“法律法规对隐私权和个人信息权关系的界定,将很大程度上影响到法律的适用。”在日前举办的“聚焦数据保护新热点,共探数据治理新思路”论坛上,中国社会科学院法学研究所副所长周汉华表示,国内立法中,对个人信息保护的重视是逐步形成的。2017年正式实施的《网络安全法》将个人信息保护纳入为重要部分。今年施行的《民法典》则在人格权篇将隐私权与个人信息保护写为一章。这意味着,隐私权和个人信息权开始被交织在一起,这样的规定极大增加了法律适用的不确定性。
《个人信息保护法(草案)》《数据安全法(草案)》已于4月末提请了二次审议,这两部备受公众关注的法律进一步强化了超大型互联网平台的个人信息保护义务、明确了重要数据的规管要点,并对数据处理者提出了更高要求。北京大学法学院教授、法治与发展研究院执行院长王锡锌分析,“告知—同意”规则代表个人有知情和决定的权利。知情权的核心建构了一套“企业等个人信息处理者处理个人信息的合规规则”。个人有权利要求企业告知自己,要处理自己的哪些信息以及为何处理等,而决定权的核心是个人对个人信息处理者行为的控制。在他看来,个人的决定权如何行使是未来的核心问题。
法律如何既保护普通人的权利,又不过分限制企业的创新发展,也是个人信息保护的一大难题。中国信息安全研究院副院长左晓栋认为,从数据安全顶层设计的角度来看,一些规则的设计很可能会限制部分新业态的发展。最典型的就是互联网广告业。近期,苹果公司在其生产的硬件中采取隐私新规,要求App经用户同意后才可以获取广告标识符,以此来保护用户个人信息。
左晓栋指出,“一刀切”地禁止App获取标识符,可能会给互联网广告业带来毁灭性打击。因为互联网广告大多基于用户数据形成用户画像来推送,而广告也是许多互联网公司的主要收入来源。“同一个问题,在不同场景下会出现不同取向的讨论。但顶层设计必须将这些不同的方面都考虑进去,寻求一个可以最大程度平衡各方利益的解决方案。”左晓栋说。
中国网络安全审查技术与认证中心高级工程师樊华表示,当前移动网民数量迅速增长,移动互联网应用程序由于其便捷性、普惠性、及时性被民众广泛应用,在促进经济社会发展、服务民生等方面发挥了重要的作用。但与此同时,App强制授权、过度索权、超范围收集个人信息的现象普遍存在,个人信息泄露、滥用等情形时有发生。“监管部门很重视这个问题,为保障个人信息安全,维护广大网民合法权益,从2017年开始就组织开展了个人信息保护相关工作。”樊华指出。
近年来,随着人脸识别等技术的发展和应用,网民在享受着人脸技术带来的便利时,保护个人信息和数据安全的呼声渐涨。国民认证科技(北京)有限公司首席架构师李俊建议,应在管理层面形成事前、事中、事后的闭环。在事前评估是否有使用人脸识别的必要;实施过程中,应符合公开透明原则,切实按照所制定的保护政策来执行;事后当数据主体要求撤回授权或不再享受服务时,应及时进行删除、匿名化等处理。生物特征终身不变,无法撤销更换,一旦丢失后果非常严重。“我们需要针对生物特征系统的生命周期来实施隐私工程,从技术和管理的角度采取措施,保护生物特征的隐私安全,消除用户的担忧。”李俊说。