近日,推荐性国家标准《信息安全技术个人信息安全规范》(以下简称《规范》)正式实施。这部由33位拥有政策制定、技术标准、企业实践经验的专家共同起草,历经两年多博弈的《规范》对个人信息收集、保存、使用、流转等环节提出要求,填补了国内个人信息保护在实践标准上的空白。
“非常明确地把《网络安全法》原则性的规定给落地了。”《规范》起草组成员、中国信息安全研究院副院长左晓栋表示,“让法律可以落地”是它最重大的意义。
然而,由于起草小组成员背景、立场不同,《规范》起草过程中,学术专家和企业专家之间多有博弈,相互之间的妥协也令《规范》留有不少可以改进的空间。左晓栋说,对于个人信息的保护,我们要走的路还很长。
《规范》中的“注”往往是双方的妥协
“企业对于个人信息保护责任边界到底在哪儿?”在《规范》起草组成员、阿里巴巴安全部总监郑斌记忆中,对于这个问题,起草组讨论了近一年的时间。“我们每两个月左右会开一次讨论会,大概讨论了五六次,每一次这个问题都会提出来。”
人们争论的是个人信息在数据流转时企业所要担负的责任。以郑斌为代表的企业方认为,企业只能做到自己掌握的个人数据不出现泄漏、滥用等安全问题,而在产业上下游协同过程中,经过用户授权,数据流转到企业的合作伙伴手中出现问题时,企业不该也不能为合作伙伴兜底。而学术专家认为,产业链上下游协同关系是企业自己搭建的,应该对产业链上下游协同能力进行充分的评估,要去为合作伙伴兜底。
近期Facebook数据泄漏事件正是这两方面争论的实例。政治咨询公司“剑桥分析” 利用Facebook上5000万名用户资料进行分析,最终向5000万名Facebook用户发送“专属”政治广告,左右选民投票。由于是合作伙伴关系,Facebook遭到美国、欧盟等多方质询处理。
Facebook如此境遇给企业方敲响了警钟,直到《规范》快要终稿时,争论双方谁都没说服谁,只能求同存异,“所以在《规范》里,并没有很好地去解决数据流转过程中数据保护的责任。”郑斌说。
类似的博弈还有许多,左晓栋告诉中国青年报·中青在线记者,细读《规范》中的“注”,里面往往有双方的妥协在其中。
他举例,在《规范》第七条对“个人信息的使用”中涉及用户访问信息时有个注解:“个人信息主体提出访问非其主动提供的个人信息时,个人信息控制者可在综合考虑不响应请求可能对个人信息主体合法权益带来的风险和损害,以及技术可行性、实现请求的成本等因素后,做出是否响应的决定,并给出解释说明。”“这就是跟企业的PK中,为了寻求平衡所采取的折中办法。”
在制定这条标准时,左晓栋就在讨论会上,参考欧盟发布的“一般数据保护条例”(GDPR)规定,类似的情况,GDPR规定企业可以收取成本,但必须向用户提供,而在《规范》中规定企业可以拒绝提供,“这是重大退让。”左晓栋说,“这对保护用户权益基本没有意义,因为现在的问题是,企业偷偷收集了用户大量信息,而这部分信息,企业却可以拒绝用户查阅。”
问题出在“偷偷”上,来自于企业的《规范》起草人徐然(化名)表示,企业如果按照《规范》合法地收集用户数据,无论是使用还是分析都会经过用户同意授权,并不存在隐瞒用户非法使用的行为。并且,为确保用户的信息安全,企业可以在满足最小够用的前提下不留存间接获取的个人信息。因此,上述查询未必可行。
在徐然看来,《规范》制定中,企业谈的是落地性强不强、技术上是不是可行,而许多专家是从监管的角度出发的,出发点是希望把个人信息侵害的行为的可能性降到最低,达到最好的监管效果。“有些(标准)对行业来说成本太高了,可能会阻碍行业发展。”他说。
让《规范》发挥作用是关键
虽然个别条款作了让步,但在左晓栋眼里,《规范》绝不失为一部好的标准。他说,目前着急的不是改进《规范》,而是如何让《规范》发挥作用。
“没有落实就想要变得更好没有意义。”在这一点上,左晓栋与一些企业代表达成了共识,受限于国内的实践场景,在个人信息保护上,我们缺少法律实践经验,只有不断实践,才能发现问题,继而改进《规范》。
徐然表示,在个人信息保护领域,欧美国家都积累了很多年的司法判决经验,相关规范规则的制定也有诸多案例参考借鉴,相比较而言,我国的相关规则体系一直以来都存在不少空白地带。“美国是集团诉讼,我们是个体诉讼,就导致案子比较小,侵权之后的损失是多少也很难判定。”他提到,在有限的个人信息侵权案中,我们的司法审判文书在遇到规则的空白时,只能引用一些专家的意见甚至是国外的标准,这也体现了实践对更加全面的规则的迫切需求。
除了法律实践经验的缺乏,复杂的信息收集场景也令《规范》难以统筹兼顾。左晓栋说,他的朋友最近做了一项关于100个主流App收集用户信息场景的测评,结果发现实际的场景远远超出《规范》设定的场景,许多企业在打“擦边球”。
“标准的规范性、强制性、约束性要增强,相关法律法规、政策合同要更加积极主动引用标准。”左晓栋提到,《规范》是推荐性标准而非强制性标准,因此不具备法律强制力,想让《规范》真正对企业起到监管作用,就必须积极使用,而且要明确主管部门,让违规行为可以追责。
左晓栋和他的技术团队最近正在开发相关的技术以求监测App的违规行为。“企业收集用户信息后假如违反对用户的承诺,在技术上如何去发现?”左晓栋认为,目前,标准的合规还缺少技术的保障手段,只能靠企业自觉不滥用信息,数据的使用过程和数据交易过程应该加强审计,“依靠企业自律是不够的,加强技术的规范与保障很关键。”