周汉华:隐私权和个人信息权交织极大增加法律适用的不确定性
《个人信息保护法》《数据安全法》等数据安全领域的重要法律距离正式出台越来越近。这将会给我国个人信息和数据保护现状带来哪些改变?法律落地有何难点?
5月22日,环球律师事务所主办“聚焦数据保护新热点,共探数据治理新思路”研讨会,许多专家学者及来自来自行业协会和企业的代表齐集一堂,就数据保护与数据治理问题展开讨论。
中国社会科学院法学研究所副所长周汉华指出,法律法规对隐私权和个人信息权关系的界定,将很大程度上影响到法律的适用。中国信息安全研究院副院长左晓栋认为,一些数据安全规则的设计也可能会限制部分新业态的发展,顶层设计应对各方面的诉求加以统筹考虑。
5月22日,环球律师事务所主办“聚焦数据保护新热点,共探数据治理新思路”研讨会。
隐私权与个人信息权交织或增加法律适用不确定性
周汉华梳理近年来个人信息保护相关案件指出,法律判决受到对隐私权和个人信息权关系界定的很大影响。他认为,这个问题既涉及到理论,又涉及到实际操作。而按照目前国内民法典的规定,“两种权利被交织在一起”,极大增加了法律适用的不确定性。
周汉华说,隐私权是一个古老的权力,从孔子的名言”非礼勿听,非礼勿视,非礼勿言“起,隐私权就存在了。而个人信息保护则是在60年代后,人类大规模采用计算机处理个人数据,并且通过处理能够识别到个人时开始才出现。“最初隐私权和个人信息权是交叉在一起的。”
不过,作为世界个人信息保护领域领先者,欧盟目前正将这两种权利逐步分离。经过20多年的探索,欧盟将隐私权认定为私法权利,将个人信息权认定为公法权利,这一点在《通用数据保护条例》(GDPR)上体现得十分明显。周汉华认为,这会导致法律救济方式和制裁手段出现极大的不同。
与欧盟不同,国内的立法进程则呈现出一种将两者权力交织在一起的趋势。周汉华透露,国内立法中,对个人信息保护的重视是逐步形成的。2017年正式实施的《网络安全法》将个人信息保护纳入为重要部分;今年施行的《民法典》则在人格权篇将隐私权与个人信息保护写为一章。这意味着,隐私权和个人信息权开始被交织在一起。
“这在全世界几乎是绝无仅有的。”周汉华认为,这样的规定极大增加了法律适用的不确定性。“比较理想的状态还是由两个不同的机制来保护这两种权利。”
专家:广告标识符应可开关、可重置、可更新
法律如何既保护普通人的权利,又不过分限制企业的创新发展,也是个人信息保护的一大难题。中国信息安全研究院副院长左晓栋认为,从数据安全顶层设计的角度来看,一些规则的设计很可能会限制部分新业态的发展。
最典型的就是互联网广告业。近期,苹果公司在其生产的硬件中采取隐私新规,要求App经用户同意后才可以获取广告标识符(IDFA),以此来保护用户个人信息。
不过,左晓栋指出,“一刀切”地禁止App获取标识符,可能会给互联网广告业带来毁灭性打击。因为互联网广告大多基于用户数据形成用户画像来推送,而广告也是许多互联网公司的主要收入来源。
“同一个问题,在不同场景下会出现不同取向的讨论。但顶层设计必须将这些不同的方面都考虑进去,寻求一个可以最大程度平衡各方利益的解决方案。”左晓栋说。
对个人信息进行匿名化处理,能否解决这一矛盾?左晓栋指出,匿名化可以一定程度上保护个人信息,但同时数据价值也会大为减弱。
中国信息通信研究院互联网法律研究中心主任方禹则试图厘清大众对于匿名化的几点误解。他指出,以现有的技术其实并不能做到绝对匿名,现在匿名将来也有可能破解;匿名化的过程中不能仅靠自动化工具,还需要人工专家的干预。
针对上述提到的互联网广告业标识困境问题,中国信通院泰尔终端实验室数字生态研究与治理中心主任、移动安全联盟秘书长杨正军分享了一些个人建议。
他认为,总体思路是要寻找合规与发展的平衡点。首先,广告标识在设计上应该要遵循一些规则,比如要具有可开关性、可重置性、可更新性;其次,在推进标识时还要保障数据安全;最后在推进产业发展时还要尊重产业利益,做到数据不落地,确保服务的稳定性和可持续性。
智能车需在车内处理个人信息?企业:还做不到
近年来,随着自动驾驶、人脸识别等技术的发展和应用,保护个人信息和数据安全的呼声渐涨。对此,监管部门也作出回应。
深圳人大《深圳经济特区智能网联汽车管理条例(征求意见稿)》、工信部《智能网联汽车生产企业及产品准入管理指南(试行)》、互联网信办《汽车数据安全管理若干规定(征求意见稿)》等各项法规、标准正逐一出台。
规则的落地实施过程中出现了哪些难点?此次论坛上,小鹏汽车法务高级总监林森才从企业角度讲述了他们目前面临的困境。
他举例道,最近网信办出台的《汽车数据安全管理若干规定(征求意见稿)》将车辆位置定义为敏感信息,并倡导运营者处理个人信息和重要数据过程中坚持车内处理原则。“这让我们感觉很紧张。”他解释,自动驾驶基本功能的实现离不开定位车辆位置,而以目前的技术,智能车还做不到在车内处理数据。
此外,人脸识别数据在系统中流转时也存在许多易被攻击的风险点。国民认证科技(北京)有限公司首席架构师李俊建议,应在管理层面形成事前、事中、事后的闭环:首先在事前评估是否有使用人脸识别的必要;实施过程中,应符合公开透明原则,切实按照所制定的保护政策来执行;事后当数据主体要求撤回授权或不再享受服务时,应及时进行删除、匿名化等处理。
生物特征终身不变,无法撤销更换,一旦丢失后果非常严重。“我们需要针对生物特征系统的生命周期来实施隐私工程,从技术和管理的角度采取措施,保护生物特征的隐私安全,消除用户的担忧。”李俊说。
南都记者马嘉璐 实习生李梦涵 发自北京
编辑:蒋琳
banquan@nandu.cc,020-87006626。