据新华社报道,全国人大常委会于8月20日通过了《个人信息保护法》,该法自11月1日起施行。
这是中国首部针对个人隐私保护的法律,立法的严格程度堪比欧盟《通用数据保护条例》(GDPR)。在多位受访人士看来,该法的出炉不仅是对顶层制度的查缺补漏,还进一步释放出了国家决心整治市场侵害个人隐私行为的信号,将对互联网科技行业造成压力。
最终版本新变化:个人信息可携带转移
8月20日,全国人大常委会通过了《个人信息保护法》,并披露了最终版本全文。该法案经历了三次审议,三版草案不断加强企业应当遵循最小必要等原则保障个人在信息收集、存储、使用、加工、传输、提供、公开、删除等环节的知情权、决定权。
值得注意的是,与前两版草案相比,三审稿首次增加了个人信息可携带转移的规定,进一步加强了信息主体对个人信息控制权。
这一规定在最终版本的《个人信息保护法》中得到落实。该法第四十五条第三款规定,“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”。
平台用户的个人信息一直是互联网行业的“兵家必争之地”,一些互联网科技企业就因数据共享、转移问题打过官司。例如,2019年初,腾讯就曾指责字节跳动旗下的抖音、多闪等产品在与其微信产品进行合作时,违反诚信原则超范围和违规使用用户的头像、昵称,并擅自将腾讯提供给抖音的微信账号授权登录服务提供给多闪使用;字节跳动则反驳称,“用户的头像、昵称的权益理应归属于用户。不是腾讯授权我们使用用户的头像、昵称,而是用户授权我们使用他们的头像昵称”。
此次增加的个人信息可携带权规定,可以保障个人对其信息控制权和在不同平台转移信息的权利。“从这个角度来看,字节跳动的理由完全合理。”中国人民大学法学院副教授丁晓东曾撰文指出。
信息携带权是欧盟GDPR创设的一项权利规定,这一权利被认为能够防止企业利用数据优势形成垄断,体现信息主体对个人信息的决定权。
在互联网竞争中,先行者常常能利用先发优势,形成用户依赖,从而导致“赢家通吃”的局面,这其中重要原因之一就在于用户往往难以将个人数据转移到新的平台或产品上面。有法律研究人士指出,数据可携带代表了“重新平衡”数据主体和数据控制者之间关系的机会,可以打通从大型互联网企业到中小型企业的数据流通通道。
此外,最终版本还针对应用程序(App)过度收集个人信息、大数据杀熟以及非法买卖、泄露个人信息等行为增加明确规范,具体包括:利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇;履行个人信息保护职责的部门应当组织对App等个人信息保护情况进行测评、公布测评结果,对违法处理个人信息的App,责令暂停或者终止提供服务等。
互联网行业面临监管挑战
此次通过的《个人信息保护法》也被视为中国未来互联网行业监管的重要依据。“这部法律的意义不仅是制度层面的完善,同时也释放出国家下决心整顿数据治理乱象的信号。”一位法律人士表示,尤其是伴随数字经济蓬勃起来的互联网行业将面临监管压力。
今年以来,互联网行业的合规压力已经明显增加。一方面,App治理行动正在不断深入和巩固,新一轮互联网行业专项整治行动也于今年7月26日启动,重点围绕扰乱市场秩序、侵害用户权益、威胁数据安全、违反资源和资质管理规定等四方面问题。
另一方面,互联网企业数据跨境和赴美上市的监管进一步收紧。7月2日,滴滴在赴美低调上市的第三日,就面临中国监管发起的网络安全审查,股价受到重挫。7月28日,工信部委托中国互联网协会召开头部平台座谈会,召集阿里、腾讯、字节跳动、蚂蚁集团等12家企业参加,要求相关企业明确平台数据管理责任,并加强重要数据安全评估和出境管理。
开展或参与金融业务这类互联网企业重要的商业变现模式也被监管所聚焦。今年7月,有市场消息称,央行征信管理局给多家网络平台下发通知,要求后者与金融机构开展引流、助贷、联合贷等业务合作时,不得将个人用户主动提交的信息、平台内产生的个人信息、从外部获取的个人信息,以申请人信息、身份信息、基础信息、个人画像评分信息等名义,直接提供给金融机构,需要构建“平台-征信机构-金融机构”的模式。
据日本第三方支付机构Netstars CTO陈斌介绍,在互联网金融兴起以前,国内引进美国FICO的评分机制,也就是央行的个人征信中心对借贷人做定性评估,但缺乏定量评估导致银行只知客户资质“好”与“差”,却不知“有多好”或“有多差”。后来数字经济浪潮拍岸而来,央行征信系统立显“捉襟见肘”,加之国内相关法律缺失,大量互联网公司开始以大数据分析之名行征信业务之实。
在前述监管要求下,这类商业模式正在走向转型,据21世纪经济报道,助贷公司正在积极寻求与个人征信机构的合作,一些公司还考虑择参股投资持牌征信机构。
截止目前,央行共批准了两家持牌个人征信机构。其中,百行征信于2018年获批,时隔近三年后,第二家个人征信机构朴道征信于2020年底获批。在业内人士看来,朴道征信的获批意味着监管对个人征信向市场开放的态度有所松动,未来或有更多互联网企业能够获得持牌发展的机会。
“互联网行业的商业模式对数据的依赖程度很高,随着科技的发展,获取数据的成本又很低,这使得企业有强大的动力去获取用户信息。”一位金融科技行业人士告诉记者。而《个人信息保护法》的出台将极大增加互联网科技企业违规获取或使用个人信息的成本。
根据该法,对于违规行为的最高可处以五千万元以下或者上一年度营业额百分之五以下罚款。以阿里巴巴为例,该公司2020年度营业额为5097.11亿元,最高罚款上限可达250亿元。
具体细则仍待完善
多位法律人士在受访时将中国的《个人信息保护法》类比欧盟GDPR,后者被视为目前全球最严格、也最健全的网络数据隐私保护框架。他们指出,《个人信息保护法》主张的信息主体权利基本向GDPR看齐,但“中国的法律是比较原则性、方向性的,因此显得略为空泛,还需更多细则来解决实际操作层面的问题”。
以前文提及的个人信息携带权为例,该条款实现的前提为“符合国家网信部门规定条件”,因此具体施行仍有待网信部门出台细则。
目前个人数据携带权仍存在诸多争议,丁晓东曾于2020年初发表《论数据携带权的属性、影响与中国应用》指出,一旦该权利被确认,冒名顶替从而非法获取个人数据的风险将成本增加。此外,个人信息可携带转移在执行时不一定能够打破数据垄断,由于人们倾向于信任更知名、系统安全性更高的大企业,其执行效果反而可能导致中小企业数据流向大企业,对数据转移对接的要求还可能增加中小企业的成本负担。
这些问题都需要具体执行细则加以解决。“数据携带权的中国应用需要结合具体场景,对企业与公共部门施加不同类型与程度的数据携带权。”他指出,只有在具体场景中勾勒与确定数据携带权的边界,这一权利才可能真正有利于公民权益与产业发展。
“从之前的网络安全法来看,目前主要是由网信办统筹,不具体执法,而是负责监督各部门执法,此外各部门有各自的监督机构,各部门之间又和公安部门有交集,这是目前国内的一个体系。”一位律师告诉记者,“但目前的问题是,执行层面各部门互有重合,导致‘九龙治水治不好’,立法层面各部门又不积极,导致专门针对各个行业特点的专门政策并不完善。”
另一位专研数据安全领域的律师也表示,实践中,应该是由行业主管部门来进行监管,但是“具体是工业、电信、教育、国防、科技还是公安机关,他们当中会不会出现监管的交叉重叠,法律规定没有没有很明确,所以确实可能会存在多头交叉监管的问题”。
“但不排除现在各部门、各部委联合出台相应一些部门规章,明确权责范畴,相应地就能避免掉这些管理问题。”该人士进一步表示。