2021年8月20日�,全國人大常委會審議并通過《個人信息保護法》��?�!秱€人信息保護法》成為我國個人信息保護領域的基礎性法律����,與《數據安全法》《網絡安全法》《民法典》共同構建了我國的數據治理立法框架���?!秱€人信息保護法》的三次審議均引發了社會的高度關注���,正式發布版更是細致入理、諸多新意,例如:對大型��、小型個人信息處理者進行區別制度設計���,增加人力資源管理所必需作為處理個人信息的合法性基礎��,明確高額罰款�、停業整頓等處罰只能由省級以上履行個人信息保護職責的部門作出���,增加對App個人信息保護的專門性規定等�����。
本文結合《個人信息保護法》正式發布版中對社會運行和企業治理影響較大��、且在實務中需落地合規體系的五大亮點——大數據殺熟、兒童個人信息保護�、數據出境���、個人信息轉移權�����、違法救濟體系,逐一提出實務觀察。
一. “大數據殺熟”:差別待遇不一定違法����,需關注合法前提
“大數據殺熟”現象���,以“千人千價”、“生客優惠”等情形為用戶熟知�,伴隨數據在平臺經濟等領域的經濟價值凸顯而備受反壟斷�����、反不正當競爭、電子商務等不同層面的立法監管關注���。《個人信息保護法》從個人信息保護角度���,整合其他層面的規制經驗,意在引導大數據定價行為的合規開展�����,條件包括:(1)保證自動化決策的透明度和結果的公平公正����;(2)不得在相同交易條件下通過自動化決策實行不合理的差別待遇;(3)事先開展個人信息保護影響評估(“PIA”)�。
由此可見�,差別待遇不一定違法�����,需關注合法前提�����。“大數據殺熟”現象與數據使用行為直接相關����,但其規制并不限于數據使用環節��。差別待遇的合法前提覆蓋使用管理��、用戶告知�����、結果公平、合規評估�。
(一)使用管理前提:實現合理的差別待遇
目前法律法規(包含近日發布的《禁止網絡不正當競爭行為規定(征求意見稿)》)已針對何謂“合理的差別待遇”有所討論����,包括正例及反例各三類,具體情形及對應實例如下表所示:
總體而言���,現有判斷標準允許“基于成本或正當營銷策略”,或“符合正當交易習慣����、行業慣例”的情況下����,對交易條件相同的交易相對人實施差別待遇����。該等判斷標準存有較大模糊性。舉例而言���,針對不活躍用戶的派券促活行為是常見的營銷策略且符合行業慣例,但能否滿足合理性認定�,則仍存在較大爭議���。較為明確的是�����,根據用戶個人信息開展的關乎人格尊嚴�����、價值判斷的價格歧視行為則明確被禁止�,例如通過瀏覽次數判斷用戶是否具備較強購買欲望�、通過交易所持設備或過往交易歷史判斷用戶經濟水平等,以此提供的差別待遇。
(二)用戶告知與結果公平:保證自動化決策透明度、公平性
結合《個人信息保護法》的規定����,個人信息處理規則中應明確開展自動化決策的必要信息�,例如處理目的����、數據類型、對用戶的影響��、投訴方式等�����,同時應當保證決策的結果公平公正��。
在涉及差別待遇的場景下,經營者落實透明度要求時存在實踐困惑�,即:自動化決策規則可能涉及商業秘密���,應如何掌握展示尺度����。除在隱私政策披露必要信息外���,還需在具體場景觸發時展示必要的判定規則說明及文字提示����,說明差別待遇的考慮要素��。以信用評價類產品為例���,微信支付分����、螞蟻信用芝麻分均對賦分所關注的用戶行為考察要素進行公示�����。
判斷決策結果是否公平公正的標準并不明確�����。無論如何利用大數據分析��,基于交易成本合理定價的原則仍應堅守。向依賴程度高、支付能力強���、價格不敏感的用戶提供不合理高利潤率定價,顯然不符合公平、公正原則;反之����,在真實的經營者讓利場景下�����,根據大數據分析而給予用戶不同程度優惠,則至少可確保不會損害消費者利益。
(三)合規評估前提:對應PIA工作落地
根據《個人信息保護法》要求�����,PIA內容應包括:(1)個人信息的處理目的���、處理方式等是否合法�、正當���、必要���;(2)對個人權益的影響及安全風險���;(3)所采取的保護措施是否合法�����、有效并與風險程度相適應����。針對自動化決策涉及的差別待遇場景�����,結合《個人信息安全影響評估指南》的要求�,評估要素應包括:
· 是否向用戶說明通過自動化決策給予差別待遇的基本原理��、運行機制�����;
· 是否定期對通過自動化決策進行差別待遇的合理性進行評價;
· 是否對自動化決策所使用的數據源����、算法等提供持續優化;
· 是否向用戶提供針對自動化決策結果(差別待遇)的投訴渠道;
· 是否支持對自動化決策結果(差別待遇)的人工復核�。
經營者可選擇由本方或者第三方完成上述PIA工作�����,并形成PIA報告。PIA報告需依規定至少留存三年��,供運營過程中內部評估更新參考����、應對監管部門調查上報等需要。
二. 兒童個人信息的增強保護:身份識別及產品隱私設計的實踐范例
《個人信息保護法》將不滿十四周歲未成年人(“兒童”)的個人信息作為敏感個人信息��,除了獲取單獨同意外�,還要求個人信息處理者對此制定專門的個人信息處理規則以加強保護,彰顯了國家保護兒童合法權益��,為兒童健康成長創造良好網絡環境的決心����。該等理念與2019年國家互聯網信息辦公室出臺的《兒童個人信息網絡保護規定》(“《保護規定》”)一脈相承。從現行規范結合域外立法經驗和實操來看��,理解和適用《個人信息保護法》有關兒童個人信息保護的規定需要特別關注適用范圍����、識別兒童身份以及產品的隱私設計三個方面���。
(一)兒童個人信息增強保護的適用范圍
《個人信息保護法》延續了《保護規定》嚴格充分保護兒童個人信息的立場�����,具有廣泛的適用范圍,即只要在中國境內事實上從事了針對兒童的個人信息處理活動�,無論數量多少��,都要適用特殊規定,從而為兒童提供最大程度的保護����。
《保護規定》在適用范圍方面也為企業留出了一定的空間。通過計算機信息系統自動留存處理信息且無法識別所留存處理的信息屬于兒童個人信息的��,不適用《保護規定》有關增強兒童個人信息保護的規定�����。正是由于存在這個“開口”��,對于并非針對兒童用戶開發且無法識別用戶年齡的網絡產品,業內常見的做法是在產品的隱私政策中設置未成年人條款,禁止未成年人在未得到監護人同意的情況下使用產品或服務。但是�,僅憑設置未成年人條款無法充分保護兒童個人信息����。
如何在保護兒童個人信息利益與控制社會成本之間取得平衡是國家和企業在制定和適用相關規范時都會面臨的挑戰�����。美國《兒童在線隱私保護法》(“COPPA”)可作參考���。COPPA的適用范圍包括兩類網絡運營者����,即“針對”兒童提供服務的網絡運營者和并非“針對”兒童提供服務���,但確實知道其用戶中包含兒童的的網絡運營者�����。在判斷是否“針對兒童”時����,監管機構會采取相對寬泛的認定標準�,即“部分”針對兒童的網絡運營者也要適用COPPA�����。監管機構會考慮不同因素���,如網站的主題�、內容�、代言人、廣告����、語言特征等����,如果存在卡通形象等與兒童具有關聯性的要素����,就可能被認為是“針對兒童”提供網絡服務。而對于并非“針對”兒童提供服務的網絡運營者���,也不意味著就可以高枕無憂。如果此類運營者確實知道存在兒童用戶(例如�����,已經收到過兒童監護人投訴),則其也應當履行COPPA之下的義務。
(二)如何識別兒童身份
識別兒童身份是履行加強兒童個人信息保護合規義務的重要前提����。用戶既包含成年人也包括兒童的網絡運營者����,需要使用年齡識別技術識別出兒童用戶并針對兒童用戶履行《保護規定》的合規義務�,但《保護規定》并未明確網絡運營者須盡到何種程度的識別義務���。
目前業內實踐廣泛使用的是“告知+兒童自覺獲得監護人同意”或者由兒童自覺填報真實年齡等模式�,其合規性有待進一步明確。從域外經驗來看�,2020年1月21日英國信息專員辦公室(ICO)頒布的《兒童適齡化設計準則》對此提出了建議��,而國內部分企業也已經開始類似實踐。
1��、自我聲明:僅通過用戶陳述確定年齡���,適用于低風險數據處理活動或與其他技術結合使用���。例如�����,通過分析用戶與企業服務交互的方式來估計用戶的年齡�����,與其陳述年齡進行比對并基于對比結果采取必要措施。國內游戲產業為防止青少年沉迷�����,已有部分公司將實名校驗確認為成年人��,但游戲內行為特征卻疑似未成年人的用戶�,以人臉識別方式加強核驗用戶身份�����;又如,如果用戶在首次自我聲明年齡時被拒絕訪問企業的服務��,則產品將阻止其立即重新提交年齡以獲得服務��。
2��、賬戶持有人確認:由已知是成年人的賬戶持有人設置或者確認有關兒童的信息。例如�����,國內幼兒App和部分航空公司會員即采取此模式����,由成年人開設賬號后設置兒童個人信息及子賬號,并賦予成年人對子賬號的管控權利。
3����、提供硬性標識符:即提供身份證件或其他“硬性標識符”(例如護照)來確認年齡��。但是這個方法對隱私的刺探較強,ICO的《兒童適齡化設計準則》不建議強迫用戶提供硬性標識符��,除非企業數據處理活動中因存在固有風險而確實需要��,例如航空旅客運輸服務��。
(三)產品的隱私設計要求
《保護規定》主要著眼于信息處理者的告知義務以及監護人的同意和權利行使。準確且高效地獲取監護人的授權同意一直是個難題�����,企業可以通過完善產品設計�,實質提升兒童個人信息保護水平,例如:
1��、采取更簡明���、顯著��、清晰且適合兒童的語言向用戶提供隱私政策���、其他規則或政策��,例如搭配視頻、卡通或圖示;
2����、將網絡服務默認設置為“高水平隱私保護”�。例如�����,兒童的個人信息默認無法為其他的用戶訪問��;個人信息處理者僅能就其核心服務功能使用兒童信息。
3����、地理位置信息��、用戶畫像等功能應默認關閉,不使用助推技術以引導或鼓勵兒童提供不必要的個人信息或關閉隱私保護功能等�����。
三. 個人信息出境的國際視角:我國加入跨境數據流動的全球治理行列
《個人信息保護法》進一步完善個人信息出境的保護規則�����,明確要求個人信息處理者在向境外提供個人信息時���,應當采取必要措施保障境外接收方處理個人信息的活動符合《個人信息保護法》的保護標準�����;《個人信息保護法》還進一步規定�,若我國締結或者參加的國際條約、協定對向境外提供個人信息的條件有規定的可以按照其規定執行��,體現了我國對于個人信息出境保護的高度重視和前瞻認知�。個人信息出境不可避免,需從兩個角度予以考慮:其一是保護個人權益���、國家安全利益免受侵害;其二是推動我國參與跨境數據流動的全球治理��。
長期以來��,美歐主導了全球數據跨境流動規則制定的話語權�。作為全球第二大數字經濟體�����,我國在全球數據跨境流動領域具有廣泛和龐大的商業��、經濟和政治利益,輸出數據跨境流動領域的“中國標準”是應有之義��。
美國主張個人數據跨境自由流動�����,利用數字產業全球領導優勢主導數據流向��,將亞太經濟合作組織(APEC)的跨境隱私規則(CBPR)體系,構建成一項政府支持���、強調以市場為主導、以跨境數據流動為目標的數據隱私認證���。歐盟則提出“相同保護水平”要求,即個人數據接收國需要達到流出國相同的數據保護水平�,通過“充分性認定”確定數據跨境自由流動白名單國家。對于沒有取得歐盟“白名單”國家資格的相關法域的個人信息跨境傳輸����,也有相應的替代性手段����,包括采取特定的保障措施如“具有約束力的集團企業規則(BCR)”、“歐盟頒布的標準合同條款(SCC)”等�。
2020年11月15日���,東盟十國����、中國�����、日本����、韓國���、澳大利亞��、新西蘭等15個國家正式簽署《區域全面經濟伙伴關系協定》(RCEP)��,即標志著我國邁出全球數據跨境流動規則體系構建的重要一步。RCEP作為區域貿易安排�����,雖未就數據跨境制定專門體系�����,但在電子商務的框架下規定了服務貿易的數據跨境流動原則,明確各成員方不能將設施本地化作為在其領土內開展業務的條件,也不能阻止為實現業務需要而開展的數據跨境流動活動�����。同時鼓勵成員方之間就金融服務中的跨境數據流動問題進行對話�。
我國個人信息跨境領域的規則生成和實踐經驗積累正處于蓬勃發展的狀態,多地也正在開展數據跨境傳輸安全管理的地方試點工作��。本次《個人信息保護法》的出臺無疑促進了我國個人信息跨境領域規則的完善和成熟�����,我們有理由相信我國可以探索出一條符合中國國情兼具國際視野的規則道路����。
四.個人信息轉移權:于激發數據創新意義深遠���,需明確規定條件�����、探索技術實現
《個人信息保護法》確立了個人對其個人信息處理活動的一系列權利��,包括知情、決定、限制或拒絕處理���、查閱、復制、更正����、補充��、刪除等權利,并對傳統的查閱復制權進行擴張,新增了有限的轉移權——個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑��。
個人信息轉移權的設立意義深遠�。從個體權利的視角���,其進一步增強了個人對其個人信息的控制力���。從數字經濟的視角�����,其試圖打破平臺巨頭的數據壟斷����、促進數據流通與利用、激發市場競爭與創新。但與此同時�����,這也可能引發泄露個人信息��、加劇數據集中���、增加中小企業合規負擔等方面的憂慮��。
《個人信息保護法》從原則上確立了個人信息轉移權,并作出了“符合國家網信部門規定條件”的限定,有待將來出臺細化規定��。與之相似的權利是歐盟《通用數據保護條例》(“GDPR”)下的數據可攜權(Right to Data Portability)�,GDPR及《關于數據可攜權的指南》最早對數據可攜權進行闡釋,并在落地過程中提供了實踐參考。鑒于個人信息轉移權的復雜性�,監管機構應充分考慮個人權益����、平臺權益�����、第三人權益的平衡,將其限制在合理范圍�;而企業應充分考慮用戶知情與數據安全���,切實保障權利的行使����。
1����、數據范圍:歐盟的數據可攜權僅適用于和個人相關的、通過自動化手段執行的(不含紙質文件)數據����,且受限于下列條件:(1)該等數據的處理基礎是個人同意或合同履行��,不包括出于公共利益等其他情形;(2)該等數據由個人主動提供(如設立賬戶時填寫的信息)��,或是從個人活動中觀察到的原始數據(如網頁瀏覽記錄)��,不包括用戶畫像等經過加工的衍生數據�;(3)數據可攜權的行使不能影響他人的權益�����,例如����,個人可以獲得包含第三人信息的數據副本(如郵件通訊錄��、銀行轉賬流水)��,但接收該等數據的第三方控制者不得將第三人的信息用于建立用戶檔案��、畫像或營銷等目的�����。
個人信息轉移權并不意味著個人與平臺、平臺與平臺的對立沖突�。用戶數據是平臺的經營成果與重要資源�����,平臺對此享有正當利益;個人信息轉移權請求是用戶主動發起的�、個體性的行為����,屬于用戶的正當權利����。而類似于“新浪訴脈脈案” 中大規模抓取��、使用用戶的賬號信息、好友關系��、微博內容的行為��,則可以通過反不正當競爭法進行規制��。
2、技術實現:轉移權的實踐難點還在于個人信息如何在處理者之間進行轉移�����,因為不同處理者的信息系統����、數據結構��、數據格式等往往不同���。對此�����,歐盟的數據可攜權要求以一種結構化、普遍使用、機器可讀的形式來提供或傳輸個人數據���,如XML、JSON、CSV等常用的開放數據格式����;并且����,GDPR鼓勵數據控制者探索具有互操作性的數據格式�,但其無須為響應數據可攜權而特意采用在技術上兼容的處理系統。
目前,歐洲互操作性框架尚未落地���。根據2019年的實證研究,企業提供數據副本的格式迥異,其中大部分格式無法滿足GDPR的要求(詳見下圖)。在美國,谷歌、臉書、微軟�、推特���、蘋果等科技巨頭建立了數據可攜權平臺���,以實現相互之間的數據直接轉移���。而中小企業往往對互操作性����、跨平臺遷移束手無策����,甚至在數據格式上面臨考驗��。因此����,個人信息轉移權的落地首先面臨技術實現問題����,即如何形成一種通用的、且成本可控的數據格式�,以實現跨平臺的個人信息轉移���。
3�����、用戶知情:個人信息轉移權是一種新型的人造權利,對用戶而言比較陌生��。因此�,企業首先應當對用戶進行充分的告知與教育,使其了解自己的權利��。例如,在隱私政策中對個人信息轉移權的內涵、數據范圍���、行使方式等進行介紹,并在產品設計中嵌入相應的功能按鈕。
4、安全保障:轉移權使個人信息離開原處理者的掌控����,從而增加了安全風險����,但企業仍應在其能力范圍內保障個人信息安全�。例如���,在轉移個人信息前���,應采取強化的身份認證措施����,以免個人信息的盜用;在個人信息傳輸時����,應強化加密等措施����,以免傳輸過程中的攻擊與泄露��;對于敏感個人信息���,還應向個人及數據接收方提示關于存儲����、使用該等數據的建議����。
五.個人信息救濟體系:三位一體的保護與救濟體系,需關注行刑銜接標準
《個人信息保護法》為個人信息的保護提供了民事�����、行政�、刑事三位一體、相互銜接的救濟體系��,強調人民群眾���、行政機關����、司法機關之間的協調與配合��,體現了我國保護個人信息的決心與智慧����。
1���、民事救濟:當數據處理活動侵害個人權益時�����,一方面�,個人作為個人信息權利的主體�、產品或服務合同的主體,有權直接提起民事訴訟�����,如侵權之訴����、合同之訴,且侵權責任采用過錯推定原則。正式發布版新增了個人信息處理者拒絕個人行使權利請求時�����,個人可依法起訴的規定。另一方面�����,個人信息處理活動往往牽涉甚廣��,當其侵害眾多個人的權益時,檢察院或其他經授權的組織,可以依法提起公益訴訟�,從而大大降低個體維權的成本���。
2�����、行政救濟:一方面,履行個人信息保護職責的部門(“個保部門”)有權對涉嫌違法的個人信息處理活動主動開展調查,并對違法行為進行行政處罰�。另一方面���,個保部門應當公布接受投訴���、舉報的聯系方式�����,任何組織、個人有權對違法活動進行投訴、舉報�,個保部門應及時處理���,并將處理結果告知投訴�、舉報人����,通過群眾路線強化行政監管。
3、刑事救濟:違反《個人信息保護法》而構成犯罪的,依法追究刑事責任��。我國《刑法》規定了侵犯公民個人信息罪����、非法獲取計算機信息系統數據罪等涉及個人信息處理活動的罪名�,司法實踐中也產生了魔蝎科技等典型案例,企業面臨高額罰款����、直接責任人面臨有期徒刑��。
4、行刑銜接:《個人信息保護法》正式發布版增加規定��,個保部門在履行職責中發現違法處理個人信息涉嫌犯罪的���,應當及時移送公安機關��。在行刑過渡地帶��,一方面,情節嚴重的犯罪行為應當受到及時的刑事追訴與適當的刑事責任��;另一方面�,鑒于刑法的謙抑性原則,普通的違法行為不應動輒得刑���。因此,刑事案件的移送標準尤為重要�����。
在實踐中��,如2021年的科勒人臉信息案�,科勒公司未經個人同意�,通過門店攝像頭獲取并存儲人臉信息220萬余條,用于精準統計到店的客流�����。該案經央視315晚會曝光后�,由上海市靜安區市監局立案,并移送區公安分局�����,但被公安退回��,最終作出罰款50萬元的行政處罰���。
又如2020年的浙榮貸款推銷案���,浙榮公司從房屋銷售跑盤����、企查查App等多個渠道獲取18萬余條個人信息��,用于電話推銷其貸款中介業務���,最終被責令停止違法行為����、并罰款12萬元�����。對此��,杭州市江干區市監局認為,為合法經營活動而非法購買���、使用個人信息,其社會危害小�,適用行政處罰�;如果后續用于詐騙或造成其他犯罪后果的����,則由公安機關追究刑事責任��。
《個人信息保護法》在全社會的共同關注下塵埃落定�����,開啟了我國個人信息保護的新紀元。頂層制度設計已逐漸明朗���,但我國的個人信息保護才剛剛起步。接下來�,有待于各部門細化配套規定���、履行監管責任��,有待于企業革新產品設計與內部管理、落實數據合規義務,有待于廣大群眾發揮主體地位�����、廣泛參與個人信息的保護與治理��。路在腳下��,大有可為。
