我们的一系列法律法规的核心目标都是在于如何促进数据要素的合理流通,如何让数字经济更好发展。
良好的信息保护,是数据共享的前提。近几年出现的一系列信息泄露等乱象,在不断地考验消费者对于数字经济本身以及平台的信心,《个人信息保护法》从法律层面彰显了国家对于个人信息保护的重视。
对个人信息的严格保护,也能够让个人重拾对数字平台的信心,不会因为过度担心自己的数据被不合理利用而牺牲在数字平台的便利性,比如刻意拒绝所有数据获取申请等。
这也能在客观上保证数据的正常流通,促进数字经济的健康发展。
《个人信息保护法》的实施还能够对数据使用者的行为进行约束。
从静态来说,《个人信息保护法》是在保护个人信息,但是从动态和实际看,它已经不再是单单的一个保护性法律,而将演变成平台监管的一个工具,实际上将促使平台更加合规,对平台的无序发展进行规制,从而保护数字经济整体的健康发展。
合理利用和发掘数据的价值,是进一步发挥数字经济优势的关键。
数字经济的优势在于从大数据中挖掘市场需求,从而引导产品和服务的生产规划,促进市场上供需平衡的形成,满足差异化的需求,动态解决供需失衡的时滞问题,显著提升市场效率,而这些目标实现的一个前提就是数据价值的发现。
可以说,数据才是数字经济上层建筑的地基,数据挖掘和利用的深度以及与其他产业的关联程度,决定了数字经济优势发挥的程度。
信息保护与合理利用并不冲突,两者之间存在着互相促进的关系。
信息保护是合理利用的前提条件,合理利用是信息保护的最终目的。只有做好信息保护,才能让数据所有者愿意授予其他主体对数据的使用权利,从而实现数据的合理利用,进一步促进数字经济的发展。
笔者认为,信息保护和合理利用平衡的实现来自于以下几点。
首先是数据的边界,也就是什么样的数据在什么情况下被什么方式使用是应当被保护的和应当被利用的。
《个人信息保护法》对于一些曾经模糊的数据边界问题进行了清晰界定,比如对于个人敏感信息包括生物识别、行踪归集等明确要求只有在具有特定的目的和充分的必要性,并且有严格保护措施的情况下才可进行处理。
其次是信息保护的主体、合理利用的主体以及监管主体的明确。
在经济学领域,产权的清晰界定有助于公共物品领域市场效率的实现。
数据本身就具有一定的公共物品属性,那么有关它的信息保护、利用以及监管都需要有更加清晰的权责设定。
比如,《个人信息保护法》明确了大型网络平台的个人信息保护责任,要求其定期发布个人信息保护社会责任报告等,接受社会监督。
此外,实现平衡的根本,实际上还是权益的平衡,是消费者权益、生产者权益、全社会权益的平衡。
数字经济是一个大蛋糕,在做大这个蛋糕的同时,同样也要分好这个蛋糕,这就涉及到社会各主体之间的权益保护和平衡问题。
《个人信息保护法》注意到了在数字经济中处于劣势的数据所有者(个人),引入了个人信息保护公益诉讼制度,明确要求个人信息侵权行为的归责行为为过错推定,这实际上是通过一系列合理的方式来实现对个人的倾向性保护,从而做到个人与平台之间的利益平衡。
《个人信息保护法》还为自动化决策正了名。
一直以来,自动化决策都和大数据杀熟关联在一起,消费者群体也经常将平台的差别对待归结于数字分析决策,而实际上自动化决策是可以被合理利用的。
《个人信息保护法》要求,自动化决策的过程中应当保证决策的透明度和结果的公正,这实际上为正当使用的自动化决策进行了正名,明确正当的数据处理是值得鼓励的。
在实现信息保护和合理利用的平衡之后,如何去维持这种平衡,就需要更清晰和科学的权责界定,“看门人”制度就是一个很好的做法。
《个人信息保护法》要求平台建构平台规则,并对违法违规进行停止服务等处理等,从信息经济学角度来说,等于是赋予了平台一定的监管权,让其发挥“看门人”职责,从而更好地完善数据的管理体系。
最后,从平台自身来说,要积极主动迎接《个人信息保护法》,这并不是一部会造成平台利益受损的法律,而是一部做大数字经济蛋糕,惠及多个经济主体的法律。
平台应当及时根据规则进行自我限定,转变经营思路和方向。
《个人信息保护法》实施在即 当好个人信息安全“守门员”
2021年8月20日,十三届全国人大常委会第三十次会议表决通过了《个人信息保护法》(以下简称“《个保法》”)。这是我国首部个人信息保护的专门性法律,将于11月1日起施行。
那么谁需要考虑个人信息处理的合规问题呢?有一种错误的理解,即只有互联网公司才应关注数据信息合规。但事实上,数字化时代,无论是传统行业还是新兴行业、新型商业模式,几乎任何一个企业都会涉及个人信息。
1、什么是个人信息及敏感个人信息?
《个保法》第4条、第28条
《个保法》第4条对个人信息有明确的界定,即:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
公司在员工关系管理中必然会涉及员工的个人信息,而且在人力资源管理的各个环节中都涉及员工的个人信息。
《个保法》第28条对敏感个人信息有明确的界定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
照此规定,在员工关系管理中,用人单位会接触员工大量的敏感个人信息,如指纹、人脸识别信息、健康信息、银行账号甚至行踪信息等。
2、企业在个人信息处理中有哪些义务?
《个保法》第51条
个人信息处理者的义务主要体现在《个保法》第五章的个人信息处理者的义务,具体可以归纳为以下几点:
1、制定内部管理制度和操作规程
2、对个人信息实行分类管理
3、采取安全技术措施
4、管理培训内部人员
5、制定应急预案
6、法律、行政法规规定的其他措施
从以上规定来看,也为用人单位在个人信息管理的建章立制方面提供了指引。
3、企业处理个人信息的原则
《个保法》第5条~第9条
《个保法》第5条至第9条明确了处理个人信息的基本原则,该等原则是贯穿个人信息处理活动的总体指引。这些原则包括:
合法、正当、必要和诚信原则
个人信息处理者应当遵循合法、正当、必要和诚信原则,不得以误导、欺诈、胁迫等方式处理个人信息(第5条)。该原则作为《个保法》的首要原则,是个人信息处理者实施处理活动的前提。
明确性和相关性原则
处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关(第6条)。该原则在第5条的基础上,为处理目的设定了评价标准,并将处理活动控制在“与直接处理目的相关”的范围内。
最小程度原则
《个保法》第6条从两个层面对个人信息处理的程度进行了限制:一是要求处理活动对个人权益产生的影响最小;二是不得过度收集个人信息,限于满足处理目的的最小范围。
公开透明原则
处理个人信息应当遵循公开、透明原则。该条要求个人信息处理者应当对外公开处理规则,并向个人明示处理的目的、方式和范围(第7条)。公开透明原则保障了个人信息主体的知情权和同意权,是个人信息处理者履行“告知同意义务”的前提。
完整性和准确性原则
《个保法》第8条对处理个人信息的质量设定了评价标准,具体可从个人信息的完整性和准确性两方面切入。个人信息处理者应当避免因个人信息的不准确、不完整而损害个人权益。
安全保障原则
《个保法》第9条明确了处理者是个人信息处理活动的直接责任人,由个人信息处理者承担个人信息处理的法定义务和责任。个人信息处理者应当采取必要措施保障个人信息的安全。
4、企业处理个人信息不当有何风险?
《个保法》第66条、第67条、第69条、第71条
处理个人信息不当,会带来相应的风险,具体风险点有以下几类:
被信用惩戒的风险
《个保法》第67条规定:“有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。”
行政责任的风险
违反法律处理个人信息,按《个保法》第66条和第71条的规定,应承担相应的行政责任。
针对拒不改正的处以一百万元以下罚款以及对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;
情节严重时处以五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
民事责任的风险
违反《个保法》处理个人信息,给员工造成损害的,应当承担赔偿责任,对此该法的第69条有明确规定。
劳动争议败诉的风险
当员工的个人信息受保护权与用人单位知情权、管理权、调查取证权发生冲突时,处理方式不当就会面临败诉。
刑事责任的风险
对此,《个保法》第71条规定,违反本法规定,构成犯罪的,依法追究刑事责任。
5、企业应如何接招?
对于不同行业及领域的企业存在很多共性的要求,包括建立合规体系、梳理数据处理和收集的要求,同时他们也可能面临不同的风险点及合规挑战。对于企业来说,需要根据《个保法》上述各方面的新要求来制定合规的策略和体系。一些共性的需要考虑的重点要求及合规步骤包括:
1、梳理个人信息收集、使用场景。了解自身收集、存储、处理、转让、共享信息的各种情况和场景,对于每种情况下的合规状况全面、细致的掌握。
2、修改相应个人信息收集同意函及隐私政策。真实、准确、完整的向个人信息主体告知信息收集的细节及其他法定事项,根据自身收集处理实践的调整完善更新相关的法律文件。
3、完善信息收集同意的流程,并增加单独同意机制。对自身的线上(如网站、APP以及小程序等)、线下的各种收集场景进行评估,考虑是否修改相应的流程和同意的获得机制。
4、设置敏感信息、特殊收集情形保护的特别机制。对敏感个人信息,或采用人像识别或身份识别设备收集、使用、存储情况进行特别的评估、记录、满足法律要求的要件。
5、防范信息传输及分享可能涉及多重的潜在法律风险。重点关注并采取预防措施。对于涉及转让、获取个人信息的情况,需重点核查合规性,并注意权利义务的界定。
6、设计相应机制保证个人信息主体权利的行使。保障个人信息主体的权利可以便捷的行使,包括为死亡自然人亲属行使个人信息权利提供方式及渠道。
7、 评估个人信息影响应成为企业决策重要维度。建议将个人信息保护影响评估纳入产品及服务设计阶段,在信息收集前对相关信息收集的必要性、对个人权益的影响及安全风险以及安全保护措施的合法、有效性进行评估。
8、谨慎使用自动化决策工具用于信用评估、商业营销等活动。对于使用通过自动化决策方式对个人进行经济、信用状况等方面进行评估,需在使用前进行安全影响评估,并应个人要求进行说明、提供替代性方案等。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
9、加强个人信息保护内控管理。梳理已存储的个人信息类型及相关内部系统,加强信息的技术及管理方面的保护措施。对个人信息实行分类管理,采取相应的加密、去标识化等安全技术措施,合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训,确定个人信息保护负责人。
10、完善修订员工信息收集的情形。根据《个保法》,按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的个人信息收集无需取得个人同意,但企业需考虑员工个人信息收集的必要性及合法性,并需将个人信息收集、使用情况告知个人。
企业作为风险防范的源头和防线,必须时刻考虑如何在法律政策监管允许范围之内合规经营,因此如何在企业内部建立个人信息保护的合规体系制度,变得尤为重要。《个保法》《数据安全法》《网络安全法》《密码法》四大法律并施掀起了数据保护的高峰,势必会对每个人以及企业产生全面而深远的影响。
在企业迎接新挑战和不断发展完善的过程中,信之源律师事务所将帮助更多企业做好个人信息保护工作,当好企业个人信息安全的“守门员”,助力网络强国、数字中国、智慧社会建设。
