个人信息保护法系统全面的对什么等方面进行立法

8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民***和国个人信息保护法》。该法自2021年11月1日起施行。

个人信息保护法系统全面地对个人信息的定义和权利、处理规则、处理者义务、法律责任进行立法,是我国第一部针对个人信息保护的法律。特别是对社会反映强烈的过度收集个人信息、“大数据杀熟”、未成年人个人信息、个人信息跨境提供等方面进行了严格规定。

千呼万唤中,我国首部专门针对个人信息保护的系统性、综合性法律终于正式落地。

在此之前,国内没有一部专门规范使用个人信息的法律,相关条款散见于不同的法律法规。随着互联网经济和数字化发展,越来越多的应用场景涉及个人信息处理;同时,随着经济全球化,国际数据交换需求旺盛,有必要尽快出台与个人信息保护有关的法律。“当前,信息泄露比较严重,如骚扰信息和诈骗电话等行为猖獗,虽然相关部门长期打击这些不法行为,但信息泄露源头不堵上,则不能从根本上解决问题,所以在信息保护方面产生了更高的需求。《个人信息保护法》以立法的方式,明确信息定义,限制信息滥用,保护隐私信息,一方面为查处信息违法行为提供了法律依据;另一方面为未来合法使用信息权益提供了法律依据。”中南财经政法大学数字经济研究院执行院长、教授盘和林在接受《金融时报》记者采访时表示。

剑指“大数据杀熟”等问题回应社会关切

北京市京师(深圳)律师事务所联合创始人、京师深圳法律研究院院长王岩飞告诉《金融时报》记者,历经多次修改审阅,本次《个人信息保护法》系统全面地对个人信息的定义和权利、处理规则、处理者义务、法律责任进行立法,是我国第一部针对个人信息保护的法律。特别是对社会反映强烈的过度收集个人信息、“大数据杀熟”、未成年人个人信息、个人信息跨境提供等方面进行了严格规定。

其中,“大数据杀熟”正是消费者最为关心的问题之一。所谓“大数据杀熟”,一般指平台针对具有购买记录的“熟客”、通过大数据分析判定为价格不敏感的用户以及其他特定人群,采取不同定价策略的行为,且往往导致“熟客”的价格比“新客”更高。对此,王岩飞表示:“在此次《个人信息保护法》出台之前,也有网络安全法、民法典、消费者权益保护法以及部分文件规制,从具体执行层面看,也有部分国家标准和文件的参考使用,部分地区如深圳也出台了相关规定,但一直未有针对性且具有高级别强制力的法律。”

王岩飞表示,《个人信息保护法》对于“大数据杀熟”、过度收集个人信息会进行有效规制,比如最高五千万元以下或者上一年度营业额百分之五以下罚款、责令暂停相关业务或者停业整顿、吊销相关业务许可或者吊销营业执照等对于信息处理者具有震慑力。另外,对于处理者和主管人员和其他直接责任人员双罚制,也能有效对上述问题进行防控。

盘和林也认为,数据安全法和《个人信息保护法》结合起来,将对“大数据杀熟”和过度收集个人信息提供执行规范。

汉坤律师事务所合伙人段志超表示,相关规定并非绝对禁止企业利用用户画像进行差异化定价(例如对一些新客、不活跃客户提供更便宜价格或进行优惠补贴),而是强调这些技术的应用不应导致不公平的结果。但差异化的销售策略与侵害个人权益的“大数据杀熟”之间的界限究竟在哪里,这一问题值得行业进一步探讨。

新法之下互联网企业须加强合规体系建设

《个人信息保护法》的颁布,对企业如何利用数据会产生一定影响。盘和林解释,个人信息被定义为一种权益,在使用信息相关资料的时候,该法提出了授权和脱敏的要求,这在保护个人信息的同时兼顾了科技发展。

此前被很多互联网平台视为“利器”的“千人千面推送”“个性化展示”也面临新的调整。根据《个人信息保护法》,如通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。“过去一年多来,‘定向推送’‘个性化展示’已经逐步成为监管机构执法重点,关注要点由是否向用户提供不针对个人特征的选项或是否提供关闭或拒绝机制,逐步深入到关闭、拒绝机制的真实有效性。企业在利用用户个人信息开展个性化展示、定向推送时,应注意尊重个人信息主体知情权。”段志超表示。

盘和林表示:“脱敏后企业可以使用数据,但是因为数据必须脱敏,大数据对个人的精准性将降低。不过,与此同时,数据收集使用方面进一步规范,未来,企业需要考虑在信息数据使用规范上进一步完善企业内部控制。”

具体来看,互联网平台企业需要强化企业内信息的数据保护机制,建立内控机制,以体系来保证数据信息安全,同时以体系有效性来保证信息利用合法合规。“在行业整体对数据和信息的使用限制增多的情况下成本会上升,但为了安全,这些成本是必要的代价。”盘和林表示。

在王岩飞看来,近年来,互联网平台企业发展迅速,收集和应用了大量个人信息,有些还是敏感信息,大型互联网企业掌握了大量个人信息,中小型互联网企业合规体系不健全是普遍存在的问题。他表示,《个人信息保护法》出台后,能够有效规制互联网平台企业规范经营,合法处理个人信息,尤其是短期内应该可以预见大量企业均会在本法正式实施前进行合规整改。

王岩飞认为,未来,加强监管和频繁维权是互联网企业必须要面对的问题。“合规必然成为企业基业长青的基石,也要求任何企业均应该具有合规意识,建立数据合规体系,达到信息处理和合规保护的均衡。”王岩飞表示,在今后的发展中,企业建立数据和信息保护部门是必选项,没有合规意识和体系构建的企业将被社会淘汰。

金融科技专家苏筱芮认为,随着《个人信息保护法》的落地,一方面将提升互联网平台企业的合规意识,部分合规意识低下、合规水平不足的机构难以适应大环境,从而逐步退出市场;另一方面也能够规范互联网业务中的信息保护规范,多方处理个人信息数据的权责分配、隐私计算等围绕个人信息保护的技术产业将加速崛起,科技的工具属性将被更多地引导和运用于良性方面。

金融账户被列为敏感个人信息

在《个人信息保护法》中“金融账户”与生物识别、宗教信仰、特定身份、医疗健康、行踪轨迹等信息以及不满十四周岁未成年人的个人信息被列为敏感个人信息。“《个人信息保护法》在第28条中将金融机构所掌握的客户个人信息归类为‘敏感个人信息’这一特别类型。”上海国际经济贸易仲裁委员会仲裁员汪灵罡表示,金融机构所掌握的个人信息,依据其获取途径和发挥作用地不同,在《个人信息保护法》之下可归于不同的类型,相应地由金融机构进行不同程度的保护。如员工个人信息属于《个人信息保护法》下“个人信息”类型,客户相关信息、业务合作方相关个人信息属于“敏感个人信息”。总体而言,《个人信息保护法》为如何保护以及在什么程度上保护个人信息提供了一个法律框架。

汪灵罡表示,金融机构对于其掌握的个人信息尤其是“敏感个人信息”,往往会进行深度挖掘。“尤其是在当前互联网财富管理、互联网保险、互联网消费金融、指纹支付、视频刷脸支付等互联网业务风起云涌的市场背景下,交易习惯、消费偏好等客户个人信息就是‘金矿’。通过对这些与交易相关‘敏感个人信息’总结归纳、演绎后得到的‘衍生个人信息’,对金融机构的风险管理和业务拓展都具有很高的价值。”他进一步表示,“衍生个人信息”是通过对客户“敏感个人信息”的挖掘而获得的,其本身的性质仍然是“敏感个人信息”,因此,机构有义务对其进行更好的保护。

不过,汪灵罡认为,《个人信息保护法》第4条规定“个人信息不包括匿名化处理后的信息”,这意味着,如果“衍生个人信息”已经脱离了具体化的自然人,且其信息源是来自于某个自然人群体,能够实现不指向具体某个自然人而“匿名化”,那么这一类的“衍生个人信息”就不再是《个人信息保护法》所定义和适用的“个人信息”,而是转化为金融机构自有的商业信息、商业秘密、知识产权。“《个人信息保护法》的出台不仅为个人信息保护工作的顺利开展奠定基础,而且,作为信息保护领域的上位法,后续将加速推动征信业务管理、个人金融信息保护相关法规条例出台。”