伴随着数字经济发展,对个人信息的采集和利用成为一种“刚需”。个人信息保护不断涌现出新问题,随意收集媒体报道、违法获取、过度使用、非法买卖个人信息等情况“野火烧不尽”。数据的挖掘利用与个人信息保护之间张力扩大,急需专门法律对个人信息处理活动提供规范样本。
2021年11月1日,《个人信息保护法》正式施行,转眼间即将实施一周年。南财合规科技研究院长期关注个人信息保护议题,持续跟踪报道立法进程、监管动态,反映公众呼声。借此机会,将推出“南财个人信息保护月”系列活动,探讨《个人信息保护法》实施以来的落实情况以及对企业带来的影响。将围绕“守门人”条款的落实、用户个人信息权益的实现、数字广告行业的变革、数字经济发展与合规的平衡等多个维度推出20余篇系列稿件,刊出个人信息保护特刊,并且举办线下高峰论坛。
法律的生命力在于实施,在完成立法后,《个人信息保护法》需司法和执法接力,也需要企业恪守法律要求。我们希望能借助媒体的力量,持续追踪问效,推动个人信息权益的保障,提升全社会个人信息保护的水位线日,《中华人民共和国个人信息保护法》由第十三届全国人民代表大会常务委员会第三十次会议通过,自2021年11月1日起施行。
作为一部在个人信息保护领域提纲挈领的上位法火狐电竞,《个人信息保护法》明确了个人信息处理的基本规则,还从信息跨境、信息处理者义务等实践维度提出了具体要求,例如提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者应当制定平台规则,定期发布个人信息保护社会责任报告等火狐电竞。
现今,个保法落地已逾一年,以大型互联网平台为代表的个人信息处理者落实《个人信息保护法》要求的具体情况如何,法条中规定的个人信息处理原则是否在各类信息处理实践中得到落实?
聚焦《个人信息保护法》颁布一周年以来的热点问题,南方财经全媒体-21世纪经济报道记者专访中国社科院法学所网络与信息法室副主任周辉,从《个人信息保护法》的立法理念和落地一年来的合规实践两个角度,分析当前个人信息保护在平台治理与跨境治理中面临的实际问题,结合实践需求探讨个人信息保护的发展方向。
大型网络平台使用并存储海量的个人数据,与每个人的自身权益息息相关。平台通过及时报告,向社会公布其社会责任履行情况,可以使得上述企业公开其个人信息收集、使用规则,避免信息的过度收集、使用等问题,从而从源头上降低个人信息泄露的风险。企业对外公布的社会责任报告中,
从企业制度体系角度,企业应说明隐私政策文本是否符合法律规范,是否建立或健全
,有利于公众全面了解企业的个人信息管理制度。从企业组织架构角度,企业应公开
,有利于公众全面了解企业的个人信息保护制度。从个人信息合规实践角度,企业应披露
因此,要完善政策机制,为个人信息保护合规科技提供支持、指引和激励。第一,在立法执法和司法政策上明确将应用合规科技作为企业合规计划、合规管理体系的重要内容,逐渐以可靠的合规技术替代合规监管人。第二,基于个人信息保护一般规范和特别规范,对市场上不同类型的合规技术进行分类评价,为不同类型和规模的企业提供应用指南。第三,结合电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者等不同个人信息处理主体特点,发布个人信息保护合规创新试点方案,培育可靠合规技术产品,进而在充分试点基础上推广全行业应用。第四,结合典型案例,发掘个人信息合规科技应用最佳实践,在提供声誉奖励的同时,明确行业对齐标准。
随着国际经济全球化和区域一体化不断发展,各国尝试在维护公共利益等原则的基础上,建立个人信息跨境流动生态圈,以便发挥个人信息跨境流动在降低企业经营成本、支撑企业国际运营、促进国际合作等领域的积极作用。个人信息跨境流动给个人信息安全治理带来了巨大挑战,个人信息出境规则如何适应中国国情以及如何与国际规则接轨成为亟待解决的难题。为实现个人信息在全球范围的合理有序流动,我国对个人信息跨境活动予以规制的体系化规定,主要见于《数据安全法》《个人信息保护法》,特别是《数据出境安全评估办法》。《个人信息保护法》从顶层立法设计对个人信息跨境作出制度安排,以专章“个人信息跨境提供的规则”规定了向境外提供个人信息的基本条件和基本制度。已经生效的《数据出境安全评估办法》对个人信息出境安全评估、个人信息保护认证和签订个人信息出境标准合同三种合规路径作了进一步细化,这对于规范个人信息跨境活动提出了明确指引。但是,
第一,应推动建立企业在跨境数据合规的自律机制,一方面企业在进行数据跨境活动时应根据《个人信息保护法》第五十四条、五十五条关于合规审计与风险评估制度,增强企业自我合规审计、自主风险评估的积极性。另一方面企业应根据《数据出境安全评估办法》的规定主动开展数据出境风险自评估,分析数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,配合国家网信部门的数据出境安全评估,实现以自律为主、自律与他律相结合的跨境数据合规评估体系建设。第二,
。为提高参与安全评估效果,可以提高第三方评估机构准入门槛。政府部门建立跨境数据合规评估体系的初衷,就是希望通过政府公权力提高数据跨境治理工作能力。但需要提防的是,跨境数据合规评估机构会逐渐被管制对象通过各种手段和方法所俘虏的风险,导致评估机构最终被产业所控制,成为少数利益集团谋求超额利润的工具,落入“监管俘获”的陷阱。因此需要加入第三方评估机构进入机制,使市场评估机构与政府部门指定评估机构通过市场相互竞争的方式,避免“监管俘获”现象在数据跨境治理工作中出现。第三,
,如欧盟在GDPR中将“经批准的行为准则或认证(Approved Codes of Conduct/Certification)”与第三国数据处理者具有约束力和执行力的适当的保障措施(Appropriate Safeguards)的承诺结合,作为认证跨境传输个人数据需满足的适当的保障措施之一,并在GDPR第42条以及第43条就认证的相关要求、有效期限及认证机构等进行了详细规定。经批准的认证机制旨在建立一个符合欧盟数据法的正式认证,并具有自己的标志,鼓励数据处理者适用该认证制度。数据处理者可以自愿申请请求认证,得到批准后,使用这种标志以证明其数据活动符合欧盟的相关规定和认证,并据向欧盟外第三国进行数据传输而无须特别批准。