去年8月20日,中国正式通过了《个人信息保护法》(下称《个保法》),并于同年11月1日正式施行。《个保法》旨在从制度层面保护公民的个人信息利益,基于此,该法对处理个人信息的工作者制定了相应的规范。在我们身处的大数据时代,网络平台处理了大量个人信息,而在新法出台的背景下,网络平台与其用户间将产生新类型的争议。本文将围绕新法出台后网络平台对个人信息的保护义务展开探讨,以期减少上述争议的产生。
《个保法》的保护范围
根据《个保法》第四条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”此处的匿名化处理是指通过技术将个人信息处理后,无法再通过该信息识别特定自然人且不能复原的信息;与之对应的“去标识化”信息是指通过对个人信息的技术处理,在借助其他信息的情况下可以识别或者关联到对应主体。匿名化后的信息不属于个人信息,而去标识化后的信息仍属于个人信息,故本文中探讨的个人信息仅指非匿名化处理的信息,若网络平台使用了匿名化处理的信息,则不属于受《个保法》规限情形。
网络平台的定位
根据《个保法》规定,互联网平台属于个人信息处理者,应对个人信息的处理行为承担责任,并对所处理个人信息的安全性予以保证。作为网络服务提供者,网络平台基于网络大环境和网络信息技术为网络用户提供服务,在此平台上不同网络用户利用网络服务者提供的便利条件进行互动或交易,但网络平台本身并不实质性介入。
网络平台在提供服务中会处理大量个人信息,在此过程中,网络平台应:
-
- 制定内部管理规定,规范工作人员处理用户信息的流程,制定内部工作人员信息处理权限;
- 对用户个人信息采取加密、去标识化等安全措施的分类化管理;
- 定期开展合规性审查、风控评估等内控工作;
- 针对可能发生或已发生的用户个人信息泄露、篡改、丢失的情形,网络平台应立即主动采取补救措施,以最大程度减轻对用户的损害。
网络平台的监管
根据《个保法》,对于网络平台的监督主体主要分为社会公众及国家网信部门。《个保法》第五十八条规定:“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务……(四)定期发布个人信息保护社会责任报告,接受社会监督。”
根据该规定,网络平台应当定期就上述四个义务向公众发布相应报告,并接受公众监督。国家网信部门负责统筹协调个人信息保护的监督管理工作,监督的形式应包含:
-
- 调查处理用户信息泄露事件;
- 定期组织对网络平台进行外部测评调查;
- 制定相应的保护具体规则、标准等;
- 支持研究开发和推广应用安全、方便的电子个人信息管理技术等。
负责人与专员
《个保法》中提到了“个人信息保护负责人”,主要负责对个人信息处理活动以及对个人信息采取的保护措施进行监督。欧盟的《通用数据保护条例》(GDPR)中有类似的“数据保护专员”,但此专员与上述负责人不同,专员主要的工作是就其所在企业涉及个人信息保护工作的合规性、潜在风险等事项向企业的管理层报告。
负责人的职责是对网络平台处理的个人信息数据的处置方式和所采用的防护手段进行监督,而专员的职责更倾向于就网络平台的个人信息保护工作向管理层提供指导性意见。专员的设置有利于网络平台建立完善的个人信息保护机制,其职责能够与负责人的职责进行互补,亦与上述网络平台应承担的义务相符。
总结
《个保法》在信息资讯日益成为国家和个人核心竞争资源的背景下出台,伴随着互联网经济发展,网络平台对用户个人信息保护成为了热点话题。网络平台作为用户个人信息的直接处理方,应从完善健全内部用户信息管理制度、设立定期风控内核机制、遵守社会及政府主管单位监督入手,并可以参考GDPR设置专员,就网络平台处理用户信息中可能产生的风险及时向管理层报告,以避免对用户个人信息造成损害。国家网信部门作为个人信息保护的监督机关,应根据《个保法》的规定,制定个人信息保护的具体规则和标准。
