南財合規(guī)科技研究院研究員 王俊

對個人信息保護的立法呼聲越來越高，急需一部專門法律定分止?fàn)??！秱€人信息保護法》千呼萬喚始出來。

8月20日，《個人信息保護法》由第十三屆全國人民代表大會常務(wù)委員會第三十次會議通過，自2021年11月1日起施行。

南方財經(jīng)全媒體集團合規(guī)科技研究院借《個人信息保護法》落地之際，推出解讀報告《個人信息保護法企業(yè)合規(guī)啟示報告》。

該報告分為上下篇，本篇報道為報告上篇的拆解報道，聚焦《個人信息保護法》給企業(yè)帶來的信息處理模式變革。

個人信息自主權(quán)給企業(yè)帶來沖擊

一直以來，企業(yè)作為個人信息采集主體，在權(quán)利天平中占據(jù)絕對高地?！秱€人信息保護法》明確了在個人信息處理活動中個人的各項權(quán)利，包括知情權(quán)、決定權(quán)、限制權(quán)、拒絕權(quán)、查閱、復(fù)制權(quán)、可攜權(quán)、更正、補充權(quán)、刪除權(quán)。個人的權(quán)利地位得到很大的轉(zhuǎn)變，一改企業(yè)強勢、個人弱勢的局面，企業(yè)處理個人信息的邏輯需進行調(diào)整，面臨巨大的合規(guī)壓力。

既然個人享有一系列個人信息權(quán)利，也意味著平臺負有協(xié)同配合個人權(quán)利行使的義務(wù)。只要進行個人信息收集的企業(yè)都必須知道它們擁有哪些個人信息、存儲在何處、如何處理這些信息，以及與誰共享這些信息等，并需要根據(jù)用戶個人需求，靈活和準確地響應(yīng)數(shù)據(jù)主體訪問查詢、同意、更正、刪除、數(shù)據(jù)遷移等要求。

從技術(shù)角度來看，并非易事。

以簡單的查詢功能為例，用戶看似簡單的訴求，傳導(dǎo)到企業(yè)端需要進行極為龐雜的運作。RSA大會2018年的沙盒創(chuàng)新冠軍BigID最早只解決一個問題，對數(shù)據(jù)進行檢索歸類，指出信息是屬于哪個實體，簡單講就是告訴企業(yè)用戶收集的個人信息在哪里，目前該公司已估值10億美元。

市場端也給出了佐證。國際隱私專家協(xié)會（IAPP）發(fā)布的《隱私技術(shù)購買及部署情況報告》展示了歐盟《通用數(shù)據(jù)保護條例》（GDPR）等法規(guī)生效后，哪些產(chǎn)品正在被使用，哪些隱私技術(shù)被納入了購買預(yù)算。位居榜首的是數(shù)據(jù)映射和數(shù)據(jù)流，占24%。個人數(shù)據(jù)發(fā)現(xiàn)是計劃購買中第二高的類別，占23%?？梢钥吹?，了解組織擁有什么數(shù)據(jù)、數(shù)據(jù)位于何處、數(shù)據(jù)如何流動以及數(shù)據(jù)與誰相關(guān)，是在企業(yè)中創(chuàng)建隱私合規(guī)框架并幫助組織遵守法規(guī)(如GDPR)的基礎(chǔ)。

根據(jù)《福布斯》報告，GDPR讓美國財富500強企業(yè)多花費了78億美元合規(guī)成本，普華永道給出更明確的合規(guī)成本估計：68%的公司預(yù)計將花費100萬到1000萬美元。

單獨同意、刪除權(quán)等增加企業(yè)合規(guī)成本

《個人信息保護法》第二十三條要求：如果企業(yè)向第三方提供其處理的個人信息，應(yīng)向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。

三審過程中，不少委員提到這一規(guī)定不利于數(shù)據(jù)流動。對于企業(yè)而言，向第三方轉(zhuǎn)移個人信息必須通知個人并取得單獨同意，法律的合規(guī)成本較高，操作層面實現(xiàn)難度大。

此外，刪除權(quán)也給企業(yè)帶來不少壓力。

信息刪除權(quán)是指個人一定條件下能夠針對信息處理者提出刪除某些個人數(shù)據(jù)的權(quán)利。信息刪除權(quán)能加強保護個人隱私、防范風(fēng)險，并且作為調(diào)整個人與信息處理者力量差異的砝碼，消弭雙方之間不平等。

《個人信息保護法》明確賦予了個人刪除權(quán)利，擴大了個人行使刪除權(quán)的情形。對信息處理者課以更嚴格的義務(wù)，信息處理者應(yīng)當(dāng)主動或者根據(jù)個人的請求刪除，將相應(yīng)個人信息的刪除定位為經(jīng)營者應(yīng)當(dāng)主動履行的義務(wù)。

北京尚隱科技有限公司CEO張仁卓告訴21世紀經(jīng)濟報道記者，《個人信息保護法》和《數(shù)據(jù)安全法》落地后，為響應(yīng)法律，企業(yè)合規(guī)成本必然增加，部分業(yè)務(wù)需進行較大調(diào)整。人員、管理制度與流程構(gòu)建，由此產(chǎn)生的效率下降、業(yè)務(wù)重構(gòu)、管理系統(tǒng)的構(gòu)建以及運維成本等，將成為企業(yè)無可回避的支出。

南財合規(guī)科技研究院合規(guī)建議：《個人信息保護法》落地后，企業(yè)需建立完善的刪除實現(xiàn)機制。

目前信息處理者對響應(yīng)個人刪除權(quán)仍存在不足，刪除權(quán)是企業(yè)支撐個人行權(quán)的難點之一。

在個人自行操作刪除個人信息的情形下，企業(yè)應(yīng)當(dāng)闡明個人信息刪除權(quán)的實現(xiàn)機制，展示具體示例來輔助個人操作。進一步完善隱私政策及呈現(xiàn)方式，對涉?zhèn)€人信息刪除權(quán)的內(nèi)容根據(jù)重要性對字體、格式、注釋等作出調(diào)整，后臺設(shè)置顯著、明晰的流程指導(dǎo)、服務(wù)個人行使刪除權(quán)。

完善風(fēng)險評估。個人信息的刪除涉及場景多，除了個人自身以外，可能涉及其他利益主體。企業(yè)需仔細研判其中的法律風(fēng)險，設(shè)計合理的評估機制，在信息處理各流程中識別風(fēng)險，積極響應(yīng)。

個人申請刪除個人信息后，企業(yè)數(shù)據(jù)處理的合法性基礎(chǔ)不復(fù)存在。如刪除難以實現(xiàn)，運營商是否繼續(xù)存儲全部或部分個人信息、是否匿名化處理繼續(xù)存儲的信息及其安全保障程度、徹底刪除個人信息的期限和程序等，均需做出后續(xù)處置說明。

算法面臨強監(jiān)管

算法是數(shù)字平臺處理海量個人數(shù)據(jù)、繪制個人畫像、精準定價與個性化推送的“生產(chǎn)工具”，已經(jīng)成為平臺運行的核心動力。

北京科技大學(xué)文法學(xué)院副教授張凌寒撰文稱，隨著十余年平臺經(jīng)濟的高速發(fā)展，算法自動化決策的濫用與倫理缺失的累積危害已經(jīng)進入了顯現(xiàn)期。

《個人信息保護法》從一審稿到成文，在不斷強化對自動化決策的規(guī)制，回應(yīng)了社會關(guān)切。

《個人信息保護法》要求“不得對個人在交易價格等交易條件上實行不合理的差別待遇”，或指向近年來備受關(guān)注的“大數(shù)據(jù)殺熟”。利用算法進行“不合理的差別待遇”被法律禁止，信息處理者義務(wù)增強。

此前，我國已從反壟斷的制度框架下對歧視性定價問題進行了規(guī)范。《反壟斷法》第十七條規(guī)定，禁止具有市場支配地位的經(jīng)營者沒有正當(dāng)理由對條件相同的交易相對人在交易價格等交易條件上實行差別待遇。

《個人信息保護法》增加了“大數(shù)據(jù)殺熟”條款，進一步豐富了對歧視性定價問題的規(guī)制路徑。中國信通院互聯(lián)網(wǎng)法律研究中心高級研究員楊婕表示，按照《個人信息保護法》的規(guī)定，無論個人信息處理者是否具有市場支配地位，只要個人信息處理者利用個人信息進行自動化決策，對個人在交易價格等交易條件上實行不合理的差別待遇，就是法律所禁止的行為。

一審稿中要求“個人認為自動化決策對其權(quán)益造成重大影響的，有權(quán)要求個人信息處理者予以說明”?！皞€人認為”依賴于個人對算法的警惕與自主意識，不同人的認知差可能會導(dǎo)致該條款的約束性不足。此后二審稿刪除“個人認為”這一表述，把責(zé)任主體轉(zhuǎn)移到了信息處理者身上。

《個人信息保護法》還明確，在決策對個人權(quán)益造成重大影響時賦予個人主體拒絕權(quán)，“向個人提供便捷的拒絕方式”。不僅賦予個人主體拒絕權(quán)，并且需提供“便捷”的拒絕方式，對信息處理者有較強的制約。

《個人信息保護法》將平臺算法治理時點前移，治理手段升級，相關(guān)義務(wù)增加，初步確立了算法問責(zé)制的基本框架。算法透明和算法公平，不僅是道德層面的要求，亦是法律義務(wù)。

南財合規(guī)科技研究院合規(guī)建議：

目前，基于算法自動化推薦而提供個性化信息內(nèi)容服務(wù)已然逐漸成為各類App“標(biāo)配”，為了更多樣化地滿足各類用戶的使用需求，追求定制化、獨特性的移動互聯(lián)網(wǎng)應(yīng)用，必須依賴于“用戶畫像”等類似技術(shù)實現(xiàn)數(shù)據(jù)驅(qū)動與用戶增長，培養(yǎng)流量黏性。

企業(yè)需進一步完善自己的隱私政策，告知個人信息的收集會被用于用戶畫像和個性化展示，并征得用戶的同意，充分保障用戶知情權(quán)。在正式進行自動化決策前，應(yīng)當(dāng)就自動化決策的透明和公平性做好充分說明。

隨著用戶自主控制權(quán)提升，《個人信息保護法》要求信息處理者需提供“便捷”的拒絕方式，這也意味著企業(yè)需優(yōu)化相關(guān)設(shè)置，包括提供直觀的關(guān)閉和退出選項、在用戶選擇退出后對相關(guān)個人信息進行刪除、提供相應(yīng)的投訴機制。

企業(yè)進行自動化決策，需遵循目的明確和最小化處理原則。2021年3月正式出臺的《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》，個性化推薦所依賴的“設(shè)備信息、廣告標(biāo)識符”等并未作為必要個人信息類型予以規(guī)定，“最小化處理原則”是自動化決策的重要原則，企業(yè)應(yīng)遵循該原則進行信息處理。