谢永江:北京邮电大学互联网治理与法律研究中心执行主任
摘录:
《个人信息保护法》对于加强个人信息保护,促进信息规范化发展和维护网络空间良好生态将发挥重要作用。
《个人信息保护法》里的去标识化,仅仅是作为一项信息的保护手段。去标识化信息是一个中间形态,不借助额外技术手段,此类信息是无法识别身份的。但是它又是可逆的,可借助一些信息进行恢复。
去标识化的信息企业能不能用?去标识化以后,已经对个体的隐私权形成了保护。在这种条件下可否赋予企业对于去标识化信息相对比较自由的商业化利用权利。
昨天全国人大常务委员会通过了《个人信息保护法》,我们今天主要针对这个《个人信息保护法》颁布实施进行一个专家研讨会。这次会议由中国网络空间安全协会、互联网实验室联合主办,我们曾经在2021年5月份1号、4号、8号分别举办了三次关于《个人信息保护法》的研讨,有50多位优秀学者、专家进行发言。这次我们又邀请了12位业内学界、实物界各位专家,来探讨一下我们《个人信息保护法》的实施,对《个人信息保护法》进行庖丁解牛,分别从政策、法律、经济、技术、社会等多维度进行全面分析、深入解读、互动研究,展开深度专业权威系统性研讨,为互联网行业健康发展献计献策。
今天发言的嘉宾我这里给大家做一个简单介绍:中国网络空间安全协会李欲晓秘书长;中国信息安全研究院左晓栋院长;中国人民大学法学院张新宝教授;互联网实验室创始人方兴东博士;北京师范大学吴沈括教授;中国社会科学院哲学所科技哲学研究室段伟文主任;北京外国语大学王文华教授;浙江理工大学郭兵副教授;全国律师协会信息网络与高新技术专业委员会陈际红副主任;北京邮电大学崔聪聪教授;段和段律师事务所刘春泉律师;北京策略律师事务所庞理鹏主任。
首先对《个人信息保护法》开个头,我觉得《个人信息保护法》通过以后有两点体会,一个我们网络空间安全的法律体系这个四梁八柱架构已经基本上形成了,《网络安全法》、《数据安全法》、《密码法》《个人信息保护法》等,网络空间专业法律我们已经陆续出齐了,另外我们传统法律《刑法》、《民法典》、《治安管理处罚法》,还有《未成年人保护法》,这些法律构建了网络空间的法律顶层法律体系的构建。《个人信息保护法》大家期待已久,对于加强个人信息保护,促进信息规范化发展和维护网络空间良好生态将发挥重要作用。另外一点感想,我们可以看到这次《个人信息保护法》是三审通过,跟二审稿相比修改的幅度非常大,我们一般的法律三审一般针对少数几条,少数关键的重要条文的修改有一些改动,这次《个人信息保护法》总共74条,只有20条没有改动,其他的都是做了改动。等于说我们有73%条文都是做了改动,有27条改动有较大改动,占了三分之一多,所以我们可以看到《个人信息保护法》在最后通过的时候看来还是吸收了大量的社会公众、各界意见,进行了更大更好的完善。
有个问题提出来跟大家探讨探讨,在我们《个人信息保护法》里面有个专门的概念,叫去标识化,还在后面定义里面专门写了一个定义,但是在整个《个人信息保护法》里面只提到两处,一个是后面的定义,另外一处就是对数据做一个去标识化的处理。去标识化这个概念我检索了一下,整个法律里面,跟数据或者说个人信息网络安全法律里面相关联立法里面,只有在《个人信息保护法》里面出现,另外一个就是在前两天颁布的《汽车数据安全管理若干规定》里面出现了,还有一个是《推进标准个人信息安全规范》里面做了表述。从《个人信息保护法》来看好像把这个去标识化仅仅是作为一项信息的保护手段,比如说第51条里面要采取相应加密去标识化的安全技术措施,后面加了一个定义,等于整个法律里面就涉及到这么两点,是把它作为一个保护措施、技术措施来处理。这里面就引申出来一个问题,进行去标识化以后的信息到底属于什么信息,目前我们可以看一个就是个人信息,个人信息的话去标识化,如果匿名化以后我们认为根据法律界定就是属于非个人信息了,等于说企业在不损害国家利益、公众利益的话对于这个信息是可以自由利用的。去标识化信息目前来看包括《个人信息安全规范》还是作为个人信息范畴来认定,总体来看个人信息去标识化信息和匿名化信息,去标识化信息实际上是一个中间形态,等于说你不借助额外技术手段,信息的话是无法识别身份的。但是它又是可逆的,借助一些信息以后可以恢复的。这里面就涉及到一个问题去标识化的信息能不能用,企业能不能用?从我们《个人信息保护法》第6条里面是明确处理个人信息应当具有明确合理的目的,并应当与处理目的直接相关,这就意味着你收集这个数据的话你当时收集的时候就要明确你的目的是什么,而且还要跟这个目的直接相关,去标识化目前放到个人信息范畴的话要遵守这一条就是跟处理目的直接相关,意味着企业对这部分信息是不能自由使用的。这个要不要允许企业在一定限度类使用这部分信息?等于说在它的目的不明确情况下或者没有那么严格直接相关情况下允许企业自由使用。因为我们现在搞数字经济的话,一个目的就是希望企业能够尽量的充分利用数据,我们《个人信息保护法》对于信息的利用加的一个紧箍咒,你可以利用数据,但是不能损害个人信息权利,对于去标识化信息刚好就是有点界定的模糊状态,如果去标识化以后,实际上已经对个体这种隐私权包括安全形成了一个保护。在这个条件下企业是不是应该赋予企业对于去标识化信息相对比较自由的商业化利用权利,因为在商业化利用权利情况下,因为有一个去标识化保护,不会去损害个体隐私包括安全这些利益。所以将来是不是要考虑比如说在《数据安全管理办法》里面对这个东西做一个探讨。