21世纪经济报道 记者郭美婷 实习生张晓凤
全球个人信息和隐私保护监管风起云涌。我国《个人信息保护法》从本月起正式生效,海外专门针对数字经济领域的个人信息保护也开始了探索。
近期,澳大利亚宣布起草《在线隐私保护法案》,以加强对个人隐私的保护和网络平台的治理。这部新法案要求增强域外效力,强化“长臂管辖”,同时对隐私政策、个人信息的定义、删除权的设置等进行了讨论。此外,新法案要求社交媒体采取“一切合理措施”核实用户年龄,在收集、使用或披露16岁以下儿童的个人信息前,应取得家长或监护人的明确同意。
一旦《在线隐私法案》成为法律,澳大利亚将成为社交媒体年龄控制最严格的国家之一,美欧或也将效仿以实现个人信息权利保护和产业发展的均衡。但也有专家指出,高标准的数据保护规则应适应当地数字产业市场特点,澳大利亚的新法案是否会引领全球数据保护规则的变革,仍有待对后续执行效果的观察。
增强数字监管域外效力
公开资料显示,超过1700万澳大利亚人都在使用社交媒体,社交媒体等在线平台的发展对个人隐私保护提出了新的挑战。但澳大利亚自1988年以来实行的《隐私法》(Privacy Act 1988)并未针对社交媒体或其他滥用个人信息的在线平台提供具体保护。目前,受《隐私法》约束的私营部门组织必须遵守该法的《澳大利亚隐私原则》(Australian Privacy Principles,简称APPs)。
新修订法案的导火索可追溯至2018年的“剑桥分析”事件。据澳大利亚广播公司报道,Facebook(现改名为Meta)公司在用户不知情的情况下,将超过30万澳大利亚用户的个人数据泄露给政治咨询公司“剑桥分析”。2020年,澳大利亚信息专员办公室向联邦法院提交诉讼,称Facebook违反了《隐私法》,希望对Facebook进行罚款,目前案件尚未宣判。
此事发生后,澳大利亚政府承诺将会加强隐私保护,并且为社交媒体和其他收集个人信息的在线平台引入一套具有约束力的规则。
在新公布的法案中,新增的“在线隐私守则”(Online Privacy code ,简称OP守则)是其“重头戏”。OP守则的监管对象是社交媒体、数字代理服务平台,以及其他在澳大利亚拥有超过250万用户的大型数字平台,涵盖了苹果、谷歌、亚马逊、Spotify等。
此前,受《隐私法》约束的机构需年营业额超过300万美元,总部在澳大利亚;或以其他方式在澳大利亚开展业务,并在该国收集或持有个人信息。
据悉,新法案拟取消限定于澳大利亚的条件。一份立法文件表示,当发生违反《隐私法》的情况时,可能很难确定国外机构是否从澳大利亚的某个来源收集或持有个人信息。因为大型跨国公司可能会从未在该国注册成立的实体收集当地客户的个人信息,并将其转移给海外其他公司进行处理和存储等,这将妨碍监管机构对海外公司采取有效监管行动,从而对澳大利亚人的隐私造成不利影响。
“由于网络无国界、证据跨国性,澳大利亚此举系效仿美国2018年通过的《CLOUD Act》(《澄清境外数据的合法使用法案》),强化‘长臂管辖’。”浙江省公共政策研究院研究员高艳东告诉21世纪经济报道记者,此举不仅有利于最大限度保障数据安全,也在实质上赋予了澳大利亚司法机构域外管辖权,对实现本国数据保护及数据市场开发利益的最大化有重大意义。
高艳东表示,由于全球数据竞争加大,确保数据控制权与跨境流动安全,不仅关乎个人数据安全、产业经济安全,更关系到国家总体安全。因此,国家将关乎国计民生的重要数据的监管主动权牢牢掌握在自己的手中,将会是一个大趋势。
除划定了应受法规约束的运营实体范围外,中国政法大学网络法学研究所副所长商希雪认为,明确如何选择适用法律文件,也是OP守则的亮点之一,包括了OP 守则与APP守则、OP守则与消费者数据权利规则之间的竞合适用。
平台隐私政策应明确
立法文件显示,过去《隐私法》对滥用个人信息的保护和处罚并未达到期望。大多数消费者安于以注意力和个人数据换取免费的服务。消费者和数字平台之间的议价能力失衡、信息不对称,以及消费者评估提供用户数据成本的难度等,阻碍他们做出明智的选择。
根据《隐私法》规定,除收集敏感信息外,社交媒体或在线平台可在合理必要的前提下,未经同意收集包括用户在线共享的照片、视频、位置等数据在内的个人信息。
该文件还提到,尽管平台在收集信息时需制定隐私政策,告知个人其收集的原因和用途等,但是《隐私法》并未规定如何履行这些义务,平台的隐私政策往往含糊不清,冗长且难以理解,用户很难有动力持续地审查协议,也无法知晓平台是否以及如何实施其承诺的保护措施。
针对上述局限,OP守则规定,平台应确保隐私政策明确、简单地解释其收集、持有、使用和披露个人信息的目的;收集信息时必须清晰易懂、及时地通知用户,并取得同意。被《隐私法》视为“敏感信息”(如健康信息等)的,平台还需要定期、或在相关情况发生变化时,向用户寻求同意。
在高艳东看来,隐私政策是用户的重要参考,也是衡量平台是否从用户角度出发设计的关键指标。一方面,平台提供隐私政策格式条款,明显占据强势地位,而作为独立个体的用户,认识能力参差不齐,难以集合群体优势与平台对抗,属于弱势一方;另一方面,明确简单的隐私政策是实现用户个人信息的保护与平台间数据自由流动的重要路径,更是用户法律维权的重要保障。
然而,隐私政策涉及不同主体、业务模式、技术和行为前提下的个人信息采集和使用,既要简单又不能冗长确有难度,部分内容只能概括。此外,网络活动中有较多与技术产品相关的术语,这也是导致普通消费者看不懂的原因之一。
“可由国家或行业协会制定一个建议模板,把大原则定下来,由企业根据自身经营特点进行符合法律规定的补充。”高艳东建议,同时,由于文化程度和职业差异的限制,也应考虑协议让每个普通人一看即明的必要性。
引入个人信息删除权
新法案对扩大个人信息的定义及取消员工记录豁免的议题做出了讨论。商希雪认为,这是全球范围内创设性的规定。
立法文件显示,新法案建议修改个人信息定义,明确其为已识别个人或可合理识别(直接或间接识别)个人的相关信息,包含技术信息和推断的个人信息。针对“可合理识别”,新法案将提供一系列客观因素来帮助企业进行评估,包括持有或发布信息的背景、成本和所需时间等。
因与员工之间存在雇佣关系,雇主持有的雇员记录原本可免于遵守《隐私法》。但为加强工作场所中的员工隐私保护,新法案或将取消员工记录豁免或修改相关条款。
此外,OP守则还新增了防止个人信息被“二次”使用和披露的规定。具体而言,当个人提出不得再使用或披露其个人信息时,平台必须受理并回应。但这一要求并不构成“删除权”。
高艳东分析,OP守则新增此权利,其一是完善隐私政策的内容和技术支持,扩大运营商的删除义务;其二是为用户的隐私保护提供有效的救济。
为何新规不构成“删除权”?他解释,首先,删除权是一种绝对权,若限定删除范围,用户仅有纠正、更正而没有删除其信息的权利,那么用户就不享有被遗忘权(删除权)。其次,反对赋权的主要理由是,若构成删除权,会阻碍信息共享的本质,使获取信息的成本变高,阻碍数字经济的发展。最后,信息主体对个人信息享有自主权,当信息处理无法律基础时,即可行使删除权,而删除权针对的是缺乏法律基础的信息,用户可以排除对信息的不法收集和处理,该条款中的“个人信息”并非指代非法信息。
“删除是不得再留存;不得二次使用是可以继续留存,但不能用到与采集同意之外的业务场景,且不能向第三方提供。”高艳东举例,当个人申请贷款,平台可向其收集个人信用信息;当个人的贷款完成后,平台就不得再使用该信用信息计算其归还能力的变化;贷款还完后,为了下次贷款审查,个人不要求平台删掉其个人信息,但也不能应用或向其他金融机构提供。
“可以看到,该法案探讨在谈及删除权时一直强调个人的信息利益与公共利益之间的平衡,对于平台进一步使用或披露个人信息,如果出于公共利益或其他超越个人权益的高位阶利益时,则个人无法行使删除权。”商希雪说。
除以上几点外,商希雪指出,在立法文件中,有建议提到对用户赋予直接的救济权利,即用户可以个人或集体名义去法院提起针对运营实体的诉讼,并主张补偿性损害赔偿,以及例外情况下的加重和示范损害赔偿(包括经济或非经济性损失)。该个人信息侵害救济模式若被最终版本的法案采纳,将是极具创新性的保护救济模式。
设置16岁保护门槛
近期,未成年人的网络信息保护已成各国监管的发力点之一。此前Facebook(现改名为Meta)被曝操纵算法危害青少年心理健康。后美国国会的消费者保护附属委员会举办听证会,在美国颇受青少年喜爱的社交媒体TikTok、Snapchat,以及Google旗下视频媒体Youtube一同出席。
澳大利亚政府也对社交媒体提高了戒心。《在线隐私保护法案》的一大重要更新在于对儿童和弱势群体个人信息的保护。
据网络隐私保护机构澳大利亚信息专员办公室10月25日发布的报告,目前在澳大利亚运营的大部分社交媒体规定用户年龄不得低于13岁,这一规定通常以“自我认证”方式执行,而不需要第三方认证。
立法文件指出,在线平台针对个人隐私的相关做法可能会损害儿童和弱势群体的权利,包括出于广告目的共享数据,或从事有害的跟踪、分析和定向营销等。
因此,OP守则要求社交媒体等被限制的平台阐明自己的隐私政策如何适用于儿童或其他无法做出自己隐私决定的群体。平台必须采取“一切合理措施”核实用户年龄,并在收集用户信息时优先考虑保护未成年人权益;同时规定,在收集、使用或披露16岁以下儿童的个人信息前,应取得家长或监护人的明确同意。
相比之下,美国《儿童在线隐私保护法》(COPPA)和我国《儿童个人信息网络保护规定》都只对互联网企业处理13岁及以下年龄儿童数据进行统一标准规范的方式;英国《适龄设计规范》(AADC)也保留了最低13岁的信息处理年龄,但对不同年龄层儿童所需的特殊保护类型进行了区分。例如,16-17岁的儿童被划入“接近成年”层级,有权选择继续由家长负责处理其互联网使用中的个人数据授权,还是自行就相关问题做出决定。一旦《在线隐私法案》成为法律,澳大利亚将成为社交媒体年龄控制最严格的国家之一。
“澳大利亚将16岁设置为保护门槛,考虑的因素包括社交媒体对青少年的影响以及对网络平台管控治理的强化。”高艳东说。
但他也表示,儿童年龄的划定是根据各国国情以及儿童身心发展状况确定的,更高的年龄划分实际上并不意味着该国的监管更严。
商希雪则对法规执行的漏洞表示了担忧,根据新法案,社交媒体运营商必须采取“所有合理步骤”来核实用户年龄,若在执行上采取的是自我验证方式,并不能达到真正落实。
澳大利亚的新法案通过后,是否会引来其他国家的效仿?
商希雪指出,新法案的处罚力度上远胜从前,从220万澳元大幅增加到1000万澳元或违法获利的三倍;若构成对隐私严重侵犯,或无法确定违法获利的,则为其国内年营业额的10%。
“即使在全球范围内,澳大利亚区域的数据业务运营的合规成本也极高。”在商希雪看来,数据保护立法并非处罚标准越高越可取,新法案的制定考量终究源于澳大利亚的数字产业市场特点。在美欧合规成本已较高、大型跨国企业进入这些市场时如履薄冰的前提下,美欧应该不会迅速跟进澳大利亚更高标准的数据保护规则,是否会引领全球数据保护规则的变革有待对后续执行效果的观察。
高艳东则认为,若新法案通过,从长远来看,全球范围内的隐私保护措施力度会有所提升,越来越多的国家会采取更加严格的标准,加大处罚力度,引入更严厉的处罚和执法力度。正如之前欧盟《通用数据保护条例》(GDPR)为隐私和数据保护设定了一个新的全球标准,澳大利亚的新法案若能通过,将会给隐私和数据保护设定提升更高的台阶。因此,美欧或也会根据此法案再次完善、细化关于个人隐私保护措施的条款,以实现个人信息权利保护和产业发展的均衡。
“现在全球范围内各国都在进行隐私立法,根据数字经济发展状况的不同,立法各有特点,无所谓孰优孰劣。但值得指出的是,我国应当立足我国数字经济发展状况,建设符合中国数字经济发展要求的个人信息保护体制,输送中国经验。”高艳东说。
更多内容请下载21财经APP