《个保法》征求意见截止！这三大问题需要关注

       11月19日，《中华人民共和国个人信息保护法（草案）》征求意见截止，相信不久之后《个人信息保护法》（以下称《个保法》）即可正式出台。
       作为我国第一部正式出台的个人信息保护法，《个保法》的颁布对企业而言意味着什么？哪些问题需要思考和完善？

《个保法》为什么出台？
       此番立法，可谓“千呼万唤始出来”。
       2009年，刑法修正案（七）将非法出售个人信息的行为纳入刑法规制，个人信息保护立法正式纳入议程。但到2017年，个人信息保护的规制仍限于刑事方面。同年6月《网络安全法》正式实施，个人信息保护在民商事领域才初步被提及。历时八年，个人信息保护的法律体系建设自此正式步入快车道。
       从刑事领域对侵害行为的重点规制，到民商事领域的一般性规则，法律建设的转向反映了国内近些年来日益严重的信息泄露风险。
       据统计，我国目前互联网用户已超过9亿，互联网网站超过400万个，应用程序超过了300万个，个人信息的收集和使用已经渗透到了工作、生活的各角落，侵犯个人信息的行为也频频发生。
       中国消费者协会2018年曾对公民信息泄露情况进行调查，结果显示85.2%的受访者均遇到过信息泄露的情况。就信息泄露的途径而言，未经授权收集用户信息，故意泄露、非法出售和向他人提供个人信息等方式占有较大比重。
       这项调查也说明，大部分网络科技公司普遍存在过度收集用户信息的情况。相较于刑法规制，民商事领域的普遍规制更为重要。
       实际上，法律实务工作中也常常为信息保护立法的缺失而陷入困境。一是法院立案困难，二则是相关法律的落后。
此次《个保法》的出台，对于个人信息保护而言无疑划定了更加清晰的路径。“个保法》第一次在法律层面比较详细地明确了全行业的企业和公民在个人信息保护这个领域内的权利，明确了较为系统的、基于‘告知-同意’的信息流转与利用框架，有利于进一步明确合规业务的边界。
       同时，企业在个人信息保护中的责任也会越来越重。协助个人行使个人信息的相关权利需要企业投入人力、物力，不仅需要完善相应制度、增设个人信息保护的岗位，还需要将个人信息保护的理念嵌入所有产品或服务中，这意味着大量的资源投入。

“告知-同意”的限度会改变吗？
       “告知-同意”是此次《个保法》中明确申明的原则，意为“个人在充分知情的前提下，自愿、明确作出意思表示”。这一原则或多或少在之前的法规和国家标准中也有所体现，与之不同的是，《个保法》增加了“同意”的类型，如“单独同意”。
       目前，大多数企业使用弹窗的形式展示《隐私条款》，以征求用户对收集个人信息的许可。用户点击“同意”选项后继续使用信息处理者提供的服务，即可认定为“同意”。
       对此，傅鹏解释道：“除了要求单独同意的情境外，目前实务中普遍的做法是，有明确得到用户同意的动作，例如用户主动勾选‘同意’，即在一定程度上被理解为企业做到了力所能及的告知，并收集到了企业一般意义上可以期待的‘正常情形下的同意’。”
       然而，这一做法也常常受到质疑。实际中，大部分人不会阅读冗长的《隐私条款》。对此，史宇航律师认为，“充分知情”是一个相对主观的标准，企业能够做到的是尽可能向个人提供能够“充分知情”的环境。
       “对于‘充分知情’的限度，实际上是法院在个人信息安全和互联网企业发展中做的一个平衡。所以只要有明确的告知动作，以及以明显的方式标注针对用户的权利有较大影响的条款，法院便会认定个人信息处理者有尽到告知义务，属于个人的‘充分知情’。”吴声威补充道。
       那么，此次《个保法》中增加的“单独同意”、“书面同意”，是否意味着企业需要遵守更严格的标准以配合“告知-同意”原则？
       目前来看，尚未有更明确的规定说明这些“同意”的具体标准，这给实践带来了一定的不确定性。但无论如何，标准的确定是经济发展过程中法院对便利用户知悉《隐私条款》与用户达到事实审阅的一个平衡。具体如何，后续还需主管部门在执法过程中通过先例、执法案例的方式展现更多的执法精神。

匿名化是企业的“免死金牌”吗？
       匿名化是服务提供者通过去标识、降低信息的可识别度来无效化个人信息的一种手段。《个保法》此次并未将匿名化处理的信息归于个人信息，但由此引起的关注焦点在于，企业是否对匿名化处理的信息享有绝对的权利？
       从法理而言，匿名化处理后得来的数据应当可以由企业原始取得。匿名化的数据由其控制者掌控，但边界如何仍有待厘清。
       将个人信息匿名化处理也因此成为企业在处理、删除个人信息中的通用做法。目前来看这一做法并未被《个保法》禁止。
       匿名化的效果与删除高度类似。在经过真正的匿名化后，信息无法识别或关联到个人，也就不能称之为“个人信息”。
       但是，当下的技术手段能否真正达到法律规定的不可逆？企业面对匿名化处理的信息仍存在一些潜在风险。
       匿名化所能实现的效果，一种是基于大数据的综合分析，其呈现的结果是大数据化的一般性结果，并不包含个人信息颗粒度，是不可识别的。另一种则是保留一般性信息、具有颗粒度，比如不具名的一个人的某个行为活动，或一般化的特征，例如性别，但不会包含能够识别具体个人的信息如姓名、手机号等。这种情况下也被认为能够起到比较好的匿名化效果。
       然而随着大数据、AI技术的发展，很多大数据企业不可避免地从诸多不同渠道收集到匿名化的信息。基于庞大的基础信息量和越来越先进的算法，企业有可能在非主观故意的情况下，整合从不同渠道收集到的匿名化信息，丰富针对某个个体的画像，最终达到可趋近于识别或关联某个具体个人的效果。这实际上给企业提出了一个潜在的挑战。
       尽管《个保法》提出了第三方不得利用技术等手段重新识别个人身份。但是在非刻意的情况下法律是否有不同的评判？
       这也说明，企业在处理匿名化信息时，法律、技术均是需要重视、解决的问题。史宇航认为，从匿名化数据的可还原角度来看，匿名化处理的成本会比删除更高，需要一整套的匿名化管理制度，并且匿名化技术也要随着个人信息重标识技术的进步不断升级，以确保个人信息的安全。

个人信息与隐私权保护：如何平衡？
       个人信息保护与隐私权保护的交叉问题是《个保法》后被关注的又一个问题。《民法典》中以列举的形式将个人的私密信息归于个人隐私，而同时私密信息也归属于个人信息的范畴，二者在内容上存在交叉。
       个人信息保护与隐私权保护的侧重点不同，隐私权在《民法典》中被明确规定为一项权利用以保护，但目前还没有将个人信息明确规定为一种权利，故个人信息需要适用不同的保护。
       于私密信息而言，既受到个人信息的保护，也符合隐私权保护的相关要求。这也意味着企业在处理个人信息中的私密信息时，既需要考虑个人信息保护的问题，也需要遵守隐私保护的规定。
       那么在企业收集个人信息的过程中，如何把握隐私权保护的限度？隐私相较于个人信息更具主观性，但仍是以“同意”为原则进行保护，即在个人同意的情况下，企业可以处理隐私信息。这也要求企业在设计“同意”时要考虑多种法益，包括个人信息、隐私权、肖像权等。

结语
       《个保法》对“告知-同意”原则的重申以及独立于隐私权保护的法律建设，显示了我国更加清晰明确的个人信息保护路径，也将极大地便利律师处理个人信息保护方面的案件。
       但同时，《个保法》在细节上仍有待明确。不同类型“同意”的标准、企业使用匿名化手段中面临的风险还是未知数，有待通过执法先例、司法解释及配套规定等方式确定具体的执法标准。

如需咨询更多内容 请联系大同法制网

法制宣传、法律服务、法治维权

优选大同法制网（www.dtfz.net）

更多资讯关注大同法制网公众号