(原标题:全国政协委员蒋颖:中国需要建立针对个人信息保护的组织)
蒋颖接受南都专访。
过去一年,个人信息保护领域热闹非凡。从欧盟《一般数据保护条例》(GDPR)生效,到多国陆续出台个人信息保护的相关立法,再到用户个人信息泄露事件的频发,政府和公众对个人信息保护的关注度在全球范围内持续升温。差异巨大的各国法律法规,在合规方面给企业全球化制造了不少障碍;如何平衡个人信息保护和用户数据的收集、使用,也让企业面临挑战。
全国政协委员、德勤中国副主席蒋颖敏锐地观察到了这个趋势,并据此提出了《关于推进国际间个人信息保护规则充分认可的提案》。在接受南都记者专访时,她提出,中国需要建立一个针对个人信息保护的组织,来统一和协同国内外的法律法规。她透露,德勤将在今年发布一份亚太区隐私保护趋势的调研报告,中国过去两年内在个人信息保护方面的进展也将被纳入其中。
趋势
网络安全和信息保护
是一道“必答题”
南都:过去一年,德勤发布的网络趋势、人工智能、移动消费等多领域的调查报告里,都无一例外提到了隐私保护。这代表了什么趋势?
蒋颖:的确,现在我们任何的报告,不管是工业4.0、5G发展也好,新经济、新零售也好,还是智能化转型也好,都会提到网络安全和信息保护的内容。我觉得,这是一道“必答题”。
现在个人的信息保护意识在不断增强,但企业的动作还没有跟上,因为个人信息保护不仅是个复杂的问题,还会增加企业的运营成本。但我们2017年调研亚太地区的时候,一些国家的消费者表示,愿意牺牲一些便利来换取个人信息的安全性。
我觉得这个观察蛮有意思的,可能可以帮助企业在设计产品时找到一个平衡,而不单单只是从便利的角度出发。所以,我希望个人信息保护能成为企业核心竞争力的一部分、企业文化的一部分,以及企业自律的一部分。
南都:你今年提出了《关于推进国际间个人信息保护规则充分认可的提案》。请简单介绍一下?
蒋颖:在国际层面,欧盟、美国、日本等国家和地区都出台了个人信息保护相关的法律法规;在国内,网络安全法实施以后,个人信息保护法和数据安全法也被列入了本届全国人大常委会的立法规划,这方面的标准也在不断制定当中,所以关注度一直很高。
对于进入中国的企业来讲,中国很多个人信息保护相关的规定都散落在各种法律法规当中,内容也停留在相对原则性的层面,有些标准还只是建议性、而不是强制性的。所以,如何真正地规范和保护“走进来”的企业,还是有些挑战。
更重要的是“走出去”的中国企业。GDPR的规定是非常广泛和严格的,跟国内的法规差别也很大,像“被遗忘权”这样的概念,在中国还没有被清晰地提出来。即使技术上能做到合规,也需要付出极高的成本,而违规成本同样很高。在目前数据跨境流动几乎不可避免的情况下,企业全球化会面临很大挑战。
南都:怎样才能从政府层面有效地降低企业合规成本?
蒋颖:一个中国企业想做合规,需要一套完整的企业内控系统和管理制度去顺应国内外的法律法规,我觉得是挺难的。
所以我建议中国建立一个针对个人信息保护的组织,不管是委员会还是其他形式,要能够统一和协同现在法律法规当中关于个人信息保护的很多规则,既对企业合规更有针对性,也更便于监管。
同时,还可以利用这个组织跟国外机构加强互动,参与到国际规则的制定过程当中,让我们的法律法规跟国外已经建立起来的法律法规实现互认,在立法过程中适当地借鉴参考,提升包容性,使跨境数据可以在一个相对无间、无阻的安全区域里面传输。这样既减少了企业的合规成本,又增加了国际竞争力。
现状
有些企业不重视
“数据不是你的”这个概念
南都:据你观察,目前中国企业的个人信息保护合规状况怎么样?
蒋颖:现在越来越多的App会弹出用户协议和隐私政策,说明企业对个人信息保护越来越重视,不过一定程度上企业的负担也会越来越重。因为企业为了给用户提供更多便利,必然会收集更多数据,一方面要保护、不能侵犯,另一方面又要使用、让数据产生价值。这里面存在着无限的机会和挑战。
企业要实现可持续发展,又要适应愈发严格的监管,就必须主动合规,提升自律意识。如果企业能把个人信息保护当成核心竞争力之一,刻在公司文化的DNA里面,就肯定会花时间花精力在这上面,再加上外力的倒逼,对我们大众来说,绝对是件好事。
南都:为了适应公众不断提升的个人信息保护意识,企业需要改善哪些方面?
蒋颖:我觉得大中型企业要长久经营下去,一般来说都会主动合规;更需要关注的是那些小企业,只有用严惩去倒逼,才可能有动力合规。但现实情况往往是,碰到信息泄露或者个人隐私被侵犯的问题,个人没有足够的毅力和精力去起诉这些小企业,形成个人的自我保护意识在提升,但常常觉得无能为力的尴尬局面。
我倒不认为它们是技术上落后,主要还是整个的管理机制和流程设计没有做到位。像“数据不是你的”这个概念,有些企业可能未必很重视。
我有一个朋友,非常注重保护自己的个人信息,会根据目的使用专门的电话卡和银行卡,出门得带三台手机。要不要像他一样用这种方式保护自己的个人信息,我觉得是每个人的判断,但企业绝对不能放任不管。
合规
把合规放在盈利之后
企业将付出更大代价
南都:个人信息保护意识的提升这一点在咨询业务中有所体现吗?
蒋颖:有。现在很多企业,特别是传统企业,都在做数字化转型,那就势必要对数据加以利用。我们这几年力推的解决方案里,都会把网络安全和信息保护考虑进来,希望尽早让企业适应这样的常态化运作。
虽然客户不一定刚开始就愿意花大成本买下全套方案,但他必须要对如何保护收集到的信息、尤其是用户个人信息的安全有所了解,而不仅仅拘泥于把线下的东西变成线上。现在企业常常把合规的重要性放在盈利之后,其实这样可能反而要付出更大的代价。作为运营中不可或缺的一部分,合规成本是不能省的。
南都:在合规GDPR等国外法律法规上,企业最需要帮助的地方有哪些?
蒋颖:企业需要的帮助大致分为两种情况:第一种是很多企业在“撞南墙”之前不愿意花费成本去做合规,结果出事了,这时就要帮它“修补”;第二种是帮企业进行诊断评估,然后弥补差距,这个差距可能存在于企业内部的管理制度,也可能存在于系统或技术上,比如实现GDPR里的“被遗忘权”,就需要复杂的算法支撑。
举个例子,现在中国互联网企业的盈利模式之一是精准推送,通过分析用户的行为、地理位置和个人资料向其推送个性化内容,这里面往往有不正当使用用户个人信息的情况发生。有没有可能通过一个复杂的建模,对个人信息去标识化、匿名化之后,依然可以达到企业精准推送的需要?
总的来说,我们的最终目的还是让企业做它该做的事情,不能永远依赖外部帮助。所以有一项工作我们一直在做,就是希望引导企业建立一个完善的管理体系,能够起到风险控制的作用。
南都:各个国家的法律法规都具有一定差异性,企业怎样才能遵守国家间差异巨大的隐私保护要求?
蒋颖:其实我们接到过很多这类项目。前段时间有一个中国的企业,它在20多个国家有业务,必然涉及到数据跨境传输。所以我们搭建的团队基本上就是一个“联合国”,虽然方法论相似,但是评估的内容每个地方都不一样,建议也因地制宜。
但从整体上看,考虑到合规成本,最终还是要回归到怎么能够求同存异地让企业找到最优的、最有效率的合规状态。当然,最理想的情况还是建立一套能够适应最高标准的内控体系,但企业肯定是从最紧急、最大规模的地方开始,然后慢慢地、分步地去调试和执行,才能最终达到理想状态。
采写:南方报业全媒体记者、南方都市报记者 蒋琳
摄影:南方报业全媒体记者、南方都市报记者 卫迎
【全国人大代表张近东:要加快数据安全立法】
张近东。 受访者供图
今年是全国人大代表、苏宁控股集团董事长张近东第十七次迎来“两会时间”,已经提交过70多份提案(张近东2003-2017年为全国政协委员)和建议的张近东在今年带来了关于数据安全、绿色物流及促进消费等多个方面的建议。他向南都记者表示:“人大代表是政府和百姓之间的桥梁和纽带,我要把社会上反映强烈的问题带到两会上,让政府和相关职能部门听到更多来自基层的声音,并推动社会的改革和进步。”
在3月4日的十三届全国人大二次会议新闻发布会上,大会发言人张业遂透露已将制定《个人信息保护法》列入本届立法规划,相关部门正在抓紧研究和起草,争取能够早日出台。随着网络信息技术和数字经济的快速发展,个人信息安全、数据安全等问题在近年来成为了社会的关注焦点。
张近东认为,目前许多企业数据保护意识不足,相关立法滞后,信息泄露、信息孤岛、数据壁垒等现象极大地制约了数字经济的发展。
鉴于此,张近东建议从法规制定、政府引导、资金扶持、大众支持、国际合作等方面,强化数据安全保护,发展高质量数字经济,并提出了以下五点建议:
一是建议由国家相关部委牵头,联合互联网技术供应商和互联网服务企业,加快制定数据安全法律法规、安全保护配套标准,构建防护技术体系,从信息的收集、存储、处理、传输、共享、删除等全生命周期管理的角度制定完善的法律体系,确保数据安全。
二是通过政府引导实现全社会数据的开放共享,通过立法保护企业的数据挖掘分析成果,引导企业开放对数据的探索结果,实现信息共享的市场化。有资质和有业务需求的企业可以共享基础信息或降低公共基础信息的获取成本。建立在政府监管下的地方政府大数据局,将政府数据和相关公共数据通过大数据局进行统一管理和统一开放。
三是建议政府开放数据的重点放在打开局域数据壁垒、降低获取自有数据的成本、扩大数据再开发利用等重点方向,通过引导社会资本对数据进行增值开发,形成大数据应用平台造福大众创业;同时设定激励机制,引导数据共享服务与公众需求;探索建立信息社会化开放共享绩效评价制度,鼓励创业企业运用和开发数据产品。
四是建议政府抓住重点领域、关键环节和核心问题,加大财政资金的引导和支持力度。建议设立数据核心技术研发创新的财政专项资金,为数据挖掘、采集、分析、可视化和非结构化处理等的研发与应用提供资金扶持,实现数据产业长足发展,构建具有自主知识产权的大数据产业链,优化信息消费环境。
五是建议由我国政府主导,“一带一路”沿线国家参与,组建跨境数据安全合作组织,制定跨境数据安全流通指南,为各国跨境数据的流通提供有效沟通交流机制,避免因为国别法律不同而造成不必要的法律风险;同时引导跨境数据进行安全高效的流通,促进国际社会数字经济良性发展。
采写:南方报业全媒体记者、南方都市报记者 徐冰倩
相关阅读:
《个人信息保护法》立法进程回顾
随着社会信息化进程的深入,个人信息成为整个网络空间中最为重要的数据类型,不仅关涉到公民的私权利保护,也关系到公私领域对于个人信息的利用。面对个人信息保护这一共性问题,虽然已经有相关法律法规有所涉及,但单独的行业监管难以实现相应的顶层设计,在个人信息保护问题上,仍然需要统一立法实现顶层设计。
2018年9月,十三届全国人大常委会立法规划公布。立法规划中包括69件“条件比较成熟、任期内拟提请审议”的法律草案,个人信息保护法也在此列。这意味着,个人信息保护法有望在本届人大常委会任期内,也就是五年内提请审议。
目前,消费者权益保护法、网络安全法、民法总则、刑法等诸多法律法规中,都有关于个人信息保护的条款。然而,法律条款过于分散、缺乏统一操作标准。
值得注意的是,在打击侵犯个人信息犯罪的法律适用上,我国存在着刑法在先、民法及行政法在后的问题,导致刑法“排挤”了其他法律手段,消费者受到侵害后难以得到实质性赔偿。
最高人民法院研究室刑事处副处长喻海松此前曾在公开演讲中表示,一般的行为应先让行政法、民法进行规制,只有解决不了的时候,刑法作为最后的保护法再进行处罚,这应是社会最理想的状况。他特别强调,个人信息保护问题已超出刑法所能解决的范畴,是专门的公民个人信息保护法要解决的问题。
据悉,目前已经有中国社会科学院法学研究所研究员、中国法学会网络和信息法学研究会常务副会长周汉华,中国人民大学法学院教授张新宝和重庆大学网络与大数据战略研究院院长齐爱民提出了个人信息保护法的专家建议稿。
全国人大层面,十三届全国人大二次会议大会发言人张业遂在昨日的新闻发布会上透露,全国人大常委会已将制定个人信息保护法列入本届立法规划,相关部门正在抓紧研究和起草,争取早日出台。
《个人信息保护法》还未出台 目前哪些法律在保护你的个人信息?
《中华人民共和国网络安全法》:
第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
第四十五条 依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
《中华人民共和国电子商务法》:
第二十五条 有关主管部门依照法律、行政法规的规定要求电子商务经营者提供有关电子商务数据信息的,电子商务经营者应当提供。有关主管部门应当采取必要措施保护电子商务经营者提供的数据信息的安全,并对其中的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
第八十七条 依法负有电子商务监督管理职责的部门的工作人员,玩忽职守、滥用职权、徇私舞弊,或者泄露、出售或者非法向他人提供在履行职责中所知悉的个人信息、隐私和商业秘密的,依法追究法律责任。
《中华人民共和国刑法》:
第二百五十三条之一【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
《中华人民共和国民法总则》:
第一百一十条 自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利。
法人、非法人组织享有名称权、名誉权、荣誉权等权利。
第一百一十一条 自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
《中华人民共和国消费者权益保护法》:
第十四条 消费者在购买、使用商品和接受服务时,享有人格尊严、民族风俗习惯得到尊重的权利,享有个人信息依法得到保护的权利。
第二十九条
经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。
经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。
经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。(以上法条为不完全统计)
采写:南方报业全媒体记者、南方都市报记者 尤一炜 冯群星 李玲