(原标题:南财《个人信息保护法企业合规启示报告》3:超大型平台责任加重 业务发展伴随合规驱动)
南财合规科技研究院研究员张雅婷王俊
8月20日,《中华人民共和国个人信息保护法》由第十三届全国人民代表大会常务委员会第三十次会议通过,自2021年11月1日起施行。
纵观个人信息保护法立法路程,走过近二十年。这期间,互联网高速发展,大数据时代来到。伴随着高频、高速、高密度的数据交流传输,作为原材料的个人信息滥用问题相伴而至。
对个人信息保护的立法呼声越来越高,急需一部专门法律定分止争。个人信息保护法千呼万唤始出来。
南方财经全媒体集团合规科技研究院长期关注个人信息保护议题,持续跟踪报道立法进程、监管动态、公众呼声。借个人信息保护法落地之际,推出解读报告《个人信息保护法企业合规启示报告》。
该报告分为上下篇,上篇“个人信息处理新变局”梳理立法路径与模式,聚焦个人信息处理逻辑的转变,下篇“企业合规风险研判”则将目光放到企业合规的重点与难点,以及新的信息处理机制在数字经济发展中面临的新挑战。中国社会科学院法学研究所副研究员、中国法学会网络与信息法学研究会副秘书长周辉为报告的学术指导。
本篇报道为报告下篇的拆解报道,聚焦个人信息保护法给超大型互联网平台带来的信息处理模式变革。
超大型平台责任加重
个人信息保护法第五十八条首次从法律层面明确提出加强超大型互联网平台个人信息保护义务的要求,强调个人信息治理要多方参与,增加独立第三方的制约,同时要有更高的透明度,以强化对超级平台的监督。
第五十二条的要求一定情况下同样适用于超大型互联网平台。处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。应当公开个人信息保护负责人的联系方式,并将其姓名、联系方式等上报。
在个人信息保护法二审稿时,“重要互联网平台服务”被表述为“基础性互联网平台服务”。当时,学界引入“守门人”概念,作为理解“基础性互联网平台服务”的参考。
21世纪经济报道此前报道,中国人民大学法学院教授张新宝曾表示,将“守门人”界定为“控制关键环节,有资源赋予其他个人信息处理者处理个人信息能力的互联网运营者”,主要包括应用程序的分发平台,比如苹果、谷歌、华为、腾讯、百度等;提供系统权限供APP调度的操作系统,比如苹果的iOS、谷歌的安卓、华为鸿蒙系统等;以及搭载小程序的大型APP,省略用户下载、安装、注册、卸载APP的过程,实现即点即用。
2021年8月,国务院公布《关键信息基础设施安全保护条例》,作为《网络安全法》的重要配套法规,对关键信息基础设施范围认定、运营者责任义务等进行规定。
由于关键信息基础设施,包括公共通信和信息服务等重要行业和领域的网络设施、信息系统,而大型互联网平台用户规模普遍在亿级以上,掌握海量个人信息和重要数据,一旦遭到破坏或者丧失功能、发生数据泄露,危害程度不亚于传统行业,有可能被纳入关键信息基础设施的范围。
当前,数据和流量成为网络市场竞争的关键要素,大型互联网平台及平台内普通经营者都可能通过滥用个人信息不当获利。从实践情况来看,平台实施的限制行为隐蔽性强,给监管执法增加了难度。
基于这些现状,相较个人信息保护法草案二审稿,个人信息保护法增加了大型互联网企业制定有关个人信息保护的平台规则时,应当遵循公开、公平、公正的原则对待平台内经营者。为进一步压实平台的主体责任,还增加了明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。
增加独立第三方的制约
成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督,是为了应对大型互联网平台拥有的海量数据,以及民众在使用产品和服务、维权过程中所面对的数据壁垒和业务不透明情况所设定的。
外部人员组成的独立机构,突出外部性和独立性,更能保证客观公正。北京师范大学网络法治国际中心执行主任吴沈括认为,将有助于提高企业在产品和服务的设计过程中对于各方利益诉求的事先考虑及平衡。对于消费者而言,外部监督的存在对用户权益的维护,尤其是在维权渠道的畅通性有更好助力。
如何保持外部机构的独立性,还待进一步明确。政府后续或颁布相应规定,对参与该独立机构外部成员的任职资格、义务规范和法律责任等作出要求。清华大学法学院副院长、教授程啸曾向21世纪经济报道记者表示,“独立机构”类似于上市公司设立独立董事。
个人信息保护社会责任报告,同样是法律层面首次明确提出的要求。通过定期发布报告对外披露信息,提高中立性和透明度,使平台及机构均接受更广泛的外部社会监督,避免个人信息在平台算法的“黑匣子”中仍存在被不当采集和不当利用的可能性。
与之相类似的企业探索,为部分企业如腾讯、蚂蚁金服、中兴、华为云等发布过的《隐私保护白皮书》。国外也有谷歌、苹果等科技公司发布《透明度报告》。
南财合规科技研究院建议:
1.转变经营理念,业务发展伴随合规驱动
2020年《网络安全审查办法》通过后,“滴滴出行”APP2021年7月被启动网络安全审查被下架,此后出台的《网络安全审查办法(修订草案征求意见稿)》将数据处理活动纳入网络安全审查范围。
尽管个人数据的取得、加工、分析已经成为互联网驱动企业获得竞争优势的关键,但作为超大型平台,其网络、数据安全已经涉及到了国家安全领域,将直接关系到业务发展乃至企业生存,不能忽视存在的网络安全隐患和管理漏洞而去片面重视追求经济效益,未来通过违规收集用户个人信息以此进行“大数据分析”“千人千面”等间接牟利行为不可取。
2.在顶层设计上构建有效的合规体系
设置专门安全管理机构。重新审查企业内部治理结构、规章制度、人员管理等方面存在的问题,制定可行的合规管理规范,健全合规风险防范报告机制。超大型平台除须履行个人信息保护法的合规义务外,还应注意《关键信息基础设施安全保护条例》等法规项下的合规义务。对专门安全管理机构负责人和关键岗位人员进行安全背景审查,以此确立问责制度合规框架。实践中,曾有不少企业因未确定网络安全负责人而被工信部和公安机关处罚。
设置个人信息保护负责人如首席数据官、隐私官等专有岗位,建立公开的联系方式,并将其姓名、联系方式等上报监管部门。当前,已有头部企业搭建个人信息保护合规体系。中兴通讯已建立合规管理委员会并设置专职数据保护官,蚂蚁金服设立首席隐私官并成立隐私保护办公室,小米成立信息安全与隐私委员会统筹集团的信息安全与隐私保护工作。
定期发布个人信息保护社会责任报告,内容可以包括公司在个人信息保护顶层设计上的安全战略、合规体系、安全措施、处理安全事件情况等;在合规共建层面,可以聚焦客户、供应商、合作伙伴,同时提升用户参与度,如对用户的普法教育、用户权益主张的响应情况等;在社会实践助力层面,介绍相关安全研究应用、参与立法讨论、举办个人信息保护活动等。
3.强化业务链条风险控制
超大型平台大部分可被纳入关键信息基础设施,其供应链曾被网信办重点关注。由于涉及网络产品和服务从无到有再到废弃的整个生命周期,不仅包含传统的生产、仓储、销售、交付等供应链环节,还延伸到产品的设计、开发、集成等生命周期,以及交付后的安装、运维等过程。特别是在供应链全球化和市场全球化的背景下,供应商和客户分布于世界不同的国家,企业还将注意落实国外相关法律法规的要求。
4.发挥平台资源优势,助力行业规范
由于超大型平台控制个人信息处理的关键环节,为其他企业提供个人信息的处理通道、空间、技术等资源。应发挥资源优势,对平台内制定个人信息保护标准的准入规范,拒绝不达标的企业使用其服务,同时利用必要的技术手段进行监督,建立相关的投诉机制和投诉受理处置机制。在净化行业信息安全的同时,促进企业自身的良性发展。
本文网址:http://www.78099.cn/gulouqu/195471.html ,喜欢请注明来源河南开封新闻网。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。