落實個人信息主體權益：亟待規則細化和一場“刀刃向內”的變革

原標題：落實個人信息主體權益：亟待規則細化和一場“刀刃向內”的變革

21世紀經濟報道記者郭美婷南方財經全媒體記者李潤澤子實習生陳安然廣州報道

編者按：

伴隨着數字經濟發展，對個人信息的採集和利用成爲一種“剛需”。個人信息保護不斷湧現出新問題，隨意收集、違法獲取、過度使用、非法買賣個人信息等情況“野火燒不盡”。數據的挖掘利用與個人信息保護之間張力擴大，急需專門法律對個人信息處理活動提供規範樣本。

2021年11月1日，《個人信息保護法》正式施行，轉眼間即將實施一週年。南財合規科技研究院長期關注個人信息保護議題，持續跟蹤報道立法進程、監管動態，反映公衆呼聲。藉此機會，將推出“南財個人信息保護月”系列活動，探討《個人信息保護法》實施以來的落實情況以及對企業帶來的影響。將圍繞“守門人”條款的落實、用戶個人信息權益的實現、數字廣告行業的變革、數字經濟發展與合規的平衡等多個維度推出20餘篇系列稿件，刊出個人信息保護特刊，並且舉辦線下高峯論壇。

法律的生命力在於實施，在完成立法後，《個人信息保護法》需司法和執法接力，也需要企業恪守法律要求。我們希望能借助媒體的力量，持續追蹤問效，推動個人信息權益的保障，提升全社會個人信息保護的水位線。

數字經濟極大地改變了社會生活。人們享受着各類APP帶來的便利，也爲這些電子平臺貢獻了海量的數據資源。那麼，用戶能否獲知APP收集了哪些個人信息？當不再使用某APP時，能否從該平臺上完全清除掉自己的個人資料？又能否將原有的個人資料挪到另一個APP上？

去年11月正式落地的《個人信息保護法》（下稱《個保法》）給出了答案。其中，第四章“個人在個人信息處理活動中的權利”以7個條文，對知情權、決定權、查閱複製權、可攜帶權等個人在信息處理活動中享有的權利作出了全面的規定，並賦予了可訴性。

《個保法》實施一年，紙面中的個人信息權益逐步走向執法、司法實踐中。然而，針對個人的信息權益行使，目前在司法上尚未達成共識，有賴於進一步細化規則的制定和統一尺度的設置。對企業而言，這也意味着一改過去混沌的數據管理模式，全面梳理和釐清用戶個人信息處理的全流程及其依據。未來，或將是一場“刀刃向內”的改革。

權利範圍界定之難

2021年3月1日，電商平臺唯品會一用戶周女士撥通了客服電話，稱其母親接到陌生來電，對方對周女士購物留下來的個人信息有所瞭解，出於對個人信息泄露的擔憂，周女士希望唯品會告知並披露其所收集的個人信息。

該要求遭到客服的拒絕，周女士同日向唯品會隱私專職部門郵箱發送相同請求的郵件亦未得到回覆。周女士遂以侵犯個人信息查閱、複製權爲由，將唯品會訴至法院。

今年5月，該案迎來了二審判決，法院支持了原告提出的大部分個人信息披露請求，並要求唯品會在30天內做出答覆（以下簡稱“唯品會案”）。

“唯品會案”的重要法律依據正是《個保法》。該法於去年11月正式實施，歷經一年，不少案件漸次進入司法程序。

保護個人信息權益是《個保法》的根本目的。第四章“個人在個人信息處理活動中的權利”以7個條文，對個人在信息處理活動中享有的各種針對信息處理者的權利作出了全面的規定，並賦予了可訴性。

其中，知情權、決定權、查閱複製權等，進一步細化和完善了此前《民法典》《網絡安全法》等立法的規定；而可攜帶權等規定的創設性提出，在實現個體自決權、防止平臺數據壟斷等方面發揮了效用。

然而，如何落實這些權利並非易事。多位受訪專家告訴21世紀經濟報道記者，頗具爭議的一點便是如何界定行使這些權利的範圍。

以“唯品會案”爲例，法院雖然支持披露了唯品會自認已實際收集且應當披露的個人信息（包括用戶註冊信息、訂單信息、收貨信息、設備信息、IP地址等），以及唯品會與第三方共享的個人信息（包括支付信息、第三方SDK從唯品會收集的個人信息、共享給其他第三方的信息）和瀏覽信息，但是卻駁回了以下兩類個人信息披露請求。

一類是平臺《隱私政策》中包含但未實際收集的個人信息，另一類是用於用戶畫像的個人信息。針對後者，一審判決認爲，如無法證明用戶畫像對個人權益產生重大影響，則相關披露要求不予支持。且由於原告沒有上訴，二審法院並未對此作出分析。

“我認爲該一審判決或存在可商榷之處。”中國人民大學法學院教授、民商事法律科學研究中心執行主任石佳友表示，根據《個保法》第24條第三款，通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，並有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。該款強調的是個人信息主體的拒絕權，確保透明度原則的落實和打擊算法黑箱，而非剝奪個人信息主體的查閱複製權。平臺通過收集用戶原始數據加工處理形成衍生數據，若仍具有身份識別功能，也應屬於複製查閱權的範疇。

在上海財經大學法學院教授葉名怡看來，查閱複製權的客體包括個人信息本身和處理情況兩方面，其中處理情況指的是存儲、加工、向第三方披露或共享，以及自動化決策形成的數據畫像等。

此外，針對一審法院駁回原告主張的刪除權的做法，石佳友也持不同意見，因爲原告在訴訟中提出了信息刪除要求，這相當於《個保法》中撤回同意的情形。當然，遺憾的是，由於一審原告未上訴，二審法院未能對這些問題進行進一步審理。

“目前非常突出的問題是，查閱權、複製權、刪除權等的具體範圍在司法上都未完全達成共識。由於法律的細化規定尚未出臺，導致實踐中對相關問題的認識存在分歧。”石佳友說。

“刀刃向內”的改革

司法把好了推進個人信息權益的落地的“事後”關口，但“事前”保障的重擔還壓在企業身上，企業亟需通過內部的數據合規整改，以符合《個保法》提出的相關要求。

在法律賦予個人在個人信息處理活動中的多項權利中，查閱複製權在技術實現和權利落地上相對簡單。21世紀經濟報道記者近日實測發現，如今大量APP都已設置了查閱複製權實現的渠道，包括在交互頁面上直接設置按鍵、聯繫專人申請、提供書面請求等。

多位受訪專家表示，考慮到不同企業信息處理實際情況的差異，上述措施本身並未有優劣之分，目前衡量其是否符合立法本意的一大標準是“便捷度”。

例如，身份驗證作爲其中關鍵而必要的一環，能夠防止個人信息被泄露甚至盜取。葉名怡指出，在身份驗證技術已相對成熟的今天，平臺不宜以無法驗證身份爲由拒絕披露個人信息，或設置較高的身份驗證門檻。

然而，在北京尚隱科技有限公司CEO張仁卓看來，APP可供個人查詢和複製的範圍也往往不能覆蓋企業收集的全部個人信息。個人信息主體行權的實現，將成爲企業內部信息管理能力的試金石。

過去，企業只需把住一進一出兩道關口，合規收集個人信息並防止泄露即可。而響應用戶請求的查閱複製權則要求企業在內部走過漫長的路徑：首先進行身份或合法性驗證；其次，發現相應的數據、生成數據地圖，同時確定數據所有者、確定數據收集和使用的合法性、確定數據存留期限；然後，再確定該業務操作自動化能力，創建子任務、進行子任務跟蹤；最終，彙總生成友好的個人信息主體權利報告，通知用戶，並提供用戶瀏覽和下載報告的途徑。

只有全面釐清收集、交換、流轉、處理、共享、存儲等所有流程以及其依據，方可完美匹配到個人信息主體查詢權利的行使。然而，目前大部分企業的內部數據管理都處於較爲混沌的階段。“這是一項‘刀刃向內’的變革。”張仁卓評價。

對比起查閱複製權，在隱私協議中落實數據可攜帶權的平臺寥寥可數。“目前可攜帶權的實施細則還有待明確，企業優化相關的技術和安全保障能力存在一定成本壓力，欠缺積極落實可攜帶權的動力。而社會公衆對於可攜帶權比較陌生，普遍不瞭解其涵義和行使條件。”石佳友直言。

刪除權則是另一項需企業花費更多精力、成本及技術實力實現的權利。中國社會科學院國際法研究所副研究員何晶晶認爲，《個保法》第四十七條規定了刪除權行使的五個條件，這要求企業作出持續監測和準確判斷。

首先，處理目的的已實現、無法實現以及不再必要等標準的界定，需要企業梳理和盤點自身業務類型，明晰自身個人信息處理行爲的目的，判斷出個人信息的最小必要範圍；其次，當前的相關法律法規對保存期限的規定並不統一，若其他法律法規規定的保存時限長於完成處理目的所需的最短時間，在面對用戶的刪除請求時，企業需投入較大的合規成本以全面梳理和判斷；再次，個人撤回同意的情形有可能對企業與之相關的後續業務影響巨大，企業需考慮在必須滿足個人要求的前提下保障自身利益；最後，由於數據的可複製性、無損性和流動性，一旦進入互聯網則無處不在，大量原始數據與衍生數據交織重疊，導致追蹤和刪除個人信息在實現上有一定技術難度。

保障個人信息權益意味着巨大的成本，類似的陣痛也曾發生在《通用數據保護條例》（GDPR）出臺後的歐盟企業身上。據Gartner2019年的調查數據顯示，大多數企業每月要處理50到100個不同類別的權限請求，單個訪問請求的處理成本超過1500美元。

如何化被動爲主動

法律上的共識尚未達成，企業內部改革動力不足、舉步維艱，《個保法》確立的“個人在個人信息處理活動中的權利”應如何真正落地？

“核心是配套規則的制定。”石佳友表示，除制定司法解釋、行政法規或規章外，標準也極爲關鍵，與個人信息相關的國家標準、行業標準等，都可能成爲司法實踐中重要的考慮因素；由行業協會或專業委員會出臺具體標準，在現階段是最具有現實可行性的路徑。

葉名怡也認爲，直接通過法律細緻地規定和釐清相關權利義務如何落實並不現實，法律永遠滯後於實踐。更可能的路徑是，在行政法規、行政規章或者示範性規則等方面率先形成共識，法院再以典型案例形成司法上統一的尺度，最後對個人在個人信息處理活動中的權利範圍和落實做立法上的細化和明文規定。

以刪除權爲例，個人往往無法真正覈驗企業是否履行該義務，只能通過事後監管，以行政爲主導，司法作爲最後救濟手段。如此各方發力，我國的個人信息保護水平才能逐步提高。

對於企業而言，張仁卓認爲改變現狀還應從內部數據梳理和管理入手，與法務部門聯合，建立起相應的管理團隊與技術團隊。

何晶晶則提出，數字技術的快速發展要求企業能夠與時俱進的更新合規手段與模式，全面高效的管理內部數據合規工作，“法律+科技”的智能合規模式能夠取得良好效果。例如21世紀經濟報道記者發現，騰訊遊戲就通過上線AI問答助手的形式便捷響應用戶查閱和複製個人信息。

事實上，落實個人信息權益行使對於企業合規工作也帶來一些啓示。

石佳友指出，雖然具體細則有待明確，但法律已經作出了要求，平臺企業作爲個人信息處理者，需要有社會責任意識和前瞻視野，將“被動配合”轉變爲“主動合規”。特別是頭部互聯網平臺需要履行相應的社會責任，可以先行先試，推動行業自律，以主動的心態去擁抱法律和監管。在實踐中可以先推進行業標準的建設，監管部門在此基礎上逐漸制定成熟的國家標準。“這是一個非常有意義的探索過程。”

“健全的內外部合規監督機制可以激勵企業不斷改進產品，爲用戶提供更好的服務。”11月1日，百度集團資深副總裁、數據管理委員會主席梁志祥在“《個人信息保護法》實施一週年實踐與展望”高峯論壇上表示，合規就是競爭力。做好個人信息保護，不僅不是制約企業發展的成本負擔，還將助力提升企業綜合競爭力。