对于正在收罗看法的《小我信息保护法(草案)》(下称“草案”)而言,立法重点之一在于规制企业对小我信息的处理行动。到底什么样才是合法有效的“知情赞成”? “赞成”之外的合法性事由到底该有哪些?何为“敏感小我信息”?
11月10日,数据保护官(DPO)草案专题研究会在北京完美世界大年夜厦举办。此次活动为系列专题研究会的第二期(第一期研究会详见:实务界热议个保法草案:企业建议小我权力部分增长例外情景)。
会上,美团数据合规法务总监刘笑岑、小米集团公司法务总监、隐私保护委员会副主席朱玲凤和完美世界集团法务部常识产权总监薛颖作为主讲嘉宾从专业视角分享了小我不雅点,结合实践案例,对上述小我信息处理过程中的痛点和难点进行了深刻研究。
建议企业“合法好处”也列入合法性基本
10月21日,草案在中国人大年夜网正式公开向社会收罗看法。此次法案初次在司法层面浓墨重彩的阐述了“知情赞成”这一小我信息处理根本规矩。对企业而言,这也是须要重点存眷的合规偏向。
本次研究会上,DPO社群成员们起首环绕这一原则展开评论辩论,将重点聚焦于“赞成”之外的合法性事由。
10月1日,新版《信息安然技巧 小我信息安然规范》(下称《规范》)正式实施。个中,《规范》第5.6条规定了征得授权赞成的例外情况之一??根据小我信息主体请求签订和实施合同所必须的,同时,《规范》也注明,小我信息保护政策不该被视为此条中的“合同”。
刘笑岑提出,《规范》认为隐私政策不是合同,也就是说,按照国标的请求,企业不克不及基于隐私政策主意“我基于隐私政策开展的后续活动属于实施合同所须要。”
由此,她抛出了一个问题:隐私政策的“告诉”与“实施合同所须要”的关系是什么?换言之,若何区分哪些场景须要在隐私政策中实施告诉义务,又有哪些须要走“实施合同所须要”的?
对此,在场一位DPO社群成员揭橥不雅点称,不消把小我信息处理规矩局限在是否是合同的范畴傍边。“因为不合内容的效力是不一样的”,她表示,根据一个行动是企业的单方承诺照样与花费者交互产生的内容,就可以划分是单方照样两边的平易近事司法行动。“‘基于实施合同所须要’不须要征得花费者的意思表示,而基于‘赞成’则须要花费者和企业两边的意思表示合议。”她说。
《规范》中列出但草案中没有作出响应回应的规定又该若何对待?近期,企业代表在对草案提出看法时,大年夜多欲望效仿欧盟《通用数据保护条例》(GDPR)把“赞成”例外的“合法好处”也作为一个合法性基本列入我国司法。
刘笑岑表示,因为草案中未将“合法好处”列入合法性处理基本的范围,对企业来说,不论是安然风控、直接营销,照样内部技巧优化和迭代,如今该寻求哪个合法性基本并不明白。“欲望法案中能开一个口儿给我们”,她说。
但同时,她也强调,“在实践落地的时刻可以做一些限缩。”欧盟对“合法好处”的应用前提也有比较严格的限制,包含开展均衡性测试、过后证实引援合法好处的原因等。
此外,本次草案初次明白提出小我的“撤回赞成权”这一概念,刘笑岑认同草案规定所有撤回赞成的前提是基于小我赞成而开展的信息处理活动。同时,值得留意的是,《规范》规定,撤回授权赞成不影响撤回前基于授权赞成的小我信息处理。比拟之下,草案中撤回赞成相干条目未对是否“不溯及过往”作进一步明白。
刘笑岑还提到了零丁赞成与赞成以及其他合法性基本的关系问题。今朝看,草案中规定的零丁赞成轨制并没有限缩在基于赞成开展处理活动的基本之上,可能会造成处理规矩的原则性请求与零丁场景的合法基本不匹配的问题。
她举例道,例如已经依附合同或公共好处开展的处理活动,假如还须要在向第三方供给时请求零丁赞成,会在必定程度上消解掉落设立多种处理基本的初志,是以建议立法中可以推敲将零丁赞成设置在“基于赞成处理小我信息”的基本之上。
与撤回赞成相干的问题还不止于此。会场一位公司法务提出,“我绑定了几张银行卡,然后又删除了个中一张,算不算我的撤回赞成?那删除权和撤回赞成之间的差别是什么?”
薛颖弥补道,用户撤回赞成可能附带删除必定信息,而企业保存数据的义务又散见在各个垂直应用和规范性文件傍边,效力参差不齐,难以随便删除。“这个也是撤回赞成里面挺难落地的一个处所”,她表示。
在这一评论辩论环节,薛颖最后总结道,当前草案的“知情赞成”规矩,固然比先前的司法有所精进,但整体来说照样欲望能进一步完美。
“第三方”的具体内涵是什么?
在企业处理小我信息的场景中,向第三方供给信息以实现某项功能是一个常见场景。朱玲凤提到,“但一向以来,大年夜家都对‘第三方’的内涵比较困惑”。
草案第24条规定,小我信息处理者向第三方供给其处理的小我信息的,应当向小我告诉第三方的身份、接洽方法、处理目标、处理方法和小我信息的种类,并取得小我的零丁赞成。此外,草案22条也规定了小我信息处理者和受托方之间处理小我信息的规定。
对此,朱玲凤提出疑问,草案第22条和24条规定应当互相叠加照样排斥?她表示,从字面来看两条规定是互相排斥的,因为受托方不克不及变革本来处理小我信息的目标。“但假如是互相排斥的话,就意味着委托处理的场景就不须要告诉赞成了吗?”
她进一步提出,须要进一步分析接收数据的“第三方”是受托方、合营控制者照样自力控制者,根据其身份肯定响应的义务再进行传递和处罚,是更利于市场整体成长的。
在GDPR范畴下的主动化决定计划,指的是技巧体系在没有人工干涉的情况下主动作出决定计划。而用户画像(或称之为辨认分析)与主动化决定计划是不必定有关系的。
她举例表示,比如说超速罚单,只要速度跨越标准就开罚单,这是纯真的主动化决定计划;但假如在这个过程中还分析了驾驶员的习惯,比如驾驶员习惯一贯优胜,只是忽然间超速了,Ta的罚单金额就会比别人低,如许的决定计划过程就用到了用户画像。所以她表示,主动化决定计划和用户画像不必定必定是重叠的。而今朝草案规定的主动化决定计划是限制于基于用户画像的主动化决定计划,整体的义务设置不克不及直接比较GDPR而作出评价。
此外,朱玲凤还提到,主动化决定计划透明度的具体要乞降若何懂得算法的公平合理都是企业落地履行比较难的处所。
敏感小我信息和私密信息能等同吗?
与各国小我信息保护立法类似,草案将“敏感小我信息”作为小我信息司法中的重点保护客体。
草案第29条规定,敏感小我信息是一旦泄漏或者不法应用,可能导致小我受到歧视或者人身、家当安然受到严重伤害的小我信息,包含种族、平易近族、宗教崇奉、小我生物特点、医疗健康、金融账户、小我行踪等信息。
薛颖起首提出处理“敏感小我信息”的合法性事由与处理一般小我信息的合法性事由应当有所区分,例如为了”公共好处实施消息报道、舆论监督等“而处理敏感小我信息就应推敲进行限制。
那么敏感小我信息可以和私密信息等同吗?薛颖给出了否定的谜底。平易近法典“隐私”范畴中的“私密信息”既在主不雅上“不肯为他人知悉”的部分,又在客不雅上可以或许辨认天然人的才是“小我信息”,而“敏感小我信息”则未必具备隐私权属性。
她举例表示,一小我的面部特点是敏感小我信息,但因为可以自立公开,不是私密信息;一小我的暗恋史是私密信息,但因为被公开之后不必定会导致受到歧视,所以不必定是敏感信息;一小我的性取向是敏感信息,但对于已经选择对外公开的人来说,肯定不是私密信息。
此外,她还强调到,儿童小我信息也不该简单等同于敏感小我信息。
比来,人脸识其余话题备受大年夜众存眷,草案也对此做出了回应。草案第27条明白,在公共场合安装图像采集、小我身份辨认设备,应当为保护公共安然所必须,遵守国度有关规定,并设置明显的提示标识。所收集的小我图像、小我身份特点信息只能用于保护公共安然的目标,不得公开或者向他人供给;取得小我零丁赞成或者司法、行政律例另有规定的除外。
对于这条规定,薛颖建议,应对生物辨认信息进行特别规制,加强数据存储和安防义务,而不该该仅限于公共场合的收集场景和公开或供给环节。
此外,薛颖还进一步商量了敏感小我信息的“零丁赞成”请求等难点问题。最后,从敏感小我信息的全生命周期考量,她还提到,草案对敏感小我信息的处理规定多集中在“收集”环节,对存储、共享、让渡、跨境等环节的加强保护还有所欠缺。但她也强调,草案在目标限制、告诉请求、赞成请求、风险评估四个方面都对敏感小我信息的处理做了特别加强规定,这是异常值得肯定的。
采写:南都记者李慧琪 练习生白小?
视频:南都记者陈灿荣