不论是法律界还是互联网行业,都认为《个人信息保护法》的诞生标志着我国网络数据法律体系中继《网络安全法》、《数据安全法》之后,具有重要意义的一块拼图终于落定。新规被认为具有划时代意义。
其中明确:1、通过自动化决策方式向个人进行信息推送、商业营销,应提供不针对其个人特征的选项或提供便捷的拒绝方式;2、处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息,应取得个人的单独同意;3、对违法处理个人信息的应用程序,责令暂停或者终止提供服务。
这些规则,对今天网络营销、私域流量运营等,都会带来巨大改变。继昨天和多位从业者讨论后,见实也再度约到北京蓝鹏律师事务所合伙人、主任张起淮律师一起深聊。
张起淮律师表示,这一重要法律颁布一定会倒逼行业发生很多变化,特别是互联网平台、服务商、代运营行业,未来势必更加清朗。
见实也将对话原文做了梳理,便于大家参考。如下,enjoy:
见实:从您的视角来看,我们应该如何解读《中华人民共和国个人信息保护法》的三个要点?其中,最关键的信息是什么?
张起淮:第一个要点,里面的关键词是个人特征,以及拒绝。当今这个数据为王的年代里,我们每个人都是没有隐私的,我们的隐私被获取的可能性太高,这背后既可能是政府职能部门,也可能是商业体。
在群发信息的时候,应该尽可能避免针对某一个人,或者一小个群体的“私人订制”,否则会导致个人信息的二次泄露,对发布主体的权力要有限制。
第一个要点还给予了个体拒绝的权利,而且是便捷的拒绝方式,所谓便捷就是通过按钮,或者勾选选项,来拒绝信息骚扰,而不需要通过电话投诉或者诉讼等复杂方式来捍卫自己的权益。
第二个要点,主要是针对大型互联网平台,尤其是大型电商,金融机构等,他们掌握着大量的用户信息,可以通过这些信息,不但可以分析出消费习惯、行为方式、运动轨迹,甚至还能窃听,后者已经属于严重侵犯人权的行为,这些行为一定要被规制,否则就可能被商业体滥用,造成严重后果。
第三个要点,对具体的信息处理者,比如电商平台、出行软件、以及租房平台等,在他们出现严重违法违规的情况下,可以被暂停或终止服务,比如今年对滴滴的处理,其实就是类似的思路。
其中最关键的信息是第二个要点,在信息流支撑的大数据时代,我们每一个人既是技术的受益者,也可能是受害者,我们每一个人,在人工智能面前,都有一个用户画像,只要掌握技术的人愿意,他们可以任意使用和加工我们的个人信息,如果没有法律约束,这将成为一个黑洞。
见实:国家为什么会施行《中华人民共和国个人信息保护法》,背后会有哪些考虑?
张起淮:任何一项法律的制定,都是适应社会发展的需求,《中华人民共和国个人信息保护法》也是如此。
随着互联网技术的发展,大数据的便利性和侵犯性,以一体两面的方式呈现出来,这还不包括传统的汽车4S店、金融服务机构、房地产商,乃至于学校所掌握的公民信息,这些无从是线上还是线下,已经成了必须要面对的风险。
现在大型电商购物平台动辄拥有几亿用户量,网络购物已经逐渐取代线下购物,成为普通人的主流选择,这背后海量的用户隐私,如果被商家恶意滥用,或者贩卖,不但本身就是违法犯罪,将会给进一步的违法犯罪提供各种可能。
获取数据太容易,是当今社会发展的一个特点,很多人都有过切身体会:当你在4S店买过车、在医院看过病、在银行办过卡,与此同时各种保险公司、基金理财公司很快就会给你打电话,推销各种产品,这背后的原因不言自明。曾经还有一种夸张的说法,一个人的全面信息,打包后只值5毛钱。
还有一点,就是维权的成本太高,这是国家实施信息保护法的另一大出发点。只有4%的人投诉或采取诉讼维权,而这部分人中只有8%最终成功,可见其人数是多么渺小。
无论从哪一方面考虑,推进个人信息保护的立法,都是箭在弦上不得不发,必须要做的事情。
见实:《中华人民共和国个人信息保护法》会给平台方(如阿里、抖音、腾讯、美团等)、技术服务商(如AI电话、企业微信)、电商品牌,或零售、金融行业,分别带来哪些影响?
张起淮:这部法律的实施,会给以人工智能驱动的各大互联网平台一个行为准则,这部法律无论是总则还是分则,都明确规定了行为规范,以及可能产生的严重后果。这些平台在使用的过程中,经常会出现一些不合情理的规定,比如读取用户通讯录,可以随意访问相册等行为,此前还发生过某APP在后台删除用户照片的情况,这是让人感到恐怖的事情。
通过个人信息保护法,可以减少一些垃圾信息的推送,以及窃听、抓取用户隐私的违法情况出现,其影响是全面的,而不是具体哪一家,或者哪一方面。
见实:您认为,这些影响有可能会倒逼行业做出哪些变革?
张起淮:值得注意的是,《中华人民共和国个人信息保护法》第第五十八条规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行四项义务:
(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;(四)定期发布个人信息保护社会责任报告,接受社会监督。
专门对互联网平台做出规定,而且是非常明确的具体条款,就说明互联网乱象,已经到了必须要整顿、清理和规范的地步了,这也使得这些平台,必须放弃野蛮生长的思路,回到合法合规的路径上,才能有长期发展可能。
见实:从现在到正式施行还有一定的空窗期,各大平台、技术服务商、电商品牌、零售或金融行业等,应该如何应对该法案带来的具体影响?
张起淮:就像法条中规定的那样,对内要按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督,还要遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。
对外则要定期发布个人信息保护社会责任报告,接受社会监督。
见实:该法案正式实施后,还可能带来哪些影响?到时候可能需要如何应对?
张起淮:个人信息保护法实施后,那些游走于合法与非法之间的经营者,以及那些靠贩卖个人信息的牟利者,他们的生存空间会越来越小,对于合法经营者,只能让他们得到更多的保护。在实施过程中,一定会出现一些问题,相信立法部门会根据实际情况做出调整和补充。
