数据要跑起来，隐私安全要守住，如何权衡多方利益？大咖热议

从“数据二十条”到国家数据局正式挂牌，再到数据资产入表等配套政策的陆续发布，可以预见数据作为第五生产要素将被进一步激活，数据要素产业也将进入加速发展期。

在逐浪数字经济的同时，如何平衡数据挖掘利用与个人信息保护的关系，一直备受关切。为保护个人信息权益和促进数据合理利用，2021年11月1日，我国《个人信息保护法》（以下简称个保法）正式施行。转眼两年过去了，业内有哪些探索与实践？落地合规重点、难点指向哪里？公众在个人信息保护上，又有哪些新的顾虑与担忧？

围绕这些问题，南都数字经济治理研究中心联合数据安全共同体计划（DSC）、中国网络安全产业联盟（CCIA）数据安全工作委员会，于2023年11月1日下午在武汉举办“个人信息保护法实施两周年：观察与展望”研讨会。会上，多位来自高校、智库机构和企业界代表，从法律、技术、标准和实务的角度分享了他们对个人信息保护问题的看法。

文|李玲

个人信息保护与数据利用的利益平衡如何实现？

去年12月，中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》（简称“数据二十条”），从顶层设计的层面为数据要素市场建设提供指引。

在中国人民大学法学院教授张新宝看来，“数据二十条”提出要构建的基础制度包括数据产权、数据要素流通和交易、数据要素收益分配、数据要素治理，这里面涉及各种数据确权授权、各种利益的平衡，也与个人信息保护和企业数据财产的利用密切相关。

中国人民大学教授张新宝发表演讲。（主办方供图）

如何实现各方利益的平衡？张新宝重申“两头强化、三方平衡”的观点，即在个人敏感隐私信息与个人一般信息区分的基础之上，通过强化个人敏感隐私信息的保护和强化个人一般信息的利用，调和个人信息保护与利用的需求冲突，同时要平衡好政府、个人和企业三者之间的利益关系。

张新宝还进一步提出“人财两分”理论。他认为，个人信息数据同时承载着人格利益与财产利益，在对个人信息数据作出权利配置时，应将人格利益配置给个人，同时将财产利益配置给数据处理者。

中国网络安全审查技术与认证中心副处长、高级工程师王凤娇也提到，当前数据已成为重要生产要素，对促进经济发展、提升治理体系和治理能力现代化发挥着不可替代的作用。但与此同时，在数据利用和个人信息保护方面，仍面临着发展和安全、利用与保护的平衡和博弈问题。

“数据安全是数字经济发展的基石。”王凤娇提出，可通过标准与认证等方式规范和引导数据要素市场正向发展，保护个人信息主体权益，促进数字经济高质量发展。

据南都记者了解，2022年11月，国家市场监管总局与国家网信办联合发布《关于实施个人信息保护认证的公告》，鼓励个人信息处理者通过认证提高个人信息保护能力。

据王凤娇介绍，认证在整体制度设计上的预期作用包括四个方面：落实政策法规要求，重在发挥合规引导作用，促进数据流动便利贸易的有效手段，也是提升安全质量的基础手段之一。

“从监管与实际工作的角度，认证的作用可以总结为：一是发挥质量管理‘体检证’作用、发挥数据流动‘通行证’作用及数字经济市场‘信用证’的作用。”她说。

“个人信息保护必须走技术化道路”

当天研讨会上，北京理工大学教授洪延青围绕“个人信息保护合规重点”进行分享。在他看来，这些合规重点包括app个人信息保护、数据跨境安全、垂直领域的监管等。

以App个人信息保护为例，洪延青梳理发现，从2017年首批针对10家网络平台的“隐私条款专项工作”，到2019年四部委组织开展的App违法违规收集使用个人信息专项治理，再到现在的常态化监管，关于App治理的监管方向从前端侧不断往后端移动。

具体而言，洪延青提到不只App开发运营者，嵌入在App里的第三方SDK（软件开发工具包）同样会收集个人信息，还有负责分发App的应用商店、小程序平台一定程度也承担着事前监管的责任，因此都是App个人信息安全治理的对象。与此同时，当个人信息被大量收集后，公安部门高度重视打击非法利用公民个人信息的网络黑灰产行为，网信部门则关注到个性化推荐。“从App侧可以看到，从2017年开始至今，监管围绕这几大治理方向不断深入。”洪延青说。

“作为一名专门从事个人信息保护工作的从业者，我能感受到相关法律制度正变得越来越完善，保护与数据利用的政策方向也愈加明确和清晰。”蚂蚁集团首席隐私官聂正军说。

自去年11月底ChatGPT发布以来，有关大模型的讨论此起彼伏。聂正军注意到，每次技术创新的同时，都会引发数据保护的探讨。在他看来，“用技术的方法解决技术创新带来的问题，是唯一的解法。”

“个人信息保护必须走技术化道路。”聂正军认为，数据具有高频率、极复杂、易扩散、应用广、可复制、链条长等特性。基于此，要在数据或个人信息处理活动中看全、看清和看住风险，光靠传统的模式行不通，必须用技术+管理的方式。

具体怎么做？聂正军结合工作实践尝试提出隐私保护“工程化”的理想图景，其中包括要因地制宜地采用包括大模型、隐私计算在内的各种先进技术；对于新增产品、场景实现工程化的能力快速响应和复制；通过广泛采用自动化策略，大幅提高隐私风险识别、管控和处置的效率；以及根据法律变化，实现“面板式”的保护水位灵活调整；因地制宜地采用包括大模型、隐私计算在内的各种先进技术。

值得一提的是，当天会上还重磅发布《个人信息保护法实施两周年观察报告》（以下简称报告），从制度推进、行政执法、司法实践、公众感知等方面，呈现个保法实施两年来的重点变化。

据南都记者了解，这份报告由5家单位共同撰写完成，其中包括本次论坛的3家主办方——数据安全共同体计划、CCIA数据安全工作委员会、南都数字经济治理研究中心，此外还有对外经贸大学数字经济与法律创新研究中心、清律律师事务所。

当天会上还设置“个人信息影响评估标识”发布环节，共有12家企业获得一星级标识，11家企业获得二星级标识。圆桌对话环节则以“后App合规时代，个人信息保护持续合规能力”为主题，邀请5位来自实务界的专家共同探讨个人信息保护合规的重点、难点和未来方向。

声明：本文来自隐私护卫队，版权归作者所有。文章内容仅代表作者独立观点，不代表沃通CA立场，转载目的在于传递更多信息。如有侵权，请联系删除。