2021-08-24 05:00:00 21世紀經濟報道
南財合規(guī)科技研究院研究員 王俊 郭美婷
8月20日,《個人信息保護法》由第十三屆全國人民代表大會常務委員會第三十次會議通過,自2021年11月1日起施行。
縱觀《個人信息保護法》近二十年的立法路程,互聯(lián)網高速發(fā)展,大數據時代到來,伴隨著高頻、高速、高密度的數據交流傳輸,作為原材料的個人信息濫用問題相伴而至。
對個人信息保護的立法呼聲越來越高,急需一部專門法律定分止爭?!秱€人信息保護法》千呼萬喚始出來。
南方財經全媒體集團合規(guī)科技研究院長期關注個人信息保護議題,持續(xù)跟蹤報道立法進程、監(jiān)管動態(tài)、公眾呼聲。借《個人信息保護法》落地之際,推出解讀報告《個人信息保護法企業(yè)合規(guī)啟示報告》。
該報告分為上下篇,第一篇《個人信息處理新變局》梳理立法路徑與模式,聚焦個人信息處理邏輯的轉變,第二篇《企業(yè)合規(guī)風險研判》則將目光放到企業(yè)合規(guī)的重點與難點,以及新的信息處理機制在數字經濟發(fā)展中面臨的新挑戰(zhàn)。報告受中國社會科學院法學研究所副研究員、中國法學會網絡與信息法學研究會副秘書長周輝指導。
本篇報道為報告上篇的拆解報道,聚焦《個人信息保護法》新增的數據可攜帶權。
數據可攜帶權為的是強化個人對于個人信息的控制權,促進數據自由流動,激發(fā)互聯(lián)網領域的創(chuàng)新活力,破除大平臺的數據壟斷。
但是,這個美好的愿景真的會實現嗎?
隨著公眾對個人信息保護的重視,個人數據逐漸流向安全高地,賦予個人的“可攜帶權”是否會讓個人更傾向于大平臺,使得促進競爭的愿景落空。
其次,對于中小企業(yè)而言,為落實“可攜帶權”,人員管理配置、數據接口等技術升級以及個人數據轉出后帶來的損失等,將增加合規(guī)成本,加重企業(yè)負擔。這對企業(yè)來說只是短暫的陣痛,還是會在大浪淘沙中出局?
我們是否做好了數據可攜落地的充分準備?這是法律出臺后仍要面臨的現實拷問。
《個人信息保護法》第四十五條規(guī)定,“個人請求將其個人信息轉移至其指定的個人信息處理者,符合國家網信部門規(guī)定條件的,個人信息處理者應當提供轉移的途徑”,明確賦予了個人可攜權。
中國人民大學法學院教授石佳友此前就曾呼吁立法明確個人信息可攜帶權,他告訴21世紀經濟報道記者,賦予個人可攜帶權,可以強化信息主體對個人信息的利用和控制,承認信息本身的價值,促進信息流通與共享。
可攜帶權借鑒的是歐盟《通用數據保護條例》(GDPR)對數據可攜帶權的設立。彼時,歐盟創(chuàng)設這一制度,為的是實現個人信息的自決權,并通過用戶發(fā)起的數據流動促進企業(yè)間相互競爭。
“數據的共享與流動對企業(yè)而言利益沖突太大了,但如果給個人賦權,增加可攜帶權,企業(yè)就無話可說了。”北京尚隱科技有限公司CEO張仁卓分析稱。
不少專家認為,數據可攜帶權的引入,一定程度上可以使得數據在不同經營者之間的流動,促進經營者公平競爭,解決數據平臺的數據壟斷問題。
但這個愿望能實現嗎?從歐盟的實踐來看,結果似乎不盡如人意。
對外經濟貿易大學數字經濟與法律創(chuàng)新研究中心執(zhí)行主任許可直言,歐盟可攜帶權的做法,非但沒有促進競爭,反而讓如臉書、谷歌等大型企業(yè)形成聯(lián)盟,聯(lián)盟內的企業(yè)數據格式統(tǒng)一,可互轉移,但如果用戶想將數據轉至其他平臺,則因無法兼容的接口而落空,最終加劇壟斷。
浙江墾丁律師事務所合伙人李晉沅從另一個角度表達了擔憂。他認為,現實中,數據安全保護的技術高低讓作為數據主體的消費者“用腳投票”。
“在風險較大,且對接收數據企業(yè)的技術和安全保障能力缺乏認知的情況下,數據主體轉移個人信息的意愿會被明顯地抑制,可能更愿意將自己的個人信息儲存在那些比較知名、自己相對信得過的大公司系統(tǒng)里,使得數據自由流動成為一種美好的幻想。”李晉沅告訴21世紀經濟報道記者。
歐盟的數據可攜帶權“失利”,在許可看來,與其規(guī)定的可攜帶權的客體范圍密不可分。
GDPR及歐盟制定的《數據可攜帶指南》規(guī)定了個人數據涵蓋的范圍。一部分是數據主體主動提供的數據,如填寫的個人資料信息,姓名、性別、年齡、家庭住址等;另一部分則是數據控制者通過觀測數據主體在使用某些服務而記錄的個人數據,如某人的搜索歷史記錄、交通數據、位置數據以及可穿戴設備跟蹤的心跳數據等。但不包括個人用戶的精準畫像、信用評級、人物影響力等通過對上述兩種數據進行后續(xù)分析推斷得到的衍生數據,也不包括匿名或不涉及數據主體的數據。
許可表示,歐盟將可攜帶權的客體定為機器可讀的個人數據,就必然會面臨各企業(yè)數據不兼容的阻礙。而該項權利的執(zhí)行又非常克制,當個人行使數據的可攜帶權時,如果企業(yè)間原本的數據接口不兼容,GDPR并不會要求企業(yè)額外花費高額的成本,設立與第三方進行數據交換的渠道,則數據的轉移并未成功實現。
《個人信息保護法》對于數據可攜帶權的規(guī)定還比較籠統(tǒng)。關于數據可攜帶權適用的數據范圍尚不明確。并且,數據可攜帶權下傳輸的數據形式不明確。需要未來具體細化的標準規(guī)范出臺。
華東政法大學教授、互聯(lián)網法治研究院院長、數據法律研究中心主任高富平認為,個人“可攜帶”的只限于用戶在登錄注冊APP時提供的信息,企業(yè)基于對個人的觀察形成的信息并不能包括羅列在內。不能給消費者過多干預市場自然競爭的權利。
許可也表示,在中國數據與信息兩分法的背景下,若可攜帶權轉移的是個人信息,能夠滿足各方的利益期待。該信息僅限于個人提供的、不包括企業(yè)后續(xù)加工處理的信息。
他解釋稱,一方面,可攜帶權可得到實質的落地,保證了個人對其信息的自決權;另一方面,對于企業(yè)而言,傳輸數據所要付出的合規(guī)成本遠超過轉移信息。前者需要設立新的接口,后者則只需落實個人信息的查詢復制權。
但是,張仁卓認為,對數據可攜帶權的理解,要從數據流動和釋放數據價值的角度來考慮。可攜帶權對打破數據領域的壟斷以及數據孤島局面極其重要。如果,過于限制個人信息的范圍,那實踐中的意義將大打折扣。
目前《個人信息法》可攜帶權內容寫得較為原則,設置了“符合國家網信部門規(guī)定條件”的前提,后續(xù)有待網信部門出臺實施細則。
對企業(yè)來講,需對可攜帶權帶來的影響研判,及時作出反應。比如,其帶來的數據安全風險。
“數據攜帶權的規(guī)定使得個人數據的傳輸和轉移變得十分頻繁,為惡意攻擊提供難得的機會,尤其是當多個服務提供商都可以訪問用戶的個人數據時,很難保證他們都在技術和用戶認證方面做得完善。”李晉沅認為,當一些數據接收者的技術能力有限或對數據主體的認證力度不夠時,黑客、數據黑產、數據灰產等惡意攻擊者利用虛假身份盜取個人數據、以數據或注入錯誤代碼的方式來進行違法犯罪活動的可能性顯著提高。
許可建議,可攜帶權在不同行業(yè)、不同類型、不同場景下采取不同方案。比如應極為審慎對待金融信息,只能向在法律上明確規(guī)定、獲得認證或達到標準的企業(yè)轉移。
至于可攜帶權帶來的競爭格局影響,專家們持不同觀點。
個人在未知情況下“用腳投票”給大企業(yè)的概率大,中小企業(yè)自身收集的個人信息很可能被轉移到其他公司手里,用戶忠誠度和信任度都難以確定,中小企業(yè)投身于數據的收集分析以及產品的創(chuàng)新意愿將降低。李晉沅建議,未來應該有更多的配套法律法規(guī),以消解可攜帶權可能對社會創(chuàng)新和公平競爭帶來的負面影響。
許可認為,為了防范個人信息在各大企業(yè)間轉移而不對小企業(yè)開放,應嚴格地將可攜帶權的主要應用場景限制在大企業(yè)向小企業(yè)開放的場景中,大企業(yè)間不屬于可攜帶權的對象。
石佳友則持樂觀態(tài)度,認為可攜帶權給了個人篩選企業(yè)的權利,有利于數據流動與競爭,從而提高市場整體的信息安全保障水平。