中兴通讯校园行(十二)| 张平:我国个人信息保护立法与实践

2022-01-24 19:00:00
张平老师以数据及个人信息保护全面合规的全球视角出发,结合欧盟、美国等国家的相关法律规定,分别从立法背景及基本问题讨论、《个人信息保护法》重点条款解读、个人信息保护-政策及实践三个方面,对我国个人信息保护的基本原则、重点条款等方面问题进行解读、分析、讨论,干货满满,使同学们深受启发。

1月19日,由广东省知识产权局指导,中兴通讯股份有限公司主办,知产力新媒体平台承办的“12期知识产权实务课程培训”系列活动第十二期正式举办,活动邀请了北京大学知识产权学院常务副院长、博士生导师张平老师就“我国个人信息保护立法与实践”与在线各位高校同学和实务界进行了分享。活动由知产力新媒体平台负责人衣朋华主持,来自全国各地高校大学生、科研院所、以及知识产权实务工作者等二百余人参与了此次活动。

会议伊始,知产力新媒体平台负责人衣朋华对活动背景以及中兴通讯在知识产权领域的工作成果进行了介绍,为探索知识产权专业人才校企联合培养模式,解决企业痛点和大学生就业需求,服务科技创新和国家知识产权战略实施。在广东省知识产权局的指导下,中兴通讯携手知产力新媒体平台,开展12期知识产权实务课程培训活动。12期课程涵盖知识产权战略、企业知识产权实务、知识产权风控、专利分析、专利文件撰写、知识产权资产管理、专利无效及行政诉讼、知识产权许可、知识产权运营等方面,并邀请12位业界著名的知识产权专业大咖来进行授课。

640?wx_fmt=gif

640?wx_fmt=png

640?wx_fmt=gif

主题培训环节,张平老师以数据及个人信息保护全面合规的全球视角出发,结合欧盟、美国等国家的相关法律规定,分别从立法背景及基本问题讨论、《个人信息保护法》重点条款解读、个人信息保护-政策及实践三个方面,对我国个人信息保护的基本原则、重点条款等方面问题进行解读、分析、讨论,干货满满,使同学们深受启发。

一、个人信息保护立法背景及基本问题讨论

(一)立法进程及体系

目前,知识产权学者也越来越关注个人信息保护,个人信息保护和知识产权保护有一些相似之处,而且是紧密联系的,张平老师在讲授当中也通过分析对比探讨了二者的联系。

2021年9月1日实施的《数据安全法》和2021年11月1日实施的《个人信息保护法》都提到了个人信息的保护,引发了社会各界的广泛关注。而从立法进程来看,《全国人大常委会关于加强网络信息保护的决定》这个文件是标志性的,当中正式提到个人信息保护的概念。个人信息保护的法律渊源也可以从《宪法》或者《民法通则》中看到,《刑法修正案(七)》已经包含了个人信息保护的概念,当时更多强调的是国家公共机关对于个人信息的保护,从《全国人大常委会关于加强网络信息保护的决定》开始,个人信息提到了非常高的保护水平,到《刑法修正案(九)》时已经把侵犯个人信息罪主体范围扩大到了公共机关和商业机构。《网络安全法》于2017年6月1日实施,全面规定了个人信息保护的基本原则,以及具体的规范。而同一天,两高出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》也正式实施。2021年1月1日起实施的《民法典》正式把个人信息的权益放到了人格权篇下,和隐私是并列的关系,但是《民法典》的规范更多是从人格权方面作保护,没有涉及到个人信息财产权的明确规定。因此,张老师表示,《民法典》、《刑法》、《网络安全法》更多是从行政监管方面对个人信息保护进行规制,虽然当时没有专门的立法,但都在不同的侧面上对个人信息保护给予了关注。直到《个人信息保护法》正式颁布和实施,才从基本原则和具体规范上对个人信息的人身权和财产权给予了明晰的规定。

个人信息保护的立法体系比较庞大,还包括行政法规、部门规章,甚至扩大到技术标准,对于不同领域也有一些对于个人信息保护的具体规定。探讨个人信息保护,不能仅仅关注《个人信息保护法》,还要对其关联法律的立法演变和渊源有所了解。

(二)语境、概念及理论困惑

个人信息、个人隐私、个人数据、个人资料,到底这些概念有什么联系和区别?我国法律名称采用了“个人信息”,但是我国立法借鉴的是GDPR(欧盟《通用数据保护条例》),以及英美法系对个人信息保护的立法。GDPR用的是“个人数据”的概念,美国立法用的是“隐私”的概念。而我们实践当中可以看到很多企业声明一般都叫“隐私政策”,也有一些企业在用户手册或者用户协议中用“个人信息保护政策”等语言,企业的法务中也有“隐私保护官”或者“个人信息保护官”的说法。总而言之,实践中“信息”、“数据”和“隐私”这三个概念是通用的,在国外主要适用“隐私”这个术语,国内主要用“个人信息”术语,且在法理上有所区别,比如《民法典》当中就把隐私和个人信息并列,定义当中互相有包含和交集,但并不完全是等同的。

按照我国现行法律规定,从法理的解释上,隐私的范围最小,保护水平最高。个人数据的范围大于隐私,包含了隐私数据和其他的数据。而对于个人数据和个人信息的范围,信息的范围往往比数据的范围大。实践中,对个人信息保护需要取一个最大范围进行讨论,个人信息保护合规之后,隐私和数据也需要合规。张老师通过比较法分析GDPR(欧盟《通用数据保护条例》)、CCPA(美国《加州消费者隐私保护法案》)及我国相关法律规定中的条款为大家释明了个人信息保护法的定义:个人信息指能够识别公民个人身份和涉及公民个人隐私的电子信息。个人基本信息如姓名、生日等是敏感信息,个人教育、财产信息等都属于间接信息,组合起来也可能能够快速锁定某个人。

个人信息保护相关问题在理论上存在很大的讨论空间或者困惑,一是应把数据当成资源还是财产?如果当成资源,则应鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数据经济发展。如果当成国家资源,立法定位恐怕要更多地考虑国家整体的发展,以及产业利益。如果当成个人和组织的财产权益,相当于一般民事财产权,则个人信息未经授权是不可以使用的,在共享、交易、流通过程中必须进行确权。这也是国家不断出台以数据共享和数据交易为基本的数字经济发展战略、不断的提升个人信息保护水平的原因之一。矛盾的平衡还有待于未来下位法的规定。张老师认为,在个人信息保护方面,数据作为第五大生产要素,立法定位上可能要考虑国家整体利益,个人需要让渡部分权益给公共利益或者国家发展,这样才能够让大数据确权变得相对容易。此外,张平老师也和大家探讨了个人信息是权利还是权益?跨境规范与长臂管辖?立法定位是公法还是私法?等问题。

(三)我国大数据产业发展战略

2015年,国务院发布《促进大数据发展行动纲要》,提出加快建设“数据强国”的倡议。2020年4月中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》明确提出加快培育数据要素市场、引导培育大数据交易市场。2019年,党的十九届四中全会提出“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制”,“数据”上升到了生产要素的重要地位。2020年10月,党的十九届五中全会进一步提出建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范。数据交易的前提是确权,没有权属无法进行交易。但若大数据收集者或者市场主体要去进行交易的时候,须征得千千万万数据主体的授权才能交易,授权的环节又是特别的严格和复杂,将影响数据的流通。因此,大数据产业发展如何与个人信息保护契合,能够有效的平衡,这也是立法的关键点。

二、《个人信息保护法》重点条款解读

(一)个人信息处理的基本原则

《个人信息保护法》的总体原则为第5条“合法、正当、必要、诚信”,贯穿个人信息处理全流程,例如收集要合法、目的要合法、安全措施要合法。落实四个基本的原则还要通过其下的具体原则,即《个人信息保护法》第6、7、8、9条的具体原则规定。第6条目的明确合理原则,要求最小限度收集,不能过度收集;第7条程序公开透明原则,指的是在处理个人信息的时候,首先要有公告或者政策,告知的程序要清晰简明易懂,不能用晦涩的语言;第8条信息质量保证原则,要求保证收集信息的准确性,如果发现不准确可以提出修正删除,这是个人信息处理者的义务;第9条安全措施保证原则,要求个人信息处理者提供基本基础的安全保障,不光是基础措施还有管理措施,安全保障要分级分类,并不是所有的个人信息都给予同一个水平的保护,要根据不同的等级给予不同的安全措施。

此外,第13条是通知同意的基本或者一般规则,要求处理个人信息在做到合法正当必要诚信的基础上,处理所有的信息都要经过信息主体的同意,其通知是充分的,同意是明确的。只有第13条第二项到第七项是例外的,不需取得个人同意,且这种例外是有严格的情形限制的。对于一些特殊信息的特别处理规则,规定在第二节,如对于敏感信息还要单独同意及书面同意,对于未成年人的信息还要取得监护人的同意。

(二)个人信息处理者

个人信息处理者,是指自主决定处理目的、处理方式等个人信息处理事项的组织、个人。其中的“组织、个人”包括包括公共机构和私营机构,国家机关、大学、事业单位。不同的组织和个人去处理个人信息的义务是相同的,都必须遵守“通知-同意”、公平公正和诚信的原则,但在承担责任的时候有所区别。个人信息处理者的义务覆盖全流程,个人信息处理全流程是一个专有名词,包括收集、存储、使用、加工、传输、提供、公开、删除等,未来随着技术手段的不断发展,也有可能出现新的处理环节。无论在哪一个环节上都要遵循,如开始收集的时候需要通知和获得同意,提供给第三方公开时也要再去告知和获得同意,在二次三次的加工中,若能够溯源,即在转用的时候如果还能识别出来,还要进行再告知和获得同意。因此,可以看到个人信息基本原则和义务是覆盖全流程的。

(三)个人信息主体的实体权利

个人信息主体实体权利的基础是个人信息自决权,依据源于宪法。人对于自己有绝对的通讯自由、财产自由、空间自由,个人信息自由权概念来自于欧盟的GDPR,包括查阅权、复制权、修改权、删除权、继承权、同意撤回权、可携带权等。这种查阅权、复制权、修改权、删除权都存在一定的问题或限制,例如查阅权,查阅范围等在实践中并不是很明确;又如删除权,互联网没有遗忘的功能,不能保证信息没有扩散,很难彻底删除;就继承权来说,个人信息不能继承,但相关的财产权可以继承,同时也要维护它的公众号或者QQ号、微博号不受歪曲篡改;可携带权而言,可以根据合同进行约定,有一些涉及到商业秘密问题是不可以携带的,但是整体来说,个人信息保护法赋予的是在合理范围内的可携带权。

(四)个人信息处理相关问题及规则适用

(1)委托处理和转处理个人信息

委托处理和转处理行为也经常发生,很多企业自己不处理数据,因为没有庞大的技术团队和技术储备也没必要做这样的投资,而把消费者的信息委托给数据处理公司,而且社会上确实存在着专门的数据处理机构。所以《个人信息保护法》专门有一条规定,即个人信息处理者委托处理个人信息,应当与受托人约定委托处理的目的、期限、处理方式、个人信息处理的种类、保护措施,以及双方的义务。这一条规定对于广告业影响最大,目前随着大数据的发展,在做精准广告投放的时候,委托人一定会把购买来的数据和信息进行分类,不同的群体进行不同目的的广告推送,如果委托广告公司去处理,广告公司是目的转用,在转用目的的时候还应当再告知个人信息主体。因此,《个人信息保护法》出台之后,受冲击最大的是数字广告业或者精准广告产业。   

(2)自动化决策:用户画像、算法歧视、精准推送

自动化决策是指通过程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。包括用户画像、算法推荐等,应当在充分告知个人信息处理相关事项的前提下取得个人同意,不得以个人不同意为由拒绝提供产品或者服务。不得通过自动化决策对个人在交易价格等交易条件上实行不合理的差别待遇,且需要在事前进行个人信息保护影响评估。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的选择;作出对个人权益有重大影响的决定,个人有权要求予以说明,并有权拒绝仅通过自动化决策的方式作出决定。实践中,对于公开的数据是否可以自由使用还是一个问号,因为尽管有一些个人数据也是公开的,但是公开的数据不一定都是可以自由免费使用的数据。例如法国已经明确的发布了一些文件,明确不可以对司法文件进行精准诉讼分析和预测,不可以给法官画像。

(3)严格限制人脸识别技术应用

《个人信息保护法》第26条:“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供,取得个人单独同意的除外。”实践中,安装在公共场所的大部分设备是自动采集进行人脸识别,可能出于公共安全的目的,但是它并没有告知,无法知道它采取了什么样的技术措施,以保护数据安全。现今,平安社区、智慧城市、智慧校园等各种管理都要用刷脸技术,人们也愿意用刷脸技术,但隐患巨大,既是对个人权利的侵害,也是对国家安全的威胁。实践当中可以看到有泛滥使用的趋势,亟待进行《个人信息保护法》的普及和宣传,让更多机构在合规的范畴之内使用这些先进的技术。

(4)个人信息跨境提供的规则及安全评估

一旦涉及到跨境,首先要明确告知个人信息主体,要做跨境风险的评估,评估完成后要在主管部门进行审查或认证,在使用过程当中也要受到一定的限制,包括对于境外的接收方要履行国内法的义务,还有提供对等的保护。如果跨境到某一国家或地区,该国家或地区不给予对等保护,中国也不给该国信息提供保护,跨境评估和安全保障监管都采取对等原则,特别体现在司法和执法的请求上。

(五)责任承担:行政、刑事、民事

个人信息保护的保护要求很高,覆盖的责任范围也很大,包括行政责任、刑事责任和民事责任,因此,若一个企业或者机构个人信息保护不合规,其风险也是很大的。可以看到《刑法》中有一些明确的规定,比如处理个人信息达到多少条是不合规的、负责人构成刑事责任,《个人信息保护法》当中也有一个规定,对于机构和个人要同时给予处罚。

在责任承担中也有一个新的动向,即合规不起诉,这也是全世界的趋势。也就是说,企业如果是非常善意地去制定政策,尽到了基本义务,同时由于商业模式和技术的发展,还是达不到完全合规或者完全合法的要求,此时可能不会去承担刑事责任,但还要承担民事责任和行政责任。

三、个人信息保护-政策及实践

(一)合规现状:形式要件-个人信息保护政策

企业机构合规首先要有政策,隐私政策是形式要件,要全范围各环节的细化管理、岗位培训也要有,还要有安全保障措施,事前和事后的措施,最后还有负责任的信息共享和应用,这是政策和实践要覆盖的全部内容。法律的保护只是有一条基本线,个人信息保护的水平可以无限的高,但是个人信息保护程度越高,企业管理成本越高,用户感受也会有不同。而个人信息主体所期待的财产利益不同,它的政策都是不同的。因此,如果一个企业是基于风险防控的出发点去合规,取一个最低的法律合规就可以了,只要满足法律的基本规定就可以了,但如果是从用户利益来合规,就需要做到比较好的合规水平。

实践中,几乎没有消费者会阅读隐私协议,但隐私协议可作为监督和自律的标准,在涉诉时可以作为证据,证明已经尽到最基本的告知义务,此时执法机构可根据善意从轻处罚。

(二)合规实践:全方位各环节的细化管理、相关岗位培训

隐私政策是形式上的,而合规实践是要全方位各环节的细化管理、做相关岗位培训,公司发表隐私政策不能一发了之,公司各个环节的员工需要都了解,各个总部和分支机构要全员培训。没有告知业务链、没有培训本身也是不合规的一部分。还有不同服务类型应该有不同隐私政策,同时,产品更新时,要定期更新隐私政策。合规的实践也任重道远。

(三)安全保障:事前及事后措施

安全保障是非常关键的,如果没有保障措施,个人信息保护就无从谈起。安全保障要求技术保障、管理保障、人员保障等事前及事后的措施都要得到保障。同时,内部人员也不能披露和泄露信息,内部主动泄露个人信息也属于安全保障的问题。

(四)透明度:负责任的信息共享

透明度贯穿各个环节,在整个数据处理的过程中,包括数据共享和利用,还有提供公共服务、销售智能产品和进行市场拓展的时候,都必须要进行告知。个人信息保护相关法律规定很笼统,在具体实践中有很大的空间,因此社会各界也都在制定评估标准和指南,张老师介绍了中国科学技术法学会发布的标准《个人信息处理法律合规性评估指引》,按照这样一个标准做基本上能够做到法律上的合规,而且可以达到分级分类的合规。

四、自由讨论

《个人信息保护法》对数据出境的规定、用户画像、法律冲突与优先级、法律救济途径、组合识别问题的理解等具体问题作出了详细解答,并倡导个人信息处理者遵守法律规定,做到数据无害的收集和传播,科技要向善、创新要守正。

最后,知产力新媒体平台负责人衣朋华对“12期知识产权实务课程培训”系列活动进行了总结,从第一期的吴汉东老师从知识产权整体的战略讲解开始到最后一期张平老师对个保法解读的收官,在线培训的网友一共达到6000多人次,同时表达了对于同学们未来发展、为国家知识产权事业的进步而努力学习的深切期望并祝愿大家新年快乐!

(以上内容由张平教授授权,知产力整理而成)

640?wx_fmt=gif

往期链接

中兴通讯校园行(十一)|苏志甫:通信领域全球SEP诉讼审理动向及解读——以典型案例为视角

中兴通讯校园行(十)| 王正志:中法知识产权保护制度比较

中兴通讯校园行(九)| 黄汇:全球化背景下商标使用保护地域性问题探讨

中兴通讯校园行(八)| 宋健:严格知识产权保护的最新进展

中兴通讯校园行(七)| 肖延高:数据驱动的知识产权管理理论与实践中兴通讯校园行(六)| 王岩:知识产权人才的高校教育与终身学习

中兴通讯校园行(五)| 王迁:新《著作权法》中权利的保护相关问题探讨

中兴通讯校园行(三、四)| 崔国斌:《专利法》四修相关问题探讨

中兴通讯校园行(二)| 李超:发明专利保护的主题和授予专利权的实质条件

中兴通讯校园行(一)| 吴汉东:新发展格局与知识产权战略

(图片来源 | 网络)

+1
0

好文章,需要你的鼓励

参与评论
评论千万条,友善第一条
后参与讨论
评论区

    下一篇

    经过正面战线和后方战线的鏖战,一桩3800万元巨额索赔专利侵权案消弭无形。

    2022-01-20 18:50:00