《个人信息保护法》1周年:构建基于规范和信任的数据处理关系(下)

admin 2022年11月17日01:18:25评论49 views字数 3169阅读10分33秒阅读模式
#3f81bd

点击蓝字关注我们

申请加入数据安全共同体计划,请在本公众号回复“申请表”获取下载链接

作者:高震 抖音集团 数据及隐私法务副总监
*本文仅代表作者个人观点,不代表所在单位及本公众号立场。

《个人信息保护法》1周年:构建基于规范和信任的数据处理关系(下)

《个人信息保护法》1周年:构建基于规范和信任的数据处理关系(下)
《个人信息保护法》对于加强个人信息保护法制保障、维护网络生态以及促进数字经济健康发展均具有重大意义,在法律施行一周年之际,笔者作为一位普通数据合规实务工作者,也是作为一位普通的“用户”,尝试从对“数据生态关系”的认识出发,对法律规范的解释提出个人理解,并倡议通过围绕塑造“信任”来实现对个人信息主体的真正尊重和保护。限于篇幅,论证不足之处欢迎各位同仁一起探讨;谬误之处,也望诸位同仁指正。

《个人信息保护法》1周年:构建基于规范和信任的数据处理关系(下)

前文回顾:

《个人信息保护法》1周年:构建基于规范和信任的数据处理关系(上)



三、以“信任”为纽带,实现对个人信息主体的真正尊重和保护

网络的发展、大数据处理技术的进步在给个人和社会增进福祉的同时,也伴随着用户与个人信息处理者间的(技术能力)地位失衡,继而存在着潜在的个人权益侵害风险。“趋利避害”是人类本能,人们厌恶风险却也需认识到人类社会的发展一直与风险相伴,个人信息保护法律规范是人类抵御这一风险的顶层制度设计,闪烁着人类文明的光芒与智慧。面对数字经济时代衍生的个人权益侵害风险,对个人信息主体的真正尊重和保护在于使个体能够带着信任走入社会,而不在于让个体在与数据处理者的对抗心态中“坚壁清野”“自我封闭”。
1. “信任”纽带的五个要素

“信任”的本质在于用户能够确定个人信息处理者将以预期的目的和方式处理其个人信息,并将影响限定在特定范围内。笔者认为,在个人信息处理活动中实现这一信任,个人信息处理活动需要具备以下五个要素:

(1)透明:用户充分知悉数据处理活动的主体、目的、方式。

(2)可预期:用户能够确定数据处理活动的边界、所产生的影响。

(3)可行权:用户可以依法行使访问、复制、删除、拒绝、撤回等权利,实体权利内容明确,程序清晰可操作。

(4)可救济(问责):发生权益侵害时自己可以提起诉讼,主动需求司法救济,个人信息处理者需要承担相应的法律责任。

(5)有兜底:以法律为基础制度保障,由行政监管捍卫用户权益。

通过法律的指引和规范作用、监管导向作用,能够有效地带动企业的合规积极性,践行基于隐私的设计,以塑造用户信任。
《个人信息保护法》1周年:构建基于规范和信任的数据处理关系(下)
2. 明确“同意”的法律性质是以规范塑造信任的重要切入点

法律的可预测性的特征,使人们可以预先估计到他们相互间的行为模式,由此产生确定感和信任感。这一作用的发挥,有赖于法律对权利义务的内容以及行为后果等方面的明确性规定。当前个人信息处理实践中,除了前文第二部分所述亟待明确的规则之外,最具有代表的问题之一是关于“同意”的法律性质争议。

如前文所述,用户在个人信息“收集”环节的焦虑往往是以作出“同意”的过程为载体。按照当前合规检测标准,APP首次运行时需向用户展示隐私政策并且至少具备表达“同意”、“拒绝”含义的两个按钮,而用户的焦虑由此触发。笔者认为,当前用户对于APP“不同意隐私政策就不让用”的反感,除了在数据生态关系认识方面持有对立思维外,很大程度上还源于用户习惯性地以合同关系看待隐私政策(的签署),用户认为:企业提供的隐私政策就是一份“格式合同”要约,而点击或勾选同意则意味着作出承诺,后续就要照合同履行、甚至“自甘风险”。而《个人信息保护法》上的“同意”并非无争议地等于民事法律行为,否则其无法与当前民法规范相衔接。将“同意”界定为民事法律行为性质所导致的不衔接表现在:

  • 行为能力方面:已满14不满18周岁的未成年人可自主实施个保法上的同意;

  • 意思自治方面:个人信息主体不能在“同意”中放弃个人信息请求权;

  • 承诺规则方面:民法中合法有效的同意必须支持撤回同意,且撤回不受意思表示已经到达的限制,但《个人信息保护法》中的撤回同意却不受此限制。

另外,《个人信息保护法》第13条规定个人信息处理活动的合法性基础除“同意”外还包括“为订立、履行个人作为一方当事人的合同所必需”,因此如果企业是为了订立或履行与用户之间的合同而处理用户个人信息,恰恰不需要也不应当要求用户做出个人信息保护法意义上的同意。

笔者倾向于赞同将“同意”的性质界定为“准法律行为”,它是用户的意思表达,但这种表达的效果由法律直接规定,而非作为“意思自治”原则下对要约的承诺,所以用户并不承担对其权利的限制和减损,无论企业在隐私政策中如何设计条款,都不影响用户的个人信息请求权。

通过澄清“同意”的“准法律行为”属性,用户可以不必担心“自甘风险”,将关注点真正放在对数据处理活动本身的理解以及对法律赋予的各项权利保障上。

3. 发掘技术优势,以隐私保护技术支撑用户预期
隐私计算(Privacy-Preserving Computation)是在提供数据安全及隐私保护的基础上,实现数据价值挖掘的技术体系,通常可以理解为一系列技术与解决方案的合集,是一套包含人工智能、密码学、数据科学在内的众多领域交叉融合的跨学科技术体系。作为技术化解决手段,隐私计算有助于提升数据流通与共享能力,同时保障数据安全和个人隐私。
隐私计算作为一种具有“目的锚定”“机器可读”“访问控制”“输入保密”“内容维持”“结果准确”等特点的技术供给,具有限定数据处理目的、处理范围、保障数据安全、保证数据质量的原生特质。隐私计算在技术层面的确定性,对于实现用户对数据处理活动的可预期性具有直接支撑作用,其与具体法律规则结合,能够实现良好的合规效果。(详见抖音集团数据及隐私法务:《隐私计算法律适用规则报告》,点击文末“阅读原文”即可获取)

4.发挥监管导向对构建信任关系的助力作用


监管的价值导向、执法实践,直接塑造着企业价值判断和行为模式。
当今的大数据技术背景的数据处理活动已经远远突破了20世纪七十年代的数据处理模式,数据泛在性、可挖掘性、可学习性等特征已经使数据处理活动变得动态而延展,仅在收集数据环节的静态检验,只能对数据保护做出有限应对,而难以对数据处理活动作出完整、有效的应对。在此背景下,更有效的监管方式在于:以“问责制”为出发点,以保护个人信息主体主体权益为核心,通过推动企业开展个人信息保护影响评估、基于隐私的设计来落实个人信息保护责任。即企业需要提供评估文档、数据处理活动记录等存档资料,表明个人信息处理活动对个人信息主体、企业、社会等各方带来或可能带来的收益与损害,并对这些利益进行了认真的权衡,通过合理有效的技术和组织措施履行责任与义务,以证明相关数据处理活动符合法律的要求。
这样的监管导向将充分调动企业的合规积极性,将保护个人信息落实到生产经营的每一个环节,由此形成用户信任与企业合规的良性互动,激浊扬清、去伪存真,让真正重视用户个人信息权益、践行保护义务的企业得到肯定和信赖,必将为我国的数字经济带来蓬勃动力。

*本文整理自作者在数据安全共同体计划(DSC)、CCIA数据安全工作委员会、数据保护官沙龙(DPO)联合举办《<个人信息保护法>实施一周年暨个人信息保护影响评估常用工具表意见征求研讨会》上的发言。

《个人信息保护法》1周年:构建基于规范和信任的数据处理关系(下)

《个人信息保护法》1周年:构建基于规范和信任的数据处理关系(下)

数据安全共同体计划

(data security community)


“数据安全共同体计划”为了促进《数据安全法》《个人信息保护法》落地实施,推动数据开发利用和数据安全领域的技术推广和产业创新,致力于促进数据安全产业链各环节的交流与合作,推动数据安全政策、技术、人才多要素良性互动,构建数据安全产业生态共同体。


咨询电话:

      曹京 15810981762

      解伯延 18631643906

联系人邮箱:[email protected]

《个人信息保护法》1周年:构建基于规范和信任的数据处理关系(下)

《个人信息保护法》1周年:构建基于规范和信任的数据处理关系(下)

《个人信息保护法》1周年:构建基于规范和信任的数据处理关系(下)
点击“阅读全文”查看《隐私计算法律适用规则报告》

原文始发于微信公众号(数据安全共同体计划):《个人信息保护法》1周年:构建基于规范和信任的数据处理关系(下)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月17日01:18:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   《个人信息保护法》1周年:构建基于规范和信任的数据处理关系(下)https://cn-sec.com/archives/1412483.html

发表评论

匿名网友 填写信息