引言

若干年后,当我们回望 2018,一定会认为这是在个人数据保护政策领域意味深远的一年。

为深度、全面展现 2018 政策重点与全貌,变革与走向,我们完成了——“迷雾中的新航向:2018 年数据保护政策观察”。本年度报告共分为 2018 年个人数据保护法律政策全景、焦点洞察、趋势展望三篇。

 

一、 2018数据保护政策时间轴

这一年年初,监管部门尚在回应处理“水滴直播‘’、“支付宝年度账单”等隐私焦点事件,与此同时,全球数据保护的政策风暴正蓄势待发:

2018年3月,美国总统特朗普签署 “澄清合法使用海外数据法”即“CLOUD”法案;欧盟随即提出欧盟电子证据调取令和保全令立法计划,预示了在全球数字化背景下,跨境数据执法协助机制改革已迈向深入议题。

4月,Facebook数据泄露事件终于从2016年底的新闻调查演变为全球关注的数据治理热点,美国海内外数十场听证会深度拷问科技公司数据治理能力,联邦统一隐私保护立法再度列入国会议程。

5月,欧盟《通用数据保护条例》(GDPR)经过2年准备期,落地执行,对于外部观察者而言,欧盟率先发起的这场制度实验所带来的正、负面影响正变得越来越清晰。

6月,美国加州《消费者隐私保护法案》(CCPA)正式颁布。考虑到加州作为全球第五大经济体量,该法案的影响力可与欧盟GDPR比肩。但究其制度内核,仍体现出美欧制度的烙印差异。

7月,印度政府提出《2018年个人数据保护法案》草案。政府引入了更为广泛的数据本地化要求,对金融、支付、互联网行业带来全面冲击。

8月,我国《电子商务法》颁布,对于“数据杀熟”问题也首次尝试做出回应,经济学上的价格歧视问题被抛向更广泛的公众视野。

9月,我国民法典各分编公布草案,其中《人格权编》系统规定了隐私权与个人信息保护,这使得与同步列入十三五规划中的《个人信息保护法》、《数据安全法》的彼此定位与相互关系问题变得更加紧迫。

10月,欧洲议会通过《非个人数据在欧盟境内自由流动框架条例》,旨在废除欧盟各成员国的数据本地化要求,更大程度释放非个人数据经济潜能。

11月,澳大利亚和中国台湾加入亚太跨境隐私规则机制(CBPRs)。在APEC21个经济体中,包括美国、日本、加拿大、韩国、新加坡等8个经济体加入CBPR体系,代表着美国主导下的以自律为主的数据跨境流动机制取得实质进展。

12月,澳大利亚政府通过备受争议的《加密法案》,强制要求科技公司在访问加密信息时提供三种层级的“协助”,预示着加密数据领域安全将面临前所未有的立法冲击。

以上内容,只是以时间序列,穿起了2018年数据保护领政策领域斑驳陆离的一年,它们折射了当下以“数据”为中心的社会生活中,法律政策所展现的复杂维度:隐私保护、数字竞争、国家安全……。

尽管问题被迷雾所笼罩,但其激起的来自政府、学界、产业、消费者群体的深入讨论,让我们看到了数据政策的新航向。

二、 2018年数据保护十大政策风向深度分析

(一) 国际

  1. 个人数据保护法的全球普及

截至2018,全球近120个国家和独立的司法管辖区已采用全面的数据保护或隐私法律来保护个人数据,另有近40个国家和司法管辖区有待批准此类法案或倡议。

新兴市场表现出对个人数据保护立法的极大热情。2018年6月12日,越南《网络安全法》通过,对个人信息保护作出规定。7月27日,印度发布《2018个人数据保护法(草案)》。8月14日,巴西批准了《通用数据保护法》,该法将2020年初生效。

发达国家补充和完善现有法律。2018年2月22日,澳大利亚隐私法修正案(《数据泄露通知计划》NDB)正式实施。11月1日,加拿大个人信息保护和电子文件法案(PIPEDA)修正案生效,增加了强制性数据泄露通知报告要求。

GDPR生效,开启欧盟成员国新一轮立法。尽管条例与其前身95指令不同,它直接适用于所有成员国,但每个成员国仍然需要更新其国家数据保护法,以使其与GDPR保持一致,并且,根据GDPR中预留给各成员国的立法空间来补充国内法。据统计,在GDPR中,包括儿童年龄标准,敏感数据的保护规则等50个领域可以由成员国来继续做出规定,这也使得所谓的GDPR“一站式”立法在欧盟仍然有碎片化的风险。

  1. GDPR从文字走向落地,正负面影响并存

GDPR本身还是一个处于探索塑造期的新生儿,需要大量解释和细则予以澄清。截至目前,欧盟数据保护机构——EDPB已发布共20项,约15万字指南以回应各方关切。指南涉及的内容极其广泛,包括:数据保护官,数据保护影响评估,识别主导监管机构,行政处罚、充分保护认定、BCR基本原则等等。

欧盟各成员也陆续颁布GDPR指南。2018年2月,德国独立联邦和州数据保护机构会议(DSK)分别发布了数据控制者、数据处理者的处理记录模板,以及GDPR第30条处理记录指南。9月下旬,法国数据保护机构国家信息自由委员会(CNIL)发布了关于区块链GDPR合规指南。

各成员国监管机构DPA开启执法活动。体现GDPR严格性的重要因素是其巨额的罚金,但从目前已有案例观察,GDPR的执法力度总体呈现轻缓色彩,这说明监管执法仍处于过渡阶段。GDPR生效后,欧盟各成员国的监管机构所收到的违规投诉和数据泄露报告的数量均显著增加,但各国因违反GDPR而导致的罚金数额总体不大。对于具体处罚,大多成员国DPA对第一次违规行为只给出警告、建议和纠正措施。德国数据保护当局更是明确表示, 处罚应当是“责罚相符合”,“德国数据保护当局没有意愿加入GDPR最高罚款的案例竞争”。

围绕GDPR的争议纠纷也涌入司法系统。全球首例关于GDPR的法院裁决凸显出GDPR规则与实践的冲突。5月29日,互联网域名分配ICANN向德国伯恩法院申请临时禁令,请求法院禁止德国域名注册商EPAG在分配域名时放弃收集域名申请者的技术联络和行政联络的数据,但遭到了法院驳回申请。一般而言,技术联络和行政联络数据是确认域名注册主体真实身份的关键,对于预防和调查网络犯罪、知识产权维权都具有重要意义,EPAG因GDPR合规要求,而拒绝收集此类数据,对互联网世界的身份管理带来新的难题。

除了法律实施层面,外部观察者就GDPR对数字经济的影响展开研究。从正面看,GDPR显著促进了机构对于数据保护的投入。据估计,财富全球500强公司在对合规投入约78亿美元。但与此同时,也有许多中小企业因担心过高的法律风险,宣布停止向欧洲地区服务。

2018年11月,美国权威经济学组织——国家经济研究局(NBER)发布报告:《GDPR对科技创业投资的短期影响》。报告以翔实的数据,严谨的计量经济学模型,对GDPR给欧洲科技行业带来的负面影响进行了实证分析。表明在GDPR推行后,欧盟国家企业的融资总额、融资交易笔数以及每笔融资交易金额均大幅减少,GDPR使新企业每周减损90万美元投资,使成熟企业每周减损710万美元投资,其对于新业务发展的负面影响是显著的。

  1. 美国加州出台CCPA,与欧盟保持立法差异

2018年6月28日,美国加州公布《消费者隐私保护法案》(简称“CCPA”)。本法对企业提出了更多通知、披露义务,并针对数据泄露,规定了法定损害赔偿金,是目前美国州层面最严格的隐私立法,也被视为最具有GDPR色彩的美国隐私立法。这不禁引人联想:加州立法是否代表了美欧隐私立法走向融合趋同?

形式上,CCPA与GDPR有相似之处,但究其制度内核,仍然体现与欧盟制度的烙印差异,更加注重消费者保护的实际效果,以及与促进企业发展,技术创新之间的平衡。这最显著地体现在以下三方面:

第一、CCPA的适用作出了合理排除。其一,在受规则的实体上,CCPA作出了三类排除:1)仅提供数据服务的企业(processor)、2)非盈利机构,3)和没有达到适用门槛的中小企业;而GDPR下,所有任何规模的实体都受约束,遵守相同的高标准合规要求,这也解释了为什么GDPR生效后对中小企业带来市场竞争的扭曲效应。其二,在规制的数据处理活动上,CCPA重点规制数据的收集、买卖和共享三种活动,而GDPR笼统地包含了所有数据处理活动。其三,在排除适用的数据活动上,CCPA非常务实地排除了“集合信息”、“去识别化数据”、以及联邦法已经覆盖的医疗、征信、驾驶、金融、政府公开数据等;而GDPR仅排除了匿名数据,根据欧盟对匿名数据的严格解释标准,GDPR对于匿名数据的排除适用门槛极高。

第二,CCPA仍然保持了美欧个人数据保护法的最大差异,延续了opt-out原则。具体而言,依据GDPR,在绝大多数商业化场景下公司收集、处理消费者个人数据之前必须要获得消费者的同意,即“opt-in”模式;而在加州消费者隐私法中,对于16岁以上的消费者的个人信息处理,采取美国一以贯之的“opt-out”模式,即除非用户拒绝或退出,则公司可以继续处理用户的个人信息。这体现了美国一直以来在数据保护方面的务实思路。“opt-out”模式对消费者而言更为真实有用,同时对新进入市场的企业的发展阻碍也更小。

第三、在同意机制上,相比于严格刚性的GDPR,CCPA体现出灵活弹性的特征。正如华盛顿邮报在欧盟市场所遭遇的困境,邮报在无法通过行为广告来补贴业务的情况下,选择直接向用户收费模式,则难以满足GDPR关于同意是消费者自由、自主选择的要求。而对于此问题,加州法专门留出弹性空间,其规定:消费者行使了本法规定的隐私权利,企业不得有歧视对待,但是:如果该价格或差异与消费者数据所提供的价值直接相关,则企业还可以向消费者提供不同的价格、不同费率、不同的品质的商品或服务。可见加州隐私法仍然更多地保留了市场弹性,允许企业探索其他可行商业模式。

  1. 个人数据跨境流动机制曲折发展

2018年,欧美分别主导的个人数据跨境流动机制在曲折中取得实质性进展。

GDPR对欧盟数据跨境流动政策限制有所松缓。第一,GDPR明确禁止了原95指令下,部分成员国针对跨境数据流动增加事前备案或者许可要求的做法,规定只要符合了跨境数据流动的条件,则成员国不得再予以限制。第二,GDPR赋予95指令中的有约束力公司规则(BCR)正式的法律地位。第三,GDPR增加了成员国数据监管机构可以指定标准合同条款的渠道。第四,除了对国家做充分性认定外,还可以对一国内的特定地区、行业领域以及国际组织的保护水平作出评估判断。第五,GDPR引入了签章、行为准则认证等跨境流动机制,为后续与APEC CBPRs衔接提供了可能空间。

在此背景下,日本、韩国积极争取进入欧盟“白名单”。2018年9月,欧盟正式启动对日本的充分性认定程序。11月15日,韩国国民议会提交了个人数据保护法修订,新的修订将使韩国数据保护执法系统获得独立地位,这将有望为韩国期待已久的欧盟充分性认定铺平道路。

除了GDPR外,欧盟面向全球推行的——《有关个人数据自动化处理之个人保护公约》(“第108号公约”)在2018年5月18日完成了版本迭代,继续推动欧盟之外国家向欧盟数据保护标准靠拢,并继而实现欧盟的数据跨境流动理想框架。

当然,在GDPR严格的个人权利保护机制下,欧盟放宽对个人数据跨境流动政策的过程并不是一帆风顺的。继“安全港”协议被欧盟法院推翻后,在2017年Max Schrems起诉facebook一案中,标准合同条款机制的合法性也遭到挑战。目前,关于该机制合法性的最终结果正在等待欧盟最高法院的裁决。

而在大西洋另一端,美国主导下的亚太隐私数据跨境体系(APEC CBPRs)也在沉寂期后迎来实质性进展。2018年3月,新加坡加入CBPRs体系。11月,澳大利亚和中国台北加入申请也同时获得APEC批准。截至年底,在APEC21个经济体中,已有8个经济体加入CBPRs体系。

  1. 跨域执法数据协作新的探索与冲击

2018年3月23日,美国总统特朗普签署了长达2000多页的政府预算支出法案。作为预算法案最后一部分的“澄清合法使用海外数据法”(Clarify Lawful Overseas Use of Data Act,“CLOUD”)被连同一并签署,随即生效。

CLOUD法案解决的是刑事领域的证据跨境调取问题。在内容上分为美国调取域外证据规则和外国调取美国所控制的数据规则。在流程上规定了美国与其认可国家之间的证据调取程序,以及通信服务提供者的抗辩程序,其中,被美国认定为适格的外国政府,与美国政府将建立起更为便捷的跨境数据调取路径。

但这并不能一蹴而就地解决数据跨境调取问题,而毋宁是为其提供了一个框架。不论是对适格外国政府的认定标准,还是对行政协议订立的要求都带有原则性特征。该法案在实践中发挥作用,还要对其进一步解释和细化。

但法案的意义在于:尝试推动美国现有的数据安全和司法协助法律,能够适应当前以云计算为代表的数字技术的发展,改革现有的冗长司法协助机制MLAT,为执法协作中的数据跨境获取设定新的实质性和程序性保护规则,同时为美国企业减少来自海外本地化要求提供一种制度动机。但与此同时,该法案导致了对行政权力过度扩大危害隐私等基本人权的担忧。

在美国提出CLOUD法案之后,欧盟迅速作出反应。2018年4月17日,欧盟提出的《电子证据条例》(e-Evidence Regulation)草案,该草案于12月7日获得欧洲司法部长批准,而欧洲议会计划在2019年5月底换届之前,完成对条例表决。草案包括:

《欧洲数据生成令》(European Production Orders):其允许一个成员国的国家机关直接从服务提供商处获取电子证据(例如应用程序中的电子邮件、文本或消息,以及识别犯罪者的信息),该服务提供商在另一成员国的法定代表人,有义务在10天内作出答复,并在紧急情况下于6小时内作出答复(现有欧洲调查令的回复期间最多为120天,法律援助的处理周期则为10个月);

《欧洲数据保全令》(European Preservation Orders):其允许一个成员国的国家机关要求另一成员国的通信服务提供者或其法律代表保留特定数据,以便随后通过司法协助、欧洲调查令或欧洲电子证据调取令提取这一数据。

简言之,《电子证据条例》允许执法官员更快地从其他国家获得电子证据,虽然目前该条例因为隐私争议而尚未获得绝对支持。

对于这一问题,我国仍然坚持传统的跨境司法协助方式。2018年10月26日,我国《国际刑事司法协助法》发布实施,规定了我国和国外之间相互提出调查取证请求的程序性和实质性规则,但其仍旧是围绕传统的司法协助方式,并未有突破性变革。

而从跨域执法数据协作问题本质而看,其更适合在国际平台上进行讨论。2018年4月,联合国公布《跨境提取电子证据实践指南 》,从指南看联合国对直接跨境调取电子证据总体持谨慎态度,既没有完全复制CLOUD法案的框架,也没有完全抱定旧有规则,而是在尊重国家主权的情况下对个别情况下的直接取证进行了试探性规定。

总之,跨域执法数据协作机制中出现最大的突破是,在特定情形下,允许外国执法机关直接向位于某国国内的通信服务提供者调取数据。这种新机制对传统形式的通过司法协助请求,依赖被请求国机关调取数据的方式形成了冲击,而深藏在其背后的是对国家主权是否延伸至网络空间的判断。尽管从目前各方发布的规范来看,还都是框架性规范,但已然揭开了数据跨境执法协作改革的序幕。

(二) 国内

  1. 多部法律并行推进数据保护规则

自2016年《网络安全法》首次在法律层面构建了个人信息保护较为完整的法律制度闭环后,我国法律层级的数据保护制度建设步入加速期,这其中既包括网络法,也包括传统法,并兼有公法与私法视角。

2018年8月,《电子商务法》历时五年终获通过,其在《网络安全法》基础上,对个人信息保护规则做了进一步细化。例如要求经营者对于用户查询、更正、删除用户信息以及用户注销的方式和程序进行明示,且不得设置不合理的条件使上述权益无法实现等。而在实践中,作为电商应用的高频场景,大部分电商平台自身也支撑用户查询、修改包括名称和收货地址在内的个人信息,对个人订单也可轻松实现删除等操作。但对于“删除”、“注销”功能如何与数据留存等安全性义务相衔接,还需做探讨。

9月6日,作为民法典首编——《人格权编》(草案)面向全社会公开征求意见。本编内容包括隐私权和个人信息保护,从民法视角提供保护机制。但从公布的条文看,其将民事主体的姓名、名称、肖像、隐私、个人信息的并列提法,似乎显露了在民法理论层尚未厘清隐私与个人信息之间的交叉重叠关系。此外,草案对《网络安全法》中的个人信息保护条款多有复制,这引起了作为私法的《人格权编》与公法的《网络安全法》的相互关系问题。

9月10日,全国人大公布十三届全国人大常委会立法规划,其中《个人信息保护法》、《数据安全法》一并列入第一类项目立法项目,集中代表了我国公法体系对于数据安全问题的关注。但结合《人格权编》带来的私法与公法规则的关系问题,我们又将面对《个人信息保护法》与《数据安全法》两套公法规则体系的协调与统筹问题。

不同性质法律规范的重叠交叉揭示了我们正处于一个微妙的历史变化期—— 从“个人信息保护”向 “数据治理”转变,“数据治理”正在以更宏大的议事命题浮现,形成了围绕数据资产的隐私保护、创新竞争、安全主权等更复杂化、更多维的公共政策讨论场。

  1. 电商法尝试回应数据歧视问题

年初,媒体报道称携程利用大数据“杀熟”,老用户通过携程app预订酒店的价格比新注册用户高。在知乎与“大数据杀熟”相关的话题下,有近两万关注者,其中超过六成用户表示,自己在预订酒店、机票、门票时,被OTA平台杀熟。包含“动态调价功能”的滴滴也成为公众吐槽重点。

此时正逢电子商务法进入最后的审议阶段,立法作出应激反应,增加反歧视条款,第十八条第一款规定:“电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。”

虽然根据电商法的适用场景,本条被限制在提供搜索结果的情形,且“平等保护消费者合法权益”的表述本身存在争议,但这反映出数据歧视问题已引起立法关注。

实际上,围绕数据歧视问题的讨论,在西方已持续了二十多年,而围绕歧视本身的讨论则更加久远。“歧视”在经济学中本是个中性化表达,差异化是市场竞争的本质。市场中存在多样性的“歧视”,不同的歧视具有不同的效果,甚至有时候“平等对待”反而导致“不公正”。法律上所讨论的是,究竟哪一种歧视是不可被接受,并应当受立法所规制。但在法律上要回答此类问题,还需要通过经济学来分析问题的实质。

经济学通常将差别定价分为三类:(1)一级价格歧视(亦称“个性化定价”):企业向每个消费者索取不同的价格,典型如二手车交易价格;(2)二级价格歧视(亦称“数量折扣”),典型如批发价格。(3)三级价格歧视:企业向不同的人口群体收取不同的价格,比如给老年人、学生打折。价格歧视虽然有时被认为是不公平的,但很多也已得到人们认同。商务旅客如果购票或预订酒店较晚,可能要为相同的机票或酒店支付更高的价格。多年的市场运行和经济学研究亦证明,此类价格歧视有助于消费者福利和社会总体福利的增长。

目前在法律层面需要规制的大数据价格歧视,在美欧已具有一定共识。美国联邦贸易委员会(FTC)对数据歧视问题已研究数年, 2016年1月6日,其发布了题为《大数据:包容抑或是排斥工具》(Big Data: A Tool for Inclusion or Exclusion)的研究报告,表明了其对数据歧视的法律规制基本立场,如果大数据分析基于种族、肤色、性、性别、宗教、身体残疾状况、基因等因素做出差别对待,则会有较高的法律风险。类似的,欧盟也持有相似立场,不同的是,欧盟是在立法中作出统一要求,而美国则是分散在各个相关法律里予以规制。

除了典型的违法歧视行为,对于消费者目前所关注的,基于数据分析,依据消费者的消费需求强烈程度、消费能力的大小而形成的价格歧视问题如何解决,仍需要结合经济学进行深入研究。正如目前航空业普遍的票价定价策略中也显著考虑了用户出行需求强烈程度一样,基于数据在其他消费场景下的定价策略如何影响消费者及行业,以及消费者在其中如何做出策略应对,仍需要观察。

消费者在价格歧视中并不是完全被动的,周密的数据定价策略,短期内可以增加商家利润,但长期内却会导致市场“双输”。这意味着除了典型的有失公平、甚至带有欺诈性的数据歧视,需要予以法律规制外,基于数据分析的价格差异化问题带来的消费者保护问题仍需要深入研究。

  1. 最高法典型案例关注个人信息泄露侵权

2018年8月,最高人民法院发布第一批涉互联网典型案例,旨在进一步统一裁判标准,为涉互联网案件审理提供参考。十大案例中,庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案,明确了由于航空公司、网络购票平台疏于防范导致消费者个人信息泄露,应当承担相应的侵权责任。

本案中,庞理鹏委托他人在去哪儿网(北京趣拿信息技术有限公司)为其购买东方航空公司的机票,而后原告收到航班因故取消的诈骗短信。对此,庞理鹏向一审法院起诉,认为东方航空和趣拿公司泄露其隐私信息(姓名、手机号码、行程安排),侵害其人身权利。一审法院认定证据不足,判决庞理鹏败诉。2017年,二审法院认为,原告作为一名普通人,举证证明对方公司内部事务的能力有限;而现存事实证明庞理鹏的隐私信息有高度可能性是由趣拿公司和东方航空公司匹配并泄露。并且,趣拿公司和东方航空在信息安全管理方面存在疏于防范的过错,应当承担侵权责任,故而法院判决东方航空和趣拿公司向庞理鹏赔礼道歉。

本案二审改判的关键在于,二审法院在因果关系的证明上采用了不同的责任分配方式,即在排除受害人自己泄露或者其他泄露途径的可能性之后,由具有高度的泄露个人信息可能性的被告负举证责任,极大地减轻了受害人的举证负担,从而更有利于保护个人信息。对于本案的损害赔偿部分,二审法院则严格遵守了《侵权责任法》的规定,考虑到原告没有遭到实际财产损失和严重精神损害,故而判决东方航空和趣拿公司向庞理鹏赔礼道歉。

案件的背后反映了当下公民对个人信息侵权的损害赔偿需求正在不断增加,而法院也面临着如何确定侵权事实的难点。在本案中,二审法院采取“高度盖然性”理论来重新分配原被告双方的举证责任,解决了一部分案件中原告举证难的问题,但在大数据时代,信息采集渠道日益多元化的背景下,此类问题将面临更大挑战,需要在侵权法上找到新的出路。

  1. 个人征信业务尘埃落定

2018年1月4日,央行发布《关于百行征信有限公司(筹)相关情况的公示》,宣布受理了“百行征信有限公司(筹)”的个人征信业务申请。5月23日,由中国互联网金融协会牵头,8家市场机构入股的百行征信在深圳揭牌,“信联”神秘面纱就此揭开。百行征信的建立是对中国个人征信服务市场的一次重大重塑,也同时意味着自2015年开始个人征信业务牌照准备实验走向终点。

三年前,央行曾下发《关于做好个人征信业务准备工作的通知》,要求芝麻信用、腾讯征信、前海征信、鹏元征信等八家民营征信机构做好个人征信业务的准备工作,准备时间为六个月。但经过三年的长跑准备期表明,没有任何机构符合央行对个人征信业务的期待。

“百行征信”由中国互金协会持股36%,前述8家机构各持股8%。8家机构不再单独从事个人征信业务,原有部分征信业务将剥离并入百行征信,其他业务可存续为数据服务公司,通过这种方式,让个人征信方面的主要工作和方式聚焦在共商、共建、共享征信平台上。截至2018年9月底,百行征信已经与241家机构签署了信用信息共享合作协议,涵盖网络借贷信息中介机构(P2P)、网络小额贷款公司、消费金融公司等。百行征信将与国家金融信用信息基础数据库错位发展、在功能上实现互补。

同步,监管层开始关注替代数据(非信贷数据)的采集和使用,以及更大范围的数据服务行业的规范和治理。而对于数据平台或数据服务机构而言,哪些是个人征信牌照范围内允许的业务,哪些是非持牌机构不能涉足的,尚待进一步明确。

  1. 监管推动下的行业自律萌芽发展

2018年5月,个人信息保护领域的推荐性国家标准《信息安全技术个人信息安全规范》(以下简称“规范”)正式实施。《规范》明确了个人信息的收集、保存、使用、共享的合规要求,为网络运营者制定隐私政策及完善内控提供了具体指引。同月,中国银保监会发布《银行业金融机构数据治理指引》(银保监发〔2018〕22号),将《规范》也同步纳入银行业金融机构的合规标准体系。

以《规范》为基础,中央网信办、工信部、公安部、国家标准委四部委继续推进隐私政策评审工作。从8月底开始,第二次隐私条款专项工作也拉开帷幕。此次隐私条款评审选取了与人们日常生活紧密相关、具有较大用户数量的30款网络产品,通过隐私政策评审来引导企业提高数据处理透明度。

11月,中国消费者协会也发布《100款App个人信息收集与隐私政策测评报告》(以下简称“报告”)。《报告》对包括通讯社交、影音播放、网上购物、交易支付、出行导航、金融理财、旅游住宿、新闻阅读、邮箱云盘和拍摄美化10类,共计100款App进行个人信息收集与隐私政策测评。通过评测也发现:过度收集或使用个人信息的情况仍较为普遍,特别是“位置信息”、“通讯录信息”、“身份信息”和“手机号码”等敏感信息更容易被过度收集。

这些由监管部门、消费者组织推动发起的自律性活动,提高了全社会层面对于数据保护问题的关注度,也促使企业、政府、医院、学校等开展个人数据处理的机构,在数据保护方面进行更多的投入。