个人信息保护与数据合规（上）

2021-06-15

近十年来，大数据正在被各行各业进行广泛性和体系性研究使用。业界认为，最早提出“大数据”到来并成为重要生产要素的是全球知名咨询公司麦肯锡。其于2011年发布了题为“大数据：竞争、创新和生产力的下一个前沿”的报告。《纽约时报》也曾在2012年的一篇专栏中写到：“海量数据时代已经降临，在商业、经济及其他领域中，决策将日益基于数据和分析作出，而非基于经验和直觉。” 大数据正日益成为政府以及各行各业创新和发展的重要驱动力。

大数据时代已来，且应该只是一个开始。

大数据时代初期，有企业曾提出“以隐私换取便利”的说法，引起很大争议。但个人信息终究是有主人的，随着人们权利意识的提高、政府对数据立法的推进，数据合规才是正道这一说法已经逐步成为共识。个人信息作为大数据的重要组成部分，在其被使用的过程中，应当如何决定个人权利保护、生活便利和经济发展之间的优先级？

麻省理工大学亚历克斯·彭特兰（Alex Pentland）教授提出，个人信息保护应遵循三个原则：1.人们有权拥有自己的个人信息；2.人们有权完全控制个人信息的使用；3.人们有权决定个人信息的存续与否和传播范围^[1]。无独有偶，欧盟法院在“冈萨雷斯诉谷歌”一案中支持了个人信息的“被遗忘权”，即人们有权要求掌握数据的公司删除个人信息。窥一斑而知全豹，在大数据时代，对个人信息的保护和对个人意志的尊重才是时势所趋。

然而，现实中大量数据处在权属不明、使用不当的境况中，个人信息也正被持续侵犯。政府已注意到数据保护所面临的危机，并逐步加强数据立法。本文将从个人信息着手，简要回顾个人信息保护的历史成因和现实需求，探讨大数据时代个人信息使用的合法性来源，最终回归到企业为什么以及如何做好数据合规。

一、个人信息保护的现实需求

我们正身处第四次智能化工业革命的浪潮之中。第一、二次工业革命将人们带入了机械化、电气化时代，而第三次工业革命以电子计算机的应用为代表，实现了生产方式的自动化，并为现在以人工智能、无人驾驶为代表的智能化工业革命奠定了坚实的基础。与前几次工业革命不同的是，本次社会变革不再主要由机器或能源驱动，而是大部分基于数据的收集与使用。在这一进程中，个人信息首次站在了数据的中心位置，大量数据被持续地从人这一端向外界传输，而基于个人信息的大数据分析和应用，推动了各种新型商业模式的发展。

例如商场通过会员购物清单数据分析，将不同品牌喜好的会员进行分类，从而推广个性化广告，实现了精准营销。再如某服装快消企业通过整合线上线下的用户需求、设计偏好、货品上下架和退货率等信息，打通了生产端和消费端的信息壁垒，将数据作为设计、生产、分区销售的指引，实现了顾客需要什么，企业就生产什么，顾客需要多少，企业就生产多少的良性局面，降低了库存率的同时提高了利润率。

然而在个人信息合理商业使用的背面，是大量个人信息被侵害的现实。自2021年5月至今，国家网信办官网已依法发布四次共计351款人们日常使用的App违规收集使用个人信息的通报，主要情形包括违反必要原则非法获取、超范围收集、过度索权等侵害个人信息的不法现象。所涉行业范围极其广泛，包括运动健身、新闻资讯、网络直播、女性健康、网上购物、学习教育、婚恋相亲、短视频、浏览器、求职招聘、输入法、地图导航、即时通讯、安全管理、网络借贷等类型常见、公众大量使用的App，通报内容部分摘录如下：

类似情形可谓触目惊心。由此可见，一方面，具有极强人身属性的个人信息在这一历史进程中成为商业发展的重要资源；而另一方面，个体传统的安全领域正被肆意侵入，普罗大众作为个人信息的主人，当发生数据滥用、数据泄露事件时，私人领域受侵犯的感觉将尤为强烈。面对这样的现实，个人信息保护不仅必须，而且迫切。

二、个人信息使用的合法性来源

个人信息从权属上看属于人格权还是财产权？这终归是一个需要正视的问题。

虽然商业对个人信息的需求越发迫切，使得个人信息的财产属性愈发显著，但个人信息不能脱离其人身属性而单独存在。因此，于理，作为个人信息的主人，个人信息主体的同意和授权是企业使用个人信息的依据；而于法，我国目前已经建立起基于个人信息主体“知情同意”框架下的保护规则，除法律另有规定外，应在个人信息的收集、存储、使用、加工、传输、提供和公开等过程中获得个人信息主体的同意，因此，企业获得知情同意，是企业使用个人信息的合法性来源。

然而获得同意并非一劳永逸，企业必须根据个人信息使用的授权范围开展处理活动，一旦涉及超越权限的活动，应当另行获得同意。例如App用户仅授权手机号作为注册信息的，一旦App运营者欲将该手机号传输至第三方用于营销，需要另外获得授权。

此外，如果个人信息主体希望收回以往的授权，信息处理者应当依法提供便利的途径予以处理。那收回授权是否构成违约？我们认为，基于“知情同意”框架下的个人信息权利让渡可以“撤回”。一方面，随着技术和商业模式的快速更迭，个人信息主体在信息收集初始阶段作出的“知情同意”可能已经不符合对产品的最初认知，或其未能清晰判断并承受权利让渡的后果；另一方面，虽然《民法典》和《网络安全法》仅规定了在企业违法或违约处理个人信息情形下的删除权，但目前《个人信息保护法》（二审稿）已经对权利范围进行了扩张，增加了无理由撤回同意的相关条款^[2]。同时，从法理上探究，对同意进行撤回更多基于人格权而非合同领域的意思表示，是人格自治的重要体现。因此，即便在人格权商业化使用的合同关系中，也应当充分保护人格权自决的基本权益。除法律另有规定外，不应当过多限制“同意撤回”的适用场景。这种做法也与国际通行的“被遗忘权”相契合。

放眼世界，虽然各国/地区对于个人信息使用的立法细节存在差异，但均突出对个人信息主体自由意志的尊重，将个人信息主体的权利让渡作为个人信息使用的合法来源。与我国立法相似，对于个人信息的保护方式，欧盟《通用数据保护条例》体现在“选择加入”机制的运用，个人信息主体的“同意”是企业处理数据的重要依据^[3]；而美国《加州隐私权利法案》则采取“选择退出”的方式落实个人意志，个人信息主体有权要求企业停止向第三方出售其个人信息^[4]，可见，个人信息保护的起点在于尊重个人信息主体的意志，这一点已经逐步成为各国共识。

三、为什么企业需要数据合规

除诸多国家对个人信息保护建立了法律框架，要求企业合法合规使用个人信息的原因外，企业开展数据合规的重要理由还包括个人信息的实际使用场景极其复杂、数据安全事件影响甚大、数据资产保护越发重要等。

以人脸识别场景为例，宁波房企通过人脸识别系统识别到访客户，以此遏制中介骗取佣金的行为已经被市监局叫停并罚款^[5]。这即是数据合规不到位的表现。虽然房企已在售楼处张贴标识提示人脸识别区域，但该合规措施并未达到“知情同意”的标准。再如影响甚大的国泰航空事件，由于国泰航空的系统安全缺陷众多，导致全球940万名乘客数据遭到泄漏。这一事件中，虽然国泰航空公司是香港公司，但由于受到影响的个人信息主体遍及全球，其中包括英国乘客，因此受到了英国信息专员办公室（ICO）依据英国《数据保护法》作出的高额罚款。这一方面体现了数据保护并不是简单的纸面文章，而是需要企业网络运行安全和网络信息安全相结合的综合内控活动；另一方面则体现了数据合规可能涉及多法域和多监管部门。因此，不论从深度还是广度而言，个人信息合规都是一个复杂且耗时耗力的活动，但在应对巨额罚款和企业发展的两面需求下，又是不得不重视的合规领域。

同时，除个人信息外，企业还有其他数据资产需得到数据合规活动的规范。以智慧车辆为例，一方面，为便于自动驾驶，车辆会载入地图数据，收集周围环境、天气、路况等信息，这可能涉及到测绘数据，从而落入国家秘密的保护范畴。另一方面，自动驾驶过程中车企掌握了车辆操作数据，这事关交通事故的成因分析，从而影响责任主体和责任比例的判断。因此，不论是为了合法合规还是为了划清企业责任、助力企业发展，如何收集、使用、共享数据都是企业数据合规的重要议题。

在现今数据立法仍在进行时的背景下，企业如想基于数据获得发展，必须思考如何通过合理的数据合规项目识别并规避风险。比如主动对企业的数据资产进行类型梳理，根据数据的来源、性质、用途和使用场景施以合法合理的保护措施；通过差异分析等方法逐一识别合规风险点，通过查缺补漏，逐一满足各项法律要求，例如制定并更新隐私政策、设置网络安全负责人，限制产品违法违规使用个人信息等；通过技术手段实现对数据的高效、创新性使用，例如使用大数据进行用户画像分析，工业控制系统的建立和升级等。

下篇将会着重数据合规内容和方法论进一步作出阐述。

参考文献：

[1]1.You have the right to possess data about yourself; 2. You have the right to full control over the use of your data; 3. You have the right to dispose of or distribute your data. Alex Pentland, (2014), Social Physics, How Good Ideas Spread - The Lessons from a New Science. New York, The Penguin Press.

[2]《中华人民共和国个人信息保护法（草案二次审议稿）》第四十七条第一款第三项规定：“有下列情形之一的,个人信息处理者应当主动或者根据个人的请求，删除个人信息：(三)个人撤回同意。”

[3]《通用数据保护条例》（General Data Protection Regulation, GDPR）Article 6 Lawfulness of processing: 1. Processing shall be lawful only if and to the extent that at least one of the following applies: (a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes.

[4]《加州隐私权利法案》（California Privacy Rights Act, CPRA）1798.120. Consumers' Right to Opt-Out of Sale or Sharing of Personal Information: (a) A consumer shall have the right, at any time, to direct a business that sells or shares personal information about the consumer to third parties not to sell or share the consumer's personal information. This right may be referred to as the right to opt-out of sale or sharing.

[5]宁波市市场监督管理局甬市监处〔2021〕17号、甬市监处〔2021〕18号、甬市监处〔2021〕20号行政处罚决定书。https://www.zjzwfw.gov.cn/zjzw/punish/frontpunish/detail.do?unid=330200012021030011&webid=16&guid=330200012021030011

本文作者：

指导合伙人：

声明：