個(gè)人信息保護(hù)法實(shí)施之前收集的歷史數(shù)據(jù)，符合彼時(shí)的法規(guī)要求，如果繼續(xù)使用，還需要根據(jù)個(gè)人信息保護(hù)法進(jìn)行合規(guī)嗎？

記者 尤為 見(jiàn)習(xí)記者王巍 南方財(cái)經(jīng)全媒體 見(jiàn)習(xí)記者馮戀閣

編者按：

(資料圖片)

伴隨著數(shù)字經(jīng)濟(jì)發(fā)展，對(duì)個(gè)人信息的采集和利用成為一種“剛需”。個(gè)人信息保護(hù)不斷涌現(xiàn)出新問(wèn)題，隨意收集、違法獲取、過(guò)度使用、非法買(mǎi)賣(mài)個(gè)人信息等情況“野火燒不盡”。數(shù)據(jù)的挖掘利用與個(gè)人信息保護(hù)之間張力擴(kuò)大，急需專(zhuān)門(mén)法律對(duì)個(gè)人信息處理活動(dòng)提供規(guī)范樣本。

2021年11月1日，《個(gè)人信息保護(hù)法》正式施行，轉(zhuǎn)眼間即將實(shí)施一周年。南財(cái)合規(guī)科技研究院長(zhǎng)期關(guān)注個(gè)人信息保護(hù)議題，持續(xù)跟蹤報(bào)道立法進(jìn)程、監(jiān)管動(dòng)態(tài)，反映公眾呼聲。借此機(jī)會(huì)，將推出“南財(cái)個(gè)人信息保護(hù)月”系列活動(dòng)，探討《個(gè)人信息保護(hù)法》實(shí)施以來(lái)的落實(shí)情況以及對(duì)企業(yè)帶來(lái)的影響。將圍繞“守門(mén)人”條款的落實(shí)、用戶個(gè)人信息權(quán)益的實(shí)現(xiàn)、數(shù)字廣告行業(yè)的變革、數(shù)字經(jīng)濟(jì)發(fā)展與合規(guī)的平衡等多個(gè)維度推出20余篇系列稿件，刊出個(gè)人信息保護(hù)特刊，并且舉辦線下高峰論壇。

法律的生命力在于實(shí)施，在完成立法后，《個(gè)人信息保護(hù)法》需司法和執(zhí)法接力，也需要企業(yè)恪守法律要求。我們希望能借助媒體的力量，持續(xù)追蹤問(wèn)效，推動(dòng)個(gè)人信息權(quán)益的保障，提升全社會(huì)個(gè)人信息保護(hù)的水位線。

互聯(lián)網(wǎng)的普及和發(fā)展，一方面便利了人們的生活，促進(jìn)經(jīng)濟(jì)發(fā)展；另一方面也出現(xiàn)信息泄露、濫用、被轉(zhuǎn)賣(mài)謀利等非法現(xiàn)象。個(gè)人信息保護(hù)法順勢(shì)而出，系統(tǒng)規(guī)定了個(gè)人的信息權(quán)益和企業(yè)的責(zé)任和義務(wù)，對(duì)企業(yè)合規(guī)提出更多、更高的要求。

值得思考的是，在個(gè)人信息保護(hù)法實(shí)施之前收集的歷史數(shù)據(jù)，符合彼時(shí)的法規(guī)要求，如果繼續(xù)使用，還需要根據(jù)個(gè)人信息保護(hù)法進(jìn)行合規(guī)嗎？

繼續(xù)使用歷史數(shù)據(jù)必須有合法理由

2021年8月20日，個(gè)人信息保護(hù)法經(jīng)十三屆全國(guó)人大常委會(huì)第三十次會(huì)議表決通過(guò)，并于同年11月1日起施行。這一法律揭開(kāi)我國(guó)個(gè)人信息保護(hù)法治的新篇章，強(qiáng)調(diào)嚴(yán)格保護(hù)個(gè)人信息，平衡數(shù)據(jù)的保護(hù)與利用，對(duì)個(gè)人和產(chǎn)業(yè)帶來(lái)深遠(yuǎn)影響。

隨著個(gè)人信息保護(hù)法的落地實(shí)施，業(yè)內(nèi)廣泛討論著這樣一個(gè)問(wèn)題：如果繼續(xù)使用在該法實(shí)施之前收集的歷史數(shù)據(jù)，是否需要按照該法進(jìn)行合規(guī)？

對(duì)此，北京市競(jìng)天公誠(chéng)律師事務(wù)所合伙人周楊表示，雖然收集行為發(fā)生在個(gè)人信息保護(hù)法生效之前，但繼續(xù)使用這些數(shù)據(jù)仍需要有相應(yīng)的合法理由；否則需要補(bǔ)充合法理由或“冷凍”數(shù)據(jù)。也就是說(shuō)，“個(gè)人信息保護(hù)法并未對(duì)歷史數(shù)據(jù)豁免合法處理理由”。

她以銀行業(yè)為例作解釋?zhuān)涸趥€(gè)人信息保護(hù)法生效之前，銀行在貸款、反洗錢(qián)等業(yè)務(wù)中收集了大量數(shù)據(jù)，因?yàn)榉ǘɡ碛梢恢辈蛔?，個(gè)人信息保護(hù)法生效后，仍可以以此法定義務(wù)作為合法處理理由，但應(yīng)注意不得變更信用審查、反洗錢(qián)等原處理目的。

而對(duì)于超出必要范圍收集的數(shù)據(jù)、變更數(shù)據(jù)的使用目的等情況，銀行則需要重新獲取用戶授權(quán)；否則“因沒(méi)有合法理由處理這些數(shù)據(jù)，銀行可能違反個(gè)人信息保護(hù)法，受到行政乃至刑事處罰?！彼龔?qiáng)調(diào)。

資深數(shù)據(jù)法律師袁立志進(jìn)一步解釋?zhuān)壳安o(wú)“新收集數(shù)據(jù)依新規(guī)、歷史數(shù)據(jù)依舊規(guī)”的法規(guī)依據(jù)，因?yàn)闊o(wú)論新舊數(shù)據(jù)，對(duì)數(shù)據(jù)的處理行為都發(fā)生在新法實(shí)施以后，這意味著所有數(shù)據(jù)統(tǒng)一適用個(gè)人信息保護(hù)法。

難點(diǎn)在于標(biāo)記需要“補(bǔ)充”合規(guī)的數(shù)據(jù)

“個(gè)人信息保護(hù)法生效前，保護(hù)個(gè)人信息的相關(guān)規(guī)定散落在其他法規(guī)中，如民法典、消費(fèi)者權(quán)益保護(hù)法、網(wǎng)絡(luò)安全法等。這些法規(guī)與個(gè)人信息保護(hù)法所要求的合規(guī)不盡相同、程度不一?！敝袊?guó)人民大學(xué)法學(xué)院教授、未來(lái)法治研究院副院長(zhǎng)丁曉東表示。

海問(wèn)律師事務(wù)所合伙人楊建媛舉例介紹：早在2009年，《刑法修正案（七）》就將非法獲取、非法提供公民個(gè)人信息的特定情節(jié)規(guī)定為犯罪，該條在2015年的《刑法修正案（九）》中得到了進(jìn)一步的完善。

2012年頒布的《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》首次對(duì)網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位、國(guó)家機(jī)關(guān)及其工作人員在收集、使用、保管公民個(gè)人電子信息中應(yīng)當(dāng)遵循的原則、承擔(dān)的義務(wù)及法律責(zé)任作出了較為具體的規(guī)定，例如不得非法獲取、非法提供公民個(gè)人信息，應(yīng)當(dāng)采取技術(shù)或其他措施防止信息泄露等。

2017年的《網(wǎng)絡(luò)安全法》規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，應(yīng)當(dāng)確保被收集者的知情同意，以及應(yīng)當(dāng)采取措施防止信息安全事件等?！斑@些規(guī)定大都是指向性的，缺乏可執(zhí)行性?！彼龔?qiáng)調(diào)，相較于上述法規(guī)，個(gè)人信息保護(hù)法是專(zhuān)項(xiàng)法律，更加細(xì)化。

“個(gè)人信息保護(hù)法對(duì)個(gè)人信息權(quán)益如增刪查改、大型平臺(tái)的守門(mén)人義務(wù)等作出明確規(guī)定，使企業(yè)有了更綜合完善的數(shù)據(jù)保護(hù)義務(wù)?！斑@些都是企業(yè)需要額外注意的合規(guī)義務(wù)?！倍詵|補(bǔ)充說(shuō)明。

面對(duì)更系統(tǒng)、更嚴(yán)格的要求，有觀點(diǎn)認(rèn)為，對(duì)歷史數(shù)據(jù)“補(bǔ)充”合規(guī)的難度太大、成本過(guò)高，企業(yè)難以招架。

對(duì)此，多位專(zhuān)家表示“受影響最大的還是中小企業(yè)”，因?yàn)樗鼈兒弦?guī)水平不高，商業(yè)模式或受到較大沖擊。而大型企業(yè)的合規(guī)底子較好，受影響有限。袁立志還表示，個(gè)人信息保護(hù)法的相關(guān)規(guī)定并非橫空出世，而是循序漸進(jìn)演變而來(lái)的，雖然相較更加嚴(yán)格，但不至于嚴(yán)重影響行業(yè)發(fā)展。

“歷史數(shù)據(jù)體量大不是企業(yè)拒絕合規(guī)的理由，合規(guī)整改是一個(gè)過(guò)程而并不是一個(gè)結(jié)果。”北京大成律師事務(wù)所高級(jí)合伙人肖颯強(qiáng)調(diào)，如何對(duì)歷史數(shù)據(jù)進(jìn)行科學(xué)合理的分類(lèi)分級(jí)，是實(shí)踐中的痛點(diǎn)和難點(diǎn)。換言之，只要定性明確，進(jìn)行整改就是一個(gè)可預(yù)期、可操作的合規(guī)過(guò)程。

周楊也表示，“補(bǔ)充”合規(guī)的難點(diǎn)在于“首先標(biāo)記出需要重新獲取合法理由的數(shù)據(jù)，相當(dāng)于對(duì)數(shù)據(jù)分類(lèi)分級(jí)；再去獲取合法理由，如獲取授權(quán)”。

專(zhuān)家支招破解合規(guī)難題

那么在實(shí)務(wù)中，該如何進(jìn)行合規(guī)？

袁立志表示，在個(gè)人信息保護(hù)法生效之前，雖然有一部分?jǐn)?shù)據(jù)是基于合法業(yè)務(wù)收集的，但根本沒(méi)有獲得授權(quán)，存在較大的問(wèn)題和風(fēng)險(xiǎn)。對(duì)于這部分?jǐn)?shù)據(jù)，他建議盡量補(bǔ)充授權(quán)，或者通過(guò)下游使用方來(lái)獲得授權(quán)；如果無(wú)法獲取授權(quán)，也可以采用匿名化等技術(shù)手段處理后再繼續(xù)使用數(shù)據(jù)。

還有一部分?jǐn)?shù)據(jù)在授權(quán)上存在一定瑕疵，比如告知不清晰，或者雖有同意，但沒(méi)有滿足單獨(dú)同意的要求等。對(duì)此，袁立志建議通過(guò)更新隱私文件來(lái)“修復(fù)瑕疵”，完善授權(quán)；如果無(wú)法修復(fù)，也可以考慮通過(guò)隱私計(jì)算等技術(shù)來(lái)使用數(shù)據(jù)。

如上所述，通過(guò)技術(shù)化手段處理數(shù)據(jù)達(dá)到合規(guī)像是“托底”操作，但目前在實(shí)務(wù)上也存在風(fēng)險(xiǎn)。

楊建媛以“匿名化”為例進(jìn)行說(shuō)明。個(gè)人信息保護(hù)法規(guī)定，匿名化是指?jìng)€(gè)人信息經(jīng)過(guò)處理無(wú)法識(shí)別特定自然人且不能復(fù)原的過(guò)程；匿名化處理后的信息不再屬于個(gè)人信息。這意味著，匿名化處理后的信息不受該法保護(hù)。而目前 “‘不能復(fù)原’似乎沒(méi)有一個(gè)度，是指合理努力不能復(fù)原還是絕對(duì)沒(méi)有能力復(fù)原？一旦標(biāo)準(zhǔn)定得過(guò)高則面臨數(shù)據(jù)價(jià)值大打折扣的困境”。

楊建媛還表示，雖然許多企業(yè)有自己的匿名化標(biāo)準(zhǔn)，但這個(gè)標(biāo)準(zhǔn)是否安全，能夠被監(jiān)管機(jī)構(gòu)認(rèn)可是未知的。所以，她建議監(jiān)管部門(mén)盡快制定相關(guān)技術(shù)指南供企業(yè)參考、執(zhí)行。

標(biāo)簽： 歷史數(shù)據(jù)