2021年11月1日,《个人信息保护法》(以下简称“个保法”)正式施行,转眼间实施一周年。为更好推动个保法的落实,11月1日,由中央网信办网络法治局指导、中国社会科学院法学研究所主办、南方财经全媒体集团(以下简称“南财”)承办的“《个人信息保护法》实施一周年实践与展望”高峰论坛召开。本次论坛邀请监管部门、专家学者与行业代表,共同探讨如何规范监督执法、平衡企业发展和数据合规,推动个人信息保护整体水平上升。

北京理工大学法学院教授洪延青结合亲身参与的个人信息保护标准化工作,对不同互联网业务演进阶段中,《个人信息保护法》的落地实践情况进行了解读与分析。他指出,法律规则性要求应能够涵盖企业业务模式演进过程,而当前商业实践发展过程中,各个关键合规环节的合规风险,都可以在《个人信息保护法》中找到对应的法条加以规制


(资料图片)

从这个角度来看,《个人信息保护法》的立法技巧和内涵是非常丰富的,具有绵延的生命力。”洪延青表示。

在互联网企业发展历程中,早期业务模式相对简单,唯一的个人信息入口就是手机终端,个人信息往往在后台进行简单的计算处理后,就被传输到云存储端。

洪延青表示,这一阶段的监管重点首先是手机终端的操作系统,其中苹果系统是全球统一的,而不同的手机厂商会定制自身的安卓系统,不同系统对个人信息保护的设置存在区别;其次,监管还关注到了APP的设计问题,包括弹窗、告知、SDK的规制等等;再次,数据到了后台会不会被违法对外共享的问题也是该阶段的焦点问题。

他进一步指出,该阶段的个人信息保护原则,包括目的明确、选择同意、最少够用、公开透明、确保安全、主体参与等,主要都是为了规制从个人到后台单方向的信息流。

而随着互联网业务模式的不断演进,企业获取用户个人信息的途径已不再局限于手机终端,各类传感器也成为个人信息采集的重要渠道,例如最为常见的人脸识别设备和家庭物联网设备。

洪延青指出,传感器的大规模使用带来了新的个人信息保护问题:其一,在没有显示界面的情况下,传感器设备在采集和处理个人信息时要如何做到告知并获取同意,应如何与手机终端联动从而确保用户授权落地;其二,由于传感器呈现泛在的情形,同一家厂家的传感器可能遍布不同的使用场景,在处理出于不同目的在不同场合采集的数据时,厂商能否进行融合或打包也需要明确。

此外,传感器除了可以收集个人信息,其边缘程序也可以搭载一些算法功能,甚至可以不经过后台做出指示或决策,当传感器被不同用户所使用,而这些用户对个人信息的授权情况又存在差异时,基于个体特征的个人信息保护场景,就转变为基于群体特征的场景。

“例如,两名设备使用者中一位授权其处理个人信息,另一位没有授权,但是厂商其实仍然可以根据已经收集到的个人信息对没有提供个人信息的个人,提供服务。此外,由于系统后台智能化的程度在大幅提升,系统对个人产生反向的系统作用力,其中的公平性问题和操控问题,是新业务模式下的合规关键所在。”洪延青表示。

他进一步指出,针对不同演进阶段的业务模式,监管部门的合规管理工作都在同步推进。就第一阶段从用户到后台的业务模式而言,隐私政策、告知同意等方面的标准化规则在不断细化;泛在传感器阶段,人脸识别、车联网等具体应用场景的规则也在持续完善。

在前述两个阶段外,针对第三阶段的业务模式,监管部门现阶段主要对于信息推荐算法也进行了规定。但实际上,《个人信息保护法》的自动化决策条款能够为更广泛的规制提供法律支撑。例如,从立法角度,只要是利用同一类个体对用户产生影响的算法操作,也需纳入自动化决策范围内,法条充分涵盖了相关的业务情景。

“总体而言,尽管互联网行业业务模式不断演进,《个人信息保护法》的规范依然是很充分和充足的,在推动合规标准化时,也应沿着规则指引的原则方向和立场,做进一步的细化工作。”洪延青说。

(文章来源:21世纪经济报道)

推荐内容