2018年1月,國家標準《信息安全技術 個人信息安全規(guī)范》(以下簡稱“規(guī)范”)獲批發(fā)布全文。盡管這是一部推薦性的國家標準,不具有強制力,但仍引起了學界與實務界的廣泛關注。
在關于規(guī)范的各類解讀中,有聲音認為規(guī)范的發(fā)布及時地填補了現(xiàn)今個人信息保護中諸多技術細節(jié)與實操領域的規(guī)范空白;也有聲音認為,這部國家標準規(guī)范比歐洲與美國對于個人信息保護的要求更為嚴格,可能會影響行業(yè)的發(fā)展。
洪延青:
對“《個人信息安全規(guī)范》比歐盟與美國更嚴格”觀點的幾點回應
對于種種理解,規(guī)范的起草人之一、北京大學互聯(lián)網(wǎng)發(fā)展研究中心高級顧問洪延青近日在由中國互聯(lián)網(wǎng)協(xié)會研究中心主辦的“網(wǎng)絡產(chǎn)業(yè)與《個人信息安全規(guī)范》國家標準研討會”上做出了幾點回應。
1、《個人信息安全規(guī)范》比歐洲更嚴格嗎?
-用戶“同意”在規(guī)范中處于核心位置,但并非沒有考慮“正當利益”
在近日發(fā)布的《個人信息安全規(guī)范》中,對于個人信息的收集、轉讓、共享等各個環(huán)節(jié)中,都對用戶的“明示同意”做出了要求。
洪延青表示,個人信息所謂全生命周期每個環(huán)節(jié),個人都是能參與到過程中去的,這些權利是《網(wǎng)絡安全法》賦予的。
洪延青介紹,《網(wǎng)絡安全法》(以下簡稱“網(wǎng)安法”)對個人信息保護的規(guī)定有一個非常顯著的特征,就是給個人特別強的控制權。比如說,收集使用需要個人的同意,即經(jīng)被收集者同意;處理和保存必須遵循與用戶的協(xié)定;如果違反用戶的協(xié)定處理或者保存?zhèn)€人信息,用戶有刪除和更正的權利。當發(fā)生安全事件之后,還需要通知到用戶。
從這個方向來看的話,個人的“同意”,在處理個人信息過程中處于核心的地位。
因此,有觀點認為,這份標準中對于“同意”的要求甚至比歐洲GDPR(《一般數(shù)據(jù)保護條例》)更為嚴格,理由是 GDPR有六個合法正當處理個人信息的事由,同意是第一項,后面五項不需要同意。第六項是正當利益。
洪延青對此持不同意見,他解釋,GDPR中有兩種同意的方式,一種是明示同意(explicit consent),指明確寫著“我同意”的字樣讓用戶點擊或勾選。而另一種是授權同意(unambiguous consent),指通過點擊“發(fā)送”或者點擊“撥打”等動作表明同意,但并不出現(xiàn)明文“同意”。
洪延青介紹,在此次發(fā)布的《個人信息安全規(guī)范》中,是將以上兩種情況合并為“明示同意”,同時也為“授權同意”留下了空間。
“為什么規(guī)范中沒有提及默示同意?”,洪延青解釋,首先,這樣寫怕企業(yè)會濫用默示同意。其次,目前承認“授權同意”,是希望互聯(lián)網(wǎng)企業(yè)做到明示同意,但如果現(xiàn)實大量的場景做不到明示同意的話,還是需要用到授權同意的。“從這一點上我們的標準實際上比歐盟松得多,跟相對寬松的美國相對是看齊的”,洪延青說。
而對于一些看法認為,歐盟GDPR中還考慮到“正當利益”的狀況,即個人信息對某個組織來說非常重要,有重大的利益,但是處理個人信息對個人合法權益的影響非常小的情況下,通過利益權衡,允許組織不經(jīng)過同意處理個人信息的做法。
洪延青表示,首先,“同意”的要求沒有任何例外情況,這是遵循了網(wǎng)安法的要求,在其第41條的第一款中寫“經(jīng)被收集者同意”,這里沒有給任何例外,如果網(wǎng)安法想給例外,這一條就完全另外一種寫法,比如說,“有法律法規(guī)授權或者其他正當事由或者經(jīng)被收集者同意”, 但是,(最終的網(wǎng)安法)沒有“或”字,原文是“經(jīng)被收集者同意”,字面上理解的話,遵循法律原意就是各個環(huán)節(jié)被收集者同意。包括后面條款說到,“未經(jīng)被收集者同意,不能向他人提供”。這也是法律的原話,同意是提供的主要事由之一。當然后面提了一句如果匿名化不需要個人同意。
其次,洪延青指出,在現(xiàn)實中有什么樣的場景經(jīng)常用到正當利益,法院或者行政機關認可的站得住腳的對正當利益的使用實例,那么我們考慮寫到“征得授權同意的例外”中。比如說產(chǎn)品出了一個故障,肯定需要回傳一些信息做調(diào)試,再比如說需要計費,為了計費的目的肯定要收集個人信息。這時候,雖然在國外,這叫正當利益的具體表現(xiàn),但是我們沒有寫“正當利益”四個字,而是盡量把它放到“征得授權同意的例外”當中去。
當然,由于例外只能列舉,不可能代替 正當利益 所給的靈活性,所以會有人讀起來覺得規(guī)范太嚴了。”洪延青表示,規(guī)范只能在網(wǎng)安法的框架中制定,不可能超越法律的框架。
2、《個人信息安全規(guī)范》比歐洲更嚴格嗎?
-要求區(qū)分核心與非核心功能,實則可以降低企業(yè)問責風險
在此次發(fā)布的規(guī)范中,還對此前受到用戶詬病的產(chǎn)品隱私政策“一攬子”授權的狀況做出了改善的建議。
目前的互聯(lián)網(wǎng)產(chǎn)品或服務在注冊時大多會提供用戶協(xié)議或隱私政策,作為與用戶簽訂的個人信息使用處理的同意。但通常文本較長,專業(yè)術語眾多。因此有用戶認為隱私政策長文本晦澀難懂,還有“一攬子”要求用戶授權的嫌疑。
洪延青對此解釋,隱私政策長文本的讀者并非只有用戶,還包括專家、法律人士及第三方監(jiān)督機構。因此長文本的全面專業(yè)依然有必要。
但他同時強調(diào),即便點擊了隱私政策長文本的同意,并不意味著附加功能同時一并打開。在現(xiàn)實使用中,還是需要再次點擊同意。
洪延青介紹,為了破解“一攬子”授權的情況,標準建議企業(yè)區(qū)分核心功能和附加功能。用微信舉例,微信核心功能是聊天,在實現(xiàn)這個核心功能中需要收集敏感信息或是普通個人信息,用戶為了使用微信,都需要提供。但例如微信上的理財?shù)裙δ?,則明顯屬于附加功能,如果用戶只想聊天,不想用理財,就不能認為同意了隱私政策就也同意開通了理財功能?所以規(guī)范建議企業(yè)在告知時區(qū)分核心和附加功能。
洪延青表示,在此前四部委進行的十家互聯(lián)網(wǎng)產(chǎn)品評測中,一些企業(yè)雖然開始認為區(qū)分核心與非核心功能不容易,但在實際操作后,反而成為一個非常明晰的風險防控手段。將來面對消費者或者消協(xié)投訴時,可以由于做了核心或者附加功能的區(qū)分,而降低問責成本。
同樣,此次規(guī)范對于個人敏感信息做出了增強式同意的要求,亦或是強調(diào)用戶同意在各個環(huán)節(jié)的核心作用,實際上都是為了降低問責成本。洪延青介紹,實際上無論是歐盟還是美國,對于要尊重用戶“正當期待”也都有要求,即需要遵守與用戶的約定,要尊重用戶的“正當期待”( reasonable expectation),這并非是中國才有。
洪延青表示,同意的要求變低,問責的要求往往就變高了。因為在現(xiàn)實中,這會讓判斷會更模糊,這會讓內(nèi)部合規(guī)考量更多更復雜。反而,在現(xiàn)在《網(wǎng)絡安全法》框架下,同意比起問責,是相對容易做的事情。
需要注意的是,規(guī)范的發(fā)布對于企業(yè)內(nèi)容合規(guī)提出了更明確的要求,洪延青介紹,完整性、保密性、可用性一直以來都是網(wǎng)絡安全行業(yè)熟知的三個特性。此外,如今的合規(guī),還要求企業(yè)劇本透明性(數(shù)據(jù)的處理、流轉要透明)、可干預性(如果需要刪除或更正,需要劇本溯源追究的能力)、不可聯(lián)結性(在大數(shù)據(jù)平臺中,不同場景不同目的的數(shù)據(jù)不能聯(lián)結)。
洪延青認為,如果說個人信息系統(tǒng)要討論合規(guī)性的話,要實現(xiàn)六個性,內(nèi)部必須有數(shù)據(jù)分級分類、數(shù)據(jù)打標、數(shù)據(jù)地圖、數(shù)據(jù)血緣關系、數(shù)據(jù)流向、留痕審計。這些都是基礎的合規(guī)能力,用于滿足的是對個人信息特殊對象的保護而不是對普通數(shù)據(jù)的保護。
洪延青還透露,目前《個人信息安全規(guī)范》已經(jīng)發(fā)布,個人信息安全影響評估正在起草中,這一文本將會對企業(yè)合規(guī)的差距進行分析,并針對未來的新技術、新業(yè)態(tài)、新技術留出空間。個人信息安全影響評估將對企業(yè)合規(guī)有更明晰的指導性。
3、《個人信息安全規(guī)范》比歐洲更嚴格嗎?
- “個人信息”的定義并非全世界最嚴,與歐盟程度仍拉開了距離
《個人信息安全規(guī)范》附錄A中有某項信息是不是個人信息的判斷。洪延青介紹,規(guī)范的定義考慮兩個路徑,一是識別路徑,即由信息本身特殊性識別出特定自然人。二是關聯(lián)路徑。 關聯(lián)路徑的前提是,個人已經(jīng)識別出來了,他后續(xù)做的一系列動作,又被系統(tǒng)記錄了,顯示出他的偏好和行為軌跡,這些也屬于個人信息。
洪延青指出,一些社交平臺,把身份信息保護得很好,例如帳戶、用戶名、手機號、身份證號、家庭住址等等。但是,卻把用戶的朋友關系網(wǎng)絡,例如特別關注的好友,屏蔽了誰,不屏蔽誰等等,叫做系統(tǒng)日志信息,而沒有定義為個人信息,這是不合理的。他表示,在一些場景下,身份信息往往并沒有行為信息更隱私,更需要保護。
此外,還有專家評論,識別是歐盟經(jīng)常用的路徑,關聯(lián)是美國經(jīng)常用的路徑,把識別和關聯(lián)都加起來,標準比美歐都嚴。洪延青認為這是一個誤讀。
據(jù)洪延青介紹,歐盟GDPR中的個人信息定義中,本身就包括“可識別”(identifiable )與“已識別”(identified),這實際上已經(jīng)把識別和關聯(lián)都包含在內(nèi)了。所以規(guī)范首先并沒有超過歐盟的嚴格程度。
需要注意的是,歐盟語境中的“身份“(identity)一詞的內(nèi)涵遠比中文語境中“身份”更寬泛。中文語境的“身份”一本指的是工作單位、職位,職級等等。但是歐盟GDPR對“身份”的定義,則包括physical(身體的), physiological(生理的), genetic(基因的), mental(精神的), economic(經(jīng)濟的), cultural or social (文化與社會的)identity(身份)。 舉例來說,一個人的性取向,在中國語境里并不認為是“身份”,但在歐盟就會認為是身份的一種。因此歐盟個人信息定義中包含的內(nèi)容遠大于中國。
而美國的情況也是如此,美國商務部下國家標準與技術研究院標準PⅡ?qū)€人信息定義為兩類,第一類是能夠用來區(qū)別(distinguish)或勾勒個體身份的信息,第二類是能夠和個人相關聯(lián)的信息。洪延青解釋,美國的定義也是包括了關聯(lián)與識別兩類。
洪延青表示,規(guī)范在制定時,可能會比美國稍嚴一點,但是絕對不會比歐洲更嚴,而且與歐洲拉開了一定的距離。
洪延青在發(fā)言的最后強調(diào),法律往往都是框架性的要求,制定標準一定會在《網(wǎng)絡安全法》的框架內(nèi),如果未來能夠出臺個人信息保護相關的專門法,那么規(guī)范會在那時候再適時做出修改,反映有彈性的操作空間。
吳沈括:《個人信息安全規(guī)范》提供了新的業(yè)務參照和行為指引
“在大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)以及人工智能等新一代信息技術迅速普及、推廣的當下,個人信息與數(shù)據(jù)治理的戰(zhàn)略意義日益凸顯”,會議伊始,主持人、中國互聯(lián)網(wǎng)協(xié)會研究中心秘書長吳沈括在發(fā)言中表示,包括規(guī)范在內(nèi)的一系列政策、法律法規(guī)相繼頒布施行,反映了主管部門對民眾權益、產(chǎn)業(yè)發(fā)展和國家利益的高度重視,也折射出中國個人信息保護追求多元價值集合的鮮明特色。
吳沈括認為,在網(wǎng)絡安全法治框架下,規(guī)范立足信息安全的維度,厘定、闡明了個人信息安全保護領域的諸多重要問題,如“個人信息”的基本定義、個人信息安全的基本要求等;并突出了個人信息全生命周期動態(tài)調(diào)節(jié)的機制特色。他指出,在目前我國個人信息處理規(guī)范相對不足的情況下,規(guī)范在實際操作層面填補了諸多空白,為提升公民意識、企業(yè)合規(guī)和國家監(jiān)管水平提供了新的業(yè)務參照和行為指引。
在附錄中,規(guī)范將具備識別特定自然人或者在一般情況下可以關聯(lián)到自然人的信息納入了個人信息的范疇。吳沈括對南都記者表示,這是因為規(guī)范的出發(fā)點是管控風險,其核心在于盡量降低在收集、處理個人信息過程中對個人合法權益造成的不利影響。
此外,附錄還將通過日志儲存的用戶操作記錄、IMEI信息、設備MAC地址等列入了個人信息范疇。不過,吳沈括強調(diào),規(guī)范的附錄屬于“資料性附錄”,而非“規(guī)范性附錄”,兩者的區(qū)別是:后者是構成標準整體的不可分割的部分,其效力等同于標準正文;前者則僅限于提供參考,不具備與標準正文同等的效力。
吳沈括指出,作為國家推薦性標準,規(guī)范的適用主體不僅限于網(wǎng)絡企業(yè),還包括所有個人、企事業(yè)單位和國家機關。“事實上,規(guī)范更恰當?shù)墓δ芏ㄎ粦斒且粋€有關個人信息處理業(yè)務合規(guī)指引的一攬子推薦性解決方案,屬于公共產(chǎn)品的范疇”,他進一步解釋說,除非行為主體主動承諾、有權機關明確援引或法律規(guī)范直接認可,規(guī)范本身不直接產(chǎn)生行為約束力,也并非行政性規(guī)范,更不應在刑事責任層面產(chǎn)生實質(zhì)性意義。
“個案思維和總體風險可控是兩個維度的問題,在《個人信息安全規(guī)范》的個案運用中,特別需要注意行為邊界的精準厘定”,吳沈括強調(diào),規(guī)范的實際價值需要在 5月1日正式施行后,結合政府機關以及龍頭企業(yè)的示范效應,尤其是有關部門的執(zhí)法實踐做出進一步的跟蹤研判,同時還應特別注意數(shù)據(jù)跨境下的國際博弈可能產(chǎn)生的反向影響。
許長帥:個人信息保護立法應劃分行政監(jiān)管邊界
中國信通院工業(yè)和信息化法律服務中心副主任許長帥在會上做了主題發(fā)言。他認為,雖然規(guī)范只是推薦性國家標準,但對于日常監(jiān)管卻有重要參考作用,可通過“轉化”的方式,把規(guī)范融入到日常監(jiān)管當中。此外,在后續(xù)的個人信息保護立法中,還應重點解決監(jiān)管部門分工以及劃分行政監(jiān)管邊界的問題。
規(guī)范可通過“轉化”融入日常監(jiān)管
近日,《個人信息安全規(guī)范》全文在國家標準全文公開系統(tǒng)上線。作為《中華人民共和國網(wǎng)絡安全法》(以下簡稱“網(wǎng)安法”)的配套標準,規(guī)范從收集、保存、使用、共享、轉讓、公開披露等個人信息處理活動方面進行了詳細規(guī)定。
“《個人信息安全規(guī)范》在網(wǎng)安法的框架內(nèi)做了 打開 ,對實務有很好的指引作用,這一點是毋庸置疑的”,許長帥指出,網(wǎng)安法關于個人信息保護的規(guī)定條款較少,且多為原則性條款,而規(guī)范在此基礎上給出了更加詳細、明確的規(guī)則。此外,規(guī)范的出臺符合產(chǎn)業(yè)發(fā)展的需要,也更靠近國際上通行的做法。“規(guī)范實施后積累的實踐經(jīng)驗,將為后續(xù)的個人信息保護立法打下很好的基礎”。
值得注意的是,規(guī)范屬于推薦性國家標準,和強制性國家標準不同,不能作為執(zhí)法的直接依據(jù)。對此,許長帥提出了一個對策,即通過“轉化”的方式,把規(guī)范融入到日常監(jiān)管當中。
許長帥表示,網(wǎng)安法中雖然給出了個人信息的定義并列舉了其中一些,但對于沒有被列舉的信息中,還有哪些屬于個人信息,尚無統(tǒng)一標準。規(guī)范作為有一定效力的國家標準,詳細列舉了個人信息、個人敏感信息的范圍,完全可以融入網(wǎng)安法適用中。不過,盡管監(jiān)管部門可以將規(guī)范當作執(zhí)法指引,卻不能成為執(zhí)法依據(jù)。
同樣的,執(zhí)法部門后續(xù)制定規(guī)章和規(guī)范性文件的時候,可以參照規(guī)范所確定的規(guī)則,將相關制度融入到規(guī)章和規(guī)范性文件中,但不能將規(guī)范作為這些規(guī)章和規(guī)范性文件的立法依據(jù)。
企業(yè)違反規(guī)范是否需要承擔法律責任?
對企業(yè)來說,規(guī)范在產(chǎn)業(yè)中的作用完全靠企業(yè)自主采用,就算企業(yè)不采用,也無需承擔法律責任。但是,如果企業(yè)對外承諾或者宣稱采用了規(guī)范而實際未采用,是否需要承擔相應的法律責任?
許長帥認為,根據(jù)《標準化法》第27條“企業(yè)應當按照標準組織生產(chǎn)經(jīng)營活動,其生產(chǎn)的產(chǎn)品、提供的服務應當符合企業(yè)公開標準的技術要求”和第36條“企業(yè)生產(chǎn)的產(chǎn)品、提供的服務不符合其公開標準的技術要求的,依法承擔民事責任”,企業(yè)需要承擔民事責任。
此外,許長帥還類比了《產(chǎn)品質(zhì)量法》第26條“產(chǎn)品質(zhì)量符合在產(chǎn)品或者其包裝上注明采用的產(chǎn)品標準”,提出該法通過合格產(chǎn)品制度,要求產(chǎn)品對外宣示采用了哪個推薦性國家標準,如果實際上沒有達到,執(zhí)法部門可以進行處罰,即企業(yè)需承擔行政責任。
相比之下,個人信息保護所屬的服務領域就缺少類似規(guī)定。許長帥建議,未來個人信息保護立法應設計把個人信息保護推薦性國家標準轉化為具有法律約束力的要求的制度。“如果沒有做到,企業(yè)除了民事責任以外,還要承擔行政法上的責任,這樣可能更有利于企業(yè)的良好經(jīng)營”,他說。
許長帥還指出了執(zhí)法過程中可能出現(xiàn)的另一個問題。網(wǎng)安法第41條規(guī)定, 網(wǎng)絡運營者收集、使用個人信息,應征得被收集者同意,并在第64條明確了相關罰則。規(guī)范也明確,收集個人信息應獲得個人信息主體的授權同意,另外又列舉了針對此條規(guī)定的例外情形。比如在與國家安全、國防安全直接相關的情形下,個人信息控制者收集、使用個人信息無需征得個人信息主體的授權同意。
“假如企業(yè)說我是在規(guī)范列舉的例外情形下,沒有告知就收集了用戶的信息,而用戶依據(jù)網(wǎng)安法第41條和第64條要求執(zhí)法部門處罰企業(yè),應該如何執(zhí)法?”許長帥提出,現(xiàn)階段國家法律和規(guī)范之間仍存在一定差異,可能需要通過立法解釋等方式解決,將來個人信息保護立法也應吸收規(guī)范的例外規(guī)則或其他要求。
后續(xù)個人信息保護立法要與執(zhí)法做預判或銜接
談到后續(xù)的個人信息保護立法,許長帥認為,有兩個需要注意的問題。
一個是監(jiān)管部門的分工問題。網(wǎng)安法沒有明確規(guī)定具體的執(zhí)法部門和主管部門,而個人信息保護問題涉及各個行業(yè)和領域,很難一一對應,因此實踐中形成了分散監(jiān)管的模式。許長帥舉了一個在淘寶平臺售賣醫(yī)療器械的例子:既然客戶有購買醫(yī)療器械的需求,就說明家里有人需要器械輔助,那就很可能也需要家政服務,于是賣家將收集到的客戶信息出售給家政服務公司,一個利益鏈條就串起來了。
“這種情況下,既涉及受電信部門管理的互聯(lián)網(wǎng)信息服務,又涉及受工商部門管理的網(wǎng)絡交易,還涉及受食藥監(jiān)部門管理的醫(yī)療器械,被侵犯個人信息的客戶找誰投訴、找誰解決呢?”許長帥指出,誰來監(jiān)管的問題需要立法部門在個人信息保護立法時重點解決。國外大多采取統(tǒng)一的監(jiān)管模式,對用戶來說有很多的便利,但也必須綜合考慮統(tǒng)一監(jiān)管涉及的執(zhí)法力量、執(zhí)法負擔以及執(zhí)法能力等因素。
另一個是行政監(jiān)管的邊界問題。許長帥指出,個人信息保護是在服務過程中存在的,發(fā)生糾紛應該首先尋求司法解決。但實際情況卻是大多數(shù)人會第一時間找行政部門投訴和舉報,試圖通過信訪、依法履職、投訴等途徑解決。
近兩年,與網(wǎng)絡有關的投訴、舉報和依法履職申請案件急劇增加,行政復議和行政訴訟的案件更是呈幾何級增長。許長帥認為,這導致了極大的行政資源浪費。“個人信息保護涉及的服務是市場行為,產(chǎn)生的問題應該在市場規(guī)律下走司法途徑解決,不是說政府部門負責某一行業(yè)的個人信息保護,這個行業(yè)出現(xiàn)的所有糾紛都要通過行政手段解決,這已經(jīng)被證明是做不到的,況且行政成本說到底還是攤到公眾頭上。”
因此,許長帥建議,個人信息保護立法要明確劃分行政監(jiān)管的邊界,與后面的執(zhí)法做一個預判或銜接。如果前期立法的規(guī)則設計處理好了,為行政監(jiān)管劃清界限,個人信息保護的大部分案件就可以通過司法途徑解決,有效減少行政執(zhí)法糾紛。
獨家專訪《規(guī)范》主要起草人之一左曉棟:
《規(guī)范》為守法企業(yè)提供重要機遇
南都:《規(guī)范》的核心內(nèi)容是什么?
左曉棟:在個人信息的收集、保存、使用、轉讓等環(huán)節(jié),目前都存在保護個人信息不力的問題,《規(guī)范》均對此提出了要求,這是最核心的內(nèi)容。此外,《規(guī)范》還對個人信息和個人敏感信息等給出了具體定義。
南都:《規(guī)范》中關于用戶實現(xiàn)個人信息控制權的規(guī)定,企業(yè)在實際操作中是否會有困難?
左曉棟:技術上不難操作,只是企業(yè)出于自身利益考慮,不愿意做而已?,F(xiàn)實情況是很多企業(yè)以侵害用戶利益為代價,滿足一己私利。
南都:有觀點認為,《規(guī)范》涉及的很多細節(jié)內(nèi)容,可能會增加企業(yè)的合規(guī)及運營成本。你怎么看?
左曉棟:首先要強調(diào),《規(guī)范》是推薦性國家標準,而網(wǎng)安法是法律,兩者效力不一樣,應該將《規(guī)范》看作對網(wǎng)安法相關條款的具體化或技術解釋。
如果企業(yè)繼續(xù)漠視用戶利益,甚至違法違規(guī),《規(guī)范》當然會成為其負擔,這樣野蠻生長的產(chǎn)業(yè)應該反思。但對于守法開展業(yè)務的企業(yè),《規(guī)范》是其重要機遇,因為只有守法的、真正保護用戶利益的企業(yè),才能走得更遠。這也要求全社會養(yǎng)成保護個人信息的良好氛圍,同時相關部門加強監(jiān)管,才不會發(fā)生“劣幣驅(qū)逐良幣”的事情。
南都:企業(yè)應該如何利用隱私政策模板?
左曉棟:隱私政策對一個機構如何收集、處理個人信息作出了說明,這首先是公開透明原則的基本體現(xiàn)。隱私政策也是一個機構的承諾,以及監(jiān)管部門的首要監(jiān)管關注點,企業(yè)要重視起來。
但實際工作中,多數(shù)企業(yè)的隱私政策不合格,突出表現(xiàn)在內(nèi)容缺失、表達晦澀等。因此,企業(yè)要參照隱私政策模板,抓緊完善自身隱私政策。監(jiān)督、評審隱私政策是個人信息保護工作的開篇,但監(jiān)管步伐不能停留于此,今后還會在此基礎上建立全面的個人信息保護監(jiān)管制度。