个人信息保护法实施之前收集的历史数据,符合彼时的法规要求,如果继续使用,还需要根据个人信息保护法进行合规吗?
(资料图片)
记者 尤为 见习记者王巍 南方财经全媒体 见习记者冯恋阁
编者按:
伴随着数字经济发展,对个人信息的采集和利用成为一种“刚需”。个人信息保护不断涌现出新问题,随意收集、违法获取、过度使用、非法买卖个人信息等情况“野火烧不尽”。数据的挖掘利用与个人信息保护之间张力扩大,急需专门法律对个人信息处理活动提供规范样本。
2021年11月1日,《个人信息保护法》正式施行,转眼间即将实施一周年。南财合规科技研究院长期关注个人信息保护议题,持续跟踪报道立法进程、监管动态,反映公众呼声。借此机会,将推出“南财个人信息保护月”系列活动,探讨《个人信息保护法》实施以来的落实情况以及对企业带来的影响。将围绕“守门人”条款的落实、用户个人信息权益的实现、数字广告行业的变革、数字经济发展与合规的平衡等多个维度推出20余篇系列稿件,刊出个人信息保护特刊,并且举办线下高峰论坛。
法律的生命力在于实施,在完成立法后,《个人信息保护法》需司法和执法接力,也需要企业恪守法律要求。我们希望能借助媒体的力量,持续追踪问效,推动个人信息权益的保障,提升全社会个人信息保护的水位线。
互联网的普及和发展,一方面便利了人们的生活,促进经济发展;另一方面也出现信息泄露、滥用、被转卖谋利等非法现象。个人信息保护法顺势而出,系统规定了个人的信息权益和企业的责任和义务,对企业合规提出更多、更高的要求。
值得思考的是,在个人信息保护法实施之前收集的历史数据,符合彼时的法规要求,如果继续使用,还需要根据个人信息保护法进行合规吗?
继续使用历史数据必须有合法理由
2021年8月20日,个人信息保护法经十三届全国人大常委会第三十次会议表决通过,并于同年11月1日起施行。这一法律揭开我国个人信息保护法治的新篇章,强调严格保护个人信息,平衡数据的保护与利用,对个人和产业带来深远影响。
随着个人信息保护法的落地实施,业内广泛讨论着这样一个问题:如果继续使用在该法实施之前收集的历史数据,是否需要按照该法进行合规?
对此,北京市竞天公诚律师事务所合伙人周杨表示,虽然收集行为发生在个人信息保护法生效之前,但继续使用这些数据仍需要有相应的合法理由;否则需要补充合法理由或“冷冻”数据。也就是说,“个人信息保护法并未对历史数据豁免合法处理理由”。
她以银行业为例作解释:在个人信息保护法生效之前,银行在贷款、反洗钱等业务中收集了大量数据,因为法定理由一直不变,个人信息保护法生效后,仍可以以此法定义务作为合法处理理由,但应注意不得变更信用审查、反洗钱等原处理目的。
而对于超出必要范围收集的数据、变更数据的使用目的等情况,银行则需要重新获取用户授权;否则“因没有合法理由处理这些数据,银行可能违反个人信息保护法,受到行政乃至刑事处罚。”她强调。
资深数据法律师袁立志进一步解释,目前并无“新收集数据依新规、历史数据依旧规”的法规依据,因为无论新旧数据,对数据的处理行为都发生在新法实施以后,这意味着所有数据统一适用个人信息保护法。
难点在于标记需要“补充”合规的数据
“个人信息保护法生效前,保护个人信息的相关规定散落在其他法规中,如民法典、消费者权益保护法、网络安全法等。这些法规与个人信息保护法所要求的合规不尽相同、程度不一。”中国人民大学法学院教授、未来法治研究院副院长丁晓东表示。
海问律师事务所合伙人杨建媛举例介绍:早在2009年,《刑法修正案(七)》就将非法获取、非法提供公民个人信息的特定情节规定为犯罪,该条在2015年的《刑法修正案(九)》中得到了进一步的完善。
2012年颁布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》首次对网络服务提供者和其他企业事业单位、国家机关及其工作人员在收集、使用、保管公民个人电子信息中应当遵循的原则、承担的义务及法律责任作出了较为具体的规定,例如不得非法获取、非法提供公民个人信息,应当采取技术或其他措施防止信息泄露等。
2017年的《网络安全法》规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,应当确保被收集者的知情同意,以及应当采取措施防止信息安全事件等。“这些规定大都是指向性的,缺乏可执行性。”她强调,相较于上述法规,个人信息保护法是专项法律,更加细化。
“个人信息保护法对个人信息权益如增删查改、大型平台的守门人义务等作出明确规定,使企业有了更综合完善的数据保护义务。“这些都是企业需要额外注意的合规义务。”丁晓东补充说明。
面对更系统、更严格的要求,有观点认为,对历史数据“补充”合规的难度太大、成本过高,企业难以招架。
对此,多位专家表示“受影响最大的还是中小企业”,因为它们合规水平不高,商业模式或受到较大冲击。而大型企业的合规底子较好,受影响有限。袁立志还表示,个人信息保护法的相关规定并非横空出世,而是循序渐进演变而来的,虽然相较更加严格,但不至于严重影响行业发展。
“历史数据体量大不是企业拒绝合规的理由,合规整改是一个过程而并不是一个结果。”北京大成律师事务所高级合伙人肖飒强调,如何对历史数据进行科学合理的分类分级,是实践中的痛点和难点。换言之,只要定性明确,进行整改就是一个可预期、可操作的合规过程。
周杨也表示,“补充”合规的难点在于“首先标记出需要重新获取合法理由的数据,相当于对数据分类分级;再去获取合法理由,如获取授权”。
专家支招破解合规难题
那么在实务中,该如何进行合规?
袁立志表示,在个人信息保护法生效之前,虽然有一部分数据是基于合法业务收集的,但根本没有获得授权,存在较大的问题和风险。对于这部分数据,他建议尽量补充授权,或者通过下游使用方来获得授权;如果无法获取授权,也可以采用匿名化等技术手段处理后再继续使用数据。
还有一部分数据在授权上存在一定瑕疵,比如告知不清晰,或者虽有同意,但没有满足单独同意的要求等。对此,袁立志建议通过更新隐私文件来“修复瑕疵”,完善授权;如果无法修复,也可以考虑通过隐私计算等技术来使用数据。
如上所述,通过技术化手段处理数据达到合规像是“托底”操作,但目前在实务上也存在风险。
杨建媛以“匿名化”为例进行说明。个人信息保护法规定,匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程;匿名化处理后的信息不再属于个人信息。这意味着,匿名化处理后的信息不受该法保护。而目前 “‘不能复原’似乎没有一个度,是指合理努力不能复原还是绝对没有能力复原?一旦标准定得过高则面临数据价值大打折扣的困境”。
杨建媛还表示,虽然许多企业有自己的匿名化标准,但这个标准是否安全,能够被监管机构认可是未知的。所以,她建议监管部门尽快制定相关技术指南供企业参考、执行。