从“数据二十条”到国家数据局正式挂牌,再到数据资产入表等配套政策的陆续发布,可以预见数据作为第五生产要素将被进一步激活,数据要素产业也将进入加速发展期。
在逐浪数字经济的同时,如何平衡数据挖掘利用与个人信息保护的关系,一直备受关切。为保护个人信息权益和促进数据合理利用,2021年11月1日,我国《个人信息保护法》(以下简称个保法)正式施行。转眼两年过去了,业内有哪些探索与实践?落地合规重点、难点指向哪里?公众在个人信息保护上,又有哪些新的顾虑与担忧?
围绕这些问题,南都数字经济治理研究中心联合数据安全共同体计划(DSC)、中国网络安全产业联盟(CCIA)数据安全工作委员会,于2023年11月1日下午在武汉举办“个人信息保护法实施两周年:观察与展望”研讨会。会上,多位来自高校、智库机构和企业界代表,从法律、技术、标准和实务的角度分享了他们对个人信息保护问题的看法。
文|李玲
个人信息保护与数据利用的利益平衡如何实现?
去年12月,中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》(简称“数据二十条”),从顶层设计的层面为数据要素市场建设提供指引。
在中国人民大学法学院教授张新宝看来,“数据二十条”提出要构建的基础制度包括数据产权、数据要素流通和交易、数据要素收益分配、数据要素治理,这里面涉及各种数据确权授权、各种利益的平衡,也与个人信息保护和企业数据财产的利用密切相关。
中国人民大学教授张新宝发表演讲。(主办方供图)
如何实现各方利益的平衡?张新宝重申“两头强化、三方平衡”的观点,即在个人敏感隐私信息与个人一般信息区分的基础之上,通过强化个人敏感隐私信息的保护和强化个人一般信息的利用,调和个人信息保护与利用的需求冲突,同时要平衡好政府、个人和企业三者之间的利益关系。
张新宝还进一步提出“人财两分”理论。他认为,个人信息数据同时承载着人格利益与财产利益,在对个人信息数据作出权利配置时,应将人格利益配置给个人,同时将财产利益配置给数据处理者。
中国网络安全审查技术与认证中心副处长、高级工程师王凤娇也提到,当前数据已成为重要生产要素,对促进经济发展、提升治理体系和治理能力现代化发挥着不可替代的作用。但与此同时,在数据利用和个人信息保护方面,仍面临着发展和安全、利用与保护的平衡和博弈问题。
“数据安全是数字经济发展的基石。”王凤娇提出,可通过标准与认证等方式规范和引导数据要素市场正向发展,保护个人信息主体权益,促进数字经济高质量发展。
据南都记者了解,2022年11月,国家市场监管总局与国家网信办联合发布《关于实施个人信息保护认证的公告》,鼓励个人信息处理者通过认证提高个人信息保护能力。
据王凤娇介绍,认证在整体制度设计上的预期作用包括四个方面:落实政策法规要求,重在发挥合规引导作用,促进数据流动便利贸易的有效手段,也是提升安全质量的基础手段之一。
“从监管与实际工作的角度,认证的作用可以总结为:一是发挥质量管理‘体检证’作用、发挥数据流动‘通行证’作用及数字经济市场‘信用证’的作用。”她说。
“个人信息保护必须走技术化道路”
当天研讨会上,北京理工大学教授洪延青围绕“个人信息保护合规重点”进行分享。在他看来,这些合规重点包括app个人信息保护、数据跨境安全、垂直领域的监管等。
以App个人信息保护为例,洪延青梳理发现,从2017年首批针对10家网络平台的“隐私条款专项工作”,到2019年四部委组织开展的App违法违规收集使用个人信息专项治理,再到现在的常态化监管,关于App治理的监管方向从前端侧不断往后端移动。
具体而言,洪延青提到不只App开发运营者,嵌入在App里的第三方SDK(软件开发工具包)同样会收集个人信息,还有负责分发App的应用商店、小程序平台一定程度也承担着事前监管的责任,因此都是App个人信息安全治理的对象。与此同时,当个人信息被大量收集后,公安部门高度重视打击非法利用公民个人信息的网络黑灰产行为,网信部门则关注到个性化推荐。“从App侧可以看到,从2017年开始至今,监管围绕这几大治理方向不断深入。”洪延青说。
“作为一名专门从事个人信息保护工作的从业者,我能感受到相关法律制度正变得越来越完善,保护与数据利用的政策方向也愈加明确和清晰。”蚂蚁集团首席隐私官聂正军说。
自去年11月底ChatGPT发布以来,有关大模型的讨论此起彼伏。聂正军注意到,每次技术创新的同时,都会引发数据保护的探讨。在他看来,“用技术的方法解决技术创新带来的问题,是唯一的解法。”
“个人信息保护必须走技术化道路。”聂正军认为,数据具有高频率、极复杂、易扩散、应用广、可复制、链条长等特性。基于此,要在数据或个人信息处理活动中看全、看清和看住风险,光靠传统的模式行不通,必须用技术+管理的方式。
具体怎么做?聂正军结合工作实践尝试提出隐私保护“工程化”的理想图景,其中包括要因地制宜地采用包括大模型、隐私计算在内的各种先进技术;对于新增产品、场景实现工程化的能力快速响应和复制;通过广泛采用自动化策略,大幅提高隐私风险识别、管控和处置的效率;以及根据法律变化,实现“面板式”的保护水位灵活调整;因地制宜地采用包括大模型、隐私计算在内的各种先进技术。
值得一提的是,当天会上还重磅发布《个人信息保护法实施两周年观察报告》(以下简称报告),从制度推进、行政执法、司法实践、公众感知等方面,呈现个保法实施两年来的重点变化。
据南都记者了解,这份报告由5家单位共同撰写完成,其中包括本次论坛的3家主办方——数据安全共同体计划、CCIA数据安全工作委员会、南都数字经济治理研究中心,此外还有对外经贸大学数字经济与法律创新研究中心、清律律师事务所。
当天会上还设置“个人信息影响评估标识”发布环节,共有12家企业获得一星级标识,11家企业获得二星级标识。圆桌对话环节则以“后App合规时代,个人信息保护持续合规能力”为主题,邀请5位来自实务界的专家共同探讨个人信息保护合规的重点、难点和未来方向。
声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。