洪延青:个人信息保护标准的路径选择

洪延青(数据保护与治理研究中心联合创始人、国家《个人信息安全》标准编制组牵头人):

非常感谢组委会给我这个机会向大家汇报。跟前面两位讲到的稍微有点不同,个人信息保护跟每个人的生活有有密切的关系,讨论的范围也比前两项标准参与的人的范围要宽了很多。我们做标准的时候,一个前期的问题是要搞清楚我们的路径是什么样子,我们要把我们标准的基本定位搞清楚之后,才能进一步往下开展。

为什么叫做路径选择这个题目,其实就是把前期的基本问题要弄清楚,我们这个标准才好往下讲。我今天主要跟大家做这个方面的汇报。

什么叫做个人信息保护?和我们经常在媒体上看到的数据安全隐私有什么样的区分?首先,数据安全我们认为它跟传统的信息安全很像,就是保密性、完整性、可用性。它主要的核心是防范信息或者信息系统免于遭受外界系统的访问、使用、修改、销毁等。这个手法我们在网安法第十条也可以看到,维护数据的完整性、保密性、可用性。

他这个安全到底有什么样的含义?首先我们还是要区分个人保护和隐私的问题,在欧洲来看,他明确是两个概念,《欧盟基本权利宪章》里面他明确说隐私是对私人生活、私人通信的保护。个人数据的保护更多的是关于自主信息的控制权,无论是《国家安全法》还是《网安法》,都有一个核心的词叫安全可控。

个人信息保护很多时候不只是安全,个人信息保护还有一个可控的概念,自己能够控制、能够支配,在多大程度上使用、多大范围内扩散。欧洲做了一个区分,首先把隐私和个人信息保护区分开。个人信息保护和数据安全他又多了一层含义。隐私是一种让我独处的权利,我的私人生活、我的私人通信,你不要来管我,这是一种对立的防御机制,不要窥探我的个人生活,个人信息保护是自主支配的权利,我的信息在多大程度、多大范围内使用,他是一种控制扩散的机制。刚才我们都在讲GDPR,它是明确区分这两个东西的。

你跟美国人,或者在国际标准中看到隐私,他是包含欧洲两个概念,一个是欧洲人讲的隐私,和欧洲人讲的个人信息保护。我们经常在美国语境下看到两个词,一个是CIA的“三性”;一个是SPRITY(音),更多的是标准控制在里面。安全是一个基础,但是有了安全不一定实现了个人信息的保护,个人信息很安全的存储在某个系统里面,但是他没有按照按照我们个人意愿处理这个信息,也没有达到信息保护的权利。你跟外国人谈信息保护,取决于你跟谁在交流,跟欧洲人,他区分的很明显,但是美国人,可能他是混为一谈的。概念的区分,大家就知道我们到底在谈的是什么样的问题。这是非常基础和概念的东西。

第二,我们都知道现在所有人都在谈数据的所有权,因为是我的数据,我就能决定怎么用,是你的数据,我管不着。我们在为标准做持续研究的时候,发现基本上所有的法律没有对数据所有权做明确的规范,很可能第一个原因是没有共识,没有共识确实是这样,拿国内语境来说,大家对数据保护的权利,到底是什么样的权利,有人认为是人格权,有人认为是财产权。

《民法》一审和二审稿是明确不一样的。现在在人大法工委,人大那帮立法者里面,个人信息偏向人格权,现实中我们又讨论到财产权的问题,为了能落实,大家又对数据做了基础的划分,原始数据是直接能联系到我们的,一旦企业在这个基础上进行加工、处理,实现增值,他们认为这叫隐私数据和增值数据,这个权属应该归企业。

贵阳大数据交易所出台了一个办法:《数据确权暂行管理办法》,他明确讲我们交易的不是底层数据,而是加工之后的数据。现在国内也没有搞清楚到底用哪一个路径来保护,是不是我们必须得把基础理论问题搞清楚之后才能做标准和制订这个法律呢?我们觉得这不是这样。我们标准组经过长期的讨论,也跟很多占家探讨过之后,我们认为你用《民法》人格权和财产权保护,可能出发点不一样,但是落脚点是一样的。把前几个字删掉,它的规定和《网安法》的规定是一样的,都是不让非法收集、利用、加工、传输。

民事上的权利,比如说这是我的房子,事前有一个机制,我个人提出请求,我要买、我要卖。事后权利被侵犯,我要去维权。我们还多了一个事前行政监管、事中行政监管,事后多了刑法和处罚。回过来看刚才PPT财产权的概念,无论你是区分原始和衍生、基础和增值,一旦能够识别到我们个人,我们还是认为你要额外的保护,这个东西还是不能属于你们企业专属的财产。只要你联系到个人了。

最后我们用的标准采取的路径是对个人信息采用的风险控制的东西,个人系统防范造成的风险。最新的《网安法》对个人信息保护的条款,11月7号出了这个法之后,我们进行了研究,现在有一个基本的判断,它现在是个人信息保护方面最权威的法律规定、最综合性的。

第二,欧洲上或者美国上的一个个人信息保护的基本原则,我们这个法都基本上涵盖了。现在看一条一条的解读,第40条,有一个应当对收集的用户信息保密,并建立严格的用户信息保密制度。第一次明确了谁收集,谁负责,你收集了之后,要对他保护,你是第一责任主体。将来出了事,板子要首先打到你身上。

41条,体现了四个原则,这四个原则无论是国家还是企业都在用到这个原则。大部分黑色的字体在别的法律都有规律,红色的字体是《网安法》新的规定。这首先规定了责任主体。我们看到了《网安法》规定的网络运营者不得收集与其提供的服务无关的个人信息,防范企业要过渡收集,比如说我是一个天气软件,你没有必要去看我的通讯录。

43条,现在大数据产业有很大的需求,信息需要扭转起来才能交易,交易起来才会发挥更大的价值。

42条写了:未经被收集者同意,不得向他人提供个人信息。但是经过处理无法识别特定个人且不能复原的除外。他开了一个口子。

第二款,他还规定了发生安全事故之后,要告诉用户,并向主管机关报告。这一条也是一个亮点,以前我们只会用到这儿,后面《网安法》加了一个强制,你以后有安全事件,不能盖着了,你必须公开接受社会的监督,让我们被影响的人有知情权,政府机关也必须知道这个事,这一条是国际上通用的制度。美国51个州和几个地区,47个州都有这样的法律,现在我们通过《网安法》实现了跟国际的对接。43条也是一个非常大的亮点,给了我们一个主体参与的权利,参与到个人信息处理的过程中的选择。其中他规定了在一定条件下,个人可以要求删除个人信息的权利和更正个人信息的权利,这也是以往的发展规律没有给的。44条,2012年全国人大颁布的一个决定,也是一个法,他规定“不能出售个人信息”。这次他开了一个口子,“不能非法出售个人信息”。什么是合法情况下我们也要后续的规定。

《网安法》通过五个条文对个人信息保护做出了一个姿态。这五条大多多少原则性的宣示,后续需要大量非常多细化的工作,保护工作才能落到实处。

在考虑标准工作之前,来看一个例子,这是我们日常调研中一个做的不错的企业,他对个人信息保护是怎么做的。他在隐私条款和用户协议的时候,未提供服务,并提升用户体验,将收集与之相关的个人信息。经过简单处理和审批之后,个人信息可以在各个业务线间用,他对个人信息的使用没有限制。但是他对个人信息的安全非常重视、投资特别大。

为了风险上的管控,现在为止没有对外交易个人信息。这样一个企业,他做这五项措施,某种意义上你跟条文去对应,他很可能都是合规的,他明确了一个目的,而且用户也点了同意,我就可以用。因为我的目的是提供服务和提升体验,我有必要在各个业务线上共享。我为了提供服务和提升体验,对用户形成画像,这五个东西看起来我们感觉他难道在使用中就没有一些东西可以制约他?我们点了同意之后,我们就对自己的个人信息失去了管控的权利。

我们总觉得错在哪里。但是如果你把这五条直接对应《网安法》,很可能形式上你可以认为他是合规的。下一步就是给我们做后续的标准提出一个问题,对这样的行为我们怎么进行一个基本的管控措施,有没有一个基本的路径。我们给自己个人的标准定位叫:风险归置为核心的。

我们不讨论是什么样的人格权,我们讨论的是个人信息处理对个人权益带来的不利影响,生活上的侵扰、危害到我们的人身和财产安全,危害我们名誉和遭到的歧视性的待遇。你收集到这些信息的时候,你可能对个人造成影响,我们就需要管控这些风险,从这个角度出发,我们对个人信息定义有这样一个考虑,他是两个路径:一个是识别加关联,识别,从信息本身的特殊性回溯到特定个人,能够单独或者与其他信息结合,识别个人身份的信息。

比如说在座的这么多人我能从中很准确的定位到陈老师、高院长在哪。哪怕我不知道高院长的职务和身份,但是我通过他衣着、身份不同,我能够把他挑出来,我们认为能达到识别这个目的的都叫个人信息。

第二个是关联,我虽然定位到高院长,另外,我从各个渠道找到了一些其他的信息。这两类的信息很可能都会对我们带来不利的影响。第一类信息识别,我们能从一堆人中认出这个人,我把这个人挑出来,等于我跟他建立了一个直接的管道。而关联是说既然我知道这个人,他后续的信息我不断的累积,我能越来越丰富对他的认识和了解,这两种行为都很有可能对个人信息造成一个可能上的风险和不利影响。从管控风险的角度来说,我们有必要把这两类东西都认为是个人信息。

明确风险管理的责任主体,我们也认为谁收集、谁使用,谁就是风险管控的第一责任主体。我们做了一个规定,个人信息保护必须有一个专门的责任部门,因为他要管控风险,很多企业里面都有一个风控部,或者是安全部门,他是管控各种各样的风险,我们认为对个人信息安全他也必须有这样一个做风控的部门或者个人。其中,我们强制他以部门或者个人信息保护负责人的名义,对外公开他的评估报告以及采取的措施。同时,他还有做内部的培训、做内部的保护制度的职责。我们把内部的风控责任压到了内部的一个部门。

个人信息安全风险评估,我们回想刚才的企业的例子,我们希望通过这个风险评估能贯穿企业收集使用信息的全过程,刚才那个实例,企业获得个人信息以后,我们就管不着了。我们希望贯穿信息使用全生命周期。

所以我们评估的内容也挺多的,收集的目的、个人信息管控的有效性,目的变更造成的影响,一旦交易的时候,对方的措施,包括企业很多都在做匿名化的信息处理,你还要评估他还能不能再恢复过来,重新建立对我们个人的联系。我们还要求,你自己做完一个风险评估,当然要根据这个风险评估的结果进行一个整改。但是如果你发现你无法降低这个风险的话,你可能就应该先停止处理这个个人信息。最后还是以个人的名义,我们要非常明确信息保护的主体是谁,责任明确到人或者部门。

个人信息交易、共享时的风险控制和公开披露时的风险控制。对交易合共享我们还做了一个额外的规定,比如说受让方的级别不能低于出让方的安全级别。你在转让之后,可能对后一方的信息处理对个人权造成损害的时候,你也要承担责任。

现在是一个产业链,很多数据都是一个链条,通过好几方才转到我手里,我们把责任压在了第一方,他转让数据的时候还是有附带责任,不是我们转让出去了就跟我没有关系了。我们认为不是这样的。公开披露,很多时候我们的信息会被公开,放到网上去。披露之前首先要做风险评估,要征得明示同意,因公开披露对个人权益造成损害,披露方应该承担责任。

我为什么挑这六点跟大家分享呢?主要是这六点更加突出了我们从风险管控的核心做的特殊的规定,跟以往的标准不太一样的地方,我们想把风险评估贯穿到评估生命周期中去,但是该有的一些目的明确、告知、同意,这些我们标准都有规定,这六项算是一个比较特殊的规定。对于我们对大数据、云计算时代,我们对个人信息保护有什么路径上的更新、思路上的更新。

以上就是我跟大家汇报的全部。谢谢大家!在新时代,个人信息保护面临很多挑战,它的很多做法需要进一步的更新,我们希望我们做的被用户接受、被主管机构接受。谢谢大家!

上一篇:范科峰:工业控制系统信息安全标准研究制定及应用进展

下一篇:阿里云陈雪秀:云安全标准实践