2021年8月20日,全国人大常委会审议并通过《个人信息保护法》。《个人信息保护法》成为我国个人信息保护领域的基础性法律,与《数据安全法》《网络安全法》《民法典》共同构建了我国的数据治理立法框架。《个人信息保护法》的三次审议均引发了社会的高度关注,正式发布版更是细致入理、诸多新意,例如:对大型、小型个人信息处理者进行区别制度设计,增加人力资源管理所必需作为处理个人信息的合法性基础,明确高额罚款、停业整顿等处罚只能由省级以上履行个人信息保护职责的部门作出,增加对App个人信息保护的专门性规定等。
本文结合《个人信息保护法》正式发布版中对社会运行和企业治理影响较大、且在实务中需落地合规体系的五大亮点——大数据杀熟、儿童个人信息保护、数据出境、个人信息转移权、违法救济体系,逐一提出实务观察。
一. “大数据杀熟”:差别待遇不一定违法,需关注合法前提
“大数据杀熟”现象,以“千人千价”、“生客优惠”等情形为用户熟知,伴随数据在平台经济等领域的经济价值凸显而备受反垄断、反不正当竞争、电子商务等不同层面的立法监管关注。《个人信息保护法》从个人信息保护角度,整合其他层面的规制经验,意在引导大数据定价行为的合规开展,条件包括[1]:(1)保证自动化决策的透明度和结果的公平公正;(2)不得在相同交易条件下通过自动化决策实行不合理的差别待遇;(3)事先开展个人信息保护影响评估(“PIA”)。
由此可见,差别待遇不一定违法,需关注合法前提。“大数据杀熟”现象与数据使用行为直接相关,但其规制并不限于数据使用环节。差别待遇的合法前提覆盖使用管理、用户告知、结果公平、合规评估。
(一) 使用管理前提:实现合理的差别待遇
目前法律法规(包含近日发布的《禁止网络不正当竞争行为规定(征求意见稿)》)已针对何谓“合理的差别待遇”有所讨论,包括正例[2]及反例[3]各三类,具体情形及对应实例如下表所示:
总体而言,现有判断标准允许“基于成本或正当营销策略”,或“符合正当交易习惯、行业惯例”的情况下,对交易条件相同的交易相对人实施差别待遇。该等判断标准存有较大模糊性。举例而言,针对不活跃用户的派券促活行为是常见的营销策略且符合行业惯例,但能否满足合理性认定,则仍存在较大争议。较为明确的是,根据用户个人信息开展的关乎人格尊严、价值判断的价格歧视行为则明确被禁止,例如通过浏览次数判断用户是否具备较强购买欲望、通过交易所持设备或过往交易历史判断用户经济水平等,以此提供的差别待遇。
(二) 用户告知与结果公平:保证自动化决策透明度、公平性
结合《个人信息保护法》的规定[4],个人信息处理规则中应明确开展自动化决策的必要信息,例如处理目的、数据类型、对用户的影响、投诉方式等,同时应当保证决策的结果公平公正。
在涉及差别待遇的场景下,经营者落实透明度要求时存在实践困惑,即:自动化决策规则可能涉及商业秘密,应如何掌握展示尺度。除在隐私政策披露必要信息外,还需在具体场景触发时展示必要的判定规则说明及文字提示,说明差别待遇的考虑要素。以信用评价类产品为例,微信支付分、蚂蚁信用芝麻分均对赋分所关注的用户行为考察要素进行公示[5]。
判断决策结果是否公平公正的标准并不明确。无论如何利用大数据分析,基于交易成本合理定价的原则仍应坚守。向依赖程度高、支付能力强、价格不敏感的用户提供不合理高利润率定价,显然不符合公平、公正原则;反之,在真实的经营者让利场景下,根据大数据分析而给予用户不同程度优惠,则至少可确保不会损害消费者利益。
(三) 合规评估前提:对应PIA工作落地
根据《个人信息保护法》要求[6],PIA内容应包括:(1)个人信息的处理目的、处理方式等是否合法、正当、必要;(2)对个人权益的影响及安全风险;(3)所采取的保护措施是否合法、有效并与风险程度相适应。针对自动化决策涉及的差别待遇场景,结合《个人信息安全影响评估指南》的要求[7],评估要素应包括:
- 是否向用户说明通过自动化决策给予差别待遇的基本原理、运行机制;
- 是否定期对通过自动化决策进行差别待遇的合理性进行评价;
- 是否对自动化决策所使用的数据源、算法等提供持续优化;
- 是否向用户提供针对自动化决策结果(差别待遇)的投诉渠道;
- 是否支持对自动化决策结果(差别待遇)的人工复核。
经营者可选择由本方或者第三方完成上述PIA工作,并形成PIA报告。PIA报告需依规定至少留存三年[8],供运营过程中内部评估更新参考、应对监管部门调查上报等需要[9]。
二. 儿童个人信息的增强保护:身份识别及产品隐私设计的实践范例
《个人信息保护法》将不满十四周岁未成年人(“儿童”)的个人信息作为敏感个人信息,除了获取单独同意外,还要求个人信息处理者对此制定专门的个人信息处理规则以加强保护[10],彰显了***保护儿童合法权益,为儿童健康成长创造良好网络环境的决心。该等理念与2019年***互联网信息办公室出台的《儿童个人信息网络保护规定》(“《保护规定》”)一脉相承。从现行规范结合域外立法经验和实操来看,理解和适用《个人信息保护法》有关儿童个人信息保护的规定需要特别关注适用范围、识别儿童身份以及产品的隐私设计三个方面。
(一) 儿童个人信息增强保护的适用范围
《个人信息保护法》延续了《保护规定》严格充分保护儿童个人信息的立场,具有广泛的适用范围,即只要在中国境内事实上从事了针对儿童的个人信息处理活动,无论数量多少,都要适用特殊规定,从而为儿童提供***的保护。
《保护规定》在适用范围方面也为企业留出了一定的空间。通过计算机信息系统自动留存处理信息且无法识别所留存处理的信息属于儿童个人信息的,不适用《保护规定》有关增强儿童个人信息保护的规定[11]。正是由于存在这个“开口”,对于并非针对儿童用户开发且无法识别用户年龄的网络产品,业内常见的做法是在产品的隐私政策中设置未成年人条款,禁止未成年人在未得到监护人同意的情况下使用产品或服务。但是,仅凭设置未成年人条款无法充分保护儿童个人信息。
如何在保护儿童个人信息利益与控制社会成本之间取得平衡是***和企业在制定和适用相关规范时都会面临的挑战。美国《儿童在线隐私保护法》(“COPPA”)可作参考。COPPA的适用范围包括两类网络运营者,即“针对”儿童提供服务的网络运营者和并非“针对”儿童提供服务,但确实知道其用户中包含儿童的的网络运营者。在判断是否“针对儿童”时,监管机构会采取相对宽泛的认定标准,即“部分”针对儿童的网络运营者也要适用COPPA。监管机构会考虑不同因素,如网站的主题、内容、代言人、广告、语言特征等,如果存在卡通形象等与儿童具有关联性的要素,就可能被认为是“针对儿童”提供网络服务。而对于并非“针对”儿童提供服务的网络运营者,也不意味着就可以高枕无忧。如果此类运营者确实知道存在儿童用户(例如,已经收到过儿童监护人投诉),则其也应当履行COPPA之下的义务[12]。
(二) 如何识别儿童身份
识别儿童身份是履行加强儿童个人信息保护合规义务的重要前提。用户既包含成年人也包括儿童的网络运营者,需要使用年龄识别技术识别出儿童用户并针对儿童用户履行《保护规定》的合规义务,但《保护规定》并未明确网络运营者须尽到何种程度的识别义务。
目前业内实践广泛使用的是“告知+儿童自觉获得监护人同意”或者由儿童自觉填报真实年龄等模式,其合规性有待进一步明确。从域外经验来看,2020年1月21日英国信息专员办公室(ICO)颁布的《儿童适龄化设计准则》对此提出了建议[13],而国内部分企业也已经开始类似实践。
1. 自我声明:仅通过用户陈述确定年龄,适用于低风险数据处理活动或与其他技术结合使用。例如,通过分析用户与企业服务交互的方式来估计用户的年龄,与其陈述年龄进行比对并基于对比结果采取必要措施。国内游戏产业为防止青少年沉迷,已有部分公司将实名校验确认为成年人,但游戏内行为特征却疑似未成年人的用户,以人脸识别方式加强核验用户身份[14];又如,如果用户在首次自我声明年龄时被拒绝访问企业的服务,则产品将阻止其立即重新提交年龄以获得服务。
2. 账户持有人确认:由已知是成年人的账户持有人设置或者确认有关儿童的信息。例如,国内幼儿App和部分航空公司会员即采取此模式,由成年人开设账号后设置儿童个人信息及子账号,并赋予成年人对子账号的管控权利。
3. 提供硬性标识符:即提供身份证件或其他“硬性标识符”(例如护照)来确认年龄。但是这个方法对隐私的刺探较强,ICO的《儿童适龄化设计准则》不建议强迫用户提供硬性标识符,除非企业数据处理活动中因存在固有风险而确实需要,例如航空旅客运输服务。
(
