個保法兩周年:那些“用力過猛”的個人信息合規操作
責編:gltian |2023-11-03 13:42:342021年11月1日,中國《個人信息保護法》正式施行。這是一部不論施以多少贊譽都不為過的法律,標志著中國個人信息保護嘗試著接軌進入全球數據保護的洪流之中,在全球法治賽道中馳揚。
正是這部法律,極大的提升了中國個人信息保護領域的水平,這是毋庸質疑人事實。但如任何新生事物一樣,該法在個人信息的中國環境適配上出現了一些必然的磨合,有些令人拍案,以及留下一段模糊。
本文嘗試著“無序地”、“想到一點寫一點地”盤點《個人信息保護法》施行至今,那些“用力過猛”且看起來也似乎“矯枉過正”的理解和玩法。不論對錯,權且僅當一家之言作為交流的源起,數據合規法律人盡可留言點贊或反對。
1?萬能的“同意”濫用
曾幾何時一刀下去,市面上所有的app都要在首屏彈窗,幾乎清一色“同意” 和“不同意”,兜來轉去的多屏挽留,用戶還是只能點“同意”。這是一種典型的“暴力丑學”,明明個保法給了這么多合法性基礎,但幾乎沒人敢用“我知道了”。如果哪一天有app敢螳臂當車用“我知道了”,請讓我知道。
2?彈窗必然單獨
單獨同意和彈窗沒有半毛錢關系,單獨同意的方式多種多樣,單獨頁面、單獨勾選都可以是單獨同意。大部分產品或業務不愿意單獨彈窗,內在真的想法不是怕傷害業務和體驗,而在于——為什么明明別人不來彈?不患寡而患不均。
3?什么都往里裝的個人信息
個人信息保護法的起點是個人信息的認定,但自從設備標識符被作為特定場合中的示例列入35273,一堆號主就把任何亂七八糟的字符,不加場景分析下都當個人信息來合規。搞得現在,技術圈程序員們一天到晚和法務撕名牌——這怎么是個人信息?!更有甚者,用戶的聊天記錄、用戶下載到相冊的中的照片,都當成的個人信息來看待,還一板一眼地直到寫進隱私政策中才感到安全,求全不求對。
4?自欺欺人的匿名化
匿名化只是相對不可識別的去標識化,匿名化一定是在特定場景和主體環境中的認定模式,要根據回復或關聯個人信息的意愿及可能性來判斷,是否匿名化需要一把公平秤進行檢驗。但中國匿名化方案,直到現在,都是各大廠商在隱私政策中,只是寫出來進行自我安慰的話術,什么多方安全計算、同態加密隱私計算,只是既讓用戶不焦慮,也讓自己不憂傷的方法。匿名化不是什么擋箭牌,匿名化本身就不是什么好鳥。
5?企業沒有“合法利益”
個保法將gdpr中的企業合法利益去掉了,這可能也是因為合法利益太難評估定性了。但是自從沒有合法利益,很多功能和場景,就沒有直接相適配合法性基礎,隱私政策其實是有些不倫不類了。還好幾個司法判決,替企業守望住了。
6?頭痛灸頭,腳痛灸腳
當輿論對網絡娛樂和游戲產品中出現的未成年人打賞問題,鋪天蓋地口誅筆伐時,大家一致譴責網絡平臺為什么不上人臉識別。而當平臺嘗試著往前走一小步用人臉,另又有人跳現來指責個人信息保護不力。
7?實名制中的法律依據
以各大平臺似乎同一天一起發布前臺實名公告,以及之前的IP地址顯址為例。為啥個人信息保護做不好,就是因為似乎任何政策和規范性文件都可以成為極強強制力的“法律和行政法規”依據,然后被運用在無合法性基礎的規則之上,各平臺發文中強調“經用戶同意”的措辭足可看出網絡平臺的掙扎和無奈,一邊苦于找不到讓大V前臺實名的法律依據,另一邊又只能看似自愿的同意后顯名。沒人再關注“法律效力”這玩意,對法學院走出的人來說,這有點落莫。
8?極力拉攏個保法
在個保法實施前后,筆者代理了多起典型的個人信息典型案例,無一例外,不管事實發生在11月1日前還是之后,法院均一律拉攏個保法或者個保法精神作為裁判依據,一度讓我對法不溯及既往的法理產生些許不適。但這興許就是滾滾紅塵吧。
9?把大數據殺熟當成單純法律問題
大家只知道數據殺熟的不對,但數據殺生呢?國家、地方、一切解讀都似乎不希望發生“個性化定價”,甚至什么才是合理的差異化定價,什么才是相同的條件,卻難以道清,不得說明。這件事吧,總歸還得回到經濟學原理上去考慮。人人都談的紹興案,和大數據殺熟其實也沒有半點關系。
10?副本問題,遠沒解決
2021年在代理媒體稱為首例副本權訴訟案時,個人信息副本問題在中國沒有可抄寫的答案。副本的范圍,副本寫到什么程度,至今大部分app用幾k文本就解決掉了,而我們看看海外這些巨頭們,沒幾個G是下不來的。不是說什么都必須給副本,不是說每個副本都還要同步說明目的方式,不然寫隱私政策做什么?
11?沿街掃樓,誰都得建內部數據制度
中小企業和大類平臺的合規能力不同,合規成本更是不一樣。而公安機關徑直稱沿街小店們,但凡有放臺電腦在店里,就可能以“未指定數據安全管理制度,未采取必要措施保障數據安全“來作警告等處罰(還好不是責令改正,否則下次就可能坐牢了)。大膽猜測,中國任何一條沿街放了電腦了小店鋪,99.9%以上都不可能知道什么叫做數據安全管理制度。所有平臺都一樣一類監管,必然是不公平的。
12?數據跨境需更自信和透明
數據出境評估結果真的只有結果,沒有過程。通過和不通過的業務場景通過和不通過的字段,可以出就可以出,不可以出也不知道為什么不可以出。關鍵是,無解。希望出境可以更透明,跨境數據新規真的能落地。
13?數據行業“人才”輩出
某數據領域法規出臺后,看到行業內有位智庫前輩一口氣開了一門大課賣錢,出于好奇也買了。過了幾天,發現這位前輩在媒體上高談闊論離婚生育法律問題,瞬間感覺要噴飯,趕緊去把課退掉了。希望越來越多人加入這個領域潛心研究,但不希望功利的短期撈金者,來裝大咖誤人子弟。
14?套娃式治理不斷
當我們還得意于生成式人工智能立法,而困惑于一堆套娃式備案和安全評估,一個門檻加一個門檻之時,Meta大模型Llama 都已經開源并允許免費用于研究和商業用途了,感覺是我們主動放棄了一個時代機遇。真的,企業要上一個創新玩意真的很難,適當時候平衡下經濟發展和個人權利保護,真是一個很重要的命題。
來源:網絡法實務圈