freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

落地《个人信息保护法》 直面数字化时代的困难与挑战
2021-08-27 15:20:59

在广泛的关注和期待之中,全国人大常委会终于在2021年8月20日审议通过了《个人信息保护法》(下称“《个保法》”),中国的数据保护立法又向前迈出了坚实的一步。在社会各界充分肯定此次立法的成果,并广泛开展法律宣传和教育的当下,我们也应当同时关注法律的具体实施,并向立法目标逐渐靠拢。纵观整部《个保法》并结合中国个人信息保护的现状,笔者认为,在落实并执行《个保法》的过程中仍然将面对不少的困难和挑战,值得一起思考与讨论。

一般而言,某项新的法律制度的演进分为几个过程,即:立法、执法、守法(合规)、诉讼/个人权利行使 、修法(释法)。类似一个新产品,在此过程中不断循环、打磨、碰撞、升级并完善,逐渐形成一个相对稳定的状态,达到预期效果。

《个保法》作为数字化时代,规范及保护个人信息的崭新的法律制度,完成立法只是一个开端,即将经受社会实践的重重考验。这些挑战包括:

从粗放走向精细化的立法路径

适应数字经济的监管模式

不确定时代的企业合规

个人信息权利的行使与制衡

规范的持续迭代与更新

挑战一:从粗放走向精细化的立法路径

与其他网络、信息与数据相关的立法一样,《个保法》也无法绕开技术和标准的问题。一方面,从立法的定位、策略与技巧看,作为底层的基本法需要建立个人信息法律保护的框架、基本规则、各方权利义务及法律责任等内容。另一方面,一些过于原则和抽象的表述,可能无法满足业务实践,需要大量的规则、标准进行补充和细化,如:关于自动化决策的透明度与公正性的规范;还有一些规则和办法长期处于“征求意见”状态,何时转正或修订落地,也是悬而未决的问题。如:个人信息出境安全评估、个人信息安全影响评估。

显然,立法机关也意识到进一步补充规则、标准的重要性和紧迫性,并在《个保法》第62条,罗列了下一步主要工作的计划,值得期待:

1、制定个人信息保护具体规则、标准;

2、针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;

3、支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;

4、推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;

5、完善个人信息保护投诉、举报工作机制。

挑战二:适应数字经济的监管模式

与欧盟与美国的执法模式不同,在个人信息保护领域,中国尚未设置统一的数据保护机构,而是将相关机构统称为“履行个人信息保护职责的部门”。网信办、工信部、公安部、市场监督管理局等都有相应的管理权限,而“九龙治水”的模式是否会对未来的监管效果带来隐患,或是在不久的将来监管机构内部实现分工优化,让我们拭目以待。

从国家安全等因素考虑,《个保法》保留了不少类审批事项,如:个人信息出境的安全评估、向境外执法机构提供境内的个人信息、应用程序的测评、信息处理活动的合规审计等。企业普遍比较关心或担忧的是,这些监管行为的效率,以及规则的透明度、公正性等。

更需要注意的是,数字经济的业务形态已经发生了巨大的变化,一些数据业务的全球性和不间断性的特点,要求监管方式与时俱进,不断优化和智能化。传统的审批模式,无疑是不能满足现实的社会需求的。

挑战三:不确定时代的合规

密集出台的数据法律法规,给不少企业带来了巨大压力。一些从业者惊呼,全面合规、完全合规似乎成为了一项不可能完成的任务:

1、法律叠加适用下的合规压力。一些企业需要同时面对《个保法》、数据安全法、网络安全法、关键信息基础设施管理条例,还有一些行业的特别规定,如:汽车数据安全管理若干规定,以及一堆国标、行标、征求意见稿。

2、中外监管的博弈和冲突。对于一些中概股公司,需要同时面对中美监管机构的压力,在审计底稿、跨境数据流动、信息披露等方面的风险尤为突出。滴滴事件后,中国在国家(数据)安全和信息安全主体责任方面连续出台一系列政策,将网络安全审查作为部分国外上市项目的强制性义务。数据安全政策,已成为中概股公司最大的不确定性因素。

3、合规标准的不确定性。如前所述,一系列补充规则、标准正在制订中,第三方的个人信息保护评估、认证社会化服务体系尚未建立,企业的合规标准仍待细化,合规能力有待第三方验证及外化。在目前的情况下,企业无法实现合规标准的锚定,也无法全面准确评估合规性。

4、监管及处罚标准的不确定性。在自身合规的背面,是企业与监管机构之间的互动。然而在《个保法》实施中,企业可能会产生一系列的疑问,如:与哪个监管主体沟通?如何寻求合规指导和帮助?其解释的权威性、准确性如何?执法的具体标准、时限如何把握?如果处罚不合理,企业如何维护自身的合法权益?尤其是在最高达到5000万元以下或者上一年度营业额百分之五以下罚款的威慑下,若监管政策的透明度和确定性不能尽快解决,企业将长期处于焦虑之中。

挑战四:个人信息权利的行使制衡

与欧盟GDPR类似,《个保法》下个人信息主体享有广泛的权利,包括:知情权、决定权、查阅和复制的权利、携带权、要求更正及补充的权利、删除权、请求解释权、诉讼权等。

站在企业角度,如何控制成本、规范流程,通过技术+人工手段以及时响应用户需求都是不小的挑战。其他问题还包括,技术上的障碍、不同规则之间的冲突、监管与业务需求的冲突、权利被滥用的风险等。

挑战五:规范的持续迭代更新

法律制度的活力在于不断实践,通过法律解释、指南、修订、处罚公示、公民诉讼、司法判例、行业最佳实践、年报、白皮书等不同方式,全面促进个人信息保护的深化和升级。

这些海量的、艰巨的任务仅仅依靠监管机构是不可能独立完成的,应当鼓励、动员更多的民间力量共同参与,如:研究机构、技术公司、行业协会、标准化组织、企业代表等。他山之石,可以攻玉。在欧盟、美国的数据治理过程中,我们可以频频看到国际标准化组织(ISO)、欧盟数据保护委员会(EDPB)、法国国家信息自由委员会(CNIL)、美国国家标准技术研究所(NIST)的身影。虽然中国已经制定了一批国家标准、行业标准,特别是以中国信息通信研究院为代表的智库发挥了积极的作用,但是相关文献的宣传、普及、应用及实施效果仍有待提高。

意大利法学家贝卡利亚曾经说,“法律的力量应当跟随着公民,就像影子跟随着身体一样。”

《个保法》关系到我们每一个人,它在新时代赋予了公民个人信息权利和力量。在迎接新挑战和不断发展完善的过程中,《个保法》必将促进个人信息的合理利用,推动中国数字经济的健康、有序的发展。

【作者简介】

娄 鹤    律师

注册信息安全专业人员(CISO)

注册数据保护工程师(CDPSE)

中国国际商会(ICC) 数字经济委员会委员,网络安全工作组专家

联系方式:louhe@deheng.com

本文作者:, 属于FreeBuf原创奖励计划,未经许可禁止转载

# 数据安全 # 个人信息保护 # 个人隐私保护
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑