環(huán)球熱消息：個保法實施前的歷史數(shù)據(jù)“冷凍”還是“補充”合規(guī) 實踐中缺乏標準答案

個人信息保護法實施之前收集的歷史數(shù)據(jù)，符合彼時的法規(guī)要求，如果繼續(xù)使用，還需要根據(jù)個人信息保護法進行合規(guī)嗎？

(資料圖片)

記者 尤為 見習(xí)記者王巍 南方財經(jīng)全媒體 見習(xí)記者馮戀閣

編者按：

伴隨著數(shù)字經(jīng)濟發(fā)展，對個人信息的采集和利用成為一種“剛需”。個人信息保護不斷涌現(xiàn)出新問題，隨意收集、違法獲取、過度使用、非法買賣個人信息等情況“野火燒不盡”。數(shù)據(jù)的挖掘利用與個人信息保護之間張力擴大，急需專門法律對個人信息處理活動提供規(guī)范樣本。

2021年11月1日，《個人信息保護法》正式施行，轉(zhuǎn)眼間即將實施一周年。南財合規(guī)科技研究院長期關(guān)注個人信息保護議題，持續(xù)跟蹤報道立法進程、監(jiān)管動態(tài)，反映公眾呼聲。借此機會，將推出“南財個人信息保護月”系列活動，探討《個人信息保護法》實施以來的落實情況以及對企業(yè)帶來的影響。將圍繞“守門人”條款的落實、用戶個人信息權(quán)益的實現(xiàn)、數(shù)字廣告行業(yè)的變革、數(shù)字經(jīng)濟發(fā)展與合規(guī)的平衡等多個維度推出20余篇系列稿件，刊出個人信息保護特刊，并且舉辦線下高峰論壇。

法律的生命力在于實施，在完成立法后，《個人信息保護法》需司法和執(zhí)法接力，也需要企業(yè)恪守法律要求。我們希望能借助媒體的力量，持續(xù)追蹤問效，推動個人信息權(quán)益的保障，提升全社會個人信息保護的水位線。

互聯(lián)網(wǎng)的普及和發(fā)展，一方面便利了人們的生活，促進經(jīng)濟發(fā)展；另一方面也出現(xiàn)信息泄露、濫用、被轉(zhuǎn)賣謀利等非法現(xiàn)象。個人信息保護法順勢而出，系統(tǒng)規(guī)定了個人的信息權(quán)益和企業(yè)的責(zé)任和義務(wù)，對企業(yè)合規(guī)提出更多、更高的要求。

值得思考的是，在個人信息保護法實施之前收集的歷史數(shù)據(jù)，符合彼時的法規(guī)要求，如果繼續(xù)使用，還需要根據(jù)個人信息保護法進行合規(guī)嗎？

繼續(xù)使用歷史數(shù)據(jù)必須有合法理由

2021年8月20日，個人信息保護法經(jīng)十三屆全國人大常委會第三十次會議表決通過，并于同年11月1日起施行。這一法律揭開我國個人信息保護法治的新篇章，強調(diào)嚴格保護個人信息，平衡數(shù)據(jù)的保護與利用，對個人和產(chǎn)業(yè)帶來深遠影響。

隨著個人信息保護法的落地實施，業(yè)內(nèi)廣泛討論著這樣一個問題：如果繼續(xù)使用在該法實施之前收集的歷史數(shù)據(jù)，是否需要按照該法進行合規(guī)？

對此，北京市競天公誠律師事務(wù)所合伙人周楊表示，雖然收集行為發(fā)生在個人信息保護法生效之前，但繼續(xù)使用這些數(shù)據(jù)仍需要有相應(yīng)的合法理由；否則需要補充合法理由或“冷凍”數(shù)據(jù)。也就是說，“個人信息保護法并未對歷史數(shù)據(jù)豁免合法處理理由”。

她以銀行業(yè)為例作解釋：在個人信息保護法生效之前，銀行在貸款、反洗錢等業(yè)務(wù)中收集了大量數(shù)據(jù)，因為法定理由一直不變，個人信息保護法生效后，仍可以以此法定義務(wù)作為合法處理理由，但應(yīng)注意不得變更信用審查、反洗錢等原處理目的。

而對于超出必要范圍收集的數(shù)據(jù)、變更數(shù)據(jù)的使用目的等情況，銀行則需要重新獲取用戶授權(quán)；否則“因沒有合法理由處理這些數(shù)據(jù)，銀行可能違反個人信息保護法，受到行政乃至刑事處罰。”她強調(diào)。

資深數(shù)據(jù)法律師袁立志進一步解釋，目前并無“新收集數(shù)據(jù)依新規(guī)、歷史數(shù)據(jù)依舊規(guī)”的法規(guī)依據(jù)，因為無論新舊數(shù)據(jù)，對數(shù)據(jù)的處理行為都發(fā)生在新法實施以后，這意味著所有數(shù)據(jù)統(tǒng)一適用個人信息保護法。

難點在于標記需要“補充”合規(guī)的數(shù)據(jù)

“個人信息保護法生效前，保護個人信息的相關(guān)規(guī)定散落在其他法規(guī)中，如民法典、消費者權(quán)益保護法、網(wǎng)絡(luò)安全法等。這些法規(guī)與個人信息保護法所要求的合規(guī)不盡相同、程度不一。”中國人民大學(xué)法學(xué)院教授、未來法治研究院副院長丁曉東表示。

海問律師事務(wù)所合伙人楊建媛舉例介紹：早在2009年，《刑法修正案（七）》就將非法獲取、非法提供公民個人信息的特定情節(jié)規(guī)定為犯罪，該條在2015年的《刑法修正案（九）》中得到了進一步的完善。

2012年頒布的《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》首次對網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位、國家機關(guān)及其工作人員在收集、使用、保管公民個人電子信息中應(yīng)當遵循的原則、承擔的義務(wù)及法律責(zé)任作出了較為具體的規(guī)定，例如不得非法獲取、非法提供公民個人信息，應(yīng)當采取技術(shù)或其他措施防止信息泄露等。

2017年的《網(wǎng)絡(luò)安全法》規(guī)定，網(wǎng)絡(luò)運營者收集、使用個人信息，應(yīng)當遵循合法、正當、必要的原則，應(yīng)當確保被收集者的知情同意，以及應(yīng)當采取措施防止信息安全事件等。“這些規(guī)定大都是指向性的，缺乏可執(zhí)行性。”她強調(diào)，相較于上述法規(guī)，個人信息保護法是專項法律，更加細化。

“個人信息保護法對個人信息權(quán)益如增刪查改、大型平臺的守門人義務(wù)等作出明確規(guī)定，使企業(yè)有了更綜合完善的數(shù)據(jù)保護義務(wù)。“這些都是企業(yè)需要額外注意的合規(guī)義務(wù)。”丁曉東補充說明。

面對更系統(tǒng)、更嚴格的要求，有觀點認為，對歷史數(shù)據(jù)“補充”合規(guī)的難度太大、成本過高，企業(yè)難以招架。

對此，多位專家表示“受影響最大的還是中小企業(yè)”，因為它們合規(guī)水平不高，商業(yè)模式或受到較大沖擊。而大型企業(yè)的合規(guī)底子較好，受影響有限。袁立志還表示，個人信息保護法的相關(guān)規(guī)定并非橫空出世，而是循序漸進演變而來的，雖然相較更加嚴格，但不至于嚴重影響行業(yè)發(fā)展。

“歷史數(shù)據(jù)體量大不是企業(yè)拒絕合規(guī)的理由，合規(guī)整改是一個過程而并不是一個結(jié)果。”北京大成律師事務(wù)所高級合伙人肖颯強調(diào)，如何對歷史數(shù)據(jù)進行科學(xué)合理的分類分級，是實踐中的痛點和難點。換言之，只要定性明確，進行整改就是一個可預(yù)期、可操作的合規(guī)過程。

周楊也表示，“補充”合規(guī)的難點在于“首先標記出需要重新獲取合法理由的數(shù)據(jù)，相當于對數(shù)據(jù)分類分級；再去獲取合法理由，如獲取授權(quán)”。

專家支招破解合規(guī)難題

那么在實務(wù)中，該如何進行合規(guī)？

袁立志表示，在個人信息保護法生效之前，雖然有一部分數(shù)據(jù)是基于合法業(yè)務(wù)收集的，但根本沒有獲得授權(quán)，存在較大的問題和風(fēng)險。對于這部分數(shù)據(jù)，他建議盡量補充授權(quán)，或者通過下游使用方來獲得授權(quán)；如果無法獲取授權(quán)，也可以采用匿名化等技術(shù)手段處理后再繼續(xù)使用數(shù)據(jù)。

還有一部分數(shù)據(jù)在授權(quán)上存在一定瑕疵，比如告知不清晰，或者雖有同意，但沒有滿足單獨同意的要求等。對此，袁立志建議通過更新隱私文件來“修復(fù)瑕疵”，完善授權(quán)；如果無法修復(fù)，也可以考慮通過隱私計算等技術(shù)來使用數(shù)據(jù)。

如上所述，通過技術(shù)化手段處理數(shù)據(jù)達到合規(guī)像是“托底”操作，但目前在實務(wù)上也存在風(fēng)險。

楊建媛以“匿名化”為例進行說明。個人信息保護法規(guī)定，匿名化是指個人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程；匿名化處理后的信息不再屬于個人信息。這意味著，匿名化處理后的信息不受該法保護。而目前 “‘不能復(fù)原’似乎沒有一個度，是指合理努力不能復(fù)原還是絕對沒有能力復(fù)原？一旦標準定得過高則面臨數(shù)據(jù)價值大打折扣的困境”。

楊建媛還表示，雖然許多企業(yè)有自己的匿名化標準，但這個標準是否安全，能夠被監(jiān)管機構(gòu)認可是未知的。所以，她建議監(jiān)管部門盡快制定相關(guān)技術(shù)指南供企業(yè)參考、執(zhí)行。

標簽： 歷史數(shù)據(jù) 標準答案