個人信息保護(hù)法歷經(jīng)三審 耗時18年終于落地

來源:第一財經(jīng)

App過度收集個人信息、大數(shù)據(jù)殺熟、“二選一”……伴隨中國首部個人信息保護(hù)領(lǐng)域的專門法律出臺,這些數(shù)據(jù)領(lǐng)域的壟斷和算法濫用行為將成為監(jiān)管重點(diǎn),臺治理正被按下“加速鍵”。

中華人民共和國個人信息保護(hù)法》(下稱《個人信息保護(hù)法》)在耗時18年、歷經(jīng)三審后,終將于2021年11月1日起施行。作為中國個人信息保護(hù)領(lǐng)域的基礎(chǔ)法律,它與《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《民法典》共同構(gòu)建了我國的數(shù)據(jù)治理立法框架。

值得關(guān)注的是,從歷經(jīng)三次審議到正式發(fā)布,《個人信息保護(hù)法》對網(wǎng)絡(luò)領(lǐng)域的不正當(dāng)競爭行為、臺壟斷的關(guān)注度不斷提升。

“《個人信息保護(hù)法》已觸動互聯(lián)網(wǎng)經(jīng)營者的一根敏感神經(jīng)。”中國電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)安中心測評實驗室副主任何延哲在接受記者采訪時稱,一方面,通過引入個人信息可攜帶權(quán),強(qiáng)化了個人對于個人信息的控制權(quán);另一方面,通過加強(qiáng)對個人信息處理者自動化決策的合規(guī)要求和監(jiān)管,互聯(lián)網(wǎng)臺的算法陷阱有望得到約束。

“大型互聯(lián)網(wǎng)臺通過流量、數(shù)據(jù)等方式所掌握的‘權(quán)力’不斷被限制、管控,這將成為未來監(jiān)管工作不變的趨勢之一,相關(guān)企業(yè)應(yīng)在挖掘算法價值和維護(hù)個人信息法益中尋求衡。”他說。

增設(shè)可攜帶權(quán)

《個人信息保護(hù)法》塵埃落定后,公民對于個人信息擁有了更強(qiáng)的自主權(quán)。

根據(jù)《個人信息保護(hù)法》第四十五條,對傳統(tǒng)的查閱復(fù)制權(quán)進(jìn)行擴(kuò)張,增設(shè)有限的可攜帶權(quán),即“個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者,符合國家網(wǎng)信部門規(guī)定條件的,個人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑”。

所謂可攜帶權(quán)(Right to Data Portability),最早由歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)正式提出,包括個人數(shù)據(jù)副本獲取權(quán)以及個人數(shù)據(jù)移轉(zhuǎn)權(quán)。業(yè)界普遍認(rèn)為,這一權(quán)利不僅讓個人信息跨臺轉(zhuǎn)移將有法定依據(jù),還有利于打破臺封禁,有效回應(yīng)大型互聯(lián)網(wǎng)臺“數(shù)據(jù)壟斷”現(xiàn)象,促進(jìn)信息流通。

在中國,個人信息可攜帶權(quán)首次出現(xiàn)在個人信息保護(hù)法草案(三次審議稿)中。

北京清律律師事務(wù)所首席合伙人、清華大學(xué)法學(xué)院互聯(lián)網(wǎng)法律與政策研究中心秘書長熊定中對記者透露,此前,個人信息可攜帶權(quán)一直是業(yè)界關(guān)注的焦點(diǎn),但由于個人數(shù)據(jù)被互聯(lián)網(wǎng)企業(yè)視為重要資產(chǎn),該項權(quán)利的確立,將造成互聯(lián)網(wǎng)臺的用戶流失,增加其運(yùn)營成本,故而長時間不被產(chǎn)業(yè)界接受,僅止步于理論探討的范疇,難以落實到實際立法中。

“雖然,目前《個人信息保護(hù)法》中的‘個人信息可攜帶權(quán)’更大程度上仍是一個宣示條款,尚未有細(xì)則出臺,但這已經(jīng)是一個巨大的進(jìn)步,意味著互聯(lián)網(wǎng)巨頭在數(shù)據(jù)上的壟斷優(yōu)勢被打破。”熊定中稱。

他還指出,個人信息可攜帶權(quán)是“有范圍”的,即可轉(zhuǎn)移數(shù)據(jù)應(yīng)為個人主動提供或被收集的原始數(shù)據(jù),不包括企業(yè)經(jīng)算法處理的用戶畫像或包含第三方信息的數(shù)據(jù)副本。

“這就對互聯(lián)網(wǎng)企業(yè)技術(shù)的可實現(xiàn)、經(jīng)濟(jì)成本把控的合理提出了更多要求,也需要監(jiān)管機(jī)關(guān)在設(shè)定規(guī)則、打造典型案例的過程中,不斷豐富數(shù)據(jù)可攜帶權(quán)的實現(xiàn)途徑和方式。”北京師范大學(xué)網(wǎng)絡(luò)法治國際中心執(zhí)行主任、中國互聯(lián)網(wǎng)協(xié)會研究中心副主任吳沈括進(jìn)一步對記者分析稱。

但個人信息轉(zhuǎn)移權(quán)的確立,并不意味著用戶與臺、臺與臺的對立。

中國信息通信研究院云計算與大數(shù)據(jù)研究所副所長魏凱告訴記者,通過用戶主導(dǎo)發(fā)起的個人信息跨臺轉(zhuǎn)移,有利于增強(qiáng)臺間競爭,激發(fā)數(shù)據(jù)要素活力。“在這個過程中,互聯(lián)網(wǎng)企業(yè)或存在短期陣痛,但從長遠(yuǎn)來看,其仍可以通過優(yōu)化服務(wù),來留住用戶,是具有正向的經(jīng)濟(jì)意義。”

責(zé)任加重、監(jiān)管趨嚴(yán)

作為個人信息處理者,互聯(lián)網(wǎng)臺是個人信息保護(hù)的關(guān)鍵環(huán)節(jié),將面臨來自《個人信息保護(hù)法》的多方面約束。

其中,大型個人信息處理者的監(jiān)管與其對個人信息保護(hù)特別義務(wù)被不斷強(qiáng)化。

中國信息通信研究院互聯(lián)網(wǎng)法律研究中心高級研究員、個人信息保護(hù)立法研究團(tuán)隊負(fù)責(zé)人楊婕指出,這一責(zé)任加重的趨勢首先體現(xiàn)在草案二審稿中,其創(chuàng)設(shè)規(guī)定了“中國版的數(shù)字守門人條款”,即明確提供基礎(chǔ)互聯(lián)網(wǎng)臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者,應(yīng)當(dāng)承擔(dān)額外的個人信息保護(hù)義務(wù)。

隨后,《個人信息保護(hù)法》第五十八條進(jìn)一步完善了這項“守門人”條款。

“其一,將提供基礎(chǔ)互聯(lián)網(wǎng)臺服務(wù)修改為提供重要互聯(lián)網(wǎng)臺服務(wù);其二,補(bǔ)充了按照國家規(guī)定建立健全個人信息保護(hù)合規(guī)制度體系的義務(wù);其三,單獨(dú)增加了一項‘守門人’義務(wù),即遵循公開、公、公正的原則,制定臺規(guī)則,明確臺內(nèi)產(chǎn)品或者服務(wù)提供者處理個人信息的規(guī)范和保護(hù)個人信息的義務(wù)。”楊婕稱。

而針對大型互聯(lián)網(wǎng)臺以歧視定價為主要表現(xiàn)的“大數(shù)據(jù)殺熟”現(xiàn)象,《個人信息保護(hù)法》進(jìn)一步明確,“個人信息處理者利用個人信息進(jìn)行自動化決策,應(yīng)當(dāng)保證決策的透明度和結(jié)果公、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。”

北京斐石律師事務(wù)所管理合伙人周照峰告訴記者,由于大型互聯(lián)網(wǎng)臺具有強(qiáng)大的支配力,該條目旨在增加互聯(lián)網(wǎng)經(jīng)營者的合規(guī)意識,避免自動化決策結(jié)果對該個人造成的不利影響。

“其實互聯(lián)網(wǎng)經(jīng)營者對于想得到什么樣的結(jié)果是有預(yù)期的,也是根據(jù)這些預(yù)期才有的自動化決策的算法。所以,企業(yè)要想判斷結(jié)果公公正并非難事。”周照峰稱。

根據(jù)《個人信息保護(hù)法》中的合規(guī)要求,當(dāng)利用個人信息進(jìn)行自動化決策的情形發(fā)生時,個人信息處理者應(yīng)當(dāng)事前進(jìn)行個人信息保護(hù)影響評估,并對處理情況進(jìn)行記錄;個人信息保護(hù)影響評估報告和處理情況記錄應(yīng)當(dāng)至少保存三年。

但“歧視定價”并不能與“差異定價”畫等號,以合法為前提,“合理的差異定價”仍為一種可允許的營銷手段。海問律師事務(wù)所數(shù)據(jù)合規(guī)團(tuán)隊認(rèn)為,“大數(shù)據(jù)殺熟”現(xiàn)象與數(shù)據(jù)使用行為直接相關(guān),但其規(guī)制并不限于數(shù)據(jù)使用環(huán)節(jié)。差別待遇的合法前提覆蓋使用管理、用戶告知、結(jié)果公、合規(guī)評估。

四部法律、三個體系

在《個人信息保護(hù)法》出臺之前,“大數(shù)據(jù)殺熟”“二選一”等互聯(lián)網(wǎng)臺的數(shù)據(jù)壟斷行為已引起反壟斷、反不正當(dāng)競爭等層面的立法重視,但缺少個人信息保護(hù)的視角。

2018年修訂施行的《反不正當(dāng)競爭法》,專門增設(shè)針對網(wǎng)絡(luò)領(lǐng)域不正當(dāng)競爭行為的規(guī)定,對利用網(wǎng)絡(luò),尤其是利用技術(shù)手段實施的不正當(dāng)競爭行為,明確了規(guī)制路徑。

8月17日,市場監(jiān)督管理總局發(fā)布《禁止網(wǎng)絡(luò)不正當(dāng)競爭行為規(guī)定(公開征求意見稿)》,進(jìn)一步增強(qiáng)了《反不正當(dāng)競爭法》的適用,對互聯(lián)網(wǎng)經(jīng)營者利用技術(shù)手段影響用戶選擇,實行臺封禁、大數(shù)據(jù)殺熟、向用戶頻繁彈窗等新型網(wǎng)絡(luò)不正當(dāng)競爭行為進(jìn)行了分類規(guī)制。

《反壟斷法》第十七條也提出,禁止具有市場支配地位的經(jīng)營者從事濫用市場支配地位的行為。

清華大學(xué)國家戰(zhàn)略研究院特約研究員劉旭告訴記者,《反壟斷法》和《反不正當(dāng)競爭法》是從市場監(jiān)管的角度出發(fā),來約束“大數(shù)據(jù)殺熟”行為,二者的區(qū)別在于適用對象有所不同,而《個人信息保護(hù)法》中對于自動化決策的相關(guān)規(guī)定,則是從市場主體運(yùn)營方式的角度出發(fā),聚焦個人信息處理者的合規(guī)

“《個人信息保護(hù)法》威懾力度有限,此外,即便在賦予臺用戶‘個人信息可攜帶權(quán)’后,也難以打破互聯(lián)網(wǎng)臺一家獨(dú)大的格局。”劉旭稱,當(dāng)臺間原本的數(shù)據(jù)接口不兼容時,個人轉(zhuǎn)移未必成功,在此背景下,有著更成熟、多元服務(wù)內(nèi)容的大型互聯(lián)網(wǎng)臺,更具有用戶黏。

但劉旭也認(rèn)為,由于《個人信息保護(hù)法》的覆蓋面更廣,且網(wǎng)信部門作為執(zhí)法部門更具有技術(shù)能力去調(diào)查臺運(yùn)營是否存在“大數(shù)據(jù)殺熟”行為,所以其對“大數(shù)據(jù)殺熟”的約束作用也難以被替代。

“加上《價格法》,目前,至少已有四部法律對于‘大數(shù)據(jù)殺熟’行為進(jìn)行監(jiān)管,涉及三個執(zhí)法部門,即各級網(wǎng)信部門、各級市監(jiān)部門、省一級或國家市場監(jiān)督管理總局的反壟斷執(zhí)法機(jī)構(gòu)。”劉旭稱,在這一背景下,如何形成法律間的協(xié)同效應(yīng)、實現(xiàn)社會綜合治理成為關(guān)鍵,當(dāng)前仍缺少案件移轉(zhuǎn)、法律競合與協(xié)調(diào)的細(xì)則,這或會影響企業(yè)合規(guī)責(zé)任的履行和用戶個人信息保護(hù)的效率。

標(biāo)簽: 個人信息保護(hù)法 平臺治理 數(shù)據(jù)領(lǐng)域 平臺壟斷

推薦

財富更多》

動態(tài)更多》

熱點(diǎn)