防止个人信息被滥用,《个人信息保护法》建立内外部双重保护机制
发布时间:2021-08-27
8月20日,《个人信息保护法》出台,将于11月1日起施行,标志着我国进入了全面、综合治理个人信息的法治时代。
《个人信息保护法》侧重解决两个问题:个人信息泄露和个人信息滥用。对于个人信息泄露问题,《个人信息保护法》在《网络安全法》《消费者权益保护法》《电子商务法》等基础上,进一步明确了个人信息安全保障的义务性要求,同时也对个人信息泄露通知制度作出了更为细化、操作性更强的规定。除了个人信息泄露以外,如何防止个人信息滥用也是十分重要的问题。身处网络社会,个人信息收集、使用等处理活动非常普遍,这既是人们参与网络社会生活的必要前提,也是人们享受数字化红利的必然付出。个人信息保护的关键不在于对个人信息收集、使用等处理活动的禁止,而在于通过合理的限制来防止信息滥用,以达到个人信息保护和数字经济产业发展的双重目标。个人信息滥用主要包括超范围收集、超目的使用等情形,结合场景的变化、技术的变革有不同形式的表现。有些情况十分复杂,比如,大数据杀熟通过大数据分析进行用户画像,进而对不同用户采取区分化定价策略,甚至做到“千人千价”。区分化定价策略究竟增加了消费者福利还是过度攫取了消费者剩余,对此不能简单地作出法律上的评价,相应地,判断是否滥用了个人信息也很难进行法律判断。有时个人信息滥用行为十分隐蔽,收集方式、收集类型等依托技术能力、商业模式而不断发展,超出了普通人常识层面对使用、收集的理解,如上网记录(cookies)、点赞率、完播率,甚至包括鼠标停留区域、停留时长等数据,都有可能被收集、使用。这涉及到对个人信息界定的问题,但同时也能反映收集、使用等处理行为的隐蔽性。再比如,有些应用程序,特别是导航、地图等应用程序类型,可能要求用户输入家庭地址或者单位地址,用户在输入框中填写信息时,实际上就产生了收集活动。但一般用户对此并不会直接产生个人信息被收集的强烈感知。收集、使用个人信息的活动贯穿于网络活动的始终,容易淡化收集、使用的传统形式和传统理解,也容易滋生个人信息滥用的空间和可能性。《个人信息保护法》对滥用个人信息问题有多方面的规定。一是强化用户知情权。《个人信息保护法》规定,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知有关事项,包括个人信息处理者的名称或者姓名和联系方式;个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;个人行使权利的方式和程序等等。此外,《个人信息保护法》还首次规定了要取得个人单独同意或者书面同意的要求。二是对个人进行赋权。根据《个人信息保护法》的规定,个人在个人信息处理活动中享有知情权、决定权、拒绝权、查阅复制权、可携带权、更正权、删除权、请求解释权。除了基于具体国情和发展现状的考虑,没有规定被遗忘权以外,《个人信息保护法》基本覆盖了目前世界各国个人信息保护立法中的权利种类。三是明确个人信息处理者的义务。《个人信息保护法》规定了个人信息处理者的一般性义务,还对个人信息负责人、定期审计、高风险评估、外部监督等作出了规定。
总体而言,《个人信息保护法》对个人信息滥用问题进行规制的制度逻辑可以从内外两个角度来理解。一方面通过立法对个人信息处理者的内部动作提出合规性要求,这就需要个人信息处理者积极履行相关义务性要求,组织构建个人信息保护合规体系。另一方面通过外部监督的方式,促进外部资源对个人信息保护是否合规进行评价,保证外部声音对个人信息处理活动的有效影响和合理限制。从内部角度看,《个人信息保护法》规定了一般性义务,需要个人信息处理者根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取相应的措施。一是制定内部管理制度和操作规程。这是个人信息保护内部合规最基础性的工作,要求个人信息处理者对个人信息处理活动进行全面梳理,一一对应制定内部管理要求,明确具体操作规范。二是对个人信息实行分类管理。《个人信息保护法》将个人信息区分为一般个人信息和敏感个人信息,个人信息处理者在此基础上可以进一步进行细分。分类的主要目的是符合内部管理制度、流程的需要,也便于根据不同类型设置相应权限。三是采取相应的加密、去标识化等安全技术措施。技术产生的问题很大程度上需要通过技术解决。个人信息处理活动中,必要的技术措施对于个人信息保护十分重要,《个人信息保护法》重点对常用的加密、去标识化技术进行了明确,个人信息处理者也可以根据自身技术能力、水平采取更丰富的技术保护措施。四是合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训。按照内部管理制度,在个人信息分类管理的基础上,可以对不同部门、不同层次的从业人员设置对应权限,规范流程。个人信息保护合规是一项细致、动态的持续性工作,需要个人信息处理者定期对其从业人员进行相关教育培训。五是制定并组织实施个人信息安全事件应急预案。个人信息处理活动具有潜在风险,无论是内部操作不规范还是外部恶意攻击等,都可能产生相应风险,这就要求个人信息处理者制定并组织实施相关应急预案,防患于未然。更为重要的是,《个人信息保护法》还在内部治理的基础上原则性设置了外部监督机制。虽然涉及条文不多,但其制度意义十分深远。个人信息处理者内部合规的保证,有赖于全面、有效的行政监督执法。从国内外经验来看,个人信息保护监管工作往往消耗大量行政管理资源,需要投入较高人力、财力成本。有些个人信息处理活动对个人权益造成的损害具有隐蔽性,很难通过一般性监管手段及时发现。大型互联网平台由于用户数量巨大、服务面广、基础性强,轻微的个人信息处理活动的设置或者调整,都有可能产生较大程度的影响。例如,“剑桥分析”事件中,脸书(Facebook)设置的“好友的好友可见”权限,就造成5000万用户的个人信息被滥用。因此,个人信息保护引入外部监督机制十分必要。具体来看,《个人信息保护法》主要设置两项制度来实现外部监督。一方面,对于一般的个人信息处理者,规定了定期审计的要求(第五十四条)。审计是一项独立性、外部性的监督活动,常见于经济活动领域。《个人信息保护法》援引了审计制度,但并未展开规定。从立法意图上来看,应当是遵从对审计的一般性理解,按照常识性要求将审计从经济活动领域借鉴到个人信息处理活动中,从外部对个人信息处理者的内部行为进行监督。另一方面,对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,还规定了进一步的义务性要求。其中,要求其成立主要由外部成员组成的独立机构,对个人信息保护情况进行监督。这类个人信息处理者的个人信息处理活动仅仅按照审计的要求进行监督,也许不能实现个人信息保护的目的。正如前述“剑桥分析”的案例,Facebook的个人信息处理活动也许能通过审计,但未必能够发现深层次隐患和对用户的负面影响。《个人信息保护法》规定的由外部成员组成的独立机构,就是要满足更为严格的外部监督要求,在个人信息保护领域更为深入地对其内部处理活动进行必要干预,达到从源头保护个人信息的目的。《个人信息保护法》对合规审计和外部独立机构仅作了概括性规定,未来还有待实践中通过配套规定等来明确具体内容。不过,《个人信息保护法》以内部合规为主线、以外部监督为补充的前瞻性保护思路,必将为我国进一步提升个人信息保护水平、形成良好的个人信息处理环境奠定法治基础。
作者方禹系中国信息通信研究院互联网法律研究中心主任
来源:《网络传播》杂志