浅谈《个人信息安全规范》的创新之处及相关思考
编者按:
随着国家标准《个人信息安全规范》(GB/T 35273-2017)的正式发布【国家标准《个人信息安全规范》全文】,社会各界对该标准的关注在逐渐升温。本公号将陆续邀请一些参与到该标准制定,或者在其工作中实际运用过该标准的朋友撰写文章,请他们和大家分享对该标准的看法,或者转载对该标准的评论文章。本文作者是美团点评法律研究中心高级研究员刘笑岑。
浅谈《个人信息安全规范》的创新之处及相关思考
近年来,在互联网领域的法治事件和新闻报道中,仿佛没有哪一个议题能如“个人信息保护”一般牵动全社会的神经,这不单是曾十分猖獗的电信诈骗给人们留下的创伤所致,更是公民法律意识和隐私观念不断崛起的彰显。同理,在互联网的法治化建设进程中,也没有哪部国家规范有如《个人信息安全规范》(下称《规范》或新国标)一样引起广大从业人员的高度关注。据此,笔者立足于既往的路径和维度上对我国个人信息保护法律体系进行回顾,同时简要梳理《规范》在个人信息保护领域的重要意义和创新之处,最后提出个人对于《规范》在操作层面中的几点思考和困惑,供大家批评指正。
一、我国既往个人信息保护路径之梳理回顾
(一)个人信息概念逐步厘清
从上述梳理可见,我国法律有关个人信息的保护路径发端于刑事领域,经历了部门规章、国家标准、人大常委会决定、民事司法解释、消保法等发展流变,最终都被作为“法益”正式列入民事、行政、刑事三大部门法之中。其中有关“个人信息”的内涵,更是历经了“识别+隐私”、“单独识别+结合识别”、“识别+部分关联”、“识别+关联”等多个阶段,并最终在两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》和《个人信息安全规范》中以“能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况”的“识别+关联”模式确定下来。
(二)个人信息保护刑事先行
不同于侧重约束公权力、在个人与商业利益之间不断寻求平衡点的美国隐私权保护模式,也区别于衍生自宪法所赋予信息自决权的欧盟基本人权保护模式,我国有关个人信息保护的法制进程道阻且长,立法爆发期集中于电信诈骗类等刑事案件的实质性危害被公众所具体感知之后。因此无论从法律文本表述还是法律义务责任配备上,我国的刑事法律都显现出较为成熟且完备等特点,例如在个人信息的概念层面确立了“识别性+关联性”的内涵,在个人信息类别上区分了敏感信息、重要信息和一般信息并设定不同的入罪门槛,同时也在侵犯公民个人信息的行为类型做了进一步的拓展。【侵犯公民个人信息罪视角下《个人信息安全规范》的理解与初探】
然而,刑事法作为其他部门法的保障法,其应然的运行模式是在民商法、行政法等前置法已经无法实现保护法益的目的时,作为法律体系的最后一道屏障出现,通过施以最严厉的刑罚强行恢复被破坏的秩序,而不是动辄冲在“维权”的第一线。在出于打击违法犯罪、保护个人信息的严峻形势之下,如何协调业已形成的“刑事先行模式”与日益完善的“前置法保护体系”之间的关系,逐步建立多层次阶梯式的个人信息法律保护体系,是现阶段法律从业人员在立法、司法和执法工作中值得反复思索权衡的问题。
(三)信息流转中的多方主体及法律关系
具体而言,在信息流转过程中会涉及到三方主体间四个维度上的多种法律关系。
1、信息流转中涉及的三方主体
(1)信息主体:指信息的原始生产者和携带者,仅限于自然人而不包括法人;
(2)信息控制者:指基于合法授权从事个人信息处理活动的组织或者个人,通常指代网络服务提供者;
(3)国家\社会组织:出于公共利益等考量对个人信息处理活动进行干预和规制。
2、信息流转中不同维度下的法律关系
实践中,上述三方主体可能在不同保护维度中形成以下法律关系,为了便于表述,我们暂且令A=信息主体,B=信息控制者,C=国家/社会组织,具体而言:
二、《个人信息安全规范》的匠心与创新
(一)明晰信息流转的合规要求
正如《个人信息安全规范》的主要起草人所阐释的那样,新国标并无意介入世界范围内所共同关注的数据权属之争,而更多从风险防范的角度去规制组织或企业有关个人信息的处理活动。【对《个人信息安全规范》五大重点关切的回应和解释】这就涉及到立法中的利益衡量、风险分配、预防措施与责任的设置等问题。新国标对于信息流转各个阶段及相应合规规则都予以了充分明确。
新国标主要围绕以上五个方面对企业和组织提出了具体的要求,关涉到个人信息处理活动的各个阶段,形成了规范层面的闭环;同时还在资料性附录中给出了个人信息的具体示例以及隐私政策的示范模板,增强了《规范》的明确性和可操作性,为其在实务中的具体执行与落地奠定良好基础,起草团队的匠心与苦心也可见一斑。
(二)对上位法的原则性规定进行细化落实
新国标一个突出的特点,便是对《网络安全法》中确立的“合法、正当、必要”原则进行了具象化的阐释与表达,同时围绕“同意”这一核心要素展开,在个人信息的各个处理阶段不断增强信息主体的参与程度与控制权。
其中,有关信息主体的“同意”问题,《规范》在正文中给出了“及格项”的做法:包括制定发布隐私政策,明确告知信息收集情况,针对个人信息和个人敏感信息分别取得用户不同等级的授权同意,在敏感信息的收集中需区分核心功能和附加功能等;同时,《规范》又在“资料性附录”中列举了“加分项”做法:例如将个人上网记录(Cookie)和设备识别信息(如IMEI)作为个人信息予以保护,如列明可能涉及的具体服务场景及对应的信息收集范围,又如个人信息对外提供时的“二次告知+征得同意”等。同时,《规范》为了兼顾大数据产业的发展需求设置了例外条款,也为数据的流转与利用留有一定空间。
三、有关《规范》的重要意义和些许困惑
(一)《规范》的重要意义
《个人信息安全规范》虽然在位阶上仅属于推荐性国家标准,不具有法律强制力,但就其所规制领域的特殊地位和当前的法律体系来看,它的重要意义主要体现为以下三个方面:
1、填补了我国个人信息保护法律体系在具体规则和操作层面的空白,将在短期内成为《刑法》、《网络安全法》等法律法规在适用和执行层面的重要参考依据。日前,在“支付宝年度账单事件”中,《规范》和“自律公约”业已成为网信办约谈相关单位的主要依据,不难想见,未来一段时期内“(国家\行业)标准&自律公约+约谈”的模式会不断出现,针对互联网领域的“政府监管+行业自律”治理模式将逐步建立。
2、将成为日后《个人信息保护法》、《个人信息和重要数据出境安全评估办法》等法律法规在制定中的主要参考依据和评估标准。
3、将成为国家主管机关、第三方测评机构、行业协会等开展个人信息安全管理、评估工作,制定行业标准时的主要指导依据。例如在去年四部委联合开展的隐私条款专项评审中,《规范》已在事实上成为评审工作的重要依据和考察重点,评审结束后,接受检查的各家App也依据《规范》的要求相继更新了隐私条款。
(二)尚存的些许困惑
本着谨慎乐观态度,笔者梳理出有关《规范》在落地层面的些许思考与困惑,讨教于方家:
1、有关《规范》的效力问题
《规范》的“有血有肉”充盈了当前个人信息保护体系的各个环节,弥合了立法原则与司法实务之间的巨大罅隙,也为实务工作者提供了具有可操作性的范本。然而,其“重要意义”这把双刃剑翻过来也正在蚕食掉它作为“非强制性推荐标准”的前提。申言之,《规范》在个人信息保护领域的适时补位,将不可避免地导致其作为上位法在执行中的“实质标准”得以执行。以《刑法》为例,“侵犯公民个人信息罪”属于典型的法定犯,法条表述亦为“违反国家有关规定”的空白罪状,那么是否构成本罪势必要向前指引到有关“法律、法规和规章”之中,而这些“国家有关规定”往往只做原则性规定,司法人员在对法条中具体词语进行解释和适用参照《规范》的列举则是再正常不过,这就造成《规范》在事实上可能会对强制领域的司法与执法工作产生影响。
2、有关同意规则的实际有效性问题
无论是出于法律考量还是站在用户角度,笔者从不怀疑“同意”规则的正当性,更赞同加强信息主体管理和控制权,方便其在向平台提供可以无限复制的个人信息后,对于信息的后续处理活动能够适度参与,以实现对个人信息风险的有效防控。
然而《规范》中针对“个人信息”和“个人敏感信息”分别适用“授权同意”和“明示同意”的规则,是建立在平台会针对不同使用阶段、不同功能、不同目的而分别给予用户不同选择场景的前提之下。实践中,各家平台为了减少区分同意方式的成本,宁愿将所有可能收集的个人信息都“高标准地”适用“明示同意”规则,路径便是将可能的收集范围都列入到隐私政策中去,最终取得用户主动性动作的一揽子同意。也许会有人说这样的做法不符合最小必要原则,但当前的互联网服务皆呈现出功能聚合的平台化特点,单一平台上即可同时实现社交、资讯、金融、民生等多项功能,将上述业务场景中可能收集的信息范围都列入到隐私政策中,并不好说是违背了信息收集的必要性原则。
此外,虽然《规范》出于对大数据发展的保护,将去标识化后不可恢复识别的信息作为同意规则的例外,但是对于平台来说,脱敏的成本要远大于在隐私政策中进行一揽子列举的成本,且不必承担信息被恢复识别的风险。
综上,针对新国标的要求,平台宁愿自动提档位到一律采取用户发出主动性动作的“明示同意”,却可能在事实上架空了同意规则的分级制度,增加了隐私政策愈发长篇累牍的可能性,由此减损用户行使知情同意权的实效。因此,同意规则在落地中的实际有效性问题值得思考。
3、有关“非法提供”的认定问题
《网络安全法》和《刑法》中都有类似“非法提供”个人信息的表述,也规定了相应的行政和刑事责任,而其中判断是否属于“非法提供”的依据主要有二:一为是否征得被收集人同意,二为是否已经过处理且不可复原。
然而,一方面,因为可以部分识别或关联个人的片段信息也属于个人信息,因此要求信息经处理后能够保证绝对不可复原,或者绝对不能与其他信息相结合识别或关联到个人的空间有多大?即使技术上真的可以实现,那么这个信息的“可用性”还有多少?都是值得我们探讨的问题。另一方面,是否构成“非法提供”个人信息并因此承担相应的行政和刑事责任的界限,是否仅在于收集情况是否在隐私政策中列明。换言之,是否未列明或有瑕疵的隐私政策就很可能导致违法和犯罪?而已列明且征得同意的隐私政策就可以高枕无忧了?有关“非法提供”中的违法与否、犯罪与否,是否应该在隐私政策这一形式要件之外给予更多的关注和考虑,这一点同样值得我们思考。
本公号此前发布的对《个人信息安全规范》的评论文章如下: