我来简单介绍一下采集、处理与应用个人信息的原则。
网络时代,海量的数据和信息以聚合形式存在于社交网络、电子商务、移动智能终端等网络平台,特别是一些大型的网络运营商已经形成对个人数据和信息的实际控制和垄断,公民作为数据内容的主体完全不能控制自己的个人数据和信息,根本无法了解自己的信息和数据在何时、何地、被何人、以何种方式非法收集、使用、加工、传输。事实上,个人信息保护的核心不在于“个人信息”本身,而重点在于如何规制第三人对公民个人信息的收集、使用、加工、传输等行为。因此,公民行使信息权利的基础,是基于公民作为信息内容的主体有权决定其个人信息在何时、何地及以何种方式被何人收集、使用、加工和传输。
企业在采集个人信息时,要以保护个人信息为前提。在2022 年底,字节跳动公司内部调查发现有员工不当获取了少量美国 TikTok 用户的数据,包括两名美国记者的TikTok用户数据,引发舆论质疑 TikTok 的隐私和数据安全问题。企业如何合法合规采集个人信息,保护信息安全备受关注。
从相关法律法规要求及企业在数据采集时集中暴露的问题看,企业需要坚持精准化、最小化、知情自愿等原则,才能更好地做到合规,规避风险。
一是坚持精准化原则,不能“一揽子授权”和强制同意,企业在采集个人信息数据中,不得采取“一揽子授权”,而是要根据双方或多方基于合作目标约定的授权进行精准采集,同时,如果被授权主体发生变化,需要授权方与被授权方重新授权。“数据二十条”提出:“对承载个人信息的数据,推动数据处理者按照个人授权范围依法依规采集、持有、托管和使用数据,规范对个人信息的处理活动,不得采取‘一揽子授权’、强制同意等方式过度收集个人信息,促进个人信息合理利用。”个人信息处理者在处理个人信息时确需授权且授权信息中含有个人隐私要素且涉及两者及两者以上时(个人隐私要素包括但不限于个人联系方式、地理位置、相机相册、浏览数据、设备信息、订单信息等个人信息数据授权;向个人进行信息推送、商业营销;数据处理自动化决策等),应该为个人提供不同的授权方案。个人信息数据应该分级、分类授权,不能“一揽子授权”,允许个人针对具体使用情况授权不同的个人信息数据内容,改变一键授权的模式。
2022 年 12 月 26 日,国家市场监督管理总局依据反垄断法对同方知网(北京)技术有限公司做出行政处罚规定,业内人士分析称,知网滥用市场支配地位,本质是权属问题不清。因此,企业在采集个人信息数据过程中,需要坚持精准化原则,单面授权,避免“一揽子授权”。
二是最小化原则,即企业只能采集业务相关的信息数据,避免过度采集。据消费者个人信息保护调查报告显示,消费者个人信息被过度采集现象严重。国家计算机网络应急技术处理协调中心、中国网络空间安全协会发布的《App违法违规收集使用个人信息监测分析报告》显示,App 超范围收集个人信息的问题目前主要包括七种情形:敏感权限声明超出必要范围、权限索取超出必要范围、收集数据的敏感性超出必要范围、收集数据的具体内容超出必要范围、收集方式超出必要范围、收集频率超出必要范围、收集场景超出必要范围。王春晖指出,关于 App 超范围收集个人信息的情形,主要有三类:一是 App 收集无关信息;二是App 强制收集非必要信息;三是 App 收集频率不合规。
国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局等部门多次对企业超范围采集行为进行通报、查处,起到了一定的震慑作用,但是超范围收集和使用个人信息等行为依然存在。《常见类型移动互联网应用程序必要个人信息范围规定》明确对“必要个人信息”做出了定义:必要个人信息是指,保障App 基本功能服务正常运行所必需的个人信息,缺少该信息App 即无法实现基本功能服务。具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。基于该定义及实践,立法明确企业采集个人信息的界限,规定“最小化原则”呼声越来越高。
三是以“告知—知情—同意”为核心,知情自愿原则,即企业在采集数据时,告知被采方采什么数据、数据用途等,明确被采集方已对数据采集和用途知情,被采方自愿同意授权采集方使用采集的数据。《个人信息保护法》不仅确立了以“告知—同意”的个人信息处理规则,而且构建了以“告知—知情—同意”为核心的个人信息处理规则体系。个人信息处理者“告知”的目的是为了确保被告知者的充分“知情”,只有被告知者在充分知情的前提下才能自愿明确地做出决定。此外,《个人信息保护法》第14 条明确规定:基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出,法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
越来越多的平台企业、第三方机构在个人信息数据产权机制方面开启进一步探索,并提供多种解决方案。
个人信息具有财产属性,但是个人信息主要涉及的是自然人的人格权,这其中就包括大量的个人隐私信息。我国《民法典》“人格权编”(第四编)第六章专门就个人信息中私密信息的保护作出规定,即“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”为了保障使用个人信息数据时的信息安全和个人隐私保护,“数据二十条”建议,要创新技术手段,推动个人信息匿名化处理。我国《个人信息保护法》第四条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”《个人信息保护法》关于个人信息的定义,与我国《民法典》《网络安全法》、最高法、最高检《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》以及欧盟的GDPR关于个人信息的内涵最大的不同在于增加了“不包括匿名化处理后的信息”。
这从法律层面上确认,个人信息经匿名化处理后,数据处理者采集、持有和使用的信息就不属于个人信息,无须适用个人信息保护法的相关规定。《个人信息保护法》第七十三条(四)将“匿名化”定义为:“个人信息经过处理无法识别特定自然人且不能复原的过程。”将经过匿名化处理后的个人信息排除在个人信息保护法的框架之外,对于促进个人信息的合理利用具有巨大的数据要素价值。
(1)遵循合法、正当、必要和诚信原则
《消费者权益保护法》第二十九条、《网络安全法》第四十一条均有明确规定,经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。此外,《个人信息保护法》还强调了诚信。其第五条规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。该原则对企业利用大数据分析、评估消费者的个人特征用于商业营销的行为进行了约束。
以“大数据杀熟”为例,一些电子商务平台经营者利用大数据分析、算法等技术手段,根据消费者或者其他经营者的偏好、交易习惯等特征,基于成本或正当营销策略之外的因素,对同一商品或服务在同等交易条件下设置不同价格。这种行为严重损害了消费者的权益,也违反了合法、正当、必要和诚信的原则。
(2)处理个人信息应当遵循公开、透明原则
《个人信息保护法》第七条规定,处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。结合其第十七条、第三十条规定,明示的内容至少包括:第一是个人信息处理者的名称或者姓名和联系方式;第二是个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;第三是个人行使本法规定权利的方式和程序;第四是法律、行政法规规定应当告知的其他事项;第五是如果涉及敏感信息处理,需明示处理敏感个人信息的必要性以及对个人权益的影响。在实践中,此等明示义务通常可通过《个人信息保护规则》(或称《隐私政策》)、弹窗单独告知等形式实现。
(3)应当保证个人信息质量原则
《个人信息保护法》第八条至第九条规定,处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响,同时个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。基于以上法规内容,信息处理者在处理个人信息时应当以保证个人信息质量为原则。
一是在准确性方面,个人信息处理者应综合考虑所收集个人信息的目的,开展必要的个人信息完整性和准确性审核。二是在可问责性方面,《个人信息保护法》第五十二条规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
三是在数据安全性方面,《个人信息保护法》第五十一条规定,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等制定内部管理制度、实行分类管理、采取安全技术措施、确定个人信息处理的操作权限、定期进行安全教育和培训、制定并组织实施个人信息安全事件应急预案。
(4)应遵循匿名化原则
敏感个人信息一旦泄露或者被非法使用,极易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。个人信息处理者在处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息时,应当遵循匿名化原则。原因有两点:一是保护个人信息权益,二是促进个人信息的合理利用。
对于“个人信息”的定义,《网络安全法》《民法典》《个人信息保护法》中均强调了“已识别或者可识别的自然人有关的各种信息”内涵。但是,在《个人信息保护法》中,增加了“不包括匿名化处理后的信息”的补充,明确了经匿名化处理后的信息不属于个人信息,无须适用个人信息保护法相关法规。这体现了《个人信息保护法》的实质目的是在保护个人信息权益的基础上,促进个人信息合理利用。
《个人信息保护法》第七十三条(四)对“匿名化”的定义为: “是指个人信息经过处理无法识别特定自然人且不能复原的过程。”但从操作层面来看,《个人信息保护法》未给出证明做到绝对的“无法识别”及“不能复原”的标准,个人信息处理者可根据具体行业、场景中的相关数据处理规范实施。例如,国家互联网信息办公室等5 部门发布的《汽车数据安全管理若干规定(试行)》第八条指出,因保证行车安全需要,无法征得个人同意采集到车外个人信息且向车外提供的,应当进行匿名化处理,包括删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理等。
(5)应遵循可被遗忘原则
随着大数据与人工智能的发展,智能设备、传感器等应用无时无刻记录着人们使用电子设备的行动轨迹,大量的用户痕迹数据被记录,同样面临随时被泄露的风险。被遗忘原则就是指数据主体应享有个人对数据的控制权,享有对自身不同形式留下的数据痕迹的可删除,取得被遗忘的基本权利。
随着“数据生命周期”与人自身生长周期的变化,数据保存的实际效应也会随着数据本身的准确性和有效性不断递减。因此建议,从国家标准的角度出发,个人信息保存期限应为实现目的所必需的最短时间,即个人信息的保存期限不能超过实现目的所需的最短时间。数据主体在不影响社会评价的基础上理应可通过行使被遗忘权,避免自身相关数据不必要的泄露,增加不必要的风险。
