数据合规和个人信息保护在这两年备受关注,随着工信部自2019年起对APP侵害用户权益专项整治行动的开展和诸多社会事件的发酵,数据合规和个人信息保护引起了越来越多的关注和重视。笔者会通过梳理当前的主要法规、政策、案例及事件,就企业如何进行数据合规和个人保护以专题的形式通过系列文章逐渐展开,本文将理清基本的架构和概念。
一、立法及监管发展
2013年的《电信和互联网用户个人信息保护规定》就个人信息的收集和使用规范以及企业需要采取的安全保障措施作出专章规定,其中确定的大部分原则延续至今。
2017年,《网络安全法》开始实施,该法作为网络安全领域的第一部法律,在网络运行安全和网络信息安全方面提出了数据保护和个人信息保护的要求;同年,最高法、最高检就侵犯公民个人信息罪发布了《侵犯公民个人信息刑事案件适用法律若干问题的解释》,细化和明确了该罪的一些概念和标准。
2018年,欧盟GDPR的出台在国际上引发热议的同时,也促进了我国在数据立法和监管上步伐的加快;2019年初,工信部、网信办、公安部、市场监管总局共同以一则《开展APP违法违规收集使用个人信息专项治理的公告》启动了持续到现在的专项整治行动;2019年底,几个部门又联合发布了《APP违法违规收集使用个人信息行为认定方法的通知》,对认定APP违法违规收集使用个人信息行为进行了列举,并成为监管执法工作的参考。
2020年10月1日,市场监督总局和国家标准委员会联合发布了GB/T35273-2020《信息安全技术个人信息安全规范》,从数据处理全流程的活动原则和安全要求上作出全面规定。
2021年1月1日实施的《民法典》则是从基本法律的高度上明确了个人信息受法律保护。2021年8月1日,最高院《关于审理使用人脸识别技术处理个人信息相关民事案件适用若干问题的规定》成为第一个针对特定个人信息(人脸)保护作出的司法解释。
本月底《个人信息保护法》将迎来第三次审议;2021年9月1日,确立数据安全及治理基本框架的《数据安全法》即将实施;2022年1月1日,《深圳经济特区数据条例》将开始实施。
另外,公安部2019年发布的《互联网个人信息安全保护指南》、信标委2020年7月发布的《网络安全标准实践指南——移动互联网应用程序(APP)收集使用个人信息自评估指南》、9月发布的《网络安全标准实践指南——移动互联网应用程序(APP)个人信息保护常见文集及处置指南》也是经常被提及和参考的一些文件。
从主要的法规、监管政策发布实施时间来看,自2019年起,数据合规和保护逐渐进入到强监管的时代。上述提到的文件,共同构筑了当下数据合规的监管框架。
二、基本概念——两个误区的阐明
(一) 数据、个人信息与隐私信息
很多人谈到数据合规会有一个误解,认为数据合规就是保护个人信息,保护个人信息就是保护个人隐私,保护个人隐私就是写一份长长的隐私政策。实则不然。从法律中抽离数据、个人信息/数据、隐私的概念之后,可以看到三者之间存在着包含和被包含的逻辑。
数据是任何以电子或者其他方式对信息的记录。个人信息是能够单独或者与其他信息结合识别特定自然人的各种信息,对特定自然人的识别是个人信息最核心的特点。隐私信息则是个人信息中的一部分,与个人的私人生活安宁、不愿为他人知晓的私密空间、私密活动、私密信息密切相关;需要特别提出的是,虽然很多隐私信息与敏感信息重合,但是二者并不能等同,隐私和敏感信息是在不同法律下或场景下的不同术语。
(二) 数据合规与个人信息保护
第二个常见的误区,就是在谈论数据合规的时候误认为就是个人信息处理合规,除了前一个误区下对数据和个人信息范围的理解错误之外,对合规所包含的行为也比较片面。
《数据安全法》《个人信息保护法(草案第二次审议稿)》《深圳经济特区数据条例》均是从安全和处理两个方面分别作出规定。数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力;而数据处理,则是数据“从生到死”全流程的各个阶段,包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全和数据处理共同推进、相互作用,才能构建起完整的数据保护和数据合规。
基于当前主要的监管重点、案例焦点以及数据安全方面的内部性,大家谈论的内容大多聚焦于数据处理的合规层面,尤其是数据中的个人数据处理。后续两篇文章中笔者会先后探讨数据处理和数据安全,敬请关注。