中国最新通过的《个人信息保护法》将于11月起开始生效。这项保护在线用户隐私的新法,参考了欧洲《一般数据保护条例》的原则,对违规企业祭出史无前例的高额罚款,将可达5000万人民币(750万美金)或该公司上年度营收的5%。
部分法、商界人士认为,此一新法展现了中国与国际惯例接轨出重拳保障中国公民数据隐私的决心。不过,部分维权和异议人士却不以为然,他们称,此一新法是个“笑话”,因为中共政权才是个人隐私的最大敌人,根本不可能靠出台一部新法就能向平台或中共究责。
中国全国人大于8月20日所通过的《个人信息保护法》,全文八大章、共74条条文,涵盖了互联网用户之个人信息或敏感数据,从知情、授权、收集、处理到使用、甚至数据跨境出海的详细规范。
中国隐私保护法全球最严?
新法一出台,包括华尔街日报等外媒都以中国通过“全球最严的”隐私保护法来形容之。不过,位于北京的瑞栢律师事务所律师李晓蓓在接受美国之音采访时表示,中国的《个人信息保护法》非常全面,和欧美国家所施行的相关隐私法一样严格,也因为参考了欧盟的法规,所以,和《一般数据保护条例》有共通处,虽然也有中国特色的法条。
李晓蓓说:“从11月1号之后开始正式生效,这可以显示出,未来中国对数据保护,尤其是企业、公司在它运营的过程中,对于消费者、个人信息的保护是提出了一个更明确、更高的一个合规要求。”
据官媒人民网报道,《个人信息保护法》和今年6月颁布的《数据安全法》以及2017年通过的《网络安全法》建构起中国在数字时代之信息安全上的一个法律保障体系,也成为中国互联网监管的三大法规。
细化的《个人信息保护法》
《个人信息保护法》严格要求收集用户个资的企业或互联网平台要尊重消费者的知情权,同时也要取得授权才能留存数据。不过,李晓蓓说,这些条件其实早在2017年6月生效的《网络安全法》就已规定,只不过新通过的《个人信息保护法》与国际惯例全面接轨,更细化、也更具体。
她说:“相对于以前(2017年)的《网络安全法》的一大发展,就是说,它(《个人信息保护法》)规定的内容更加地细化,有很多更明确的指导企业在具体操作的时候,怎么样从具体运营上面,做到那些要求,是更加地细化了。”
不过,李晓蓓说,中国在实施严格的《网络安全法》数年后,发现在商业的实务操作上,以消费者授权为基础的个资收集原则出现了不少“不好操作”的地方。因此,《个人信息保护法》给出了例外原则,希望在个人隐私之保护和数字经济之发展间,取得平衡,这也是其和《网络安全法》及欧美国家的隐私法最大的不同处。
根据此例外原则,企业收集个人资料如果是建立在公共利益的性质上,如新冠疫情之防疫,或履行商业合同、新闻报道等之基础上,根据新法,即便消费者没有明确授权,也是可以收集的。例如,李律师说,新法允许旅行社为了安排出行计画,可以收集消费者的护照或身分证资料,即便消费者未有明确授权。
例外原则恐成滥权破口
但这些例外会不会因此成为未来滥用个资和侵权的破口?
对此,李晓蓓说,有可能,但中国正在实践中测试,并强化例外收集情况的合法性和保密性,以期找出平衡点和“典范经验(best practice)”,来兼顾个人信息的保护和数字经济的发展。她说,这两者的平衡是各国现今都面临的挑战,中国也不例外。
《个人信息保护法》还祭出史上最高的罚款,分别是5000万人民币或企业上一个年度营收的5%。分析人士指出,这是一部有“牙齿”、具震摄效果的法律。
人民网引述中国政法大學副教授朱巍的看法指出:“如此高的违法成本,势必会震慑不法侵害行为,减少互联网技术的滥用。”
此外,《个人信息保护法》第三章共六条条文还特别针对数据的跨境输出做出规范,要求中国企业及外资企业在中国的分支必须通过“国家网信部门组织的安全评估”,才能提供数据出海。
跨境数据输出
中国叫车平台龙头滴滴出行7月初可能就是因为未通过此类安全评估,才会突然在美国上市后,被中国监管单位要求下架app。而第三章条文也等同赋予权责部门,如网信部,“长臂管辖”的法源依据。
李晓蓓说,不独中国,欧美等国对本国用户资料要放在境内的伺服器或做跨境输出前的安全评估,都是持类似的思维。而中国政府和国际接轨,也正在起草制式的标准规则和协议,未来出台后,可以有制度性地进行此方面的安全评估。
李晓蓓说:“据我了解,我们的监管部门现在也在制定起草一些标准版本的cross-border data transfer(跨境数据传输)的协议。那么,这些协议一旦制定出台后,是可以比较好地帮助企业,去明确它在数据传输的时候,它和海外的数据接收者,对方应该履行什么样的义务。包括比如说,中国的data transfer(数据传输)要去传给海外的时候,它在传之前,要对对方,它的recipients(接收方),做一些基本的due diligence(尽职调查),做一些背景调查,这样保证我们的数据传到境外时,对方也是有一个比较强的法律的保护机制,来保护这些数据。”
对于新法,李律师说,从通过到生效只有约两个月的时间,这对企业来说过于仓促,企业必须在极短的时间针对新法建立起内控机制和相对应的文件和内部政策,否则就会有违规的风险。
中国欧盟商会于8月27日以书面回覆美国之音的采访时表示,该会乐见《个人信息保护法》和《数据安 全法》提供了中国在数据管理和个人隐私保护上的两大重要法源,这代表中国在形塑网络安全体系上的 一大进展。
不过,欧盟商会担心,这些新规,包括数据本地化的规定和数据跨境传输的限制,很可能会对在中国经 商的外资带来极大的负面冲击。尤其,中国政府对包括汽车业在内的产业祭出的限制越来越多。
欧盟商会表示,外商公司希望中国政府能尽快提供详细、明确且透明的执法标准,以协助其遵循新规,例如,各产业别到底要如何定义或分类所谓的“重要或敏感信息”。
欧盟商会还说,中国的隐私保护架构与国际隐私保护的惯例仍有出入,例如,《个人信息保护法》有不 少迥异于欧盟《一般数据保护条例》的规定,也就是,具有中国特色的条文,这将让包括外国籍和中国 籍的跨国公司难以完全配合,甚至增加公司的运营成本。
欧盟商会主席伍德克(Joerg Wuttke)以书面回覆向美国之音表示:“所有的跨国公司都必须善用其全 球的系统。但这方面的运作现正面临极大的挑战,因为中国对于可(跨境)传输数据的定义太过模糊,再加上,其数据本土化的要求建立在政府一再扩大的国家安全定义上。”
他说:“我们的担忧是,中国最终可能变成与世界隔绝的孤岛。”
投资人的恐慌
《个人信息保护法》通过当日,中国科技股再度重挫,香港恒生指数一度急跌2.5%。当时市场人士大多解读,此法重燃投资人对中国政府加大监管打压科技业的恐慌。
对此,北京海豚智库创始人李成东在接受美国之音采访时指出,中国的股市投资客太过敏感。他认为,欧美国家已经实施的隐私保护法规其实比中国政府通过的《个人信息保护法》还要严格,但欧美股市并未如港股而因此惨跌。他认为,这和欧美国家推崇资本主义比较保护资本家有关,而且法规制定过程也有企业参与或申诉的空间。相较之下,中国体制以劳工为主体,不完全保护资本家,而政策也由当权者拍板定案,这反而在投资人间形塑更多的未来不确定性。
虽然李成东推崇此一新法是为了更好保护用户隐私,但他说,中国政府监管趋严确实已经对整个互联网产业带来负面的影响。至于《个人信息保护法》,首当其冲受到冲击的是平台的广告精准投放能力和业务运营,因为该法明确禁止“大数据杀熟”或以损害用户隐私和购买记录来做关连推荐等之商业手法。
李成东说:“利用你的用户隐私做算法的优化,等于做个性化推荐,这些事情(以后)做不了了,那这可能会影响这些平台,它广告的效益和价值,肯定会影响它的广告收入的能力!”
线上广告市场恐受冲击
不过,李成东也说,只要线上广告市场还有其他生机,就不至于会有太大的萎缩。
虽然中国法、商界人士普遍认为,中国重拳出台《个人信息保护法》,彰显的是中国保护在线用户隐私的决心。但大多数的中国维权和异议人士却不以为然。
现为美利坚大学访问学者的前中国人权律师陈建刚以“笑话”和“谎言”来形容此一新法。他说,中共这种具有绝对权力之政权的存在,就是对个人信息、人权和个人私权的扼杀,中共出台《个人信息保护法》、大谈个人信息之保护只是在欺骗全世界和中国人。
陈建刚告诉美国之音:“个人人权的最大敌对方,或者伤害人权的一方就是在于绝对的、不受限制的公权力。那么,中共是掌握了所有的权力,不仅掌握公权力、而且它可以掌握全体中国人的私权,可以入侵你的一切信息,(也)可以对任何一个公民剥夺一切。”
美国人权组织“公民力量”创办人杨建利在接受美国之音采访时指出,他对《个人信息保护法》“拭目以待”。他会观察未来被政府侵犯人权者能不能在中国援引此法来为自己维权。若做不到,此法将形同虚设。
中国重拳保护隐私 维权人士:没信心
他说,因为罚则重,此法或许可以限制平台在商业手法上对用户隐私的侵害,但对于异议人士的隐私不太可能起到什么保护作用。
杨建利说,中国是人治社会,不是法治社会,因此,民间流传一句话:“宪法不如法律大、法律不如政策大、政策不如意见大”,也就是说,只要领导有意见,上至国家大法的宪法,下至法律政策都起不了作用。例如中国宪法所保障的言论、出版、结社、信仰等自由,在中国都只是纸上自由,但在实践上往往无法得到保障。
他还说,几年前,中国发布了《反间谍法》,明文规定,政府有权要求公司和个人配合,提供个资,这更助长了中国政府对人民隐私的侵害。
杨建利说:“在中国,很多平台要服从政府的命令,跟政府分享信息。很多平台侵害了(用户)个人的隐私,常常是因为要和政府进行配合。比如说,我们告微信,微信就必须把它得到的(用户)个人隐私与中国政府进行分享。虽然法律上没说政府的责任,但实际上很多平台背后就是政府,对这一块,我们就没有多大的信心。”
“公民力量”之前发起一起集体诉讼,组织数名美国加州用户状告微信母公司腾讯。他们提出,包括微信“违反加州宪法赋予的隐私权和自由言论权”等在內的11项指控。有分析称,这一起还在进行中的诉讼开启了在美国通过司法途径讨伐微信广泛侵权之战。
杨建利还说,据报载,电商龙头阿里巴巴的创办人马云就是因为不愿释出用户个人资料给中国政府,才遭到整改。因此平台这种被要求泄漏用户隐私给中共的惯列根本抵触最新通过的《个人信息保护法》。
他说,中国很多立法一开始都有良善的宗旨,但因为中国并非法治社会,很多法律最后沦为服务中共政权的工具。