专题 | 融合与流动：中国个人数据的安全与有序利用

人工智能产业革命与G20大阪峰会

 个人信息保护立法趋势

继2017年6月1日《中华人民共和国网络安全法》（下称“网安法”）生效以来，国家互联网信息办公室（下称“网信办”）、公安部、国家标准化管理委员会（下称“国标委”）陆续颁布了关于网络安全和数据安全的一系列法规、指南、标准（详见表一）。

2019年5月、6月，网信办连续公布了《个人信息出境安全评估办法（征求意见稿）》（下称“安全评估办法”）、《网络安全审查办法（征求意见稿）》（下称“网络安全审查办法”）、《数据安全管理办法（征求意见稿）》（下称“数据安全管理办法”）等一系列行政法规的征求意见稿。与此同时，个人信息保护法、数据安全法皆被全国人大列入十三届人大立法规划的第一类法律——即条件比较成熟、任期内拟提请审议的法律草案。有关部门在个人数据管控方面的决心和信息可见一斑。

2016年公布的网安法早已经将三大重点领域囊括其中，后续出台的法规皆从个人信息保护、数据出境、关键基础信息设施建设延伸、展开，不外如是。其中，国家对个人信息保护更是释放了强烈的监管信号（详见表二）。

个人信息保护再加筹码：

PbD和个性化广告推送

那么，在国内企业APP隐私政策日臻完善的趋势下，将会面临两个更加严峻和深入的挑战。第一：如何保证隐私政策同产品开发保持一致性？第二：如何保证用户可以自主选择是否接受企业提供的个性化广告推送？这两个挑战实际上是日益健全的法律对企业合规性提出了更高的要求。产品开发与隐私政策的一致性对要求对产品开发投入更多的技术、合规成本，要求企业获取用户的定推明确授权，也对企业的广告营收造成了一定的冲击。

如何保证隐私政策同产品开发相一致，避免沦为一纸空文

自网安法、个人信息安全规范及APP系列的法律法规颁布以来，国内大多数企业基本能够做到在APP即官网上嵌入符合法律法规要求的隐私政策和cookies政策，达到了“形式合规”标准。欧盟数据保护委员会在GDPR中提到了一个概念——privacy by design（下称“PbD”），即在产品、服务设计之初就纳入隐私保护机制，使产品本身的隐私合规性同面向公众的隐私政策相一致。然而，国内鲜少由企业能做到PbD这一原则。

《数据安全管理办法》《APP违法违规收集使用个人信息自评估指南》要求，收集个人信息的隐私政策应具有相对集中、明显提示、方便阅读的特性。同时要求网站、应用程序及相关收集个人信息的功能设计应同隐私政策保持一致，同步调整。

因此，首先，企业在网站、应用程序中置入的隐私政策应当为独立的政策文本，不能同用户服务协议等其他提示文本合并。

其次，提供给消费者的隐私政策不得采取默认授权的方式体现，例如直接默认勾选“同意”选项。

最后，隐私政策的设计和应用应当满足Privacy by design的理念，也就是要求企业在产品开发的前端，就将隐私政策中的要求融入到功能设计中。

如何避免用户被强制推送基于大数据分析的个性化广告（“定推”），缺乏自主决定权

2019年初，谷歌因违反GDPR而遭CNIL处以5000万欧元的处罚。其中一个原因就是谷歌系列产品的个性化广告推送隐私政策模糊不清，且预先为消费者勾选了“同意接受谷歌的个性化推送”的复选框。我国目前在“获取用户接受个性化广告推送明确授权同意”这一合规控制点下，做出了相应努力：

近期出台的《数据安全管理办法》 第二十三条 明确网络运营者利用用户数据和算法推送新闻信息、商业广告等（以下简称“定向推送”），应当以明显方式标明“定推”字样，为用户提供停止接收定向推送信息的功能；用户选择停止接收定向推送信息时，应当停止推送，并删除已经收集的设备识别码等用户数据和个人信息。《个人信息安全规范》第7.4条也明确“企业需要为个人信息主体提供简单直观的退出个性化展示模式的选项。”

因此在进行个性化广告服务的过程中，企业应该做到：

以明显的方式标明“定推”字样；需要在APP中设置简单直观的“停止定推服务”或“退出个性化展示模式”的选项。

然而，目前大多数互联网企业开发的线上程序、软件皆通过投放大量的广告创造利润，个性化广告投放的前提又是对用户的信息进行画像及数据分析。在公民隐私保护意识逐渐浓厚的当下，用户是否愿意接受“定推”有待商榷，因此企业要保证收集用户数据透明性，设置单独的页面供用户查看其被收集的数据以及被分析的数据。同时也要在该页面向用户提供手动删除这些信息的按钮，这样一来，获取用户接受“定推”同意的难度会大大降低。

多维度保障出境个人信息安全

同样，在个人数据出境的领域，网信办新出台的《个人信息安全出境评估办法《征求意见稿》也在三个层面取得了长足进步：第一是一定程度上解决了个人数据出境后，个人信息主体维权困难的问题；第二是，针对如何约束网络运营者擅自扩大数据出境范围的行为，进行了有效的制度设计；第三是，提出相应措施，避免接受者所在国法律发生变化，而对个人个人信息主体造成过度风险的情况。

一定程度上解决了个人数据出境后，个人信息主体维权困难的问题

根据上述表格可见，《办法》赋予个人信息主体的查询网络运营者和数据接受者之间合同文本的权利，同时也要求网络运营者为为人信息主体提供访问其个人信息的途径，并赋予其更正、删除存储在网络运营者系统中其个人信息的权利。但是对“合理的代价”、“合理的时限”未做进一步明确规定。期待在《个人信息保护法》中有所体现。

针对个人信息主体合法权益遭到侵犯时的索赔权，《办法》为个人信息主体提供了有三种索赔方式，第一种是向网络运营者索赔，网络运营者承担无过错责任，即其“应当”赔偿个人信息主体。只有在其有充分证据证明资深没有责任的情况下，才可以免除责任；第二种是向接受方索赔，这种方式的成本较大，多数被侵权个人信息主体可能不会采用；第三种是同时对双方提起民事诉讼。

针对如何约束网络运营者擅自扩大数据出境范围的行为，进行了有效的制度设计

总结起来，当出现以下四种情况时，网络运营者需要重新申报个人信息出境安全评估：

（1） 每过2年需要重新评估。即使出境的目的、类型、境外保存时间没有发生变化。

（2） 个人信息出境目的发生变化。即使在出境2年之内，出境目的发生变化，也当重新评估。

（3） 个人信息出境类型发生变化。即使在出境2年之内，出境类型发生变化，也应当重新评  

估。不过，如果出境类型范围缩小，应当不在重新评估的范围之内。

（4） 个人信息在境外保存时间发生变化。即使在出境2年之内，个人信息在境外保存时间发生变化，也应当重新评估。不过，保存时间缩短，应当不在重新评估的范围之内。

提出相应措施，避免接收方所在国法律发生变化，而对个人信息主体造成过度风险的情况

从上述条款可以看出，针对接受方所在国的法律，网络运营者需要在两个阶段加以分析研究：

（1）合作前：签订传输合同之前，网络运营者应当就接受方所在地的法律进行研究分析，确定其法律足以保证个人信息主体的信息出境安全，及双方的数据传输合同得意充分实现。

（2） 合作中：如发生接受方所在国法律发生变化的情况，接受方应当及时通知网络运营者，而后由网络运营者报其所在地升级网信部门，决定终止合同或重新评估。这种合作前分析-合作后通知-终止合同/重新评估的机制设计，可以更好地保障当接受方所在国法律发生变化时，个人信息主体的信息安全得到充分保障。