南財(cái)合規(guī)科技研究院研究員 王俊

對(duì)個(gè)人信息保護(hù)的立法呼聲越來(lái)越高，急需一部專門法律定分止?fàn)帯！秱€(gè)人信息保護(hù)法》千呼萬(wàn)喚始出來(lái)。

8月20日，《個(gè)人信息保護(hù)法》由第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第三十次會(huì)議通過(guò)，自2021年11月1日起施行。

南方財(cái)經(jīng)全媒體集團(tuán)合規(guī)科技研究院借《個(gè)人信息保護(hù)法》落地之際，推出解讀報(bào)告《個(gè)人信息保護(hù)法企業(yè)合規(guī)啟示報(bào)告》。

該報(bào)告分為上下篇，本篇報(bào)道為報(bào)告上篇的拆解報(bào)道，聚焦《個(gè)人信息保護(hù)法》給企業(yè)帶來(lái)的信息處理模式變革。

個(gè)人信息自主權(quán)給企業(yè)帶來(lái)沖擊

一直以來(lái)，企業(yè)作為個(gè)人信息采集主體，在權(quán)利天平中占據(jù)絕對(duì)高地。《個(gè)人信息保護(hù)法》明確了在個(gè)人信息處理活動(dòng)中個(gè)人的各項(xiàng)權(quán)利，包括知情權(quán)、決定權(quán)、限制權(quán)、拒絕權(quán)、查閱、復(fù)制權(quán)、可攜權(quán)、更正、補(bǔ)充權(quán)、刪除權(quán)。個(gè)人的權(quán)利地位得到很大的轉(zhuǎn)變，一改企業(yè)強(qiáng)勢(shì)、個(gè)人弱勢(shì)的局面，企業(yè)處理個(gè)人信息的邏輯需進(jìn)行調(diào)整，面臨巨大的合規(guī)壓力。

既然個(gè)人享有一系列個(gè)人信息權(quán)利，也意味著平臺(tái)負(fù)有協(xié)同配合個(gè)人權(quán)利行使的義務(wù)。只要進(jìn)行個(gè)人信息收集的企業(yè)都必須知道它們擁有哪些個(gè)人信息、存儲(chǔ)在何處、如何處理這些信息，以及與誰(shuí)共享這些信息等，并需要根據(jù)用戶個(gè)人需求，靈活和準(zhǔn)確地響應(yīng)數(shù)據(jù)主體訪問(wèn)查詢、同意、更正、刪除、數(shù)據(jù)遷移等要求。

從技術(shù)角度來(lái)看，并非易事。

以簡(jiǎn)單的查詢功能為例，用戶看似簡(jiǎn)單的訴求，傳導(dǎo)到企業(yè)端需要進(jìn)行極為龐雜的運(yùn)作。RSA大會(huì)2018年的沙盒創(chuàng)新冠軍BigID最早只解決一個(gè)問(wèn)題，對(duì)數(shù)據(jù)進(jìn)行檢索歸類，指出信息是屬于哪個(gè)實(shí)體，簡(jiǎn)單講就是告訴企業(yè)用戶收集的個(gè)人信息在哪里，目前該公司已估值10億美元。

市場(chǎng)端也給出了佐證。國(guó)際隱私專家協(xié)會(huì)（IAPP）發(fā)布的《隱私技術(shù)購(gòu)買及部署情況報(bào)告》展示了歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）等法規(guī)生效后，哪些產(chǎn)品正在被使用，哪些隱私技術(shù)被納入了購(gòu)買預(yù)算。位居榜首的是數(shù)據(jù)映射和數(shù)據(jù)流，占24%。個(gè)人數(shù)據(jù)發(fā)現(xiàn)是計(jì)劃購(gòu)買中第二高的類別，占23%?？梢钥吹?，了解組織擁有什么數(shù)據(jù)、數(shù)據(jù)位于何處、數(shù)據(jù)如何流動(dòng)以及數(shù)據(jù)與誰(shuí)相關(guān)，是在企業(yè)中創(chuàng)建隱私合規(guī)框架并幫助組織遵守法規(guī)(如GDPR)的基礎(chǔ)。

根據(jù)《福布斯》報(bào)告，GDPR讓美國(guó)財(cái)富500強(qiáng)企業(yè)多花費(fèi)了78億美元合規(guī)成本，普華永道給出更明確的合規(guī)成本估計(jì)：68%的公司預(yù)計(jì)將花費(fèi)100萬(wàn)到1000萬(wàn)美元。

單獨(dú)同意、刪除權(quán)等增加企業(yè)合規(guī)成本

《個(gè)人信息保護(hù)法》第二十三條要求：如果企業(yè)向第三方提供其處理的個(gè)人信息，應(yīng)向個(gè)人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類，并取得個(gè)人的單獨(dú)同意。

三審過(guò)程中，不少委員提到這一規(guī)定不利于數(shù)據(jù)流動(dòng)。對(duì)于企業(yè)而言，向第三方轉(zhuǎn)移個(gè)人信息必須通知個(gè)人并取得單獨(dú)同意，法律的合規(guī)成本較高，操作層面實(shí)現(xiàn)難度大。

此外，刪除權(quán)也給企業(yè)帶來(lái)不少壓力。

信息刪除權(quán)是指?jìng)€(gè)人一定條件下能夠針對(duì)信息處理者提出刪除某些個(gè)人數(shù)據(jù)的權(quán)利。信息刪除權(quán)能加強(qiáng)保護(hù)個(gè)人隱私、防范風(fēng)險(xiǎn)，并且作為調(diào)整個(gè)人與信息處理者力量差異的砝碼，消弭雙方之間不平等。

《個(gè)人信息保護(hù)法》明確賦予了個(gè)人刪除權(quán)利，擴(kuò)大了個(gè)人行使刪除權(quán)的情形。對(duì)信息處理者課以更嚴(yán)格的義務(wù)，信息處理者應(yīng)當(dāng)主動(dòng)或者根據(jù)個(gè)人的請(qǐng)求刪除，將相應(yīng)個(gè)人信息的刪除定位為經(jīng)營(yíng)者應(yīng)當(dāng)主動(dòng)履行的義務(wù)。

北京尚隱科技有限公司CEO張仁卓告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者，《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》落地后，為響應(yīng)法律，企業(yè)合規(guī)成本必然增加，部分業(yè)務(wù)需進(jìn)行較大調(diào)整。人員、管理制度與流程構(gòu)建，由此產(chǎn)生的效率下降、業(yè)務(wù)重構(gòu)、管理系統(tǒng)的構(gòu)建以及運(yùn)維成本等，將成為企業(yè)無(wú)可回避的支出。

南財(cái)合規(guī)科技研究院合規(guī)建議：《個(gè)人信息保護(hù)法》落地后，企業(yè)需建立完善的刪除實(shí)現(xiàn)機(jī)制。

目前信息處理者對(duì)響應(yīng)個(gè)人刪除權(quán)仍存在不足，刪除權(quán)是企業(yè)支撐個(gè)人行權(quán)的難點(diǎn)之一。

在個(gè)人自行操作刪除個(gè)人信息的情形下，企業(yè)應(yīng)當(dāng)闡明個(gè)人信息刪除權(quán)的實(shí)現(xiàn)機(jī)制，展示具體示例來(lái)輔助個(gè)人操作。進(jìn)一步完善隱私政策及呈現(xiàn)方式，對(duì)涉?zhèn)€人信息刪除權(quán)的內(nèi)容根據(jù)重要性對(duì)字體、格式、注釋等作出調(diào)整，后臺(tái)設(shè)置顯著、明晰的流程指導(dǎo)、服務(wù)個(gè)人行使刪除權(quán)。

完善風(fēng)險(xiǎn)評(píng)估。個(gè)人信息的刪除涉及場(chǎng)景多，除了個(gè)人自身以外，可能涉及其他利益主體。企業(yè)需仔細(xì)研判其中的法律風(fēng)險(xiǎn)，設(shè)計(jì)合理的評(píng)估機(jī)制，在信息處理各流程中識(shí)別風(fēng)險(xiǎn)，積極響應(yīng)。

個(gè)人申請(qǐng)刪除個(gè)人信息后，企業(yè)數(shù)據(jù)處理的合法性基礎(chǔ)不復(fù)存在。如刪除難以實(shí)現(xiàn)，運(yùn)營(yíng)商是否繼續(xù)存儲(chǔ)全部或部分個(gè)人信息、是否匿名化處理繼續(xù)存儲(chǔ)的信息及其安全保障程度、徹底刪除個(gè)人信息的期限和程序等，均需做出后續(xù)處置說(shuō)明。

算法面臨強(qiáng)監(jiān)管

算法是數(shù)字平臺(tái)處理海量個(gè)人數(shù)據(jù)、繪制個(gè)人畫像、精準(zhǔn)定價(jià)與個(gè)性化推送的“生產(chǎn)工具”，已經(jīng)成為平臺(tái)運(yùn)行的核心動(dòng)力。

北京科技大學(xué)文法學(xué)院副教授張凌寒撰文稱，隨著十余年平臺(tái)經(jīng)濟(jì)的高速發(fā)展，算法自動(dòng)化決策的濫用與倫理缺失的累積危害已經(jīng)進(jìn)入了顯現(xiàn)期。

《個(gè)人信息保護(hù)法》從一審稿到成文，在不斷強(qiáng)化對(duì)自動(dòng)化決策的規(guī)制，回應(yīng)了社會(huì)關(guān)切。

《個(gè)人信息保護(hù)法》要求“不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇”，或指向近年來(lái)備受關(guān)注的“大數(shù)據(jù)殺熟”。利用算法進(jìn)行“不合理的差別待遇”被法律禁止，信息處理者義務(wù)增強(qiáng)。

此前，我國(guó)已從反壟斷的制度框架下對(duì)歧視性定價(jià)問(wèn)題進(jìn)行了規(guī)范?！斗磯艛喾ā返谑邨l規(guī)定，禁止具有市場(chǎng)支配地位的經(jīng)營(yíng)者沒(méi)有正當(dāng)理由對(duì)條件相同的交易相對(duì)人在交易價(jià)格等交易條件上實(shí)行差別待遇。

《個(gè)人信息保護(hù)法》增加了“大數(shù)據(jù)殺熟”條款，進(jìn)一步豐富了對(duì)歧視性定價(jià)問(wèn)題的規(guī)制路徑。中國(guó)信通院互聯(lián)網(wǎng)法律研究中心高級(jí)研究員楊婕表示，按照《個(gè)人信息保護(hù)法》的規(guī)定，無(wú)論個(gè)人信息處理者是否具有市場(chǎng)支配地位，只要個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇，就是法律所禁止的行為。

一審稿中要求“個(gè)人認(rèn)為自動(dòng)化決策對(duì)其權(quán)益造成重大影響的，有權(quán)要求個(gè)人信息處理者予以說(shuō)明”?！皞€(gè)人認(rèn)為”依賴于個(gè)人對(duì)算法的警惕與自主意識(shí)，不同人的認(rèn)知差可能會(huì)導(dǎo)致該條款的約束性不足。此后二審稿刪除“個(gè)人認(rèn)為”這一表述，把責(zé)任主體轉(zhuǎn)移到了信息處理者身上。

《個(gè)人信息保護(hù)法》還明確，在決策對(duì)個(gè)人權(quán)益造成重大影響時(shí)賦予個(gè)人主體拒絕權(quán)，“向個(gè)人提供便捷的拒絕方式”。不僅賦予個(gè)人主體拒絕權(quán)，并且需提供“便捷”的拒絕方式，對(duì)信息處理者有較強(qiáng)的制約。

《個(gè)人信息保護(hù)法》將平臺(tái)算法治理時(shí)點(diǎn)前移，治理手段升級(jí)，相關(guān)義務(wù)增加，初步確立了算法問(wèn)責(zé)制的基本框架。算法透明和算法公平，不僅是道德層面的要求，亦是法律義務(wù)。

南財(cái)合規(guī)科技研究院合規(guī)建議：

目前，基于算法自動(dòng)化推薦而提供個(gè)性化信息內(nèi)容服務(wù)已然逐漸成為各類App“標(biāo)配”，為了更多樣化地滿足各類用戶的使用需求，追求定制化、獨(dú)特性的移動(dòng)互聯(lián)網(wǎng)應(yīng)用，必須依賴于“用戶畫像”等類似技術(shù)實(shí)現(xiàn)數(shù)據(jù)驅(qū)動(dòng)與用戶增長(zhǎng)，培養(yǎng)流量黏性。

企業(yè)需進(jìn)一步完善自己的隱私政策，告知個(gè)人信息的收集會(huì)被用于用戶畫像和個(gè)性化展示，并征得用戶的同意，充分保障用戶知情權(quán)。在正式進(jìn)行自動(dòng)化決策前，應(yīng)當(dāng)就自動(dòng)化決策的透明和公平性做好充分說(shuō)明。

隨著用戶自主控制權(quán)提升，《個(gè)人信息保護(hù)法》要求信息處理者需提供“便捷”的拒絕方式，這也意味著企業(yè)需優(yōu)化相關(guān)設(shè)置，包括提供直觀的關(guān)閉和退出選項(xiàng)、在用戶選擇退出后對(duì)相關(guān)個(gè)人信息進(jìn)行刪除、提供相應(yīng)的投訴機(jī)制。

企業(yè)進(jìn)行自動(dòng)化決策，需遵循目的明確和最小化處理原則。2021年3月正式出臺(tái)的《常見(jiàn)類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》，個(gè)性化推薦所依賴的“設(shè)備信息、廣告標(biāo)識(shí)符”等并未作為必要個(gè)人信息類型予以規(guī)定，“最小化處理原則”是自動(dòng)化決策的重要原則，企業(yè)應(yīng)遵循該原則進(jìn)行信息處理。