2021年4月26日,《个人信息保护法(草案)》二次审议稿(以下简称“《个保法》二审稿”)公布,标志着我国全面加强个人信息保护的时代已经来临。《个保法》二审稿相对一审稿最为重要的变化就是大大加强了对大型互联网平台的合规要求。通过引入外部独立监督机构、开展平台治理和定期发布社会责任报告的措施,让大型互联网平台个人信息处理行为公开化、透明化,接受全社会的监督。这一规定无疑增加了大型互联网平台的合规风险,个人信息维权事件如果处理不当,极易成为社会舆论关注的焦点,令平台成为众矢之的。
另一方面,随着互联网行业竞争的加剧,直播、短视频平台的崛起,很多大型互联网平台从传统的构建社交功能纷纷向内容营销、内容分发平台转型。内容分发平台的特点是利用算法自动化决策,对用户进行精准的内容投放,信息推送和商业营销,已逐渐成为核心商业模式。但是此类自动化决策往往需要直接或者间接收集个人信息完成算法的迭代和完善,因此《个保法》二审稿也对自动化决策进行了全面的规制,毫不夸张地说,内容分发平台如何能在合规的基础上应用自动化算法将很大程度上决定平台的未来。
我们通过对国内外个人信息保护法律法规进行分析,剖析了上述合规问题的关键,对未来的监管趋势进行预判,尝试给出可能的解决方案,帮助互联网平台规避法律风险。
一、 涉及大型互联网平台监管的核心问题
(一)需履行个人信息保护特别义务的互联网平台范围
《个保法》二审稿第57条规定,“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”需要履行个人信息保护特别义务。需要注意的是,按照法律行文的规范,上述三个条件需同时满足才适用《个保法》二审稿第57条的规定。
上述三个条件的具体判断标准,目前并无明确的规定,后续可能出台配套解释加以澄清。目前我们可以参考我国《网络安全法》及配套规定、国家标准《信息安全技术个人信息安全规范》以及欧盟《数字市场法》草案的相关标准进行初步预测。
1、《网络安全法》下的参考标准
“基础性互联网平台服务”的表述接近于《网络安全法》及其配套规定中关于平台类关键信息基础设施的定义,根据《国家网络安全检查操作指南》中的部分认定规则,满足以下标准之一可认定属于互联网平台类关键信息基础设施:
1、注册用户超过1000万或活跃用户(每日至少登录1次)超过100万;
2、日交易额超过1000万;
3、可能造成超过100万人个人信息泄露。
2、《信息安全技术个人信息安全规范》(GB/T 35273-2020)下的参考标准
《信息安全技术个人信息安全规范》(GB/T 35273-2020)第11条中,对需要设置个人信息保护专职人员和工作机构的平台条件进行了量化规定,即:
1、主要业务涉及个人信息处理,且从业人员规模大于200人;
2、处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;
3、处理超过10万人的个人敏感信息的。
3、欧盟《数字市场法》草案下的参考标准
以欧盟2018年施行的《通用数据保护条例》(“GDPR”)为代表,世界主要经济体都在加大对数据和个人信息的监管,但该条例并未针对互联网巨头采取额外的监管措施。因此,欧盟最新提出的《数字市场法》草案对达到“守门人”标准的大型互联网平台提出了进一步的合规要求,虽然该法案并非仅针对个人信息保护,但仍然值得借鉴。
“守门人”通常是指控制着至少一种核心平台服务(如搜索引擎、社交网络服务、某些信息服务、操作系统和在线中介服务等),作为企业用户连接消费者的重要门户,拥有持久、庞大的用户基础,在欧洲数字市场占据或预期占据稳固而持久的地位,因而在事实上拥有规则制定的权力。认定“守门人”的标准主要看是否同时满足如下三个条件:
1、过去三个年度年均营业额超过65亿欧元,或上年度市值达650亿欧元以上;
2、公司核心服务平台上年度月活跃终端用户超过4500万(即占欧盟总人口的10%);
3、过去三个年度,每个年度都符合上述两项标准。
综合上述三个参考标准,我们预测大型互联网平台需履行个人信息保护特别义务的标准可能基于以下条件:
1、提供基础性互联网平台服务:
如搜索引擎服务、社交网络服务、内容共享服务、操作系统和在线中介服务等;
2、用户数量巨大:
标准一:核心服务平台注册用户数量;
根据中国互联网络信息中心(CNNIC)数据,2020年末中国网民数量达到9.89亿,参考欧盟“守门人”10%的人口标准,该标准预计为不低于1亿注册用户。
标准二:上年度月活跃用户数量;
月度活跃用户数是互联网通行的有效用户数统计指标,参考《网络安全法》相关日活跃用户数不低于100万的标准,折算后,该标准预计为不低于3000万的月活跃用户。
标准三:上年度处理个人信息的总人数;
参考《网络安全法》和《信息安全技术个人信息安全规范》关于个人信息人数的标准,该标准预计为处理不低于100万人的个人信息。
3、业务类型复杂:
控制着企业用户连接终端消费者的重要网络渠道或各类业务模式的关键环节,从而能对不同类型的业务拥有规则制定权力,并且有能力获得并处理大量个人信息的网络服务平台。
(二)大型互联网平台履行个人信息保护特别义务的内容解读
《个保法》二审稿第57条提出对符合相应条件的大型互联网平台进行特殊监管,规定了以下三项特别义务:
1、独立机构进行外部监管
符合监管标准的大型互联网平台应当成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督。
这一规定类似于欧盟GDPR中要求聘请无利益冲突的数据保护官(“DPO”)的规定。在独立机构的人员组成方面,《个保法》二审稿并未规定外部机构及人员的资质要求,我们建议,在独立机构内部配备具有相关经验的研究人员、法律顾问、技术顾问等专业人员,对个人信息处理活动进行评估和监督。
2、平台自身的管理职责
符合监管标准的大型互联网平台应当对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务。
平台内部管理工作一直以来都是一项非常重要的工作,而且平台与平台内的产品或服务提供者很可能构成共同处理个人信息的关系,根据《个保法》二审稿第21条规定,个人信息处理者共同处理个人信息,侵害个人信息权益的,应当承担连带责任。
因此,大型互联网平台对于平台内经营者个人信息处理活动应当设置相应平台规则,规定收集个人信息的范围与调用权限,明确传输规则、应急预案、处罚措施等内容。
3、定期发布个人信息保护社会责任报告
符合监管标准的大型互联网平台应当定期发布个人信息保护社会责任报告,接受社会监督。
《个保法》二审稿第55条规定了特定个人信息处理行为的风险评估机制,要求以企业为单位,通过社会责任报告更全面地描述平台自身个人信息保护的情况。虽然平台内部通过技术与人员投入提升了个人信息的安全性,但用户可能并没有直观的感受,因此让公众知悉企业为保护个人信息所采取的措施和努力尤为重要。
我们理解,平台有必要通过社会责任报告的形式,表明自身已为个人信息保护投入了大量资源,履行了必要的义务、不存在主观过错,以便在发生法律纠纷之时,更好地向监管部门或司法机关举证,从而尽量减轻或免除自己的法律责任。
二、 内容分发平台涉及个人信息保护的主要问题
(一)内容分发与自动化决策
在大型互联网平台中,内容分发模式被广泛应用,其中运用最广的是社交分发和算法分发。简单地说,内容分发是指平台对用户提供的信息及其在平台中的行为(包括在平台中提供的个人信息、上传的作品、浏览的内容等)进行数据化处理,通过计算机算法、深度学习、人工智能等技术,分析出用户的个人喜好、行为习惯、经济情况、健康状况等信息,一般被称为用户“画像”;同时将平台提供的商品、服务、内容根据用户偏好进行精准的分类,一般被称为对内容贴“标签”。完成上述工作之后,计算机就可通过预设的自动化策略,无需人为干预,自动将用户可能感兴趣的商品、服务或内容发送给特定用户,实现精准投放、精准营销。
(二)加强个人信息保护对内容分发平台的影响
1、加强个人数据方面的保护
自动化决策的核心是数据和算法,关键是个人信息的收集,因此平台违反最小必要原则,超范围获取个人信息的情形在实践中十分普遍。国家网信办等四部委发布的《常见类型移动互联网应用程序必要个人信息范围规定》分类别明确了常见应用场景下收集个人信息的最小必要范畴;而《个保法》二审稿相关规定除了要求处理个人信息应遵循告知-同意、公开透明、最小必要等基本原则外,还提出收集处理个人信息应采取对个人权益影响最小的方式、向用户披露信息处理的目的和范围、提供拒绝自动化选项等要求,大大增加了采用自动化决策的合规成本。
2、加强对算法的监管
“技术中立”一直以来都是互联网科技公司反对算法监管的主要理由。诚然技术是中立的,但技术的应用不可能中立。算法的应用很可能对个人信息权益、个人隐私构成侵犯,甚至引发价格歧视或因算法缺陷导致的错误结果等等问题。
因此,世界各国都在加强对算法的监管,如欧盟依据GDPR建立了算法数据处理评估制度、算法认证制度,还发布了行为指引与认证标准;澳大利亚竞争和消费者委员会(ACCC)成立专业机构对数字平台的算法进行监控;美国发布了《数据问责和透明度法》讨论稿,《算法问责法2019(草案)》也进入立法程序。我国《电子商务法》《网络安全法》也规定了算法相关条款,如今《个保法》二审稿针对算法自动化决策提出了以下要求:
1、进行自动化决策时,个人信息处理者应当在事前进行风险评估,并对处理情况进行记录,风险评估报告和处理情况记录应当至少保存三年;
2、利用个人信息进行自动化决策,应当保证决策的透明度和结果公平合理。
3、通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式。
4、通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
以上规则全方位提高了算法自动化决策的监管要求,提出事前进行内部风险评估、事中向用户承担解释说明的义务并为其提供拒绝权,事后以结果的公平合理性作为合法的判断依据。另外值得注意的是,根据《个保法》二审稿第54条、第63条规定,个人信息处理者应当定期进行外部审计,监管部门也可以要求个人信息处理者委托专业机构进行合规审计。可以预见,未来引入外部专业机构进行算法审计将是判断企业自动化决策合规性的关键因素。
(三)内容分发平台责任承担与合规建议
《个保法》二审稿第68条规定,因个人信息处理活动侵害个人信息权益的,按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任,个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。由此我们推断,互联网平台因算法自动化决策造成损害的归责原则应为过错推定原则。结合上述法律及归责原则我们提出以下合规建议:
1、建立个人信息保护制度和完善合规证据链
企业建立全流程的个人信息保护制度是合规的基础,尤其需要重视保存已履行合规程序的记录,如风险评估报告、自动化决策说明、数据来源及处理日志、算法开发文档、代码更改记录和其他重要资料。同时,还应当重视引入外部法律顾问或算法审计机构,出具合规意见和审计意见,降低监管风险。
2、对算法自动化决策进行持续评估
为了避免事后受到简单的损害结果归责,内容分发平台实施算法自动化时,除了按规定进行事前风险评估,还需要对数据和算法的运行、迭代等阶段进行持续的评估,以观察是否存在异常,例如错误的分类、不准确的预测、运行结果存在歧视或偏见或其他对个人的负面影响,并针对偏见因素制定解决方法。
3、应综合考虑社会影响因素
在实践中,个人信息保护、隐私权与数据安全问题相互交织,如个人信息泄露往往是由于未能有效维护信息安全,敏感信息泄露又涉及侵犯隐私权。因此,平台算法的设计和部署应考虑可能造成的更为广泛的社会影响,算法应用的评估应当考虑对人权、隐私和数据保护的综合影响。
我们建议,设计、部署可能造成重大社会影响的算法时,应履行全面、审慎的事前评估,并采取事前向公众公开“社会影响声明”和“歧视影响评估”等方式来收集公众意见,安抚公众情绪。
三、 结语
本文地址:http://sjzytwl.xhstdz.com/quote/65456.html 物流园资讯网 http://sjzytwl.xhstdz.com/ , 查看更多