数据跨境时代,个人要做好信息保护“第一责任人”

导读 9 月 9 日,广州互联网法院联合南方都市报、N 视频推出国家网络安全宣传周专题直播节目 " 跨境数据流通中的个人信息保护风险与治理规...

9 月 9 日,广州互联网法院联合南方都市报、N 视频推出国家网络安全宣传周专题直播节目 " 跨境数据流通中的个人信息保护风险与治理规则 "。

广州互联网法院副院长邵山、对外经济贸易大学数字经济与法律创新研究中心主任许可、中华全国律师协会涉外法律服务专业委员会副主任韩俊做客直播间,探讨如何应对跨境数据流通带来的风险与挑战,共同织密个人信息安全保护网。

直播现场。南都记者 李孟麟 摄

中国正成为数据跨境大国

机遇与挑战并存

随着数字时代的发展,数据正成为推动社会经济发展的重要引擎,数据跨境流动在全球数字经济中发挥的作用也越来越大。据全球管理咨询公司麦肯锡估测,到 2025 年,全球数据流动对经济增长的贡献将达到 11 万亿美元。但其中个人信息保护问题也成为各方关注的焦点。

对外经济贸易大学的许可教授介绍,数据跨境简单理解就是数据流在不同国家和不同地区之间的传输和共享。当前,数据流动在各个领域都在发挥着重要作用,贸易、金融、科技、医疗等领域都有着数据流动的强大需求。

有分析数据显示,2021 年中国的数据跨境总量约占全球的 23%,预计到 2025 年占比可能达到 27.8%。

"14 亿人所聚集的数据使得中国正成为数据大国。" 许可认为,中国应当在数据跨境规则方面发挥更重要的作用。但由于不少数据还是个人信息的载体,反映着个人信息权利,数据跨境必然也会带来和个人权利的诸多冲突问题。

数据跨境全球立法和规则

呈 " 小圈高墙 " 态势

应对数据跨境流动带来的数据安全、个人信息保护等多方面治理需求,全球目前有着怎样的立法实践?

韩俊律师介绍,国际层面针对跨境数据流通及个人信息保护的法律法规众多,主要有亚太经济合作组织推动的《APEC 跨境隐私规则体系》、欧盟推出的《通用数据保护条例》(GDPR)、跨太平洋多国间的《跨太平洋伙伴关系协定》,以及美国的《14117 行政令》及其各州相关隐私保护法律等。

许可教授解读认为,从全球立法情况来看,数据跨境的规则呈现出一种 " 小圈高墙 " 的新态势。即各国都在打造数据跨境流动的 " 朋友圈 ",对于 " 朋友圈 " 以外的国家竖起高高的 " 围墙 ",阻挡数据跨境流动,在 " 朋友圈 " 以内的国家之间则是友好的,可以自由活动的。最典型的就是欧盟和美国。

许可教授认为,中国要积极地去打破这种 " 小圈高墙 " 的分裂化数据跨境流动格局。一方面要营造出自己的 " 朋友圈 ",另一方面要积极和其他国家形成数据流通的框架性机制。" 期待未来这种数据跨境流动的全球规则格局会得到进一步改善。" 许可说。

中国在数据保护方面有哪些立法实践?

韩俊律师介绍,为应对跨境数据流动和个人信息保护需求,中国在立法层面迎头赶上,积极跟国际接轨。先后出台了《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《促进和规范数据跨境流动规定》等法律法规。此外,深圳 2021 年出台了《深圳经济特区数据条例》,是我国首部地方性数据保护法规。

许可教授介绍,除上述法律法规之外,《中华人民共和国宪法》和《中华人民共和国民法典》中,其实对个人信息保护和数据安全都有更加基础性的规定。

个人信息等权益保护

仍是数据跨境的底线问题

广州互联网法院副院长邵山介绍,为回应当前数据产业发展的司法保护需求,提升涉数据纠纷专业化审判水平,护航数字经济高质量发展,早在 2021 年,广州互联网法院就成立了全国首个涉数据纠纷专业合议庭,审理由该院集中管辖的涉个人数据、企业数据、公共数据的收集、存储、使用、加工、传输、提供、公开、删除等数据处理及数据安全的第一审案件。

到目前为止,该院的涉数据纠纷专业合议庭已妥善处理涉虚拟财产、个人信息保护、信息自决权、数据匿名化、数据定价等各类涉数据纠纷 600 多件,不断向社会提供着有力的数据司法保障。

用户使用 App 时点击勾选了平台隐私政策,是否意味着商家就取得了所有对用户个人信息进行处理的合法性基础?什么情况下平台需增强告知,取得用户单独同意?什么是个人信息收集的最小必要原则?商家哪些个人信息收集传输处理行为属于履行合同所必需?

直播期间,几位嘉宾围绕广州互联网法院近期审理的一宗数据跨境背景下引发的个人信息保护案件进行了深度探讨。

邵山副院长介绍,该案与群众的日常生活场景密切相关,案件的处理对于平台企业或个人信息处理者,以及广大用户和消费者都具有典型意义。

许可教授评价认为,该案的判决具有正反两方面的典型意义。从正面看,它确认了一个基本的法律规则,即出境的个人信息如是基于履行合同所必需,平台就不再需要取得个人的单独同意,这对全球化具有积极正向的导向作用;从反面看,该案明确了包括个人信息在内的个人权益保护仍然是数据跨境的底线问题。

" 不能因为鼓励全球化,就放弃个人信息保护的大目标,不能因为数据跨境而减损个人的权益。" 许可认为,数据跨境场景下,如果商家对个人信息的处理行为超出了履行合同所必需,就需要对用户进行充分告知,以尊重公民对个人信息的知情权、决定权。

个人要加强自我保护意识

提供人脸信息时要 " 慎之又慎 "

几位专家还从不同角度为数据跨境下的个人信息保护进行了风险提醒和支招建议。

许可教授强调,个人是个人信息保护的第一责任人,在数据跨境背景下,广大群众要去关注那些极度敏感的个人信息,特别是与人身权、财产权密切相关的个人信息,比如人脸信息、生物识别信息、财产信息等。在提供这些信息时要 " 慎之又慎 ",要加强自我保护意识。

韩俊律师支招称,一旦遭遇个人信息泄露,当事人首先要主动去搜集证据,然后及时向相关部门举报,同时通过法律手段来维护合法权益。如涉及到个人信息被跨境泄露或侵权,则要考虑通过向平台提出异议,向消费者权益保护机构进行投诉,以及寻求法律援助等方式维权。

在企业和平台如何依法依规应对数据跨境业务方面,许可教授介绍,欧盟设定了 " 数据保护官 " 制度,我国也规定了 " 个人信息保护负责人 " 制度。建议相关企业和平台在内部架构上不断完善该制度,以发挥其公司内部协调者、监管机构沟通者、面向社会公众诉求解决者的三重角色作用。

邵山副院长介绍,该院近期专门出台了一份《互联网企业涉外诉讼程序指引及法律实务常见问题解答》文件,共 30 条内容,从程序、实务等角度,从建立数据保护机制、加强数据跨境安全等方面,为互联网企业出海提供了有力司法指引。

【典型案例】

男子预订境外酒店

个人信息被共享至全球多地

原告王某(化名)购买了被告公司——某国际酒店集团的会员卡,并在被告公司的 App 上预订了境外某酒店,提交了姓名、国籍等个人信息。

事后,王某发现被告公司依据其《客户个人数据保护章程》的规定,将王某的个人信息传输共享至全球多个地区和接收主体。王某认为被告公司违法跨境处理中国公民个人信息,遂向广州互联网法院提起诉讼。

广州互联网法院判决认为,虽然被告公司收集王某个人信息的行为符合国际酒店行业的习惯做法,但其基于营销传播目的向境外某公司实施了前述信息传输及信息处理行为。同时,该传输及处理行为未获得王某个人同意,亦非履行合同所必需,属违法处理,遂判决被告公司败诉并承担民事侵权责任。

采写:南都记者 吴笋林 赵青 曾俊豪 杨伽  

出品:南都政务新闻部

编辑:赵青

对这篇文章有想法?跟我聊聊吧

南都新闻,未经授权不得转载。授权联系方式:

banquan@nandu.cc,020-87006626。