电子邮件 网上办公

选择语言
邀兵请将  
您现在所在位置: 德衡商法网  >   律师视点  >  
娄鹤:落地《个人信息保护法》直面数字化时代的困难与挑战
发布日期:2021-11-04
娄  鹤

北京德和衡(上海)律师事务所

高级联席合伙人



在广泛的关注和期待之中,全国人大常委会终于在2021年8月20日审议通过了《个人信息保护法》(下称“《个保法》”),中国的数据保护立法又向前迈出了坚实的一步。在社会各界充分肯定此次立法的成果,并广泛开展法律宣传和教育的当下,我们也应当同时关注法律的具体实施,并向立法目标逐渐靠拢。纵观整部《个保法》并结合中国个人信息保护的现状,笔者认为,在落实并执行《个保法》的过程中仍然将面对不少的困难和挑战,值得一起思考与讨论。


一般而言,某项新的法律制度的演进分为几个过程,即:立法、执法、守法(合规)、诉讼/个人权利行使 、修法(释法)。类似一个新产品,在此过程中不断循环、打磨、碰撞、升级并完善,逐渐形成一个相对稳定的状态,达到预期效果。


《个保法》作为数字化时代,规范及保护个人信息的崭新的法律制度,完成立法只是一个开端,即将经受社会实践的重重考验。这些挑战包括:


▶从粗放走向精细化的立法路径

▶适应数字经济的监管模式

▶不确定时代的企业合规

▶个人信息权利的行使与制衡

▶规范的持续迭代与更新




挑战

01


从粗放走向精细化的立法路径


与其他网络、信息与数据相关的立法一样,《个保法》也无法绕开技术和标准的问题。一方面,从立法的定位、策略与技巧看,作为底层的基本法需要建立个人信息法律保护的框架、基本规则、各方权利义务及法律责任等内容。另一方面,一些过于原则和抽象的表述,可能无法满足业务实践,需要大量的规则、标准进行补充和细化,如:关于自动化决策的透明度与公正性的规范;还有一些规则和办法长期处于“征求意见”状态,何时转正或修订落地,也是悬而未决的问题。如:个人信息出境安全评估、个人信息安全影响评估。


显然,立法机关也意识到进一步补充规则、标准的重要性和紧迫性,并在《个保法》第62条,罗列了下一步主要工作的计划,值得期待:


1、制定个人信息保护具体规则、标准;

2、针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;

3、支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;

4、推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;

5、完善个人信息保护投诉、举报工作机制。



挑战

02


适应数字经济的监管模式


与欧盟与美国的执法模式不同,在个人信息保护领域,中国尚未设置统一的数据保护机构,而是将相关机构统称为“履行个人信息保护职责的部门”。网信办、工信部、公安部、市场监督管理局等都有相应的管理权限,而“九龙治水”的模式是否会对未来的监管效果带来隐患,或是在不久的将来监管机构内部实现分工优化,让我们拭目以待。


从国家安全等因素考虑,《个保法》保留了不少类审批事项,如:个人信息出境的安全评估、向境外执法机构提供境内的个人信息、应用程序的测评、信息处理活动的合规审计等。企业普遍比较关心或担忧的是,这些监管行为的效率,以及规则的透明度、公正性等。


更需要注意的是,数字经济的业务形态已经发生了巨大的变化,一些数据业务的全球性和不间断性的特点,要求监管方式与时俱进,不断优化和智能化。传统的审批模式,无疑是不能满足现实的社会需求的。



挑战

03


不确定时代的合规


密集出台的数据法律法规,给不少企业带来了巨大压力。一些从业者惊呼,全面合规、完全合规似乎成为了一项不可能完成的任务:


01
法律叠加适用下的合规压力



一些企业需要同时面对《个保法》、数据安全法、网络安全法、关键信息基础设施管理条例,还有一些行业的特别规定,如:汽车数据安全管理若干规定,以及一堆国标、行标、征求意见稿。 


02
中外监管的博弈和冲突



对于一些中概股公司,需要同时面对中美监管机构的压力,在审计底稿、跨境数据流动、信息披露等方面的风险尤为突出。滴滴事件后,中国在国家(数据)安全和信息安全主体责任方面连续出台一系列政策,将网络安全审查作为部分国外上市项目的强制性义务。数据安全政策,已成为中概股公司最大的不确定性因素。


03
合规标准的不确定性



如前所述,一系列补充规则、标准正在制订中,第三方的个人信息保护评估、认证社会化服务体系尚未建立,企业的合规标准仍待细化,合规能力有待第三方验证及外化。在目前的情况下,企业无法实现合规标准的锚定,也无法全面准确评估合规性。


04
监管及处罚标准的不确定性



在自身合规的背面,是企业与监管机构之间的互动。然而在《个保法》实施中,企业可能会产生一系列的疑问,如:与哪个监管主体沟通?如何寻求合规指导和帮助?其解释的权威性、准确性如何?执法的具体标准、时限如何把握?如果处罚不合理,企业如何维护自身的合法权益?尤其是在最高达到5000万元以下或者上一年度营业额百分之五以下罚款的威慑下,若监管政策的透明度和确定性不能尽快解决,企业将长期处于焦虑之中。



挑战

04


个人信息权利的行使与制衡


与欧盟GDPR类似,《个保法》下个人信息主体享有广泛的权利,包括:知情权、决定权、查阅和复制的权利、携带权、要求更正及补充的权利、删除权、请求解释权、诉讼权等。


站在企业角度,如何控制成本、规范流程,通过技术+人工手段以及时响应用户需求都是不小的挑战。其他问题还包括,技术上的障碍、不同规则之间的冲突、监管与业务需求的冲突、权利被滥用的风险等。



挑战

05


规范的持续迭代更新


法律制度的活力在于不断实践,通过法律解释、指南、修订、处罚公示、公民诉讼、司法判例、行业最佳实践、年报、白皮书等不同方式,全面促进个人信息保护的深化和升级。




这些海量的、艰巨的任务仅仅依靠监管机构是不可能独立完成的,应当鼓励、动员更多的民间力量共同参与,如:研究机构、技术公司、行业协会、标准化组织、企业代表等。他山之石,可以攻玉。在欧盟、美国的数据治理过程中,我们可以频频看到国际标准化组织(ISO)、欧盟数据保护委员会(EDPB)、法国国家信息自由委员会(CNIL)、美国国家标准技术研究所(NIST)的身影。虽然中国已经制定了一批国家标准、行业标准,特别是以中国信息通信研究院为代表的智库发挥了积极的作用,但是相关文献的宣传、普及、应用及实施效果仍有待提高。


意大利法学家贝卡利亚曾经说,“法律的力量应当跟随着公民,就像影子跟随着身体一样。” 《个保法》关系到我们每一个人,它在新时代赋予了公民个人信息权利和力量。在迎接新挑战和不断发展完善的过程中,《个保法》必将促进个人信息的合理利用,推动中国数字经济的健康、有序的发展。






或许您还想看

娄鹤:等保2.0之云租户合规注意事项

娄鹤、于赓琦:《个人金融信息保护技术规范》解读一 | 合规体系梳理

娄鹤、于赓琦:《个人金融信息保护技术规范》解读二 | 个人金融信息分级制度

娄鹤:微盟删库事件追踪:“云上损失”如何索赔?

娄鹤:解析“撞库”案件中的电子证据

娄鹤、陈国彧 | 营销线上化:企业经销商体系变革的法律问题

娄鹤、陈国彧:《民法典》隐私权与疫情期间个人健康数据保护

陈国彧、娄鹤:医疗数据与个人信息保护

娄鹤:《征信业务管理办法(征求意见稿)》常见问题的解答

娄鹤:智能安全定义汽车准入新标准


作者简介

娄  鹤

北京德和衡(上海)律师事务所高级联席合伙人

娄鹤,CISO(注册信息安全专业人员),CDPSE(注册隐私保护工程师),中国国际商会(ICC)数字经济委员会委员,上海市科技创业导师。


娄鹤律师在信息安全、数据及隐私保护等领域拥有丰富经验,对境内外法律及监管均有深入研究。娄律师曾为一批金融企业、上市公司及知名互联网客户提供了网络安全咨询、GDPR咨询、APP合规治理等一系列法律服务。其服务的客户领域除金融、房地产、医药等传统领域外,还覆盖了电商、云平台、网络安全、大数据、无人驾驶、社交、在线教育、手游等新兴行业。


手机:13816316298

邮箱:louhe@deheng.com


质控人简介

辛小天

合伙人

数字经济与人工智能业务中心总监

xinxiaotian@deheng.com



网站简介    |     法律声明    |     联系链接    |     本站产品    |     联系方式    |     自助服务

Copyright@2016    版权所有    德衡商法网    免费服务监督热线:    800-8600-880    

鲁公网安备 37020202000804号     山东德衡律师事务所ICP备案号:鲁ICP备05011736号    网站统计