南方財經全媒體記者 吳立洋 北京報道

2021年11月1日，《個人資訊保護法》（以下簡稱“個保法”）正式施行，轉眼間實施一週年。為更好推動個保法的落實，11月1日，由中央網信辦網路法治局指導、中國社會科學院法學研究所主辦、南方財經全媒體集團（以下簡稱“南財”）承辦的“《個人資訊保護法》實施一週年實踐與展望”高峰論壇召開。本次論壇邀請監管部門、專家學者與行業代表，共同探討如何規範監督執法、平衡企業發展和資料合規，推動個人資訊保護整體水平上升。

北京理工大學法學院教授洪延青結合親身參與的個人資訊保護標準化工作，對不同網際網路業務演進階段中，《個人資訊保護法》的落地實踐情況進行了解讀與分析。他指出，

法律規則性要求應能夠涵蓋企業業務模式演進過程，而當前商業實踐發展過程中，各個關鍵合規環節的合規風險，都可以在《個人資訊保護法》中找到對應的法條加以規制

。

“

從這個角度來看，《個人資訊保護法》的立法技巧和內涵是非常豐富的，具有綿延的生命力。

”洪延青表示。

在網際網路企業發展歷程中，早期業務模式相對簡單，唯一的個人資訊入口就是手機終端，個人資訊往往在後臺進行簡單的計算處理後，就被傳輸到雲端儲存端。

洪延青表示，這一階段的監管重點首先是手機終端的作業系統，其中蘋果系統是全球統一的，而不同的手機廠商會定製自身的安卓系統，不同系統對個人資訊保護的設定存在區別；其次，監管還關注到了APP的設計問題，包括彈窗、告知、SDK的規制等等；再次，資料到了後臺會不會被違法對外共享的問題也是該階段的焦點問題。

他進一步指出，

該階段的個人資訊保護原則，包括目的明確、選擇同意、最少夠用、公開透明、確保安全、主體參與等，主要都是為了規制從個人到後臺單方向的資訊流。

而隨著網際網路業務模式的不斷演進，企業獲取使用者個人資訊的途徑已不再侷限於手機終端，各類感測器也成為個人資訊採集的重要渠道，例如最為常見的人臉識別裝置和家庭物聯網裝置。

洪延青指出，感測器的大規模使用帶來了新的個人資訊保護問題：

其一，在沒有顯示介面的情況下，感測器裝置在採集和處理個人資訊時要如何做到告知並獲取同意，應如何與手機終端聯動從而確保使用者授權落地；其二，由於感測器呈現泛在的情形，同一家廠家的感測器可能遍佈不同的使用場景，在處理出於不同目的在不同場合採集的資料時，廠商能否進行融合或打包也需要明確。

此外，感測器除了可以收集個人資訊，其邊緣程式也可以搭載一些演算法功能，甚至可以不經過後臺做出指示或決策，

當感測器被不同使用者所使用，而這些使用者對個人資訊的授權情況又存在差異時，基於個體特徵的個人資訊保護場景，就轉變為基於群體特徵的場景。

“例如，兩名裝置使用者中一位授權其處理個人資訊，另一位沒有授權，但是廠商其實仍然可以根據已經收集到的個人資訊對沒有提供個人資訊的個人，提供服務。此外，

由於系統後臺智慧化的程度在大幅提升，系統對個人產生反向的系統作用力，其中的公平性問題和操控問題，是新業務模式下的合規關鍵所在。

”洪延青表示。

他進一步指出，針對不同演進階段的業務模式，監管部門的合規管理工作都在同步推進。就第一階段從使用者到後臺的業務模式而言，隱私政策、告知同意等方面的標準化規則在不斷細化；泛在感測器階段，人臉識別、車聯網等具體應用場景的規則也在持續完善。

在前述兩個階段外，針對第三階段的業務模式，監管部門現階段主要對於資訊推薦演算法也進行了規定。但實際上，

《個人資訊保護法》的自動化決策條款能夠為更廣泛的規制提供法律支撐

。例如，從立法角度，只要是利用同一類個體對使用者產生影響的演算法操作，也需納入自動化決策範圍內，法條充分涵蓋了相關的業務情景。

“總體而言，儘管網際網路行業業務模式不斷演進，《個人資訊保護法》的規範依然是很充分和充足的，在推動合規標準化時，也應沿著規則指引的原則方向和立場，做進一步的細化工作。”洪延青說。

更多內容請下載21財經APP