分类目录归档:数据法

逃离“告知-同意”:《个人信息去标识化指南》笔记

一、“告知-同意”以外

网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

——《网络安全法》第四十二条第一款

我国个人信息保护规则围绕着“告知-同意”原则构建,无论是收集、使用几乎都需要向个人信息主体告知并获得同意。征求意见中的《信息安全技术 个人信息告知同意指南(征求意见稿)》就是对“告知-同意”的详尽路线图。但无论怎样设计“告知-同意”都是一条充满荆棘的路途,而在这条路途以外,去标识化就成为值得探索的荒原。

《信息安全规范 个人信息去标识化指南》(GB/T 37964-2019)(“《个人信息去标识化指南》”)是个人信息领域最为重要的国家标准之一,是“告知-同意”以外,个人信息收集、处理的另一条进路。在杨合庆主编的《中华人民共和国网络安全法解读》中,将个人信息去匿名化的重任,交给了国家标准:“对个人信息匿名化处理的具体规则和技术要求等,本条未作具体规定,应当遵守有关标准和技术规范要求。”

匿名化处理的本质在于将个人信息处理为非个人信息,让匿名化处理后的个人信息不再具有人格属性,从而无需再遵守关于个人信息保护的规定。去标识化虽然不完全等同于匿名化,但却是现阶段退而求其次的选择,可以有效帮助企业降低收集、处理个人信息的合规风险,控制个人信息泄露的危害。

继续阅读

穿透告知同意的迷雾:《个人信息告知同意指南(征求意见稿)》发布

中国个人信息制度主要是以“告知同意”为基础构建,对个人信息的收集、处理均要求个人信息控制者向个人信息主体告知规则并获得同意。但如何告知,如何才算获得了同意却是一个非常棘手的难题。

张新宝教授在《个人信息收集:告知同意原则适用的限制》一文中认为:很多情况下,手机App等互联网应用所谓的“告知”并不是真正的告知,用户的“同意”并非真正的“同意”,并且不乏大量手机App等互联网应用采取隐瞒方式获取用户同意的情形。

中国农历春节前,信安标委就《个人信息告知同意指南(征求意见稿)》开始征求意见。在正式版本生效后,这份文件可能会是与《个人信息安全规范》(GB/T 35273-2017)同等重要甚至是更为重要的一份标准。《个人信息告知同意指南(征求意见稿)》开始征求意见无疑是一个好的开始,有助于收集、处理个人信息的企业穿透迷雾,履行法律义务。

继续阅读

微信2020年1月法律文件更新

概要:微信为视频号与更新了《微信隐私保护指引》,为功能号更新了《微信软件许可及服务协议》。

2020年1月21日,腾讯修改了自己的《微信隐私保护指引》,腾讯上一次修改《微信隐私保护指引》是在2019年9月30日。

这次修改微信主要涉及了以下内容:

除了隐私政策,腾讯《微信软件许可及服务协议》同样进行了修改,主要涉及:

《民法典》的个人信息保护长尾

长尾效应:原来不受到重视的销量小但种类多的产品或服务由于总量巨大,累积起来的总收益超过主流产品的现象。

——维基百科

随着《民法典(草案)》在二零一零年代的最后几天公布,《民法典》距离2020年3月表决已经指日可待。刨去民法学科大佬们对立法体例、条文的争议,《民法典》的影响当然是天翻地覆,涉及生活中民事法律关系的方方面面,从要取而代之的法律就能窥见一斑。我不关注那么高、那么广的民法议题,只关心隐私保护这么“一亩三分地”。

从《民法总则》内,个人信息保护只有一条原则性的规定,没有实质内容:

自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。

《民法总则》 第一百一十一条

但在《民法典(草案)》中,对个人信息的保护并不至于这样原则性的规定。《民法典(草案)》个人信息保护条款在《网络安全法》《消费者权益保护法》《电子商务法》关于个人信息保护的内容的基础上,增加一些新的内容,比如:隐私与个人信息的分别保护,以及在同意之外增加了个人信息收集、处理的其他合法性基础。这些变化固然重要,但更重要的,是《民法典》的立法层级与适用范围给个人信息保护所带来的变革

关于个人信息保护,除了《网络安全法》,现在提的最多的是《信息安全技术 个人信息安全规范》(GB/T 35273-2017),这是目前国内关于个人信息保护最为详尽的指引,为大量检查、执法活动所参照,但问题在于这份文件的层级过低,只是一份推荐性的国家标准,几乎不具有强制效力。而各部委关于个人信息保护的部门规章,虽然具有强制效力,但只能用于行政执法与行政诉讼,在民事诉讼中也无法援引。在《个人信息保护法》这样全面保护个人信息法律出台前,不得不将“鸡毛当令箭”保护个人信息。我们甚至见到了在支付宝年度账单事件中援引当时尚未生效的《个人信息安全规范》例子

网络安全协调局负责人指出,支付宝、芝麻信用收集使用个人信息的方式,不符合刚刚发布的《个人信息安全规范》国家标准的精神,……

国家互联网信息办公室网络安全协调局约谈“支付宝年度账单事件”当事企业负责人

而在适用范围上,《民法典》的个人信息条款会带来更深远的影响。此前无论是《消费者权益保护法》《网络安全法》《电子商务法》虽然关于个人信息保护有一些规定,但这些法律的适用范围着实有限。比如《消费者权益保护法》仅能关注消费者个人信息保护,对非消费者的个人信息无能为力;《网络安全法》只能关注网络空间内个人信息保护,对线下个人信息无能为力;《电子商务法》则只关注电子商务行为,更加聚焦。但《民法典》不一样,境内所有民事关系都需要遵守《民法典》中个人信息保护的规定。这意味着在《消费者权益保护法》《网络安全法》《电子商务法》无法覆盖到的领域也要开展个人信息保护工作。

首当其冲的就是劳动者个人信息保护。目前,劳动者个人信息保护缺少直接法律的规定,《消费者权益保护法》《网络安全法》《电子商务法》都难以直接适用,基本处于无法可依的状态,但用户单位又都难免掌握劳动者大量的个人信息,之前或许不是一个令人头秃的问题,但《民法典》生效之后就不一样了。

《民法典》生效后,无论单位是否通过网络收集个人信息,都需要合法合规。所有用人单位收集、使用劳动者个人信息的行为,都需要:

  1. 征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
  2. 公开收集、处理信息的规则;
  3. 明示收集、处理信息的目的、方式和范围;
  4. 不违反法律、行政法规的规定和双方的约定。

看上去并不难,但需要公司开展相应的合规工作,增加个人信息处理的透明度,要求劳动者签署相应的个人信息处理同意函,诸如此类的合规措施。问题在于,保障用户个人信息权利并不是一件容易的工作,劳动者会有权要求查阅、抄录、复制个人信息,而个人信息的范围又极为宽泛,甚至考勤记录都可以被认为是个人信息。这样一来,会给用人单位与劳动者的劳动争议带来新的元素。

假设一下,只要用人单位收集个人信息未经同意或没有其他合法性基础,那么劳动者可以用人单位“违反法律、行政法规的规定或双方的约定收集、处理其个人信息”为由,要求用人单位删除包含个人信息的考勤记录(假设不利于劳动者),用人单位就会面临考勤记录举证上的困难,进而影响劳动纠纷,让原本已经浑浊的劳动纠纷更扑朔迷离。劳动仲裁庭与法庭就不得不协调个人信息保护与劳动纠纷的复杂关系,结果也更加不可预测。

这只是《民法典》长尾效应的一个简单示例,除了劳动关系,学生在校学习会是一个更加复杂、敏感的问题,因为会涉及未成年人、甚至是儿童个人信息保护的问题。这些都是个人信息保护会带来的变革,需要所有领域严肃对待个人信息保护工作,这恐怕才是《民法典》个人信息保护条款的真正影响力。

2019年12月20日,新闻发言人、全国人大常委会法制工作委员会立法规划室主任岳仲明介绍,2020年的立法工作计划已经全国人大常委会第四十四次委员长会议原则通过,个人信息保护法、数据安全法将于明年制定。个人信息保护就像一头灰犀牛,正在向所有领域冲来,请大家关注灰犀牛的长尾。

“人脸识别第一案”背后的服务升级大危机

最近, “中国人脸识别第一案”沸沸扬扬,一位旅客购买了一张杭州野生动物世界的双人年卡,有效期内通过同时验证年卡及指纹方式入园。但在三个月后,动物园方面将人脸识别检票系统引入,拆除了原来的指纹检票闸门。该旅客向动物园表示不同意采集人脸信息,但得到的答复是必须进行人脸识别,年卡才能继续使用。旅客想要退卡,但动物园方面表示,只能把他已经进园次数的相应费用扣除,将剩下的钱退还。旅客遂将动物园告上法庭。

在案件中,人脸识别固然是一个敏感的问题,涉及到收集个人信息,甚至还可能涉及分享给第三方(比如人脸识别设备的提供商)。但在使用人脸识别之前,收集的指纹信息同样敏感,与面部识别特征同为个人生物识别信息。因此,人脸识别并不是本案的核心问题,该案件更重要的是暴露了个人信息保护最脆弱的时刻:服务升级时。

无独有偶,在2018年VIPKID手机APP升级后,用户使用时会突然跳出一个弹窗,更新上线全新的“隐私政策”,用户还无法点击“不同意”且不点击“同意”就无法正常使用软件。但另一方面,有家长认为:“我们是交了钱的,当时交钱签协议的时候可不是这样的隐私政策。现在不经过和用户沟通,没有公示,直接就上线,还是强迫别人同意,是不是太过霸道了?”,“是不是可以理解为如果不同意你用我的信息我之前的钱就白交了?”VK平台相关负责人介绍,这些政策是“为了更好的服务用户”。

无论是杭州野生动物世界还是VIPKID,都是在原有服务升级时,对个人信息的收集、使用方式进行了变更。而杭州野生动物世界与VIPKID忽视了除却个人信息收集、使用的法律关系外,还存在着提供游园服务、英语教学服务的法律关系。在中国法下关于个人信息使用的合法性基础仅有同意,在欧盟GDPR下存在若干利用个人信息的合法事由,同意仅是其中之一。因此,企业关于个人信息的利用高度依赖用户的配合,稍有不慎就有违法违约的风险。

因此,企业在收集个人信息时,所需要面对的法律关系远比想象中的复杂,需要协调不同法律关系不互相冲突,如有服务升级、服务变更需要获取新类型个人信息时能够获得用户的同意,不至于用户不同意就导致其他法律关系的违约,直接面临与用户的冲突。