全国人民代表大会周五通过的《个人信息保护法》,将于今年11月1日起实施,该法旨在保护网络用户的数据隐私,在国内外都引起了巨大的反响。该法案也将与《数据安全法》一起,构成未来中国互联网安全监管的两大法律支柱,互联网科技企业也将为满足合规要求进行更多的投入。
8月21日,来自法律和互联网领域的专家学者在一场在线研讨会上对《个人信息保护法》进行了详细解读。该法案的制定参照了欧洲《通用数据保护条例》(GDPR)在确保用户隐私的框架,要求中国公司在数据存储和处理方面确保合规性,对于推动中国互联网产业的发展具有积极意义。
中国网安协会网络治理与国际合作工作委员会秘书长谢永江表示:“《个人信息保护法》为企业利用个人信息加上了’紧箍咒’,也就是说企业收集数据的时候要有明确合理的目的,而不能自由使用。”
管理细则仍待明确
中国信息安全研究院副院长左晓栋表示:“在《个人信息保护法》推出之际,《数据安全管理条例》也在制定中,该条例是《数据安全法》和《个人信息保护法》的实施细则,一些制度设计要通过条例来明确。”他还提出,在实施《个人信息保护法》的实际过程中,未来也不排除再去提一些新的要求,包括创设新的制度等等。
中国互联网协会法工委副秘书长、中国消费者协会律师团成员胡钢认为,《个人信息保护法》坚决反对隐私驱动企业盈利的陋习。“未来靠隐私驱动的盈利模式一定会被淘汰。《个人信息保护法》的通过,反映了立法者在加强个人隐私保护方面的决心,而超级平台对立法的干扰已经荡然无存。”胡钢表示。
他还说道,过去我国的互联网发展强调对企业的“包容审慎”,他强调,“包容审慎”应该仅适用于中小微企业和相关业务处于初始状态的企业。“如果企业的营业额达到几个亿,那么企业就应该承担更大的社会责任。”
胡钢表示,现有的大部分互联网行业规则和标准的制定,主导方90%以上都是代表企业的利益相关方,未来应该大大压缩来自企业人员比例,标准制定的程序要体现全民参与,从而对现行的行业性标准进行改进。
全国律师协会信息网络与高新技术专业委员会副主任陈际红表示:“《个人信息保护法》的落地是对重要平台监管的开始,它的落地也与最近全球的反垄断形势环境有关。大型平台一端对接消费者,另一端对接资本,应该要厘清平台对处理数据和权利的边界。”
他同时强调,对于“重要平台”的界定应该有一个客观公正的标准。“现在对’重要平台’还没有明确的界定,标准定得太高和太低都不行,这涉及到企业的合规成本,因此一定要精细考量。”陈际红说道。
中国社会科学院哲学所科技哲学研究室主任、研究员段伟文则认为,公众、企业和监管构成了一个“不等边三角形”,企业应该组成由外部人员监管的机构参与管理,而整个社会对于个人信息保护也应该有一个机制。“《个人信息保护法》中提到的诚信原则,是指企业在价值方面的坚定性。”他说道,“比如企业进行自动化的决策,现在根据《个人信息保护法》可能会使得企业蒙受一定的损失,盈利少了,但是这要靠企业的创新来弥补。我国一直在做协同治理,其实都是政府部门、研究机构和相关企业协商的过程。”
他同时表示,《个人信息保护法》对标GDPR,企业或者被监管对象是否有一种申诉的机制,未来也值得研究,而不是简单的“一罚了事”,在执行过程中,也应该考虑到企业的合法利益。
多位专家都关注到《个人信息保护法》中有关人脸识别等生物识别信息方面数据收集的合法性。曾起诉杭州野生动物园的浙江理工大学特聘副教授郭兵表示:“《个人信息保护法》回应了外界对敏感个人信息,特别是生物识别信息数据的关切。”郭兵特别强调,应该严格界定“公共安全目的下的图像采集”。
高标准立法兼顾产业发展
段和段律师事务所合伙人刘春泉表示:“一个国家的产业发展与法律环境互相影响,中国的《个人信息保护法》标准高,既考虑到与美国的互联网产业的横向竞争,同时也对标欧洲的GDPR,充分让公民享受技术带来的福祉。”
刘春泉告诉第一财经记者,《个人信息保护法》现有的条文在全球范围来看都是非常先进的。与此同时,如果结合国内的一些主流头部企业的产品及法律合规性,也存在一些实际的问题需要解决。“立法是为了提高对消费者的个人信息保护,但现在主流的互联网产品,仍然沿用数年积累下来的技术和法律架构,要按照新的标准进行合规性的修改还是需要一个过程。”刘春泉说道。
他特别提到“大数据杀熟”以及“数据可携带权”方面的问题。“对于歧视定价的问题主要应靠市场竞争,市场竞争充分要依靠反垄断法和反不正当竞争法,用监管力量抵消资本和超级平台对市场竞争的抑制作用。”刘春泉说道,“现在的一些问题不见得是缺乏法律,而是管辖不明确,未来需要明确进一步管辖的问题。”
北京邮电大学副教授、互联网治理与法律研究中副主任崔聪聪表示,个人信息保护法妥善处理了个人信息安全与互联网产业发展之间的关系;就法律的域外效力,我国个人信息保护法采取了折中的模式,参考了欧洲的GDPR,但又不如GDPR那么激进。
他对第一财经记者表示,就个人信息保护的基本原则,除了我们熟知的合法、正当和必要原则外,增加了诚信、公开、透明和个人信息品质原则以及安全原则,这些原则在个人信息保护的执法、司法以及个人信息处理者合规方面发挥重要的指引功能,特别是可以为处理今后个人信息收集使用过程中遇到的新问题提供依据。