《中華人民共和國個人信息保護法》(下稱“《個人信息保護法》”)將於11月1日實施。作為中國首部指向個人數據保護的立法,該法對普通個人和整個數字經濟產業,都將產生重大影響。隨着互聯網經濟深入到社會的每一個角落,人工智能等新興技術變得平民化,個人信息的大面積採集和處理,正在成為一個普遍現象。
該法首次提出了個人敏感信息、公益訴訟等新的司法概念,並針對用戶畫像、大數據殺熟、算法歧視等問題做出規範。
北京瀛和律師事務所業務中心總監高楠對記者表示,法律的導向是,在面對自動化決策、人臉識別等新興技術時,賦予個人知情權和選擇退出的權利,同時,肯定這些技術和企業在商業環境中的價值。
中倫律師事務所合伙人陳際紅表示,從企事業單位角度來看,法律為了促進合規、阻卻違法,制定了嚴厲的舉措,力度堪比歐盟GDPR(《通用數據保護條例》),企業應提前布局合規,防範法律風險。
法律規範了什麼
與《網絡安全法》和《數據安全法》有所區別,《個人信息保護法》側重保護個人信息,監管對象是個人信息的處理者和受託人。簡單說,如果醫院收集和處理病人的病例數據,醫院就是處理者,服務醫院的數據技術供應商就是受託人。所謂個人信息的處理,包含收集、存儲、使用、加工、傳輸、提供、公開、刪除的完整周期。
從內容上看,法律對個人信息的範圍作出了界定、確定個人信息處理的基本原則、個人信息主體的權利及保護、個人信息跨境傳輸的處理,以及個人信息處理者的義務和責任。法律還規範了個人數據的跨境,借鑒國外立法經驗,設定了域外適用原則。
高楠表示,在中央層面,明確了國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作,在地方層面,明確了由縣級以上地方人民政府有關部門履行管理職責。但是,關於監管機構的職責,需要在實踐過程中釐清各部門之間的職責界限,有待進一步探索和明確。
陳際紅表示,《個人信息保護法》在國內首次將個人信息分類成敏感和非敏感個人信息。法律上看,敏感個人信息包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等,以及不滿十四周歲未成年人的個人信息。這些信息一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害。相對來說,個人姓名、職稱等屬於非敏感個人信息。
從保護個人的角度,法律首次提出了單獨同意和書面同意的要求。陳際紅表示,涉及個人的敏感信息、跨境信息等敏感數據處理場景時,要拿到個人的單獨同意。比如說,在公共場所安裝圖像採集、個人身份識別設備所收集個人圖像、身份識別信息的情況下,如果要用於非安保目的,則要給個人發送同意授權書,明確告知用戶人臉信息的重要性和危害,獲得單獨同意,而且不能和其他同意捆綁。
常見的情況是,一座商場通過布置監控攝像頭來防盜防火,法律是允許的,因為這是出於公共安全的目的,若將攝像頭收集的圖像用於對來往顧客的分析,則需要經過顧客的單獨同意。另外,如果緊急情況下,例如醫院對病人的搶救,無法得到病人的及時同意,那麼也需要延後告知。
個人的權益
《個人信息保護法》出台的產業背景,是當前人工智能等新興技術的飛速發展,法律明確指出了自動化決策,也就是人工智能的概念。目前該技術已經在中國的金融、醫療、安防、教育、交通、零售等多個領域實現技術的落地。
高楠表示,這種技術在商業領域的合理運用可以提高經濟效率,降低雙向搜尋成本,有利於消費者的個性化定製與邊緣創新。但另一方面,產業的快速爆發也導致其陷入“野蠻生長”,過度的用戶畫像、大數據殺熟、算法歧視等現象,已經對公眾利益造成影響。《個人信息保護法》首次對這些情況做出了規範。
一個普遍的現象是,在同一個APP上訂酒店,不同用戶顯示不同價格,這違反了算法處理的公平公正原則,是不被法律允許的。高楠表示,對於企業以商業目的,對用戶進行畫像、算法,應當在充分告知個人信息處理相關事項的前提下取得個人同意,或者提供一個替代方案。一旦算法決策對個人權益有重大影響,包括影響升職加薪、貸款申請等,用戶對此有權要求企業予以說明,並且有權拒絕。當個人拒絕,企業不得以此為由拒絕提供產品或者服務。
另外對人臉、聲音、指紋、虹膜等生物信息的識別,屬於敏感信息,除非取得個人單獨同意,否則只能用於維護公共安全的目的,不得用於其他目的,即便個人同意,處理者也不能將生物特徵識別作為唯一選項,應該提供給個人更多的選擇權。
企事業單位的責任
對於監管對象,法律規定了兩類責任主體,個人信息的處理者和受託人,通常前者為主,後者協助,共同面對監管和懲罰,雙方對內再根據過錯程度劃分責任。
陳際紅表示,法律對企業事業單位制定了嚴厲的舉措,包括高額的行政罰款和公益訴訟。
陳際紅表示,根據法律,懲罰措施包括責令改正、給予警告,沒收違法所得;責令APP暫停或者終止服務。若信息處理者拒不改正,處以一百萬元以下罰款,對直接負責的人主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
情節嚴重時,高達五千萬元以下或者上一年度營業額5%以下罰款,並可責令暫停業務或者停業整頓、吊銷執照。對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬以下罰款,並可禁止其擔任董監高或DPO(數據保護官)。同時,組織和個人的相關違法行為還會被記入信用檔案並予以公示。
對於個人如何維權,法律的另一項措施是公益訴訟。高楠表示,這是本法的一項首創,當眾多個人敏感信息受到侵害,個人可以向三大類機構進行訴訟,包括人民檢察院、法律規定的消費者組織、由國家網信部門確定的組織,三選一即可,然後由機構向法院起訴。
陳際紅認為,公益訴訟講究的是社會效果,新法施行后,頭部企業、大平台可能會成為公益訴訟的目標。對企業來說,經濟損失可以承受,但是聲譽損失是難以承受的,因此這是企業防範法律風險時的一個要點。
整體上,該法對企業組織來說,需要付出一定的合規成本,經歷合規的過程。對此,陳際紅提出了企業合規的基本思路。
第一,數據合規不再僅僅是法務的事情,而是企業管理層的決策,管理層需要授權給主管的部門,調配資源;第二,應設置一個專門機構,承擔數據合規的執行的角色;第三,要根據流程做數據盤點,作為家底的數據有多少、有哪些,具備什麼特點;第四,構建數據合規體系,制定公司數據保護合規綱領性文件,規定基本原則和底線要求;針對業務需求,為業務人員制定可執行、可量化、具體化的操作手冊等,並且提前關注一些風險點。