《中华人民共和国个人信息保护法》(下称《个保法》)今日(11 月 1 日)施行,成为继《网络安全法》和《数据安全法》之后数据合规领域的重要基本法律。
《个保法》明确禁止“大数据杀熟”,明确处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息,应取得个人的单独同意;赋予个人充分权利,要求在符合国家网信部门规定条件的情形下,个人信息处理者应当为个人提供转移其个人信息的途径;对违法处理个人信息的应用程序,责令暂停或者终止提供服务。
中南财经政法大学数字经济研究院执行院长、教授盘和林对记者表示,《个保法》明确数字信息使用的权利边界,让权属权益更加清晰,推进了数字产权的确定,而数字产权政策是推动数字经济发展的重要推动力。
三审《个保法》正式施行
事实上早在2017年,《个人信息保护法(草案)》就首次面向社会公开征求意见;2020年10月,《个人信息保护法(草案一次审议稿)》首次提请全国人大常委会进行审议;2021年4月二次审议并公开征求意见,经过2021年8月三次审议后,《个保法》才得以推出,并自2021年11月1日起施行。
对比来看,第二次审议稿在一审稿的基础上主要做了10点修订,除了细化个人同意的情景、规定有关管理机构职能、细化个人信息跨境要求、增设死者个人信息权益条款外,还新增修订个人信息处理者应当提供便捷的撤回同意的方式;强化超大互联网平台个人信息保护义务和明确个人信息侵权行为的过错推定原则三方面。
第三次审议审稿比二审稿又进一步,除进一步明确个人信息处理的合法、正当、必要原则外,还增加了:处理数据应当限于实现处理目的的最小范围;不得对交易价格实行不合理差别对待(不得大数据杀熟);不得非法买卖和泄露个人信息;个人请求将个人信息转移至指定处理者时应提供转移途径;明确不满14周岁儿童个人信息为敏感信息。
记者了解到,《个保法》共8章74条,确立个人信息保护原则,禁止“大数据杀熟”,严格保护敏感个人信息,强化个人信息处理者义务,赋予大型网络平台特别义务,规范了个人信息跨境流动,并健全个人信息保护工作机制。
有律师表示,从数据人格权的角度来说,第一次审议稿规定了对个人信息拥有知情权、访问权、更正权、删除权,二审稿强化了反对权,三审稿则进一步规定了可携带权,最终审议通过的《个人信息保护法》还明确了不受制于自动化决策的权利,强调了最小范围原则和公平原则。
盘和林表示,随着《个保法》生效,在数据权属、数据使用、数据安全防护及严打信息贩卖方面会成为执法重点领域。互联网企业要推进和公开通用、简化的隐私政策,包括格式较为一致的信息授权使用协议;明确个人删除信息的权利;明确处罚细则,要有具体细化的信息保护违规违法的处罚规则。
探讨“个人信息可携带权”
记者注意到,正式实施的《个保法》中首次描述了“个人信息可携带权”,法案的第45条提出“个人请求将其个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”。
微众银行副行长兼首席信息官马智涛稍早前在接受记者采访时指出,个人信息可携带权的确立,体现将个人信息权利还归个人的立法思路,赋予个人主动在企业间流转个人信息的权利。如何运用创新技术探索个人信息可携带权的新模式,是关键的下一步。
事实上,欧盟2018年颁布的《通用数据保护条例》对数据可携带权(Right to data portability)就作出了规定。据该条例第20条规定,数据可携带权是指数据主体有权以结构化、通用的和机器可读的格式,获取其提供给数据控制者的相关个人数据,且数据主体有权将此类数据无障碍地从该控制者处传输至其他控制者处。同年,美国通过《加州消费者隐私法案》(CCPA),亦规定在技术上可行的情况下,企业应以“易于使用的格式”允许消费者将该信息传送给另一数据企业。
马智涛分享了个人信息可携带权的国内外实践及现有痛点。近年来,国际上形成平台主导和政府主导两种不同的个人信息可携带权发展模式,代表项目为美国科技巨头企业发起的DTP(数据传输项目)模式和韩国政府主导的“MyData(个人数据管理)”模式。但这两种模式缺乏可信的验证机制和激励机制,在安全存储、可信传输、协同生产方面都存在不同程度的局限性。随着国内数字新基建技术的发展,个人数据可携带权的探索出现新机遇。
对此,马智涛指出,中国新模式应当给用户选择存储方式的权利。同时,还需要解决个人信息验真、个人权利保障和信任机制的问题,以及个人信息在跨行业多场景下的协作问题。针对这些问题,分布式数据传输协议(DDTP)应运而生。
“DDTP(分布式数据传输协议)这种模式可以做到完全由个人主导,而且遵循分布式理念,不需要参与机构有事前约定,并且也不需要依赖单一中心机构的推动,能够实现跨机构、跨场景、跨业态的数据层面合作。”马智涛表示,个人信息保护法的立法,加上前沿技术的持续发展,有机会推动更多类似于DDTP的标准协议诞生,构建更多符合公众联盟链形态的应用,为数据时代构建非常需要、必不可缺的数字新基建。
记者 | 余继超
热门跟贴