“个人信息保护法是我国在这个领域最全面、完备的法律体系。五、六年间,我见证了内地对个人信息保护逐渐重视的过程。”
谈及8月20日出台的《中华人民共和国个人信息保护法》(下称“个保法”),现香港执业大律师、原个人资料私隐专员黄继儿如是说。这位从业时间高达三十余年的资深律师曾在香港律政司、个人资料私隐专员公署等部门任职,对个人信息保护等领域有着深入研究。
现香港执业大律师、原个人资料私隐专员黄继儿
近两年来,香港人肉搜索事件频发,黄继儿也未能幸免。这也引发了他对个人信息保护工作的思考——二十多年来,香港《个人资料(私隐)条例》只修改过一两次,很多地方亟待更新。相比之下,内地在个人信息保护方面的发展令人惊喜。
他在接受南都记者专访时表示,个保法出台的意义十分重大,对港澳地区具有启发性。他认为,个保法的立法架构基于实际需要,兼顾了企业和国家利益,是“接地气的”。未来,他希望能加强个保法的对外推广工作,获得国际认可。
内地立法架构“接地气”
南都:你从什么时候开始关注内地的个人信息保护情况?
黄继儿:我自2015年起担任香港个人资料私隐专员,从那时候就开始关注了。在任的五年间,我负责处理民间、政府有关个人信息的各种事宜,也参与了很多个人信息保护相关的国际会议,与内地高校多有交流。五、六年间,我见证了内地对个人信息保护逐渐重视的过程。
南都:据你观察,为什么会有这样的变化?
黄继儿:我认为内地逐渐重视个人信息保护的原因是物联网、人工智能、电子支付、移动应用等科技的迅速发展。数字化经济给日常生活带来了翻天覆地的变化,用户在享受这些生活便利的同时,他们的个人信息也被交付出去,带来了很多滥用问题和安全隐患。他们也开始期望自己的个人信息能得到足够的保障。
这一趋势推动了个人信息保护法的出台。个保法对企业收集使用个人信息做出规定,为用户提供安全保障,它的意义是十分重大的。事实上,香港在这方面已经有所落后,近年来相关法律未有太大改动,倘若想与内地法规接轨,还有很多工作要做。
南都:你如何看待内地的立法架构?
黄继儿:上个世纪九十年代初,我曾参与过香港与内地的法律制度交流,如今我能感受到内地的立法架构是“接地气的”,它是基于真正的需要,并且兼顾着企业和国家利益。
同时,为了在国际经济活动中占据有利地位,内地的法律架构也在向国际标准靠拢。让国际认可我们的个人信息保护制度,能为今后的贸易往来打下坚实的基础。
个保法对港澳地区具有启发性
南都:你最关注个人信息保护法中的哪些内容?
黄继儿:应该是个保法与香港相关法律的差异。比如在对个人信息的定义上,香港法律规定,能确定个人身份的信息才算作个人信息,而个保法比香港更宽泛——指可识别个人的信息。据我了解,香港也正在讨论对这方面的修改,扩大保护范围。
另外,在香港收集个人信息不需经过同意,只有使用、披露个人信息,或披露目的与收集时的不一致,才需要取得同意。个保法在“同意”方面设置了很严格的规定,如将个人信息披露给第三方、公开个人信息、处理敏感个人信息以及个人信息跨境等情况都需取得单独同意。
类似的,相比个保法中有处理个人信息的详细规定,香港只有使用个人信息的规定。在香港,如果收集个人信息的企业没有处理云端资料,它就不会被直接归管,因此我们通常采用间接规管的方式——与企业签署合约,要求它在云端处理个人信息时受到法律规管;而内地在这个问题上与欧盟类似,可以实现直接规管。
还有出现个人信息泄露等情况时,个保法要求个人信息处理者立即通知相关人士,香港对此没有明文规定。而且根据香港法律,发生安全事故时,如果企业或政府机构已经采取力所能及的措施保护数据安全,就能不受法律惩处。
在惩处力度方面,个保法的规定与欧盟类似,甚至比其4%的罚款力度更大,但香港的个人信息监管机关都没有罚款的权力,违规需经法院审理, 最高罚款额度仅100万元。根据我个人的从业经验,香港多年来还没有罚款超过五万的例子,三万到五万已经很高了。这种惩罚力度对企业而言明显缺乏震慑力,也缺乏促使其走向合规的动力,相信上述差异在现时修订的《个人资料(私隐)条例》中也有讨论。
在我看来,内地的个保法与国际相关法律接轨得十分密切,这意味着我们正在向国际标准靠拢。从前香港的《个人资料(私隐)条例》也借鉴了很多欧盟的基础标准,那时在国际上也非常先进,但二十多年来只修改过一两次,更新力度不够。相比之下,内地在个人信息保护方面的发展令人惊喜。
南都:你如何看待个人信息保护法出台的意义?
黄继儿:这是内地第一部针对个人信息保护的专门立法。从前颁布的数据安全法、网络安全法等都有各自的适用对象,而个保法是我国在这个领域最全面、完备的法律体系,对港澳地区也十分具有启发性。
个保法的亮点在于,它为各种场景下不同主体处理个人信息,尤其是敏感个人信息设定了很高的标准。同时,该法律也涉及了一些新领域,比如人工智能、自动化决策等。此外,如何处理从公共领域获得的个人信息也是个保法包含的一个方面,而这部分在香港地区乃至很多国家都还是空白。
应重视个保法对外推广
南都:你在任时,香港个人资料私隐专员公署曾向企业发放过一个介绍内地个人信息保护和网络安全的小册子。想达到什么效果?
黄继儿:我能感受到香港地区对个人信息保护的认识度已经很高,希望能做到最好的保护。但他们对内地情况并不熟悉,以为内地和香港一样,直接把香港的做法搬过去就好了,没有想到内地比香港还要严。
这样下去,他们在和内地进行商业往来时可能会出现问题。因此我们就提供了一些信息,提高他们对内地法律的认识。当时为了确保准确,还请内地的学者朋友帮忙把关。这个册子发出后也得到了很好的反响。
南都:在你看来,未来还应该注重哪些个人信息保护问题?
黄继儿:我认为数据伦理是一个严重的问题。我国文化通常具有伦理背景,伦理是指不仅要做合规的事情,还要做一些应该做的事情;同样,不应该做的事情也不能做。伦理问题在人工智能领域尤其突出。众所周知,法律是走在高科技发展后面的,在科技发展的同时一定要注重伦理治理。
在我看来,数据伦理有三个要素。第一个是公平,个保法规定,个人信息处理者不得以个人不同意处理其个人信息为由拒绝提供产品或服务,这就是保障公平的一种体现。第二个是尊重,个人信息属于个人财产,应该获得尊重,企业对信息进行处理后得到的新信息也不能归其所有。第三是共享利益,曾有人将石油比作新时代的黄金,而今是指个人信息。有了大量的个人信息,企业能更好地面对环境变化,而从个人信息中得到的利益,企业要与个人共享。
南都:你对内地的个人信息保护有何建议?
黄继儿:我希望能更加重视个人信息保护法的向外推广工作。过去几年里,我大约参加了超过一百场本地、内地及国际会议,发现境外对我国的个人信息保护工作和成果十分不了解。
除了推广力度不够,一个重要原因是我国代表在介绍现行和新出台的法律与监管情况时,表达方式很难让外国人接受。比如在进行汇报时,外国人通常只放精简梗概在PPT上,而我们会放上大量文字。另外一点是外语沟通能力还要做得再好一点,不是只说自己的看法,主要是听别人发问,然后做出一对一的回答。
我们要让其他国家意识到,隐私保护不只是欧洲的产物,并且避免使个人信息保护困境成为国际领域攻击我们的把柄。此外,我们对个保法持续有效的宣传是得到国际认可的前提,要提高宣传技巧,避免口号式传播。
采写:实习生樊文扬 南都记者蒋琳
编辑:蒋琳
更多报道请看专题:个人信息保护法来了
《个人信息保护法》通过