在数字经济时代,数据已成为重要的生产要素,其价值日益凸显。然而,数据的收集、存储、使用和共享过程中存在的隐私泄露风险也引起了广泛关注。数据资产隐私保护政策的不断更新和完善,为企业在数据隐私保护方面提供了更明确的指引和要求。本文将深入探讨数据资产隐私保护政策的主要变化、立法修改的背景与原因,以及对实务操作的影响,为企业应对数据隐私保护挑战提供参考。
一、数据资产隐私保护政策的主要变化
随着信息技术的飞速发展,数据资产的隐私保护政策也在不断更新和完善。近年来,相关法律法规和政策文件对数据隐私保护提出了更高的要求,这些变化主要体现在以下几个方面:
(一)政策名称的调整
2020年发布的《信息安全技术 个人信息安全规范》正式稿将过去版本中使用的“隐私政策”调整为“个人信息保护政策”,这一变化并非简单的名称替换,而是对政策文本适用范围的重新界定。私权和个人信息保护被明确区分,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息,而个人信息则包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。个人信息中的私密信息同时适用隐私权保护的有关规定,但除私密信息外的个人信息不属于隐私信息。因此,将“隐私政策”调整为“个人信息保护政策”,使政策文本的适用范围更加严谨、准确[3]。
(二)对个人生物识别信息的强化保护
《信息安全技术 个人信息安全规范》2020正式稿新增了对个人生物识别信息的收集、存储和共享转让的要求。个人生物识别信息用于身份鉴别具有独特优势,如手机指纹解锁、人脸解锁、人脸支付、声音锁等,但一旦泄露或被窃取,将给个人信息主体带来严重的财产损失和名誉损失。因此,规范要求对个人生物识别信息进行单独告知、明确告知收集使用的目的、方式和范围以及存储时间等规则,并需获得用户的明示同意。同时,原则上不应存储原始个人生物识别信息,如样本、图像等,确需存储时需有特别充分的依据。此外,还强调了个人生物识别信息摘要信息的不可逆性,并对共享转让个人生物识别信息提出了严格的条件要求[3]。
(三)个人信息主体权利的突出
规范2020正式稿将个人信息主体的权利相关内容从原来的放置在“个人信息的使用”版块下调整为作为单独条款,结构更加严谨,个人信息主体权利相关内容更加突出。这与《网络安全法》分别将个人信息使用相关要求规定在第四十一条、将个人信息主体权利相关要求规定在第四十三条,《App违法违规收集使用个人信息行为认定方法》分别将个人信息使用相关要求规定在第三条、将个人信息主体权利相关要求规定在第六条的立法思路保持一致[3]。
(四)其他变化
规范还对其他方面进行了调整和优化,如放宽了人工处理注销账号的时间要求,提高了“不应注销单个账户视同注销多个产品或服务”的可执行性;放宽了第三方接入管理中对于核验第三方征得个人信息主体同意的方式的要求,删去了“妥善留存、及时更新第三方产品或服务建立响应个人信息主体请求和投诉等的机制”的要求;放宽了任命专职个人信息保护负责人和个人信息保护工作机构的部分条件;新增了建立自动化审计系统的要求等[3]。
(五)小结
这些变化体现了对数据隐私保护的重视和加强,旨在更好地保护个人信息主体的合法权益,规范各类组织的个人信息处理活动,同时也为企业在数据隐私保护方面提供了更明确的指引和要求。企业应高度重视这些变化,及时对照和梳理自身在个人信息保护方面的工作,确保符合相关法律法规的要求。
二、数据资产隐私保护政策立法修改的背景与原因
(一)全球数据隐私保护立法趋势
随着数字经济的飞速发展,数据资产的隐私保护成为全球关注焦点。英国自脱欧后,积极寻求数据保护变革,2023年11月公布了《数据保护和数字信息法》第二次修订案,这是对英国版《通用数据保护条例》(GDPR)的改革尝试。此次修订案内容更具针对性,涵盖明确内容、扩大豁免范围、为企业提供更多灵活性等多方面措施,同时参考了GDPR在实践中的应用经验,以及英国和国际利益相关者的观点建议,旨在降低业务合规成本,且不会影响现有GDPR的基本原则、数据主体权利范围、控制者和处理者的核心义务等[3]。
(二)国内隐私政策调整
在国内,随着《个人信息保护法》的实施,众多企业如老虎证券等纷纷修改隐私政策,以符合法律要求。这表明国内对于数据资产隐私保护的重视程度不断提升,法律的实施促使企业重新审视和调整自身的数据处理行为,确保在合法合规的框架内运营,保护用户的个人信息安全[2]。
(三)技术发展带来的挑战
网页爬虫等技术的广泛应用,使得数据的收集和处理更加便捷,但也带来了数据隐私泄露的风险。如何在技术发展的浪潮中平衡数据利用与隐私保护,成为立法修改的重要考量因素。立法需要与时俱进,对新技术带来的隐私问题进行规范,确保数据主体的权益不受侵害。
(四)跨境数据流动的监管需求
数据跨境流动日益频繁,不同国家和地区的数据保护法规差异,给企业带来了合规挑战。英国的修订案中,对跨境数据流动方式进行了扩展,规定企业可以采取合理和相称的行动,但必须根据充分性认定的标准评估使用其他替代方式的可行性,避免保护标准低于GDPR的标准。这为跨境数据流动提供了更明确的指引,有助于降低企业的合规风险,促进数据的合法跨境流动[3]。
(五)小结
综上所述,数据资产隐私保护政策立法修改是应对全球数据保护趋势、国内法律实施需求、技术发展挑战以及跨境数据流动监管需求的必然选择。通过不断完善立法,可以更好地保护数据主体的隐私权益,促进数字经济的健康发展。
三、数据资产隐私保护政策对实务操作的影响
(一)数据资产隐私保护政策的背景与重要性
随着数字经济的快速发展,数据已成为重要的生产要素,其价值日益凸显。然而,数据的收集、存储、使用和共享过程中存在的隐私泄露风险也引起了广泛关注。我国已经形成了以《网络安全法》《数据安全法》和《个人信息保护法》为核心的法律框架,旨在保护数据安全和个人隐私[1]。这些法律的实施对实务操作产生了深远影响,要求企业在数据处理过程中必须严格遵守隐私保护规定,确保数据的合法、合规使用。
(二)实务操作中的具体影响
- 数据收集与存储
数据资产隐私保护政策要求企业在收集数据时必须明确告知用户数据的用途、存储期限和保护措施,并获得用户的明确同意。这增加了企业在数据收集环节的合规成本,但也促使企业更加注重数据的质量和安全性。例如,华中科技大学数据库隐私保护队开发的基于openGauss安全的差分隐私医疗诊断辅助查询系统,通过差分隐私技术在数据收集和存储过程中注入噪声,确保数据在不泄露隐私的前提下可用于统计分析[1]。这种技术的应用不仅提高了数据的安全性,也满足了隐私保护的法律要求。 - 数据使用与共享
在数据使用和共享方面,隐私保护政策要求企业必须对数据进行脱敏处理,确保数据在共享过程中不会泄露个人隐私。这要求企业建立严格的数据访问控制机制,限制数据的使用范围和使用目的。同时,企业还需要与数据共享方签订保密协议,明确双方在数据保护方面的责任和义务。例如,在医疗领域,基于openGauss安全的差分隐私医疗诊断辅助查询系统通过差分隐私深度学习方法DPDLDA,在诊疗查询时保护用户的隐私不被泄露[1]。这种技术的应用为医疗数据的安全共享提供了新的解决方案,同时也满足了隐私保护的法律要求。 - 数据跨境传输
数据跨境传输是数据资产隐私保护政策中的一个重要问题。根据《数据安全法》和《个人信息保护法》的规定,企业在将数据传输到境外时,必须进行安全评估,并确保数据接收方具备足够的数据保护能力。这增加了企业在数据跨境传输过程中的合规风险,要求企业必须建立完善的数据跨境传输管理制度,确保数据在跨境传输过程中的安全和合规。例如,开放银行数据共享实践中涵盖了广泛且繁杂的数据类型,尤其是实时数据与核心数据,如客户财产、身份及生物识别等高度敏感信息。若此类数据在共享过程中被不当获取或泄露,将给客户隐私与财产安全带来难以估量的风险与损失[2]。因此,必须正视数据共享法律制度的缺陷,积极寻求完善相关法规的途径,以确保数据共享在安全可靠的环境中进行。
(三)小结
数据资产隐私保护政策对实务操作产生了深远影响,要求企业在数据收集、存储、使用和共享过程中必须严格遵守隐私保护规定。这不仅增加了企业的合规成本,也促使企业更加注重数据的质量和安全性。通过采用先进的隐私保护技术,如差分隐私技术,企业可以在满足隐私保护法律要求的同时,实现数据的高效利用和价值最大化。未来,随着数据隐私保护技术的不断发展和法律制度的不断完善,企业将在数据资产的管理和运营中面临更高的合规要求和更大的挑战。
四、数据资产隐私保护政策对实务操作的影响
(一)应对数据资产隐私保护政策的建议
在数据资产的管理和利用过程中,隐私保护政策的落实至关重要。企业应建立健全的数据安全与隐私保护机制,确保数据的收集、存储、使用和共享均符合法律法规的要求[1]。具体而言,企业需采取数据加密、访问控制等技术手段,防止数据泄露,并定期进行合规审计[2]。同时,对于涉及个人敏感信息的数据,应进行匿名化处理,降低隐私泄露风险[2]。此外,企业还应建立征询和权益补偿渠道,保障个人在数据资产中的合法权益[3]。
(二)数据资产隐私保护政策对实务操作的影响
数据资产隐私保护政策的实施对企业的实务操作产生了深远影响。首先,企业在数据收集阶段需严格遵守法律法规,明确告知用户数据的使用目的和范围,获取用户的明确同意[3]。这不仅增加了数据收集的合规成本,也对企业的数据管理能力提出了更高要求。其次,在数据存储和使用环节,企业必须采取严格的安全措施,确保数据的保密性、完整性和可用性[2]。例如,通过数据加密技术对敏感数据进行加密存储和传输,防止数据在存储和传输过程中被窃取或篡改[2]。此外,企业还需建立数据访问控制机制,限制数据的访问权限,仅授权用户可访问敏感数据[2]。最后,在数据共享和交易方面,隐私保护政策要求企业必须确保数据共享的合法性和合规性[3]。企业需对数据共享的各个环节进行严格监管,确保数据在共享过程中不会泄露个人隐私[3]。
(三)数据资产隐私保护政策的积极意义
数据资产隐私保护政策的实施虽然增加了企业的合规成本,但也为企业带来了积极影响。一方面,合规的数据管理能够增强用户对企业的信任,提升企业的品牌形象和市场竞争力[3]。另一方面,严格的隐私保护措施有助于企业避免因数据泄露而面临的法律风险和声誉损失[2]。此外,随着数据隐私法规的日益完善,企业在数据资产的管理和利用上将更加规范,有助于推动数据资产的市场化交易和价值实现[3]。
引用出处
[1] 深度解读 基于openGauss安全的差分隐私医疗诊断辅助查询系统斩获金奖背后的故事_澎湃号·湃客_澎湃新闻-The Paper. https://www.thepaper.cn/newsDetail_forward_25333047
[2] 监管视角下规范我国数据交易市场的研究. https://www.hanspub.org/journal/doi?DOI=10.12677/ass.2024.13121149
[3] 第一时间 | 《个人信息安全规范》最新正式稿,你想知道的都在这里 https://www.zhonglun.com/research/articles/7741.html
作者:柯劲恒
