个保法两周年:那些“用力过猛”的个人信息合规操作

2021年11月1日,中国《个人信息保护法》正式施行。这是一部不论施以多少赞誉都不为过的法律,标志着中国个人信息保护尝试着接轨进入全球数据保护的洪流之中,在全球法治赛道中驰扬。

正是这部法律,极大的提升了中国个人信息保护领域的水平,这是毋庸质疑人事实。但如任何新生事物一样,该法在个人信息的中国环境适配上出现了一些必然的磨合,有些令人拍案,以及留下一段模糊。

本文尝试着“无序地”、“想到一点写一点地”盘点《个人信息保护法》施行至今,那些“用力过猛”且看起来也似乎“矫枉过正”的理解和玩法。不论对错,权且仅当一家之言作为交流的源起,数据合规法律人尽可留言点赞或反对。

万能的“同意”滥用

曾几何时一刀下去,市面上所有的app都要在首屏弹窗,几乎清一色“同意” 和“不同意”,兜来转去的多屏挽留,用户还是只能点“同意”。这是一种典型的“暴力丑学”,明明个保法给了这么多合法性基础,但几乎没人敢用“我知道了”。如果哪一天有app敢螳臂当车用“我知道了”,请让我知道。

弹窗必然单独

单独同意和弹窗没有半毛钱关系,单独同意的方式多种多样,单独页面、单独勾选都可以是单独同意。大部分产品或业务不愿意单独弹窗,内在真的想法不是怕伤害业务和体验,而在于——为什么明明别人不来弹?不患寡而患不均。

什么都往里装的个人信息

个人信息保护法的起点是个人信息的认定,但自从设备标识符被作为特定场合中的示例列入35273,一堆号主就把任何乱七八糟的字符,不加场景分析下都当个人信息来合规。搞得现在,技术圈程序员们一天到晚和法务撕名牌——这怎么是个人信息?!更有甚者,用户的聊天记录、用户下载到相册的中的照片,都当成的个人信息来看待,还一板一眼地直到写进隐私政策中才感到安全,求全不求对。

自欺欺人的匿名化

匿名化只是相对不可识别的去标识化,匿名化一定是在特定场景和主体环境中的认定模式,要根据回复或关联个人信息的意愿及可能性来判断,是否匿名化需要一把公平秤进行检验。但中国匿名化方案,直到现在,都是各大厂商在隐私政策中,只是写出来进行自我安慰的话术,什么多方安全计算、同态加密隐私计算,只是既让用户不焦虑,也让自己不忧伤的方法。匿名化不是什么挡箭牌,匿名化本身就不是什么好鸟。

企业没有“合法利益”

个保法将gdpr中的企业合法利益去掉了,这可能也是因为合法利益太难评估定性了。但是自从没有合法利益,很多功能和场景,就没有直接相适配合法性基础,隐私政策其实是有些不伦不类了。还好几个司法判决,替企业守望住了。

头痛灸头,脚痛灸脚

当舆论对网络娱乐和游戏产品中出现的未成年人打赏问题,铺天盖地口诛笔伐时,大家一致谴责网络平台为什么不上人脸识别。而当平台尝试着往前走一小步用人脸,另又有人跳现来指责个人信息保护不力。

实名制中的法律依据

以各大平台似乎同一天一起发布前台实名公告,以及之前的IP地址显址为例。为啥个人信息保护做不好,就是因为似乎任何政策和规范性文件都可以成为极强强制力的“法律和行政法规”依据,然后被运用在无合法性基础的规则之上,各平台发文中强调“经用户同意”的措辞足可看出网络平台的挣扎和无奈,一边苦于找不到让大V前台实名的法律依据,另一边又只能看似自愿的同意后显名。没人再关注“法律效力”这玩意,对法学院走出的人来说,这有点落莫。

极力拉拢个保法

在个保法实施前后,笔者代理了多起典型的个人信息典型案例,无一例外,不管事实发生在11月1日前还是之后,法院均一律拉拢个保法或者个保法精神作为裁判依据,一度让我对法不溯及既往的法理产生些许不适。但这兴许就是滚滚红尘吧。

把大数据杀熟当成单纯法律问题

大家只知道数据杀熟的不对,但数据杀生呢?国家、地方、一切解读都似乎不希望发生“个性化定价”,甚至什么才是合理的差异化定价,什么才是相同的条件,却难以道清,不得说明。这件事吧,总归还得回到经济学原理上去考虑。人人都谈的绍兴案,和大数据杀熟其实也没有半点关系。

10 副本问题,远没解决

2021年在代理媒体称为首例副本权诉讼案时,个人信息副本问题在中国没有可抄写的答案。副本的范围,副本写到什么程度,至今大部分app用几k文本就解决掉了,而我们看看海外这些巨头们,没几个G是下不来的。不是说什么都必须给副本,不是说每个副本都还要同步说明目的方式,不然写隐私政策做什么?

11 沿街扫楼,谁都得建内部数据制度

中小企业和大类平台的合规能力不同,合规成本更是不一样。而公安机关径直称沿街小店们,但凡有放台电脑在店里,就可能以“未指定数据安全管理制度,未采取必要措施保障数据安全“来作警告等处罚(还好不是责令改正,否则下次就可能坐牢了)。大胆猜测,中国任何一条沿街放了电脑了小店铺,99.9%以上都不可能知道什么叫做数据安全管理制度。所有平台都一样一类监管,必然是不公平的。

12 数据跨境需更自信和透明

数据出境评估结果真的只有结果,没有过程。通过和不通过的业务场景通过和不通过的字段,可以出就可以出,不可以出也不知道为什么不可以出。关键是,无解。希望出境可以更透明,跨境数据新规真的能落地。

13 数据行业“人才”辈出

某数据领域法规出台后,看到行业内有位智库前辈一口气开了一门大课卖钱,出于好奇也买了。过了几天,发现这位前辈在媒体上高谈阔论离婚生育法律问题,瞬间感觉要喷饭,赶紧去把课退掉了。希望越来越多人加入这个领域潜心研究,但不希望功利的短期捞金者,来装大咖误人子弟。

14 套娃式治理不断

当我们还得意于生成式人工智能立法,而困惑于一堆套娃式备案和安全评估,一个门槛加一个门槛之时,Meta大模型Llama 都已经开源并允许免费用于研究和商业用途了,感觉是我们主动放弃了一个时代机遇。真的,企业要上一个创新玩意真的很难,适当时候平衡下经济发展和个人权利保护,真是一个很重要的命题。

来源:网络法实务圈

上一篇:网络攻击迫使美国五金零售巨头断网停服:顾客只能线下采买

下一篇:科学家宣称成功破解RSA-2048密钥,量子计算已成现实?