前景可期,个人信息处理首个团体标准发布
2021-09-27杜林
杜林
大数据时代在信息商业化过程中,信息失控已成为不争的事实,个人信息保护已成为全球性议题。个人、企业和社会都无法再回避这一问题。
诚如北京大学法治与发展研究院执行院长、北京大学法学院教授王锡锌所讲的,我们处在这样一个时空当中,一方面数据经济、数字经济、大数据被看作是一场新的经济和财富的盛宴。但另一方面,面对这种无节制的对数据和个人信息的渴望,个人也身处一种焦虑和担忧之中。所以,有时候我们看到数字经济带来的场景,真的是一半是海水,一半是火焰。今天很多的业态都不可避免地跟数据、跟个人信息连接在一起。前一段时间大家都在热议的特斯拉车主维权事件,还有河北卡车司机悲剧性事件,可能涉及很多方面,但极受关注的热点却是个人信息和个人隐私的问题。当然也有其他问题,比如数据权属到底怎么界定的问题。因此,我们有理由相信,数据经济时代个人信息如何得到有效的保护,个人隐私如何得到充分的尊重,个人人格如何在这样一种大数据包围之下得到健康自主的发展,是一个重大且全新的历史命题。
面对这样一个重大且全新的历史命题,中国科学技术法学会和其他的一些单位持续共同努力,历经十多年,推出《个人信息处理法律合规性评估指引》团体标准,并于4月28日与中国法学交流基金会一起召开新闻发布会正式进行发布,为监管者、企业等主体判断个人信息处理是否合规提供重要参考和具体评估指引,对于个人信息的保护,对于我们国家数据经济的健康发展来说意义重大。可以预见,这个团体标准将会对规范个人信息处理活动,促进个人信息合理利用,保障个人信息依法合规有序流动起到很大作用。
理论与实践相结合,从学术标准到团体标准逐年完善
在立法执法越来越严格和公民个人信息意识开始觉醒的大背景下,对企业而言,如何加强对个人信息的保护至关重要。
发布会上,王锡锌教授谈到,保护个人信息,尊重个人隐私,对企业可持续地健康发展非常关键。如果一个企业以数据为生,但是对个人信息、个人隐私却不给予充分的尊重,这样的企业是没有发展前途的,因为它不能可持续发展。信任关系的构建是以数据为生的企业的安身立命之本。
北京市金杜律师事务所合伙人宁宣凤在发布会上也提出,企业的个人信息合法合规处理是很值得关注和讨论的话题。以立法原则为基础,辅之以行业指引的模式,将更能有效地引导企业对立法基本理念的理解和落实。我国个人信息保护立法已对个人信息的合规要求展开了诸多探索,细化的行业指引必将能够为企业的个人信息处理合规提供有益参考。
那么,企业应如何做好个人信息处理合规建设?应如何准确把握收集使用个人信息的原则?中国科学技术法学会常务副会长兼秘书长、北京大学法学院教授张平一直在致力于研究并解决这个问题。
根据张平教授的介绍,关于个人信息处理的标准开始于2013年北大法学院的一个研究项目。当时,基于社会上对于个人信息、泄露、过度收集、超范围使用等事件频发,但是国内企业这方面的意识明显不足,法律规定也不完善。基于这样的情况,开始做这一课题研究,目的是促进企业制定自律性的合规政策来参与市场竞争。2014年的时候发布了一个民间的学术性标准,叫《互联网企业个人信息保护测评标准》,当时给它命名为1.0版本。在2015年的时候把1.0版本上升到2.0版本,在这个测评标准相对成熟的情况下,研究团队选择了50家互联网企业进行了产品和服务的测评。
>>团体标准新闻发布会现场 戎珊摄
到了2016年和2017年,逐年用这样的标准选择一些有代表性的企业,对他们的产品和服务进行测评的同时也发布测评报告。到了2018年,把测评工作扩展到全球的范围,选择了18个类别100款中外企业互联网产品进行测评。2019年,开始在原学术标准基础之上起草团体标准,希望能够借助这个团体标准的平台,推动个人信息社会保护水平的提升。2020年11月,团体标准基本定稿,根据各方的意见最后确定题目叫《个人信息处理法律合规性评估指引》。之后开始申报、内容公布工作。在相关工作全部完成后,选择2021年4月28日作为发布的日期。
接力实施,从团体标准到评估系统不断升级
团体标准出台后,落地很重要。
针对这一问题,王锡锌教授在发布会上强调,期待在未来标准的实施过程当中,我们能够以更高的开放性、包容性、参与性,更强的中立性把标准实施好。这个团体标准当然要不断地升级,但它的生命力来源于也仅仅来源于它的客观性和中立性,只有这种客观和中立,才能够不断提升标准实施和评估工作的公信力。公信力是第三方评估的生命。未来这个团体标准不仅适用于企业,还可以适用于公共组织处理个人信息的情形。个人信息保护法草案,特别是二审稿当中也再次强调了国家机关处理个人信息合规的重要性,所以这样的团体标准将来政府也应该可以适用。因此,团体标准未来的应用情景非常广阔。
据记者了解,深圳市北鹏前沿科技法律研究院(以下简称“北鹏研究院”)是中国科学技术法学会与深圳市政府有关部门以及深圳市福田区政府联合支持设立的第三方智库机构。前期团体标准在研究阶段,主要是北大法学院在张平教授的主持下完成,发布实施之后由中国科技法学会归口管理,北鹏研究院负责一些具体实施的工作。
北鹏研究院副理事长、法学博士肖声高谈到,合规的评估系统,目前第一期开发已经初步完成,向社会免费开放使用。第一期系统主要以问卷调查的形式开展,把团体标准里规定的评估要求展示出来,同时也免费开放给社会各界来使用,企业可以通过系统的自检自测自评初步了解自己初步情况。接下来进行第二期的开发,结合具体的业务场景,同时优化评估项,采用在线访谈和在线文件的审阅以及有关的技术测试全面评估的方法,同时输出更多维度合规评估的报告供给企业或者相关评估方。下一步也会开发第三期系统,主要是针对个人信息保护法和数据安全法提到第三方评估认证机制做系统的优化和设计。同步结合欧盟GDPR和美国CDPA法律评估系统,可以覆盖全球主要法域评估体系,为中国企业在数据走出去以及外资企业在华的数据合规提供全方位的支持。第二期系统也会向团体标准成员单位就是起草单位来优先开放使用。
>>参会人员合影 戎珊摄
2020年10月,国家发改委发布的《深圳建设中国特色社会主义先行示范区综合改革试点首批授权事项清单》,明确提出要建设新型隐私保护制度和数据安全制度。深圳当地的数据条例于2021年7月6日正式出台。因此,个人信息处理法律合规评估在深圳是一项重点工作,北鹏研究院将在深圳相关科技园区有关重点的科技企业同步开展个人信息处理法律合规评估的工作。
与法衔接,保障即将出台的个人信息保护法有效实施
据了解,4月9日,备受关注的“人脸识别第一案”迎来了终审判决。被告杭州野生动物世界被判删除原告郭兵办理指纹年卡时提交的包括照片在内的面部特征信息和指纹识别信息,并于判决生效之日起十日内履行完毕。案件落下帷幕,但个人信息保护还有很长的路要走。如何在科学技术进步和个人信息安全间找到合理的平衡点,急需法律提供相应的解决方法。
2021年4月26日,我国个人信息保护法草案提请十三届全国人大常委会二审。此次提请全国人大二次审议的个人信息保护法草案,拟规定提供基础性互联网平台服务,用户数量巨大、业务类型复杂的个人信息处理者应成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督,并要求其定期发布个人信息保护社会责任报告等。
在与个人信息保护立法的衔接方面,中国科学技术法学会副会长孙永俭谈到,此次发布评估指引,是为了更好保障即将出台的个人信息保护法有效实施,更好地支持各类组织证明和声明个人信息处理处于合规状态和合规水平,相信这个指引可以成为贯彻实施个人信息保护法一个很好的抓手。
他介绍说,此次评估指引主要由以下三个方面组成:第一部分对团体标准进行概述并解释了有关术语,目的在于为今后的个人信息处理活动以及其法律合规性评估活动建立一个共同认可的、易于沟通的语境和概念体系,提供个人信息处理法律合规性评估的概述,从而为评估指引的其他部分和其他标准的开发奠定概念基础。
第二部分建立一个合规的框架,目的在于为评估准则的识别和确定建立一个体系化的框架,以便对富有综合性的合规要求进行清晰的分类和归纳,以支持评估活动的启动、规划、实施、报告、评审、监控和再评估。
第三部分是实施指南,为个人信息处理、法律合规评估活动的启动、规划实施报告,评审、监控和再评估建立统一但能保留灵活性的流程和方法,以支持个人组织能够高效的、可比较的、可问责和可持续进行法律合规性评估活动。
关于团体标准的亮点,上海市锦天城律师事务所高级合伙人吴卫明律师谈到,这一团体标准提供了一套方法论的指引,并且为学术机构、中介机构和企业之间构建了一套共同的话语体系。在这个共同的话语体系和方法论的指引下,我们能够把评估工作和企业日常合规工作很好地落实。北京市金杜律师事务所合伙人宁宣凤律师谈到,这一团体标准是符合国际规则的尝试,在制定指引过程中,各个社会团体积极参与,既有学界,也有产业界,还有法律实务界,当然还有政府的参与。它体现了对于数据治理、个人信息保护共同体的观念。
当然,这一团体标准也不是尽善尽美,吴卫明律师也谈到一些困惑。因为团体标准是一个方法论的指引,可能无法解决一些实体性的法律问题。但是评估的时候,也一定会涉及实体性规则的理解和它的定性或者定量化的评估问题,还需要进一步深化研究。
体系建设,从企标团标到行标国标逐步构建
谈起团体标准,其实普通大众并不是很了解。因此,还是有必要对团体标准的定位以及团体标准与其他标准的区分做简单说明。
中国电子技术标准化研究院网络安全中心主任姚相振在发言中提到,2016年,根据国务院《深化标准化工作改革方案》(国发〔2015〕13号)有关要求,原国家质检总局、国家标准委制定了《关于培育和发展团体标准的指导意见》。这一意见中提出:“培育发展团体标准,是发挥市场在标准化资源配置中的决定性作用、加快构建国家新型标准体系的重要举措。”
在法律层面上,2017年11月4日修订的标准化法第二条明确规定:“标准包括国家标准、行业标准、地方标准和团体标准、企业标准。”从法律上进一步明确了团体标准的地位。
至于团体标准与其他标准如何区分的问题,根据国家标准化管理委员会官网上的资料,团体标准和企业标准属于市场标准,由市场自主制定;国家标准、行业标准、地方标准属于政府标准,由政府主导制定。
政府标准与市场标准协同发展、协调配套,是一种新型的标准体系。市场标准除了快速反应市场需求外,其承载的一个重要功能就是创新。姚相振主任说,在国务院2015年发布的《深化标准化工作改革方案》中,提到对团体标准的制定,政府职能机构要进行必要的引导、规范和监督。制定主体放开给市场,由市场自主选择,也是进一步明确了团体标准灵活的地位。发展团体标准是中国标准化深化改革迈出的重要一步,是促进提升产品和服务竞争力,激发社会活力,推进经济提质增效的可靠保障。团体标准也是我们国家标准和行业标准一个重要的补充,吸纳优秀的团体标准经验,鼓励实施效果良好的团体标准转化为行业标准乃至国家标准,也是我们今后一个重要的探索。
而且,事实上随着我国经济的不断发展,全社会对标准的需求不断加大,但是当前标准供给并不能满足市场经济发展的需要。因此,大力发展团体标准,将成为一种趋势。
针对这次发布的团体标准,王锡锌教授谈到,我们今天看到个人信息保护如果从法律手段来说,有民法的保护、行政法的保护、消费者权益保护法的保护和刑法的保护等等,各种手段可以说是协同作用的。个人通过民事手段维权,政府通过行政手段进行监管,国家通过制定相关法律规定进行规范,这些都非常重要的。但在这样一个保护体系当中,第三方社会组织通过制定团体标准、设定评估框架,并且在实践试点当中不断地升级评估标准,也很重要。因为从数据治理的体系来说,个人、政府、国家固然是非常重要的,但社会也是一个极为关键的数据治理的角色。
中国经济体制改革研究会标准委副秘书长王雪黎谈到,分析这次个人信息处理的合规性评估,目标主要在于支持组织证明和声明其个人信息处理的合规状态和合规能力水平,这一合规能力水平针对的是个人安全、个人健康和生命财产安全的范畴,这样一个范畴是强制性标准范畴,所以这次在这个层面上建立了团体标准。但是面向的是国家级的强制标准,只有把这一团体标准的定位定清楚了,我们才知道怎样才能进一步确定标准实施的范围、标准实施的对象、标准实施的主体以及下一步可实施的路径。
聚焦国内,数字经济的时代浪潮已经到来,当下正经历全面迈向人工智能化的深刻变革。数据产业时代浪潮同样推动着数据保护领域立法、执法的前行脚步。
《个人信息处理法律合规性评估指引》团体标准发布会在2021年4月28日已落下帷幕,但这一团体标准的后续实施还是非常值得关注。期盼这一标准在升级中不断提升自身公信力,在我国的个人信息保护、数据合规等的法治历程上发挥越来越大的作用。