中国将引领数据隐私安全的新时代

2020-09-21 18:27
作者:
来源:

2020年5月28日,第十三届全国人大三次会议表决通过《中华人民共和国民法典》,《民法典》注重平衡个人信息保护与信息利用之间的关系,在加强对数据及个人信息保护的基础上支持各主体合法、合理、有序推进数据流动及处理,助推大数据建设。下面我们来看看励讯集团首席数据隐私官迈克尔.兰姆先生如何评价中美欧数据隐私的保护政策。


1
励讯集团首席隐私官迈克尔.兰姆(Michael Lamb)

迈克尔.兰姆(Michael Lamb),励讯集团首席隐私官,此前曾担任励讯集团旗下子公司律商风险法律总顾问。在加入励讯之前,迈克尔.兰姆曾在AT&T(美国电话电报公司)担任首席律师,并且出任该公司第一任首席隐私官。迈克曾参与美国国会和美国联邦贸易委员会关于隐私问题的研讨会和听证会。他曾在布鲁塞尔、华盛顿和圣迭戈的IAPP(国际隐私权专家协会)的隐私会议上发表关于欧洲隐私法规的讲话。在新加坡隐私监管机构年度会议以及数据保护和隐私委员会全球会议上,他曾作为受邀嘉宾发表演讲。

2
近年来,中国不断致力于完善数据隐私管理机制以满足日益变化的社会需求。一方面要确保电商平台和数字通信用户的隐私安全得到保护,另一方面,企业需要明晰的政策规范指导,告诉他们应该如何收集和使用数据。为了满足以上两点需求,中国政府持续推出了多项针对数字市场的隐私保护法律法规和标准。
根据在欧洲和美国数据隐私保护领域的经验,我认为过于严格的隐私保护政策有时反而无法保障百姓和社会公众的利益。在这一点上,中国现在有机会从其他国家犯过的错误中吸取经验,少走弯路。例如:隐私保护规范应当以“数据的合理使用”为前提。也就是说,政策制定的初衷应该是为了让企业更自由的将个人数据用于明确合法的用途,以便更好的保护公民隐私、服务公共利益。
基于这个初衷,我认为法律在规定侵犯隐私权所承担的责任中应该对企业在以下两种情况下使用个人数据做例外规定:
  1. 为满足企业阻止或调查犯罪的需求;

  2. 为满足企业合规需求(或协助他人遵守法律)。

这个建议看上去理所当然,但1月份美国开始生效的《加州消费者隐私法案》中则允许犯罪分子从商业服务中“选择退出”其个人信息,而这些商业服务往往是为了预防或调查诈骗等犯罪行为而设的。
3
相比之下,欧盟在平衡保护隐私与合理使用数据方面有更好的方式,欧盟隐私法案中包含了“合法权益”的相关概念,其中规定,如果是为了预防犯罪等重要目的,即使当事人没有同意,其个人数据也可以被使用。
我们再来看中国的情况,根据此前颁布的《中华人民共和国网络安全法》的规定,获得用户同意是收集使用个人信息的唯一法律基础*。而在2020年5月28日全国人大第三次会议上表决通过的《中华人民共和国民法典》中,情况则有所改变。《民法典》允许个人信息处理者为保护公共利益采取合理的行动,即便是在没有获得用户同意的情况下。这意味着即将在2021年1月开始实施的《民法典》极大地拓宽了个人权力和个人信息保护的范畴。除了获得用户授权之外,《民法典》还规定了其他处理个人信息的法律基础,从而提升了对数据进行合理使用的能力,并对例外情况——即不需要获得用户授权即可处理个人信息的情况进行了详细规定。根据《民法典》第1035条,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;

《民法典》同时还规定,行为人在“为维护公共利益或者该自然人合法权益,合理实施的其他行为”的情形下处理个人信息,不承担民事责任(第1036条): 

(一)在该自然人或者其监护人同意的范围内合理实施的行为;

(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;

(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。

相信在未来,中国政府还会对哪些行为可以被理解为“为维护公共利益实施的行为”做进一步的解释和规定。我们期待用于预防欺诈和其他形式犯罪的个人信息处理可以被列为上述例外情形之一,即无需征得用户同意即可处理。
我认为中国新诞生的《民法典》中对于授权同意的免责条款无疑是一项开明之举,确保了企业能够使用个人信息更好地预防欺诈,并在服务中保护用户的信息安全。在励讯集团,我们开发包含个人信息的相关服务时始终执行严格的数据安全标准。《民法典》中的这一规定将为像我们这样的企业更好地发挥数据技术防范欺诈能力,服务公共利益奠定了良好的基础。
索引:
中华人民共和国网络安全法第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。