扫描分享
本文共字,预计阅读时间。
文/高玉翔
8月20日审议通过并发布的《个人信息保护法》,涵盖了全部GDPR规定的8项个人信息人格权,某些方面甚至更加严格。
《个人信息保护法》修订历经4年数易其稿,其间不断加入个人信息反对权、可携带权、不受制于自动化决策权等相关内容,反映了个人信息人格权逐渐回归个人的过程。
本文历数了《个人信息保护法》修订过程中个人信息权利的变迁,并对个人信息保护带来的行业影响做了展望。
前言
2021年8月20日,十三届全国人大常委会第三十次会议审议通过了《个人信息保护法》,并将于2021年11月1日正式执行。《个人信息保护法》于2020年10月、2021年4月、2021年8月经全国人大常委会三次审议和公开征求意见,数易其稿,反映了全社会个人信息权利的觉醒,也反映了个人信息保护问题的趋势变化,更将对相关行业造成巨大的影响。
昨天篇
一、个人信息权利之痛
一直以来,我国缺乏针对个人信息权利的法律法规,因而在法律上,互联网用户很难主张个人信息的收集、处置、使用授权等权利,很多情况下,用户不得不通过个人信息来交换一些APP服务的使用,个人信息数据的使用、加工、转售也无法由用户自己掌控。未经同意即采集个人信息、超范围申请和使用用户信息、非法买卖个人信息等严重侵权行为也时有发生。
个人信息权利保护逐渐成为经济发展中的重要问题。
二、个人信息保护立法
情况在2016年出现了转变,当年欧盟通过了《通用数据保护条例(GDPR)》,规定了数据主体对个人信息数据的8项权利。自此以后,国内个人信息保护立法的呼声越来越大,2017年《个人信息保护法(草案)》首次面向社会公开征求意见,2020年10月,《个人信息保护法(草案一次审议稿)》首次提请人大常委会进行审议。二审稿和三审稿则分别于2021年4月和2021年8月提请人大常委会审议,并最终在2021年8月20日审议通过。(具体修订过程可见《2017-2021:个人信息保护立法的演变》)
从一审稿到二审稿、三审稿再到终稿,步步趋严:
一审稿规定了个人信息受法律保护;二审稿在此基础上加重了信息处理者的义务,增强了个人的权利;三审稿则更加犀利,直接针对具体问题开刀:不得超范围使用个人信息、不得未经用户同意买卖个人信息、不得大数据杀熟、个人数据可携带。
自此,个人信息权利得到了法律保障。
今天篇
三、回归个人的个人信息人格权
3.1 个人信息人格权的范围
《个人信息保护法》的立法初衷就是要保护个人信息的人格权,这项权利为国人广泛知晓是在GDPR出台以后。
GDPR规定了数据主体的8项权利:
全部的8项权利构成了个人信息的人格权(其中可携带权的法律属性较为复杂,后文专门说明),即个人信息数据是基于数据主体产生的,属于数据主体的人格权的一部分,这也就意味着,任何人(包括政府和厂商)都不能以一般权利对抗这些人格权利的行使。
通俗的讲,GDPR规定的数据主体权利可以概括为:
• 授权、撤回授权(包含全部或部分撤回)
• 要求APP厂商使用真实有效的个人数据
• 在APP随时查看、导出、更正个人数据
• 将个人数据携带至其它APP
也就是说,“我的数据我做主,我想让谁用就让谁用,不想让谁用谁就不能用,谁用我的数据就要保障我的数据人格权”。
在中国,《民法典》中也有关于个人信息人格权的条款。
《民法典》第四编“人格权”下第六章“隐私权和个人信息保护”第一千零三十五条规定:“自然人的个人信息受法律保护”。
因而站在人格权的角度来看,《个人信息保护法》的不断修订实际上是个人信息人格权逐渐回归个人的过程。
一审稿规定了个人拥有知情权、访问权、更正权、删除权、限制权和不受制于自动化决策的权利;
二审稿强化了反对权;
三审稿进一步规定了可携带权;
最终审议通过的《个人信息据保护法》还特别强调了不受制于自动化决策的权利。
至此GDPR中规定的人格权全部齐备。
一审稿中规定的知情权、访问权、更正权、删除权和限制权实际也适用于其它类型的人格权,是传统人格权利在个人信息领域的延伸。
后续审议稿和终稿对于个人信息人格权的修订更值得特别注意。
3.2 反对权
二审稿中增加了“个人信息处理者应当提供便捷的撤回同意的方式”,限制了信息处理者通过设置操作障碍的方式阻止个人撤回同意,改变了过去立法“重准入轻退出”的思路,完善了个人信息的授权退出机制,是个人信息人格权完整回归个人的重要一步。
举个例子:
假设今天Richard认识了一位新朋友Gil,从谈话中得知Gil喜爱健身,在征得Gil同意后,Richard到处准确地宣扬这一消息,并且没有从中获利。从传统的法律意义上来看,Richard没有侵犯Gil的人格权。
如果Gil哪天突然觉得,Richard这个大嘴巴到处宣扬自己的个人信息带来了某些困扰,想要让Richard停止这一行为,很可能不会得到法律支持,因为Richard说的都是事实。当然,两个人的朋友以后是没得做了。
个人信息保护法出台以后,情况发生了变化。当Richard是一个个人信息处理者时,例如PlatformRichard,如果Gil不论任何原因不想再让其处理自己的个人信息,Gil就有权通知PlatformRichard,要求其不再到处宣扬Gil喜爱健身这一信息,PlatformRichard必须照做。在通知的方式上,Gil可以选择直接通知,也可以选择在PlatformRichard提供的应用上,PlatformRichard不得把这一功能藏在不容易找到的地方。这就突破了传统法律意义上人格权的范畴。
3.3 可携带权
三审稿在二审稿的基础上更前进了一大步,“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”最终写进了《个人信息保护法》第四十五条,这项权利也称可携带权,被寄予促进市场竞争的期望。
同样举个例子来说明:
假设Gil是一位健身达人,Dave是一家健身俱乐部,Gil一直在Dave家健身,Dave收集了Gil的健身数据,比如打卡时点、运动时长、运动时的心率变化数据等等。
现在Gil因为一些原因需要换到另一家健身俱乐部Phoebe,Phoebe和Gil说,如果你提供一些历史健身数据就可以量身定制健身课程,这时Gil就可以行使数据的可携带权,把他在Dave那里的健身数据转移到Phoebe。
对于Dave来说,这样做不仅没有好处,还支持了竞争对手,但是法律规定如此,必须照章执行。对于Phoebe来说,不用辛苦采集就可以使用竞争对手的数据,简直赚大了,让利一部分给Gil似乎理所应当,于是Gil免费获得了第一阶段的定制课程。
Gil执行数据可携带权给自己带来了收益,同时也促进了市场竞争。
个人信息可携带权一方面具有财产权的特征,因为对于个人信息主体与处理者之间的“交易”而言,经过处理的个人信息与财产权益相关。另一方面可携带权还具有人格权的特征,即可携带权是个人信息权利的延伸,属于人格权。学术理论界对此多有争议。
鉴于可携带权的法律属性较为复杂,很多情况下应视为一种同时具有人格权和财产权特征的复合型权利,但不论如何,它都应当向个人回归以实现对个人信息权利的保护。
美中不足的是,可携带权是三审稿加入到《个人信息保护法》当中的,从加入到审议通过仅有几天时间,关于可携带权的相关条款还不够细化,可携带权的客体——数据范围、传输数据形式都还不够明确,因此后续还有待观察。
3.4 不受制于自动化决策权
经过三审稿和终审修订,《个人信息保护法》第二十四条规定:“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式”。
这条规定实际上是两项内容,一是禁止“大数据杀熟”,二是个人有权拒绝个性化推送,此条规定比GDPR更加严格,至少GDPR没有明确禁止个人信息处理者通过大数据进行差别待遇。这两项内容更加体现了个人信息作为一种数据的人格权的特点。
3.5 “三最”原则
除了人格权以外,《个人信息保护法》自一审稿就规定了“两最”原则,即个人信息“收集范围应当限于实现处理目的的最小范围”、“保存期限应当为实现处理目的所必要的最短时间”,三审稿则进一步加入了“处理个人信息应当采取对个人权益影响最小的方式”,构成了“三最”原则。
三最原则的实施,有效地对个人信息人格权进行了补充,使其具体化,也更具实践操作性。
综上来看,《个人信息保护法》实行后,国人就拥有了完整的、可执行的个人信息人格权,即便以最严苛的标准来要求也是如此。
四、个人信息人格权为何如此重要?
最严格的《个人信息保护法》自然是为了最好地保护个人信息的人格权,那为什么个人信息人格权如此重要呢?
从法律意义上来说,人格权是法律赋予个人的最基本的权利,只有在人格权的基础之上,现代法治才有存在的意义。
从经济意义上来说,个人信息人格权是信息技术行业赖以发展的基石,如果任由技术发展损害个人信息权利,必然会损害整体经济发展的公平性。
通过保护个人信息人格权,规范个人信息的获取,可以减少数据滥用、规范市场秩序、优化创新环境、净化市场竞争环境,从而打造良性竞争的市场。进一步地,还可以限制资本无序扩张,提高市场竞争程度,在保障公平的同时,实现长期效率。
不规范的个人信息市场每年造成大量损失。
《2018网络黑灰产治理研究报告》估算,2017年我国网络安全产业规模为450多亿元,而黑灰产已达近千亿元规模;全年因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元,而且电信诈骗案每年以20%~30%的速度在增长。
《个人信息保护法》恰当其时。
五、依然纠结不清的个人信息财产权
与人格权相对应的是财产权,和人格权相比,个人信息数据的财产权就更加复杂,这是由个人信息数据本身的特性决定的。
财产权是指以财产利益为内容,直接体现财产利益的民事权利。财产权是可以以金钱计算价值的,一般具有可让与性,受到侵害时需以财产方式予以救济。
但是数据由于其可复制性,数据的受让并不会使原本数据拥有者手中的数据消失,也很难说因为其它人使用了某些数据,就会造成这些数据的损耗,因而并不具有排他性使用的特点。
数据受到侵害时也是如此,当数据受到侵害时,绝大部分时候损失的不是数据本身,而是使用这些数据带来的收益,这就让对侵害的衡量变得复杂和困难。
更何况关于个人信息数据的“占有”,本身也是一个难以界定的问题,由于数据的人格权归于个人,很难说厂商拥有用户数据就是对这些数据的“占有”,这一点导致数据财产权也不适用软著权等法条。
在中国的司法实践中,个人鲜有主张自己的数据财产权的,数据财产权侵权相关的诉讼大多为公司之间,通过软著权和不正当竞争提起。例如早期的(2011)一中民终字第7512号和作为指导案例的(2016)京73民终588号。
(2011)一中民终字第7512号案件中法院认为即便网站信息的著作权可能不完全归属于经营者,但直接通过爬虫的方式大量复制并商用网站信息的行为依然构成不正当竞争;
(2016)京73民终588号案件作为指导案例,则明确了个人信息流转的三重授权原则和互联网行业的不正当竞争要件认定,这在后续的案件中被广泛引用。
三重授权原则:
当处理者B从处理者A处获取用户数据并使用时应当进行三重授权
• 用户授权A使用个人数据
• A授权B使用A获取的个人数据
• 用户授权B可以使用从A获取的个人数据
注:前三点为一般性行业不正当竞争构成要件,后三点为(2016)京73民终588号案件法院特别针对互联网行业给出的司法解释
可以看到,不论从立法层面还是厂商层面,都回避了数据财产权这一争议极大的概念,而转向以实际侵权损失来主张侵权者的商业赔偿责任。《个人信息保护法》实施以后,由于个人信息可携带权的设立,情况可能会出现变化。后续另作分析。
再看国外的情况。
个人信息的财产权如此棘手,以至于时至今日,即便对私有制权利顶礼膜拜的欧洲也没有出台相关法案明确这一权利。
当然,GDPR对此也不是全无规定,GDPR对个人信息的界定可以简单概括为:
• 个人提供给信息处理者的信息,以及在使用服务时的痕迹信息都属于个人信息,可以对此主张人格权
• 其它数据,包括信息处理者加工、分析后得到的数据都属于信息处理者,个人不能对此主张权利
• 上一点所指的数据在转售时,信息处理者有义务保证其真实性,如果带有明显的个人信息或标识,同样也必须得到个人用户的授权。
欧洲对于个人信息财产权立法的态度偏向于负面,除了确实很难界定外,一个重要的原因在于,欧洲主流APP几乎全都被美国公司垄断,纠缠不清的财产权有利于降低本地中小企业的数据成本,提升竞争力。
美国的情况就更复杂,联邦和州两级政府都对这一问题有立法权。在GDPR出台后,加州和弗州先后出台了各自的CCPA(加州消费者隐私保护法案)和CDPA(消费者数据保护法案),规定了GDPR类似的数据人格权,信息处理者可以主张的财产权也拥有和GDPR类似的表述。
不过就在今年7月份,美国统一法律委员会(ULC)通过了《统一个人数据保护法》(UPDPA,Uniform Personal Data Protection Act),预计将在2022年初推广至加州和弗州外的各州,但是届时各州仍可以自行决定采用UPDPA、CCPA,或是自行立法及不立法。
UPDPA和CCPA不同,如果个人信息的用途被认为是相容的(compatible,即对处理者和用户都有利),则无需用户授权同意。这就扩大了信息处理者财产权的范围,缩小了个人信息人格权的范围。因此这也被认为是一项鼓励创新和效率的法案,而对个人信息保护的边际贡献较低。
当然,什么用途是相容的,各州很可能又会有不同的法律解释,各信息处理者可以很轻易地通过改变处理信息的地址,来选择UPDPA监管力度最弱的州。
由此来看,美国的个人信息保护方面的法律约束是比较宽松的。
中美欧三地对于保护个人信息的不同规定和立法初衷有关:
明天篇
《个人信息保护法》已经基本囊括了对个人信息人格权的保护,在个人信息财产权方面也迈出了可携带权这一步,不过关于个人信息财产权的立法时机暂时还不成熟,因此预计相当长一段时间内《个人信息保护法》不会大修,个人信息权利也不会有大变化,不过,对个人信息权利的保护将会对金融科技行业产生深远的影响。
六、保护个人信息权利将如何影响金融科技行业格局
在业务领域,对个人信息权利的保护至少在五个方面限制了现有个人信息处理者的商业行为,并很可能在这些方面影响金融科技行业格局:
6.1 关于用户同意授权个人信息
《个人信息保护法》实施后,同意授权应在充分知情条件下做出,处理信息的目的、方法、种类变更应重新授权,且不得要求授权非业务必需的个人信息,收集个人信息应限于实现处理目的的最小范围,敏感信息也要单独授权同意。
也就是说,用户使用服务需要授权的信息数量相比现在大幅度减少,同时要增加授权过程的操作,处理者从用户处获取信息的难度和成本将会有所提升。这部分影响对开展实际业务的金融机构较小,对一些依赖流量的金融科技公司影响较大,不规范采集用户信息的公司则需要积极向合规方向靠拢。
6.2 关于最小限度使用个人信息
用户授权信息必须做到最小限度的专用。这就意味着:
1、老客户的新业务需要个人授权;
2、个人信息用于自身商业资源的打造需要授权。只要用户授权,对个人信息的加工处理依然是允许的,只是这些处理过的信息不能提供给其它业务使用,只能用于自身经营分析或为用户推荐产品,推荐产品时还需要保证被推荐人不受制于自动化决策。如下图:
3、个人信息转卖也要获得用户授权。这项授权并非用户使用服务所必需,不满足最小限度的原则,除非处理者为此专门开价,否则就基本不会实际发生个人信息的转卖。
这意味着个人信息的使用将变得更加规范,过去滥用个人信息的现象将会大幅减少,“劣币”被驱逐出市场后,有利于建立市场良性竞争秩序。
6.3 关于个人信息的流转
一方面,《个人信息保护法》禁止非法买卖个人信息;最小限度原则让合法买卖个人信息也存在授权操作上的困难。
另一方面,《个人信息保护法》规定了个人的访问权和可携带权,个人行使可携带权也将大幅度减少个人信息的转售价值。因而可以预见地,个人信息买卖可能会逐渐消失,取而代之的则是个人行使可携带权的场景,一些细分市场的活力可能由此被进一步激发。
6.4 关于不受制于自动化决策的权利
如前文所述,这项权利规定了两个方面,一是禁止大数据杀熟,这恐怕会令一些公司面临艰难的抉择,因为他们的商业模式严重依赖算法,禁止大数据杀熟可能需要较为彻底地重新进行建模;二是个人可以选择不接受自动化决策的推送和营销,处理者也必须提供便捷的拒绝方式。
这会促使个人信息处理者们进行营销模式上的变革,要么选择更加原始但合规的方式,要么通过技术方式来解决(更多阅读内容可见FLOC)。处理者们选择后者的可能性较大,这有利于推动个人隐私保护领域的技术进步。
6.5 关于法律和合规成本
《个人信息保护法》第五十条规定:“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制拒绝个人行使权利的请求的,应当说明理由。个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。”
个人可以以此作为救济的依据和渠道,个人通过客服等途径向处理者主张个人信息权利必须得到回应,处理者必须增加相关的合规投入。如果个人对处理者的解决办法不满意,还可以诉诸法律,这也会增加处理者的法律成本。
个人信息处理者还需要建立相应的制度、操作规程、紧急预案等,某些时候还必须进行测评、影响评估或安全评估,这部分合规成本也不容忽视。
对于一定规模以上的处理者,还需要指定信息保护负责人,提供明确的平台规则,规范业务中的个人信息保护,并定期发布社会责任报告,这也是一笔不小的开支。
从合规成本的角度来看,短期内处理者们必然会增加一笔开支,但由此可以提升用户体验,提高用户黏性,促进行业高质量发展。从长期来看,合规支出实际上减少了法律风险和法律成本,降低而不是增加了企业综合成本。
总的来看,《个人信息保护法》对于个人信息人格权的保护,让个人信息权利回归每一个人自身,规范了相关行业秩序,是对我国现有法律体系的重要完善,有重要的法律意义、经济意义和社会意义。
非常感谢您的报名,请您扫描下方二维码进入沙龙分享群。
非常感谢您的报名,请您点击下方链接保存课件。
点击下载金融科技大讲堂课件本文系未央网专栏作者发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!首图来自图虫创意。
本文为作者授权未央网发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!首图来自图虫创意。
本文版权归原作者所有,如有侵权,请联系删除。首图来自图虫创意。