上個月19號,我國首部《個人信息保護法》(草案)完成了向社會公開征求意見的流程,我們相信通過各方的不斷努力,中國老百姓關心的個人信息保護問題將得到妥善解決。同時,由于該法層級較高,屬于國家法律,將直接影響刑法第253條之一侵犯公民信息罪的成立,因此,飒姐有必要同業內老友一起學習新法,未雨綢缪,提前做好數據刑事合規。
一、適用範圍
由于當下互聯網技術的發展,對于數據采集、清洗、轉讓等環節一些不法分子爲逃避監管將相關環節轉移到香港地區、新加坡、馬來西亞等地區和國家,造成了取證難、管轄權爭議等頑疾。
《個人信息保護法》(草案)在第二條就對大家關心的法律適用範圍問題做出了明確回答:
在中國境內處理自然人個人信息活動,適用本法。請注意,這裏的個人新不僅包括中國公民的個人信息還包括其他國家公民甚至無國籍人的個人信息。也就是說,我國對于跨境數據非法加工、交易等是嚴肅規制的。
境外處理中國境內自然人信息的有下列情形之一者,適用本法:
(一)以向境內自然人提供産品或者服務爲目的;
(二)爲分析、評估境內自然人的行爲;
(三)法律、行政法規規定的其他情形。(主要是《民法典》第一千零三十四條、一千零三十五條、一千零三十六條、一千零三十八條之規定;《網絡安全法》中對于網絡運營者收集、適用公民信息的規定,詳見第四十一、第四十二、第七十六條之規定)
二、匿名化信息,不受本法保護
也就是說,經過清洗後無法回溯到特定自然人的個人信息,不再屬于公民個人信息保護範圍之內。飒姐相信,這一定是諸多電商平台和數據公司爭取的結果,對于匿名化的標准,可參照《GB/T 37964-2019 信息安全技術 個人信息去標識化指南》中對于相關標准的認定。
三、繼續執行“最小夠用原則”
處理個人信息應當具有明確、合理的目的,並應當限于實現處理目的的最小範圍,不得進行與處理目的無關的個人信息處理。有一個問題值得研究,精准投放廣告是不是爲了實現“處理目的”,倘若精准投放廣告的口子依然敞口,我們智能手機的麥克風將如同一個“貼身小間諜”不時抓取你與朋友的談話實錄,推送鼻炎膠囊、二胎規劃、減肥餐給你,不勝其煩。
飒姐曾經親試過,將麥克風關閉、定位關閉,綠色聊天工具使用起來就別扭了,因此,如何讓麥克風只收錄該收錄的,過濾隱私信息,還有很長的路要走。
四、法律允許的處理個人信息的六種情形
個人信息處理方在特定條件下才能處理公民個人信息:
(一)取得個人的同意;(這裏的“同意”是指,在個人充分知情的前提下,自願、明確作出意思表示,倘若對處理目的、處理方式、處理信息的種類任一有變更,都必須重新獲得授權。但一次授權,在服務中可以持續使用。)
(二)爲訂立或者履行個人作爲一方當事人的合同所需;(合同要有明確的相對人,倘若出現糾紛,也需要明確的被告,因此,這個規定市場接受度很高)
(三)爲履行法定職責或者法定義務所需;(結婚、離婚、起訴、普查等)
(四)爲應對突發公共衛生事件或者緊急情況下位保護自然人的生命健康和財産安全所需;(疫情中各類填表即是此種情況)
(五)爲公共利益實施新聞報道、輿論監督等行爲在合理的範圍內處理個人信息;(涉及媒體報道、公衆知情權與某些個人的隱私之間的矛盾,飒姐建議涉及具體個人盡量用化名處理)
(六)其他法律、行政法規規定的其他情形。(請注意這裏並不包括監管部門的部門規章和地方法規等,更不包括監管機關的窗口指導內容)
五、個人有撤回權
基于個人同意而進行的個人信息處理活動,個人有權撤回其同意。個人信息處理者不得以個人不同意處理其個人信息或者撤回其對個人信息處理的同意爲由,拒絕提供産品或者服務;處理個人信息屬于提供産品或者服務所必需的除外。實踐中,絕大多數大型電商平台和即時通訊工具,都把收集公民個人信息作爲其提供服務的必需要素。
但,數年前,飒姐在一次與金融科技老大共同參加的會議上發現,其真正的商業模式不是表面的服務,而是掌握數據這一“石油”,從而從中獲取真正的利潤。因此,我認爲,雖然個人有撤回權,但現代社會真實服務場景裏,基本難以實現。
六、明確告知的義務
個人信息處理者在處理個人信息前,應當以“顯著方式+清晰易懂語言”(之前判例中,關于顯著方式的爭議較大,信息處理者往往敗訴)向個人告知下列事項:
(一)個人信息處理者身份和聯系方式;(飒姐親試打過聯系電話,基本都是忙音或機器人語音回複)
(二)個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;
(三)個人行使《個人信息保護法》的方式和程序;
(四)法律、法規規定應當告知的其他事項。
七、共同處理信息的情形
在金融科技行業,科技公司與銀行一同開發客戶,對客戶的公民個人信息進行采集進行風控,這就符合《個人信息保護法》中所講的兩個或兩個以上的個人信息處理者共同決定個人新的處理目的和處理方式的,應當約定各自的權利和義務。但是,該約定不影響個人向其中任何一個個人信息處理者要求行事本法規定的權利。個人信息處理者共同處理個人信息,侵害個人信息權益的,依法承擔連帶責任。也就是說,倘若金融科技公司在處理個人信息時有侵權行爲,銀行有可能承擔連帶責任,在知情情況下飒姐認爲甚至要一同承擔刑事責任。
八、委托處理個人信息的沉澱問題
飒姐經曆的案例中,由于委托他人(其他公司)處理個人信息而導致公民個人信息泄露的事件值得引起重視。尤其是在集團內部,總公司委托控股公司專門清洗數據,結果被暗示進行數據沉澱,後將數據以1.5元每條價格出售給數據商或以0.1元每次查詢的價格向社會其他組織提供數據查詢服務。
根據新規個人信息處理者委托處理個人信息的,應當與受托方約定委托處理的目的、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等,並對受托方的個人信息處理活動進行監督。受托方應當按照約定處理個人信息,不得超過約定的處理目的、處理方式等處理個人信息,並應當在合同履行完畢或者委托關系解除後,將個人信息返還個人信息處理者或者予以刪除。未經個人信息處理者同意,受托方不得轉委托他人處理個人信息。
九、精准廣告如何規制
精准廣告實質上是信息處理者根據一定的算法,對其采集的個人信息進行分析,形成自動化決策並向客戶推送特定廣告等。實踐中,這種做法廣爲诟病,新規中對于“自動化決策”要求其保證決策的透明度和處理結果,但是對于算法的識別並非一般監管機關工作人員可以做到,因此需要監管科技行業的大力支持。同時,新規強制性要求基于算法進行自動化決策,從而進行商業營銷、信息推送,應當同時提供不針對其個人特征的選項,飒姐看到這裏,想起某短視頻網站基于客戶觀賞的偏好,頻繁推送同種類型的短視頻,其實是一種視覺騷擾,根據新規強制性要求,未來也許有所改變。
十、容易形成監管空子的“匿名化”反推回溯
由于新法開篇就排除了匿名化信息的適用,也就是說,即便是根植于個人信息只要經過清洗,無法回溯到特定自然人的信息是允許銷售、轉賣、適用的。于是乎,很可能會出現市場中某些不法分子,先購買匿名化的數據,然後通過技術手段和特殊算法將這些數據還原回特定的自然人(清洗技術和還原技術是道高一尺魔高一丈的關系)。
因此,新規第二十四條最後一句重點指出:個人信息處理者向第三方提供匿名化信息的,第三方不得利用技術等手段重新識別個人身份。也許有讀者問,如果識別了身份又會怎樣,飒姐明確告訴您,識別回特定自然人就是一種嚴重的侵權行爲,倘若敢出售或提供給他人則涉嫌刑法第253條之一侵犯公民個人信息罪。
十一、視頻風控到底是否合法?
曾幾何時,行內老友們提出過通過公共場所或固定場所監控錄像來進行金融風控的設想,也許有些公司已經付諸實踐了。但是,新規表明在公共場所安裝圖像采集、個人身份識別設備,應當爲維護公共安全所需,遵守國家有關規定,並設置顯著的提示標識。收集的個人圖像、身份特征信息只能用于維護公共安全的目的,不得公開或者向他人提供,取得個人單獨同意或者法律法規另有規定的除外。
這裏有一個問題,各個單位甚至家庭內部也許都設有攝像頭,這些圖像並不屬于新法規定的“公共場所”,那麽其收集的信息是否可以售賣?我認爲,關鍵點還是被采集信息的人是否同意,而這種同意是否是明確清晰的。比如富人家裏的保姆被24小時監控其照顧嬰兒的圖像,倘若聘請保姆的合同裏沒有設有其同意被攝像的條款,保姆當然有權利控告雇主侵權。
十二、敏感信息
敏感個人信息是一旦泄露或非法使用,可能導致個人受到歧視或者人身、財産安全受到嚴重危害的個人信息,包括種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等信息。
基于個人同意處理敏感個人信息的,個人信息處理者應當取得個人的單獨同意,請注意,根據體系解釋,若非敏感個人信息,個人信息處理者只需概括授權即可,也就是注冊協議裏打鈎同意就符合法律規定了。
十三、數據出海
個人信息處理者因業務等需要,確需向境外提供個人信息的,至少具備下列一項條件:
(一)通過國家網信部門組織的安全評估(詳見《關鍵信息基礎設施安全保護條例》之具體要求);
(二)按照國家網信部門的規定經專業機構進行個人信息保護認證;
(三)與境外接收方訂立合同,約定雙方的權利和義務,並監督其個人信息處理活動達到本法規定的個人信息保護標准;
(四)法律、行政法規、網信部門規定的其他條件。
寫在最後
我們相信《個人信息保護法》順應民心,將在不久的將來正式頒布實施。我們在撰寫文章時已經發現,如今已經幾乎沒有不互聯網化的企業了,數據已經成爲當今社會十分重要的生産要素。
正如北京大學數字金融研究院黃益平教授所言,未來沒有不數字的金融,也許10年後數字金融的名字將不複存在,那是因爲所有的金融都是數字金融。是的,公司亦如此,未來沒有所謂的互聯網企業,因爲幾乎所有的企業都是采用互聯網相關技術進行研發、生産、銷售、售後等。曆史的車輪滾滾向前,我們將迎來一個數據的時代。學好個人信息保護法,未來已來!
獲取詳細資訊,請聯絡飒姐團隊
肖飒,垂直“科技+金融”的深度法律服務者,中國互聯網金融協會申訴委員、中國銀行法學研究會理事、中國社會科學院産業金融研究基地特約研究員、中國政法大學法律碩士學院兼職導師、金融科技與共享金融100人論壇首批成員、人民創投區塊鏈研究院委員會特聘委員、工信部信息中心《中國區塊鏈産業白皮書》編寫委員會委員。被評爲五道口金融學院未央網最佳專欄作者,互金通訊社、巴比特、財新、證券時報、新浪財經、鳳凰財經專欄作家。