个人信息保护负责人怎么履职?建议明确职责,免成“替罪羊”
近日,国家网信办网络法治局局长李长喜在国新办发布会上提到,中国网络立法的“四梁八柱”基本构建成型,初步形成了富有中国特色的网络法律体系,但包括个人信息保护法在内的部分法律还存在落实方面的难点,后续要进一步完善数据、平台、技术等方面的立法工作。
个人信息保护法目前在落实方面具体存在哪些难点?应该如何解决?3月18日举办的中国法学会网络与信息法学研究会第三次会员大会暨学术年会上,有关专家对此展开探讨。
有专家认为,个人信息保护法中的告知同意制度在落实上存在诸多困境,应当从适度解绑“告知-同意”原则、建立分层沟通机制等方面进行重建。针对其中设立个人信息保护负责人的规定,有专家建议修正职位名称、明确其职责,避免成为企业“替罪羊”。
适度解绑“告知-同意”,强告知而减同意
个人信息保护法构建了以“告知-同意”为核心的个人信息处理规则,是保障个人对其个人信息处理知情权和决定权的重要手段。具体来说,处理个人信息应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。
“告知-同意制度是个人信息保护法最核心的制度,但与此同时也带来了诸多问题。”会上,中国人民大学法学院教授、未来法治研究院副院长丁晓东就告知同意制度进行了主题发言。
他认为,目前“告知-同意”制度的执行造成用户上网时要应对大量弹窗——用户没有时间、精力去细读其中的文本内容,导致用户实际上“既没有知情也没有同意”,匆匆点下“同意”选项也不过是完成了缺乏颗粒度的“打包同意”。另一方面,企业很难改进向用户进行告知并征求同意的形式,稍不小心就会造成信息的隐瞒和遗漏。
在丁晓东看来,这个问题的本质在于,个人信息保护法所强调的权益对于消费者来说往往是“微型权益”。以“告知-同意”制度的执行为例,阅读条例、完成决策的时间精力成本在用户看来要高于决策价值,这也导致他们的重视程度较为一般。
不过他也强调,尽管是“微型过程”,告知同意制度对企业来说还是具有一定意义。
第一,它是企业自我规制的章程,让企业从忽视个人信息保护转变为必须在内部建立保护用户信息、注重信息安全的机制和流程;第二,它是企业声誉机制的媒介,方便其他主体以该企业个人信息保护建设水平为抓手,对其招商引资政策等进行合理评估;第三,它是法律实施的依据,让无论个人提出的诉讼还是监管机构的执法都能够做到有法可依;第四,它是沟通教育的工具,潜移默化地影响着企业、用户的价值判断,成为作为标杆的行为守则。
在落实告知同意制度方面,丁晓东建议裨补阙漏,进行制度的重构,并据此提出四点建议。
首先,他呼吁针对用户的“告知-同意”原则进行解绑,强化“告知”但适度减少“同意”步骤,优化用户体验;其次,他建议建立多样分层的沟通机制,让企业整体的“告知-同意”制度具象为一个操作手册或者说明书;最后,他认为隐私政策应当通过合规内嵌成为企业内部制度的一部分,对外部的披露应该基于风险与模块化设计,而不是面面俱到。
建议公共机构设立个人信息保护负责人
个人信息保护法规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
如何理解设立这一职位的必要性?在中央财经大学法学院教授刘权看来,首先,数字时代个人信息处理行为无处不在,但政府的监管不可能无处不在,因此设立个人信息保护负责人可以强化企业自我监管,从而弥补政府监管的不足、促进平台治理;第二,个人信息保护负责人能够作为连接纽带,推动个人信息保护的协同治理,为用户提供直接与企业进行沟通的渠道;第三,个人信息保护负责人也可以连接政府和企业,具有一定制度功能。
不过,他认为个人信息保护法的上述条款“还需要做进一步细化”。他指出,个人信息有不同的种类,以后可能需要根据具体的种类和级别来确立设立负责人的标准。另外,他建议采取一些激励措施,鼓励没有达到信息处理规模的企业自愿设立,同时公共机构也应当设立个人信息保护负责人。
“政府既是个人信息保护者,也要对侵犯公民个人信息的企业进行惩戒,同时它又是个人信息处理者,所以应当和企业一样设立有关负责人。”刘权说。
在个人信息保护负责人的资质问题上,他认为目前有关资质条件的规定比较宽泛,实际上应该对其文史哲知识、法律经济技术等专业能力进行考量,一般由内部人员担任。同时,由于个人信息保护负责人需接受全过程监督,其自身的个人信息也应得到适当保护,在公开负责人相关信息时,面向社会、面向政府、面向企业内部提供的内容应有所区分。比如,面向社会时不应公开负责人的重要信息,主要公布邮箱、电话等。
刘权表示,目前我国个人信息保护负责人存在一些职责困境。“负责人”这一概念非常宽泛,其实为“监督人”,可能引起一定歧义;个人信息保护负责人不具备独立的法律地位,其作为企业内部员工,在履职时可能会引发利益冲突问题。
为此,他建议修正职位名称,明确个人信息保护负责人实际上只行使监督职能,避免其在后续追责过程中成为企业“替罪羊”。另外要完善制度建设,保障个人信息保护负责人的知情权、必要资源等;合理配置监督责任,保障其独立性,不受干预、不担任其他相应兼职等。
采写:实习生朱梓函 南都记者樊文扬
编辑:蒋琳
banquan@nandu.cc,020-87006626。