在广泛的关注和期待之中,全国人大常委会终于在2021年8月20日审议通过了《个人信息保护法》(下称“《个保法》”),中国的数据保护立法又向前迈出了坚实的一步。在社会各界充分肯定此次立法的成果,并广泛开展法律宣传和教育的当下,我们也应当同时关注法律的具体实施,并向立法目标逐渐靠拢。纵观整部《个保法》并结合中国个人信息保护的现状,笔者认为,在落实并执行《个保法》的过程中仍然将面对不少的困难和挑战,值得一起思考与讨论。
一般而言,某项新的法律制度的演进分为几个过程,即:立法、执法、守法(合规)、诉讼/个人权利行使 、修法(释法)。类似一个新产品,在此过程中不断循环、打磨、碰撞、升级并完善,逐渐形成一个相对稳定的状态,达到预期效果。
《个保法》作为数字化时代,规范及保护个人信息的崭新的法律制度,完成立法只是一个开端,即将经受社会实践的重重考验。这些挑战包括:
▶从粗放走向精细化的立法路径
▶适应数字经济的监管模式
▶不确定时代的企业合规
▶个人信息权利的行使与制衡
▶规范的持续迭代与更新
从粗放走向精细化的立法路径
与其他网络、信息与数据相关的立法一样,《个保法》也无法绕开技术和标准的问题。一方面,从立法的定位、策略与技巧看,作为底层的基本法需要建立个人信息法律保护的框架、基本规则、各方权利义务及法律责任等内容。另一方面,一些过于原则和抽象的表述,可能无法满足业务实践,需要大量的规则、标准进行补充和细化,如:关于自动化决策的透明度与公正性的规范;还有一些规则和办法长期处于“征求意见”状态,何时转正或修订落地,也是悬而未决的问题。如:个人信息出境安全评估、个人信息安全影响评估。
显然,立法机关也意识到进一步补充规则、标准的重要性和紧迫性,并在《个保法》第62条,罗列了下一步主要工作的计划,值得期待:
1、制定个人信息保护具体规则、标准;
2、针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;
3、支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;
4、推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;
5、完善个人信息保护投诉、举报工作机制。
适应数字经济的监管模式
与欧盟与美国的执法模式不同,在个人信息保护领域,中国尚未设置统一的数据保护机构,而是将相关机构统称为“履行个人信息保护职责的部门”。网信办、工信部、公安部、市场监督管理局等都有相应的管理权限,而“九龙治水”的模式是否会对未来的监管效果带来隐患,或是在不久的将来监管机构内部实现分工优化,让我们拭目以待。
从国家安全等因素考虑,《个保法》保留了不少类审批事项,如:个人信息出境的安全评估、向境外执法机构提供境内的个人信息、应用程序的测评、信息处理活动的合规审计等。企业普遍比较关心或担忧的是,这些监管行为的效率,以及规则的透明度、公正性等。
更需要注意的是,数字经济的业务形态已经发生了巨大的变化,一些数据业务的全球性和不间断性的特点,要求监管方式与时俱进,不断优化和智能化。传统的审批模式,无疑是不能满足现实的社会需求的。
不确定时代的合规
密集出台的数据法律法规,给不少企业带来了巨大压力。一些从业者惊呼,全面合规、完全合规似乎成为了一项不可能完成的任务:
01法律叠加适用下的合规压力
一些企业需要同时面对《个保法》、数据安全法、网络安全法、关键信息基础设施管理条例,还有一些行业的特别规定,如:汽车数据安全管理若干规定,以及一堆国标、行标、征求意见稿。
02中外监管的博弈和冲突
对于一些中概股公司,需要同时面对中美监管机构的压力,在审计底稿、跨境数据流动、信息披露等方面的风险尤为突出。滴滴事件后,中国在国家(数据)安全和信息安全主体责任方面连续出台一系列政策,将网络安全审查作为部分国外上市项目的强制性义务。数据安全政策,已成为中概股公司最大的不确定性因素。
03合规标准的不确定性
如前所述,一系列补充规则、标准正在制订中,第三方的个人信息保护评估、认证社会化服务体系尚未建立,企业的合规标准仍待细化,合规能力有待第三方验证及外化。在目前的情况下,企业无法实现合规标准的锚定,也无法全面准确评估合规性。
04监管及处罚标准的不确定性
在自身合规的背面,是企业与监管机构之间的互动。然而在《个保法》实施中,企业可能会产生一系列的疑问,如:与哪个监管主体沟通?如何寻求合规指导和帮助?其解释的权威性、准确性如何?执法的具体标准、时限如何把握?如果处罚不合理,企业如何维护自身的合法权益?尤其是在最高达到5000万元以下或者上一年度营业额百分之五以下罚款的威慑下,若监管政策的透明度和确定性不能尽快解决,企业将长期处于焦虑之中。
个人信息权利的行使与制衡
与欧盟GDPR类似,《个保法》下个人信息主体享有广泛的权利,包括:知情权、决定权、查阅和复制的权利、携带权、要求更正及补充的权利、删除权、请求解释权、诉讼权等。
站在企业角度,如何控制成本、规范流程,通过技术+人工手段以及时响应用户需求都是不小的挑战。其他问题还包括,技术上的障碍、不同规则之间的冲突、监管与业务需求的冲突、权利被滥用的风险等。
规范的持续迭代更新
法律制度的活力在于不断实践,通过法律解释、指南、修订、处罚公示、公民诉讼、司法判例、行业最佳实践、年报、白皮书等不同方式,全面促进个人信息保护的深化和升级。
这些海量的、艰巨的任务仅仅依靠监管机构是不可能独立完成的,应当鼓励、动员更多的民间力量共同参与,如:研究机构、技术公司、行业协会、标准化组织、企业代表等。他山之石,可以攻玉。在欧盟、美国的数据治理过程中,我们可以频频看到国际标准化组织(ISO)、欧盟数据保护委员会(EDPB)、法国国家信息自由委员会(CNIL)、美国国家标准技术研究所(NIST)的身影。虽然中国已经制定了一批国家标准、行业标准,特别是以中国信息通信研究院为代表的智库发挥了积极的作用,但是相关文献的宣传、普及、应用及实施效果仍有待提高。
意大利法学家贝卡利亚曾经说,“法律的力量应当跟随着公民,就像影子跟随着身体一样。” 《个保法》关系到我们每一个人,它在新时代赋予了公民个人信息权利和力量。在迎接新挑战和不断发展完善的过程中,《个保法》必将促进个人信息的合理利用,推动中国数字经济的健康、有序的发展。
作者简介
娄 鹤
北京德和衡(上海)律师事务所高级联席合伙人
娄鹤,CISO(注册信息安全专业人员),CDPSE(注册隐私保护工程师),中国国际商会(ICC)数字经济委员会委员,上海市科技创业导师。
娄鹤律师在信息安全、数据及隐私保护等领域拥有丰富经验,对境内外法律及监管均有深入研究。娄律师曾为一批金融企业、上市公司及知名互联网客户提供了网络安全咨询、GDPR咨询、APP合规治理等一系列法律服务。其服务的客户领域除金融、房地产、医药等传统领域外,还覆盖了电商、云平台、网络安全、大数据、无人驾驶、社交、在线教育、手游等新兴行业。
手机:13816316298
邮箱:louhe@deheng.com