《个人信息保护法》今日生效,重塑互联网行业发展格局

来源:iLaw合规

文章摘要
各位看官可能都体会过被大数据支配的恐惧,仿佛一直有双眼睛盯着你一般,言谈举止尽在这双眼睛的掌控中,你百度搜「冬天水凉手干裂怎么办」,淘宝下一秒给你推送各种护手霜、洗碗机。

各位看官可能都体会过被大数据支配的恐惧,仿佛一直有双眼睛盯着你一般,言谈举止尽在这双眼睛的掌控中,你百度搜「冬天水凉手干裂怎么办」,淘宝下一秒给你推送各种护手霜、洗碗机。
更有甚你可能刚和朋友说某件事或者想某件事,打开手机,您要的推送来了!
笔者前些天就有不好的经历,接连一周接到各种司法考试培训电话、查分电话,还有个电话直接告诉我「能改分」,我心惊,这些人是怎么做到精准打击的,当然比心惊更多的是害怕。
都能改分,是不是过几天我的律师证都被这些电话「没收」了。平复平复心情,刷刷短视频吧,推荐「可能认识的人」,仔细一看,是前女友。
个人信息的泄露及不被保护,应该不是一天两天的事了,已经形成了产业链,高中低档的个人信息,被不良人士分门别类,有的放矢地卖给各个产业,这些产业再去联系你,推销他们的产品。
有的看官就会问了,个人信息也分高中低档?您别不信,您现在打开淘宝,搜一个不常买的物件,比如“电饭煲”,您就看前仨给你推荐的电饭煲是多少钱的,推荐的是300以下,大数据就是把您归类成「屌丝」行列了。
买卖个人信息对于大部分行业的发展是条捷径,当然容易做的业务一定做不长久,高毛利的行业也一定会被调节,《个人信息保护法》应运而生,中国的互联网也正式进入数据监管的新时代。

1. 国家保护方式不尽完善
个人信息的法律保护问题是近半个世纪以来随着信息社会的发展而日益凸显的问题。由于社会观念、信息产业、科学技术以及立法规划等方面的原因,我国很长一段时间以来没有认识到保护个人信息的重要性,关于制定专门的个人信息保护方面的法律也一直处于空白状态。
我国直接对个人信息加以保护的法律、法规、规章及司法解释的数量相当有限,其中全国性的法律中仅有《中华人民共和国护照法》、《中华人民共和国身份证法》直接规定了「个人信息」的保护问题。
缺乏对个人信息保护的专门性、统一性的立法,必然导致一些信息控制人为了增强行为相对人的信心,进而促进相关行业通过收集、处理、利用、传递个人信息而获得更大的发展,非法产业也就滋生开来。
2. 非法买卖个人信息已成产业链
公安部在2020年公布了国内十大侵犯个人信息案例,其中包括:
2020年初贵州“新冠病毒感染肺炎防控重点人员台账”网上大肆传播案;
2020年1月社区工作人员向好友发送社区疫情防控人员信息致扩散案;
工程师盗取居民社保数据伙同境外人员在“暗网”销售案;
汽车金融平台服务器遭黑客入侵。
甚至还有多部门“内鬼”与外部人员勾结的案件,可谓触目惊心。
中国社科院法学研究所针对个人信息保护现状曾专门组成课题组,在北京、成都、青岛、西安4个城市进行调研,将我国个人信息滥用情况大致归纳为如下类别:
|过度收集个人信息
有关机构超出所办理业务的需要,收集大量非必要或完全无关的个人信息。
比如,一些商家在办理积分卡时,要求客户提供身份证号码、工作机构、受教育程度、婚姻状况、子女状况等信息;一些银行要求申办信用卡的客户提供个人党派信息、配偶资料乃至联系人资料等。
|擅自披露个人信息
有关机构未获法律授权、未经本人许可或者超出必要限度地披露他人个人信息。比如,一些地方对行人、非机动车交通违法人员的姓名、家庭住址、工作单位以及违法行为进行公示;有些银行通过网站、有关媒体披露欠款者的姓名、证件号码、通信地址等信息;有的学校在校园网上公示师生缺勤的原因,或者擅自公布贫困生的详细情况。
|擅自提供个人信息
有关机构在未经法律授权或者本人同意的情况下,将所掌握的个人信息提供给其他机构。比如,银行、保险公司、航空公司等机构之间未经客户授权或者超出授权范围共享客户信息。

更为恶劣的还有非法买卖个人信息,近些年社会上出现了大量兜售房主信息、股民信息、商务人士信息、车主信息、电信用户信息、患者信息的现象,并形成了一个新兴的产业。
比如,个人在办理购房、购车、住院等手续之后,相关信息被有关机构或其工作人员卖给房屋中介、保险公司、母婴用品企业、广告公司等。

1.「最严格的」隐私法
此次《个人信息保护法》于2021年8月20日十三届全国人大常委会第三十次会议表决通过,自2021年11月1日起施行。
该部法律的公布同样引起了海内外的关注,其严格程度甚至超越对个人信息保护最严的欧盟:
《华尔街日报》评价其「严厉程度全球居前」;
硅谷科技媒体The Information将该部法律称为「世界上最严格的隐私法之一」;
Apple苹果公司在《个人信息保护法》生效前夕紧急发布用户邮件,告知用户已为新法做好准备。

到底它有多严格?引用5个条款给大家一个直面认识:
《个人信息保护法》在法律责任方面规定的极其严格,对于针对个人信息的违法行为有着严苛的惩罚力度,具体的惩罚措施可以分为3个部分:
a. 行政处罚;
b. 民事赔偿;
c. 刑事责任。
行政处罚上,第六十六条规定:
违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
罚款数额的设定上可以看出处罚力度之大,5%的规定甚至超越欧盟的处罚金额。同时第六十七条也有规定,有新法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。记入诚信档案这个规定就很微妙了,不仅要交钱,还会留底,背负一辈子「问题公司」的名号。
民事赔偿及刑事责任上,《个人信息保护法》同样有联动,第六十九规定:
处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
法条规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
第七十条:
个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
第七十一条:
违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
除了工信部门直接的行政处罚以外,民事赔偿部分更多的倾向于《民法典》中侵权责任部分,将侵犯个人信息的行为归于此,类比侵权责任的法律精神进行赔偿。
至于刑事责任,我国《刑法》第253条有关于侵犯个人信息罪的规定,在个人信息问题上,国家的态度是,严抓严查重罚,但又轻刑事处罚,当然了,宽大归宽大,刑事责任作为最后一道红线,也是不可僭越的。
2. 「最直观的」冲击
根据经验来看,《个人信息保护法》出台最受冲击的必然是互联网行业,毕竟互联网公司掌握的信息最多,流量也最大,我们单从《个人信息保护法》第二十四条出发分析。
《个人信息保护法》第二十四条规定:
个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
法条中所说的「自动化决策」通俗理解就是大数据的算法,换句话说,2021年11月1日以后,用户可以拒绝大数据对自己周密的计算及过多的了解,互联网公司同样被禁止利用算法对于用户进行了解和采集。
企业在通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
企业在通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。这在源头上断了个人信息的流通,必然治理了非法买卖信息的不正之风,禁止大数据的杀熟。

《个人信息保护法》是一部严格的法律,必然对互联网行业冲击巨大,也希望公司在个人信息方面的合规工作要引起重视,更加注意,在此也提出几条建议,仅供企业在整顿自查作为参考。
1. 公司规章制度流程及机构设立
首先,要建立公司内部个人信息保护制度和操作规程。
建立之后需要企业员工学习,让内部人员了解到个人信息保护的重要性及违法后的严重性;同时制定公司网站、公众号等一切对外媒体载体的隐私保护政策,在宣传上严格把关,不留空隙。
其次,要建立并组织个人信息安全事件的应急制度及应急预案。
定期演练,要像防火一样防止个人信息的泄露问题。如果真正发生相关问题及时采取补救措施,评估事件带来的影响和损害,抑制事件的影响进一步扩大,并恢复数据与服务。
同时通知相关部门和个人,通知应当包括个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害,采取的补救措施和个人可以采取的减轻危害的措施,个人信息处理者的联系方式。
最后,要定期对个人信息遵守法律、行政法规的情况进行合规审计。
审计不仅要定期审,同样要分为内审和外审,由企业自发的进行定期内审,当公司准备上线App产品前,可以利用第三方科技公司进行数据隐私检测,确保符合App上线标准,且避免违法风险。
由个人信息保护职责部门要求进行的外部审计。不论外审内审,审计完成后形成审计报告,总结内部合规机制运行状况以及提出整改方向。
2. 个人信息的处理管理
企业在处理个人信息上,分为对内和对外两个方面。
对内在建立好完整的个人信息保护制度、机构后,在实际操作过程中要注意细节问题。
在处理个人信息前,必须征得本人的同意,收集、处理员工信息时谨防超出必要人力管理所需的范围;
处理到涉及个人信息的过程中,要以显著、清晰、易懂、真实、准确、完整的方式向本人告知其处理目的、方式、种类及保存期限,不得误导、欺骗、胁迫个人取得同意。
在对外接收个人信息时,要明确信息的获取方式、处理流程是否合法,明晰来源及整个流程,保证前期工作的透明化,在接受个人信息的同时要制作相应的评估报告,建立处理情况及保存时限档案。
3. 自动化决策的相关问题
法条对自动化决策的规定,即对大数据算法单独列出一章进行规定,说明该部分更亟需引起企业重视。
在进行算法前,应当对相应引用的个人信息进行保护及评估,并且对过程中的反馈情况进行及时记录,在经过本人同意后再进行相关大数据算法,以防止违法行为与不合理差别待遇的发生。
在向个人推送信息之前,要设立简便的「拒绝通道」,让个人更方便快捷的选择是否接受大数据算法,同样,详尽的说明也是必不可少的。
《个人信息保护法》的出台对于互联网时代有着划时代的意义,对之前很多的「法外之地」加大监管力度,互联网一直肩负着能够为每个人的生活提供便利的使命,法律则是允许个人将数据允许公开的同时,能够保障隐私不被泄露。
因此,企业在个人信息保护方面只要可以做到该做的,顺应时代要求,完成时代赋予的使命,推送科技文明进步的同时,也希望“high tech,low life”仅存于赛博朋克的世界,不要让我们的生活被科技所混乱。

技术驱动法律,专业成就未来