老网关(资深金融从业者)
2021年8月20日,第十三届全国人民代表大会常务委员会第三十次会议通过《中华人民共和国个人信息保护法》(以下简称“办法”),全文共八章74条,自2021年11月1日正式实施。简言之,个人信息权,你我都有。哈哈哈……看了标题奔着其他想法进来的,自罚一下,形式不限,欢迎就此留言。
一、明确自然人的“个人信息权”
办法明确自然人拥有个人信息权益。第4条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。匿名化则是指个人信息经过处理无法识别特定自然人且不能复原的过程(第73条)。因此,个人信息权是在享有安全保障权、知悉真情权、自主选择权、公平交易权、依法求偿权、求教获知权、依法结社权、维护尊严权、监督批评权等九大消保权益基础上的数字化特色权益扩充。
个人信息权范围(第44-50条)。包括知情权、决定权(含限制和拒绝)、查阅复制以及信息转移权、核实变更(更正、补充)权、要求删除权、知悉信息处理规则权(第48条)以及“冻结权”(第48条规定:法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理)。
同时第49条还规定了自然人死亡后的“关联者权益”“自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外”。
敏感个人信息定义。第28-32条都是围绕敏感个人信息保护。敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息(第28条)。特别要强调的是,不满十四岁未成年人的个人信息都属于敏感个人信息。
处理敏感个人信息的要求。处理敏感个人信息应当取得个人的单独同意(第29条);要告知必要性和对个人权益的影响(第30条);处理未成年人信息属于敏感个人信息,要取得其父母或者其他监护人的同意,且需制定专门的个人信息处理规则(第31条)。对于个人信息处理者处理敏感个人信息的要求则是“具有特定的目的和充分的必要性并采取严格保护措施”(第28条)。
保护个人的赔偿倾向。第69条规定,对于处理个人信息侵害个人信息权益造成损害的,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。赔偿责任按照个人受损或处理者获益确定,难以确定的,根据实际情况确定赔偿数额。这个条款实际执行时,如果遇到个人和处理者均为受损者情形,要作何处理呢?又或者双方均有过错呢?以及,个人有过错,而处理者无法证明自己没有过错呢?实操中理清具体处理安排,大约还有很长的路要走。
公共场所信息采集要求。办法对公共场所涉及隐私的数据采集也明确了要求,第26条规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的。对于保障实施,也料将会有细化工作安排。
二、保护个人信息权的基本原则
办法明确了个人信息处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等八个重要方面。体现的基本原则是:
公平原则。允许个人撤回信息同意;信息处理要素变更需尽告知义务;变更事项属于公共的要公开,以便于保存和查阅,属于个性的要告知个人;应对紧急情况进行消息处理来不及告知的,紧急情况消除后应及时告知;信息的保存时间应为实现处理目的所必要的最短时间。(第13-19条)
连坐原则。多个信息处理者责要分明、祸要连坐,责任需分别约定,个人权利与之分别对应,即第20条规定的“该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任”。
多方同意原则。办法23条明确, 在两个信息处理人之间转移个人信息的,需告知接收方名称或姓名、联系方式、处理目的、处理方式和个人信息种类,并需取得个人单独同意,接收方变更原先的处理目的、处理方式的,应当重新取得个人同意。 此外,办法21-22条也规定了委托继承原则,对委托人、受托人、转委托、继承等安排,国家机关处理个人信息的特别规定(第33-37条)和个人信息跨境提供的规则(第38-43条)。
三、对自动化决策、去标识化、匿名化等规范召唤数字化管理神龙(第24条和73条)
第73条明确,自动化决策是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。
第24条规定(1)个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。(2)通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。(3)通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
对于(2),这意味着,要么向客户提供拒绝被自动化决策的方式,要么要提供不针对个人特征的普通模式,结合第48条“个人有权要求个人信息处理者对其个人信息处理规则进行解释说明”,客户依据处理规则,要求提供可组合剔除的个性化安排似也无不可?比如选择去除一个或多个组合的性别因素、年龄因素、地域因素。。。诸如此类,此时,处理供需两端的“千人千面个性化诉求”,考验的是个人信息处理者信息处理的能力,和与经营目标之间的平衡,这比单纯经营目标导向的千人千面要更加复杂,如果考虑数据生产要素及其价值体现,且对个人信息能够定价衡量的话,那么整个交易过程则不仅将有所交付产品和服务的定价及价值转移安排,还应包括数据价值定价及转移安排,又或者,未来的产品或服务定价,需要结合不同的个人信息获取做出差异化定价安排。
对于(1),自动化决策要保证决策透明度和结果公平公正,不得存有不合理的差别待遇。除了信息处理者要有专业实现能力和自律精神之外,更需要有数字化、智能化的度量标准及手段。这愈将加快机器可读标准的嵌入式、智能化管理的应用进程,无论是内部审计,还是外部监管。
对于(3),如果客户申请一笔贷款,仅用模型跑出来的拒绝,可能被客户拒绝,仅用模型跑出来的分类定价,也可能被拒绝?加上人工签字确认的环节,还算不算?这个您有啥高见?欢迎留言!
此外,第73条还明确:去标识化是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。去标识化沿袭了此前《个人信息安全规范》不借助额外信息的规定,也因其依旧可被重新识别或具备重识别可能,因此,去标识化的数据依旧属于个人信息,只有匿名化处理后信息才不属于个人信息范畴(第4条)。
结合第51条中的(三)“采取相应的加密、去标识化等安全技术措施”字少事大的管理要求,以及当前不同国家或地区对于去标识化、匿名化等所做的不同定义和实施的不同律法约束,显然数据分类应用、分类管理、匿名化数据引入、加工和输出,以及外部交流合作等等,都是挑战和机会并存。
四、对个人信息处理者的管理及惩戒
业者自律。第五章共19条,规定个人信息处理者义务。包括建立内部管理制度和操作规程、分类管理、加密、去标识化、设定操作权限,实施安全教育和培训、建立应急预案、落实合规审计,定期发布个人信息保护社会责任报告接受社会监督,确保个人信息访问安全和防泄露、篡改、丢失。对于发生风险的,要施行补救措施(第57条)。
第52-56条要求,对于处理敏感信息、自动化决策、委托处理或对外提供或公开个人信息,还需事前做影响评估并记录。对于影响评估,则要求覆盖应用目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应;个人信息保护影响评估报告和处理情况记录应当至少保存三年。
分层监管。第六章(第60-65条)规定了履行个人信息保护职责的部门。明确国家网信部门、国务院有关部门、县级以上地方人民政府有关部门。统称为履行个人信息保护职责的部门。其职责包括:宣传教育、指导、监督、处理投诉和举报、展开测评、调查和处理。其中,国家网信部门职能包括:
负责制定个人信息保护具体规则、标准;针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;完善个人信息保护投诉、举报工作机制。
管理方式除了检查、调查之外,也包括约谈法定代表人或主要负责人,要求个人信息处理者委托专业机构对其个人信息处理活动做合规审计,采取措施进行整改直至消除隐患,对涉嫌犯罪的移送公安机关。
分层处罚见人见钱。第七章(第66-71条)明确了对企业和对直接负责的主管人员和其他直接责任人员的处罚,对机构的处罚除了责令整改之外,情节严重的,处罚可至:没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,责令暂停相关业务或停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,以及一定期限内的董、监、高和个人信息保护负责人禁业处理,同时要记入信用档案,并予以公示。
此外,对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,则明确实施专门监督、明确规范直至停止提供服务(第58条)。处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人、公开联系方式,姓名、联系方式要报备(第52条)。
五、待强化的事项
数字化能力。除了前面已经说过的,第8条规定,处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。由于时效性是影响准确性的重要因素之一,内谁说过,人不能两次次踏入同一条河流,而内谁则进一步指出,人一次也没法踏入同一条河流,因此,个人信息变化是常态使然,确保数据获取并更新调整时效性难度极高,何况,数据割裂在多信息处理者也是常态;而实际上,不同机构因其其数据治理能力及效果和质量参差,对于客户同样的“动作”,所能录得的信息准确性、完整性也差异极大;再则,即便面对完全相同的数据基础,不同的机构或团队运用数据的能力也不相同,这些也将导致同源数据“千人千面”的结果千差万别。。。。因此,配置数据管理专业人员,建立工作及制度规范体系,提高数据管理能力,依法合规扩展数据来源,提高数据处理能力至关重要。个人隐私保护政策也需据此做出修订安排。对于各方管理角色而言,则是实施机器可读标准的智能化管理。
全方位认证和监管体系。如前所述,不同机构既有数据资源禀赋差异,也有管理基础和运用能力差异,在承认数据是生产要素且具备价值的前提下,对个人信息最大的保护大概是引导其识别保护能力强、运用效果好的信息处理人,但自然人受限于识别条件、专业能力或设施手段,显然不具备这类“全民素质”,这就要求监管方或独立的第三方为公众提供可信的评估或认证结果,供个人参考。从维护公平市场秩序的角度看,如果数据是生产要素,处理数据的能力就是生产力,生产力差异会觉得产品所附价值和安全防控等等能力差异,因此,其产品和服务定价显然也应体现能力差异,因此,认证或评估可谓市场广阔,包括第12条所指,积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动个人信息保护规则、标准等互认,这对于信息处理专业化标准化展业及管理,以及接轨参与外循环均属必需。无论评估、认证还是审计、检查、查核、监管,机器可读标准的智能化都将是唯一选择。
保护多方权益。所有市场主体各自拥有自己的责权利,对于个人而言,应加强个人信息权的知识普及等权益保障,让个人知悉其在个人信息保护中的责任、权利、义务,了解保护自身合法权益注意事项和受侵害时的权益主张或维权方法,加上业者自律、监管及惩戒,是权益保护生态中不可或缺的组成要素,个人对于自身权益的了解程度、保护意识、权益主张难度,都将影响或推动个人信息应用和保护工作,而所有这些均起于知悉和了解,因此,办法多个条款对于应答个人咨询、投诉、举报都做出了规范,要落地见效,还取决于个人信息权相关知识的广泛普及,以及客户用权时被诚意以待的各种正面激励,尤其是对属于敏感个人信息的保护安排。对于信息处理者而言,合法权益同样应该受到保护,近段时间爆出的打着正规维权幌子、使着“恶意投诉”伎俩、奔着“一手交钱、一手办事”讹诈目的而来的黑色维权产业链,正在侵害正规金融的形象和利益以及市场公平,后者对于市场环境的破坏尤其值得关注!而维护市场公平正义的终极法器,恐怕出路也在于数字化甄别能力和机器可读标准的智能化监管和智能化消保溯源。
此外,对于一些条款的解读或需进一步明晰:比如,第6条规定处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。直接相关和个人权益影响最小的判断标准?再如,第14条对于同意信息处理的形式,规定“有规范(法律、行政法规规定)明确要求单独同意或书面同意的,从其规定。其他的保障由个人在充分知情的前提下自愿、明确作出即可”,显然,单独同意、书面同意、明确同意,是表达同意的三种不同方式,实操中如何做出合理安排,同样考验智慧和诚意。
所以,说来道去,都将通往基于全面连接的机器可读标准的数智化管理。所以,个人信息权这个权,掌和被掌都太难了……不同角色不同体会,也会对前景做出不同判断……留言说说您看到的?总之,哪哪都是学问,学也学不完,这向天要借多少年才够呀!(本文为作者观点,不代表本头条号立场)
,