David数据合规律师可以算是从欧盟通用数据保护条例(GDPR)生效以来新兴的行业领域,那么数据合规方向的律师大致都处理哪些业务?
Megan数据合规在国内也算是新兴的领域。从2017年《网络安全法》生效以后,我国一直到2021年才出台了《数据安全法》以及《个人信息保护法》。到去年为止,我们的网络安全和数据保护的法律的框架才算比较成型。
我其实会把业务分为最主要的两块:
另一块是跟监管机关打交道。比如企业遇到了监管执法的调查,或者说企业因为上市计划,面临着数据合规的风险筛查和整改,或者说是从去年《网络安全审查办法》出台以后,要求企业到国外上市需要做网络安全审查,这一块需求会越越来越多。
Joe结合一些项目或是客户的需求,可以从横向和纵向几个不同的角度来看:
第三块就像刚才提到说我们如何去「应对」——其实「应对」不太好——我们更好的运用方法叫「拥抱」和「配合」监管对于数据安全的一些顾虑。企业要进行资本运作,或者企业要拓展市场,要使用一些新兴技术,怎么去打消或者是更好的去向大众说服我们这一套数据方案是没有问题的,怎么去自证合规,是需要从法律角度和技术相结合给一套相对而言比较好的一个解释,这也是我们能够做的一些事情。
David市面上做数据合规的团队,大致会从两种团队会演变过来,一种是从知识产权团队,另一种就是做竞争法的,也就是反垄断律师。知识产权团队做数据合规可能更偏向于客户类型,因为知识产权会接触很多高新技术或者互联网企业,因为客户导向也会比较早的去介入到数据合规中去。竞争法这块,因为平台经济下的数据收集和使用会有伴随一些竞争问题,从而一并进行处理。
David结合两位的观察和项目经验,互联网企业拿到我们的数据(匿名化或非匿名化)通常会用在哪些地方?或是怎样通过这些数据去完成怎样的商业目的?
但根据《个人信息保护法》的规定,如果需要收集用户比较敏感的个人信息,应该得到单独同意。这一块近期还是会观察到一些变化,典型例子是每次打开app希望收集定位信息的话,app会每次弹窗征求同意。如果说我不同意,其实也可以用这个app,只是我不授予精确定位的话,他可能也知道我在北京市,推荐的内容就会围绕北京范围内,这已经是一个比较大的改善了。
David这里涉及大家经常讨论的问题:很多app需要点击同意隐私政策才能使用,但是其实一些APP在你未同意隐私政策的情况下也是可以使用一部分功能。比如app的游客模式,只能用一些很基础的功能。
Megan前几年的时候,很多app在你自己不知情的情况下,在运行后台抓取你的数据。不仅是超范围,而且是超过频次,然后又是你完全不知情的情况下,在合规性上会有非常大的问题。如果说这一类的app在执法行动中被检测发现,工信部和网信办都会有一个通报机制,要求限期整改;如果整改还不通过的话,就有可能会面临下架的风险。
David其实在GDPR刚被提出来的时候,大家都有一个疑虑,就是说过于严格的隐私政策和法律层面的数据监管是否会阻碍互联网企业的一个发展,也常常拿欧洲和美国的数字经济做对比。
我们其实对于用户画像也是有一些规范的,里面就提到说互联网精准营销这种用户画像,就不应该是非常精确的、直接的。所谓直接用户画像,就是说它可能可以定位到你本人。相反,间接的用户画像可能是描述你所在的群体——我并不知道你本人是谁,但可能会知道一个群体标签,比如你是女性、大概年龄段在25岁到35岁、大概会喜欢什么样子的东西,然后去给你推荐。我觉得相对而言这是一种比较平衡的做法。
Joe这里涉及很多客户热衷探讨的话题:什么程度上的标签是不会触碰合规红线的?或者说什么样程度精确化的标签才可以去确保我们的个人信息权益是不会受侵犯的?现在企业的标签真的是非常丰富,而且丰富到经常会让我们想象不到的程度。当然标签还会涉及到很多其他问题,比如大数据杀熟,还有一些敏感类的标签,是不是允许企业放进来?
也有观点认为GDPR对于中小企业的数据合规成本过高。对于一些以美国为代表的大型互联网平台对个人数据处理的要求,比如跨境传输,这一部分成本是否需要由企业来承担,可能要区分不同的企业能力。对于中小企业来说,是否有必要基于一个潜在的个人信息风险去完成那么高举动的或者是那么高要求的合规动作,这是一个问题。第二个问题是那么微小的或标准化的合规动作,会不会约束了技术更好的发展?这些都是确实很深刻的命题。
Megan中国和欧盟其实都有在探索,对于超大型、或者相对大型的平台施加更高的合规义务。我们的市场监管总局关于互联网平台分级出台过相应的部门规章,可能根据它的用户量和在市场上的能力做一个分级,相对更高级别、更大型的平台,施加的合规义务就会更高。欧盟有「守门人」(Gatekeeper)的认定,《数字服务法》和《数字市场法》里面都对这种Gatekeeper有更高的合规要求。
Joe监管部门现在经常会给出一些在合规意见上的指导。像工信部18年以来就已经进行了20多批次的app问题监管治理。现在工信部对于app的监管强调一个「生态圈」的理念,不仅仅是监管运营开发者,还可能会延伸到上下游。比如刚才提到的设备生产商,也有很多个人信息收集的权限;内嵌的SDK、API第三方厂商,往往会容易触及到无感知收集的问题。
接下来是各个垂类行业。比如说金融行业,往往央行等主管部门对于个人金融信息合法合理的使用会进行监管。银保监部门之前宣布要在保险行业内实施全面的个人信息保护的合规要求,这就涉及到很多的头部保险公司、保险行业的服务型企业。还有汽车行业,《汽车数据安全管理规定》去年9月颁布,12月就需要汽车企业报送个人汽车数据处理的安全报告,并且已经开展了一系列的执法密集的动作。各行各业都有抓手,成为了我们个人信息保护的一个非常好的有效方案。
David能否给大家介绍一下SDK和API的基本情况?常常听到这种「接口」会给个人信息保护带来挑战,是个人信息保护的「重灾区」。
JoeSDK和API都是技术术语,其实就是一个技术的开发包,可以简单的理解为一些现有、成套、或比较成熟的一些代码,可以用来实现某种特定功能的小程序包,加载到app里面。
API是一个数据调取的管道,对于各个平台、各个品牌之间的数据互传有非常大作用。通过开放API接口以及权限,完成两个企业之间个人信息的交互。正是因为SDK和API很多情况下不受控于消费者个人,大部分情况下你根本不知道SDK或API在运行,就导致无感知收集的情形非常普遍。
David有点像民事关系中的不真正连带,但其实行政执法思路其实也未必一定要按照民事思维,行政机关在调查过程当中也许就认为app运营方应该承担SDK合规的一些必要的义务。因为app背后的平台企业也都是相对比较有规模、有声誉的,正所谓「能力越大,责任越大」。所以从执法便利性角度,可能也会倾向于找到app运营商这种具有更多「公共属性」的角色去承担责任。这里还是有待学理和实务去探讨的。
Megan在必要的情况下,我会把个性化推荐按钮关掉。现在一些app的个性化推荐按钮不是那么明显,需要从设置中的好几级菜单下去找,结合监管趋势,我觉得关闭个性化推荐按钮会越来越明显和好找。但很多时候关闭了个性化推荐后,仅仅是不给你推送罢了,但实际上在背后还是会分析。
关闭个性化推荐有两种情况。一种是全部关闭,基本上只能通过检索功能使用app;另一种是不将你的数据用于大数据分析,但软件还是可以基于你的行为做一些推荐,这里面还是有一些「探讨」的空间。
Joe我们从法律的视角看,关闭个性化推荐好像很简单,但是对于技术而言还是有挑战的:要识别哪些用户、基于什么场景、用哪些个人信息做推荐,有大量技术上需要去落实的方案。所以一定程度能理解企业为什么有的时候做的不够好,但为了推进产品上市,这块工作往后排一排。
David结合刚刚的讨论,我想起了最近美国新发布的一个判决,是HiQ诉LinkedIn案。根据国内法院判决的主张,大批量爬取企业数据会有风险被认定为不正当竞争;但美国最新的判决反而会更倾向于认为数据本身是公开的,而爬虫是更高效地完成数据收集的技术手段。
Joe这个案子可以反映出来美国对于数据监管的态度。美国到现在还没有出台非常成型的数据跨境限制、安全限制的法律条文,其实就是比较鼓励去数据流通数据跨境和数据交易的,这背后和国家对于数据的政策态度有关。法律可以说是一个平衡的艺术,看平衡的天平倾向那一边。
David顺着刚刚提到的,两位觉得我国的个人信息保护体系跟欧洲和美国的相似之处和不同之处还有哪些?两位有没有一些自己的看法?
所谓「第三条道路」,我自己的理解是,《个人信息保护法》监管的严格程度可能是介于欧盟和美国之间。GDPR下企业数据保护方面的合规成本应该说是最高的,美国就像我们刚刚讨论的,其实非常鼓励数据自由流通,没有去设太多限制。
个人觉得,我们国家其实是更希望能够得到一个平衡。过去十多年,特别是移动互联网兴起以来,行业有野蛮生长的趋势;《个人信息保护法》出台以后,相对于以前监管肯定更严,但并不希望互联网企业因为个人信息保护的问题,而在业务拓展上受到很大的限制。
Joe讲到这个问题,有一个开玩笑的说法。大家说美国在互联网时代构建了互联网高速公路,欧洲通过一部GDPR在路上设了非常多的收费站,其实调侃的是欧盟通过大量的执法和处罚,导致了美国跨国企业在欧洲保护个人信息和隐私的成本非常高。说来说去还是那两个价值之间怎么去取舍和平衡的问题。
从立法模式、保护机制上,我们是走自己的个人信息保护道路,有自己的特色。从立法体例上,还是参考了GDPR这种统一立法模式。一方面,强调统一的执法和强有力的个人信息保护;但另一方面又在强调,个人数据、非个人数据以及其他各种衍生数据,能作为一种价值或者作为一种资产,作为一种有经济价值的利益。这也是我们之后会去多探讨的问题,
所以我个人觉得,我们的做法是应当保护个人数据的人格尊严价值,这是毫无疑问的;但在人格尊严价值之外,如何更好地调动数据作为一种市场分配的要素,怎么去调用它的经济价值,也很重要。
从企业的角度,我自己的观察也是企业对于个人信息保护的意识在不断提高的,也有在配合监管的。这不仅仅是从日常运营考虑,也是为了长远的发展。像一些企业为了上市,自己就会去特别重视这一块。我在跟客户打交道过程中,也发现客户其实也是很了解的,并不是完全依赖于外部律师来给他们意见,他们其实经常在和监管部门打交道,主动去了解去学习。
Joe数据合规领域下,法律和科技的融合程度也是越来越高。监管不一定是坏事,不要把应对监管当作一个很可怕的事情,应该考虑用「迎接监管」或「拥抱监管」。在接受某一个部委的行政指导的情况下,这种「软执法」往往能够带动一个行业怎么去正确、更精确地去保护个人信息。我觉得,如果能在接受指导的情况之下,实现自律和他律两者之间的融合,会是一个比较好的个人信息的执法态度。
当然,对于那种非常明显的、毫无感知收集、超范围收集乃至欺骗隐瞒胁迫收集个人信息的行为,是必须要严厉打击的,严重的时候可以直接下架,这毫无疑问。但是对于一些细节情况,我们需要去探讨:比如怎么提高对个人主体的透明度,提高告知程度,如何实现单独同意,以及如何保障企业在个人信息的处理过程中的安全操作,是需要我们监管部门更进一步的。监管部门也需要看看行业他们到底能做到哪一步,这是一个良性的互动过程。
从企业的角度来看,我们会建议客户在产品开发的过程中去融入隐私设计的理念,在每一个环节都考虑怎么去融合,怎么去实现《个人信息保护法》《数据安全法》等一系列法律要求。如果到后期再去整改,这样成本就太大了,不如一开始就去实现。产品开发过程中,除了技术方案、商业方案,还应该要有合规方案。
近年来,个人信息主体主动提起诉讼的频率越来越高,提出的一些权利和行使要求还真的挺有意思的,反而能够去倒逼这些大平台大企业,在一些过去不太注重的环节更加全面地落实个人信息保护的那些要求。
总之,个人信息保护这个话题下,「企业和企业」「企业和个人」乃至「企业和国家」之间并不是一个非常激烈的对抗关系。很多时候,需要去沟通,需要行政指导,需要我们尝试运用个人信息的权利行使去促进行业发展。