深度 | 载入数字经济史的“五一”(下)——泛智能化下的信息漩涡
按照《深度 | 载入数字经济史的“五一”(上)——互联网反垄断》描述,今年五一假期前后突如其来的一系列平台经济监管举动表明,数字经济监管已经正式进入新的规范化阶段。而当下信息化中最大的漩涡是什么?如何看待即将出台个人信息保护法二审稿?
麦克卢汉在60年代就预见到:在电子媒介环境下,“信息的运转,特别是独到而抽象地操纵信息已成为创造财富的手段”。这句话在泛智能化的今天从正面的角度说就是:个性化服务、大数据、智能推荐、精准广告等等;但若演变为负面角度则可能是:信息伪造、数据盗窃与隐私侵犯。
笔者此前在庚子2020 | 反思TMT大势(3):“真实即正义!”介绍了自媒体伪新闻、乔碧萝与“深度伪造”这样的案例。
图为:复杂的信息安全问题
而对于智能化这一现象,笔者最早在2014年初的《智能盒子前传》中写道:“按照麦克卢汉的“媒体延伸论”,真正的“智能”是要实现与人脑“共振”,实际上上是人的某一部分思想/念头/欲求的延伸”。不过近年笔者则越来越意识到上述“智能”概念在道德、信息安全等方面的缺陷。尤其对于泛智能化背景下的数据盗窃与隐私侵犯问题,笔者此去年在《庚子2020|智能时代的边界之惑——以智能电视为例》一文中写道:目前在智能手机上随便安装一个App,都被要求各种授权,从通信录读取、存储、拍照、录音等各种权限——不管这些权限与目标App的核心功能有没有联系,而且不给权限就不让安装。所以,在用户享受移动互联便利的时候,互联网流氓公司是否通过智能手机App窃取、窃听用户的个人信息?甚至私自拍摄?所以从信息社会向智能社会演变的过程中,谁真正拥有智能设备?是使用者还是制造者?是智能平台提供者还是智能服务运营者?
考虑到当下的个人智能终端已经不仅限于手机、Pad、带屏音箱、电视机、可穿戴设备等消费电子,还进一步向汽车、医疗电子等领域延伸,笔者认为:在涉黄涉暴问题改善之后,泛智能化背景下的数据安全与个人隐私问题,在很长一段时间内将是最为庞大而复杂的互联网信息漩涡!
此前,全国信息安全标准化技术委员会在2019年6月发布了《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》。这一信息规范在智能时代背景下开启了对边界厘清方式的探索:(1)“个人信息最少够用”原则,笔者称之为“最小化原则”;(2)“针对App基本业务功能”界定其正常运行所需收集的个人信息,笔者称之为“服务本位原则”。
同样在2021年“五一”之前的4月29日,中国人大网公布了《中华人民共和国个人信息保护法(草案二次审议稿)》(以下简称“二审稿”)。此前,《民法典》、《刑法》、《电子商务法》、《网络安全法》、《消费者权益保护法》等虽有部分内容与个人信息保护的话题相契合,但相关条款较为原则性或概念化,需要专门的法律加以补充完善,并适用于当下情形。
按照第三条和第三十三条,该法适用对象包括:“组织、个人在中华人民共和国境内处理自然人个人信息的活动”,其中也包括了“国家机关处理个人信息的活动”。该法还明确国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作(第五十九条)。在泛智能化背景下,在个人信息易于被滥用或恶意盗用的背景下,这部法律可谓意义重大,也一直备受业界的关注与期待。其草案在去年10月就已经公布。二审稿结合最新发展情况,进行了多处修订,并新增了部分规定。总的来说,二审稿的公布可以说是《个人信息保护法》立法的重要一步,意味着距离其正式出台又近了一步,将有助于减少或规避信息时代的潜在漩涡。
以下对上述二审稿部分内容的介绍,部分参考了上海汉盛律师事务所和微信号中伦视界对二审稿相关解读。
1、个人信息定义
“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”(第四条)
上海汉盛律师事务所认为,《个人信息保护法》将“识别和关联”作为个人信息的定义方式,借鉴了欧盟GDPR的做法,明确了这部法律所调整的范畴,使得司法实践在对“个人信息”认定方面更为准确。
根据《网络安全法》第四十二条的规定:“网络运营者……未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”因此,向第三方提供匿名化信息属于例外情形。笔者认为后半句话对于很多商业性数据分析机构或许别有意义。
2、明确和完善处理个人信息处理基本原则
“处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理”(第六条)。“个人信息的保存期限应当为实现处理目的所必要的最短时间。法律、行政法规对个人信息的保存期限另有规定的,从其规定。”(第二十条)
第六条则来自于上述的“最小化原则”(与后续第二十条也有对应)和“服务本位原则”,前者还增加了“对个人权益影响最小”的要求。
处理个人信息“应当采用合法、正当的方式,遵循诚信原则”(第五条),“应当遵循公开、透明的原则,公开个人信息处理规则,明示处理的目的、方式和范围。”(第七条)
“处理个人信息的同意,应当由个人在充分知情的前提下自愿、明确作出”(第十四条)。处理个人信息前,“应当以显著方式、清晰易懂的语言向个人告知下列事项:(一)个人信息处理者的身份和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序……。”(第十八条)
第七条在《民法典》相关款项基础上,增加了透明原则,以便随时受到社会公众的监督,并与后续的第十四条对应。其中的透明性具体要体现在后续的第十八条、第二十四条等。
3、面向互联网商业实践的关键个人信息处理细则
“基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。”(第十六条)
二审稿新增提供便捷撤回同意方式的要求,直指互联网信息服务实践中出现的撤回同意的方式隐藏过深、过于复杂等问题。更多个人信息权益则在第四章加以规定。
“个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。”(第十七条)
“个人信息处理者向他人提供其处理的个人信息的,应当向个人告知接收方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。”(第二十四条)
第十七条直指互联网App中的强制索取信息权限问题。第二十四条则直指信息互联网猖獗的信息盗卖案件。另外,原来2020年10月公布的个人信息保护法草案第二十四条还有一个条款“个人信息处理者向第三方提供匿名化信息的,第三方不得利用技术等手段重新识别个人身份”。但该条款或由于相关事项过于复杂无法进行清晰的法律认定而作废。
“利用个人信息进行自动化决策,应当保证决策的透明度和结果公平合理。通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式……。”(第二十五条)
第二十五条直指互联网公司基于“智能推荐”可能造成的过度骚扰、“大数据杀熟”问题,以保证交易的公平性。该条款与欧盟GDPR类似。
“个人信息被公开时的用途不明确的,个人信息处理者应当合理、谨慎地处理已公开的个人信息;利用已公开的个人信息从事对个人有重大影响的活动,应当依照本法规定向个人告知并取得其同意。”(第二十八条)
该条款后半句针对互联网中的“人肉搜索”行为。
“个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。”(第二十六条)
按照最小化原则,为降低个人信息权益受侵犯的风险,本条规定了个人信息处理应当“以不公开原则,以公开为例外”。更多信息处理者义务则在第五章加以规定。
4、明确关键敏感信息处理原则
“个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。”
“敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。”(第二十九条)
本法第二节的“敏感个人信息的处理规则”是对前述第六条款在敏感信息方面的深化与谨慎细化。第二十九条明确提出了更高的要求,即个人信息处理者需要满足“特定目的+充分必要”的规范化要求。
5、强化对个人信息跨境提供的要求
本法第三章要求,向境外提供个人信息的,“应当至少具备下列一项条件:(1)依照本法通过国家网信部门组织的安全评估;(2)按照国家网信部门的规定经专业机构进行个人信息保护认证;(3)按照“国家网信部门制定的标准合同”与境外接收方订立合同;(4)法律、行政法规或国家网信部门规定的其他条件。”(第三十八条)
在国际网络信息安全日益复杂的情况下,第三十八条设置了很高的门槛。而考虑到像特斯拉维权这样“店大欺客”的问题,本法在第十四条、第四十三条等有关于境内存储、黑名单、(针对境外的)报复反制等举措。
6、新增针对“基础性互联网平台”的个人信息保护义务
第六章“个人信息处理者的义务”(第五十七条)明确,“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:(一)成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督(在我国现行公司法相关实践中,可供参照的类似实践为公司的独立董事、外部董事等);(二)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;(三)定期发布个人信息保护社会责任报告,接受社会监督。”
其中第三条的“个人信息保护社会责任报告”是首次在法律层面针对互联网平台企业明确提出的概念和要求,与之相类似的企业探索有此前某些企业(如腾讯、中兴)发布的《隐私保护白皮书》,可以涉及公司个人信息保护战略、个人信息保护合规体系、个人信息保护相关制度情况、个人信息保护安全措施、防范和处理个人信息安全威胁或安全事件情况。具体还需要后续相关的立法解释、配套规定的明确和实践的探索。
7、法律责任与过错推定
二审稿第七章(法律责任)明确指出:
“违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的……情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。”(第六十五条)
从违法情节严重者的处罚条例来看,无疑是严厉和直指要害的,这也体现了当局在泛智能化背景下保护个人信息、规避信息时代的潜在漩涡的坚定决心!
“第个人信息权益受因个人信息初理活动受到侵害,个人信息初理者不能证明自身没有过错的,应当承担损害赔偿等侵权责任。”(第六十八条)
这一规定将大大减轻了个人信息主体的举证责任。对于企业而言,不仅要做好个人信息相关的合规安排,还要做好相应的“留痕”。
除了上述二审稿,也是在五一期间的4月26日,工业和信息化部会同公安部、市场监管总局起草了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》。笔者也将在后期继续研读该文件。
▌作者:林起劲
▌本期编辑:七七
▌商务合作:17338112792(微信同号)
重磅推荐
入驻平台