近日,全国人大常委会通过了《个人信息保护法》,多个外媒都报道称这是全世界最严格的隐私保护法律,最严格规定的原因其实和国内互联网公司对个人信息保护不力有关,我今天就选几个跟互联网公司有关联的点跟大家聊聊这部法律。
我个人认为主要保护的是隐私和隐私对应的财产权益。《个人信息保护法》第二条规定:自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。个人信息权益的本质就是隐私。通俗的说,我今天在搜索引擎搜的东西,我在电商网站买的东西,我在资讯网站看的东西,我在社交软件和别人聊的东西,这些东西在《个人信息保护法》上的术语叫做个人信息,但实际对这些互联网公司而言,就是我的隐私。
《个人信息保护法》主要规定就是不让这些运营搜索引擎、电商网站、资讯网站、社交软件的互联网公司滥用他们采集到的我对他们服务的使用记录,保护我的隐私。这点其实所有的互联网公司都认,你看他们的网站首页都会有保护个人信息的政策链接,这个链接的名称,通常都叫隐私协议或者隐私条款。
我国的互联网公司不少业务模式都是靠获取隐私赚取经营利润,李彦宏甚至说过:中国用户很多时候愿意用隐私来换便捷服务 [i] 。立法保护个人信息,对互联网公司的利益其实是不利的,但法律既然已经通过,那互联网公司就应该让自己的商业模式更合规来拥抱变化,否则后果会很严重。
二、《个人信息保护法》的违法后果很严重
《个人信息保护法》的保护个人信息的主要方式是规范国家机关和互联网公司对个人信息的收集和处理,为此规定了非常多的原则:处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息;处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式,收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息;处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围……
这些原则,如果国家机关不遵守的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。
如果是互联网公司不遵守的,且情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款。对大的互联网公司而言,其营业额动辄上千亿元,如果被罚款金额会非常高。比如阿里巴巴集团前阵因为违反《反垄断法》,被处以其2019年中国境内销售额4557.12亿元4%的罚款,计182.28亿元。而《个人信息保护法》顶格罚款可是5%哦。
三、互联网公司的算法优势会被削弱
某些互联网公司之所以能在对垒很多传统产业企业时竞争力强,和其不一定合理的算法策略密不可分,但《个人信息保护法》对此的规制会使他们的效率优势被削弱。比如网约车平台,他们在对司机的考核算法和对乘客的收费算法都会受算法被规制的影响。新华网曾报道过 [ii] ,上海市消保委和复旦大学孙金云团队对网约车平台计程计时情况开展的比较试验发现,存在大量相同的软件和路线,价格不一样;贵手机叫车容易“被升级”;实际价格每次都比预估价格贵了一点,而且差得不止是一星半点。
《个人信息保护法》规定:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。这个法条一旦在网约车平台落地,那平台在杀熟时会面临行政监管和司法诉讼,不论是行政机关还是法院,如果对网约车平台算法审计后发现算法设置不合理的,平台除了将面临本文上一部分列举的较严重法律后果外,还会遭遇舆论危机,失去乘客信任。
此外,网约车平台对于司机的管理也依赖算法。有多家媒体报道,算法对司机的管理也有诸多不合理之处 [iii] [iv] 包括对疲劳驾驶的管控、高额抽佣、变相鼓励闯红灯、乘客差评管理不科学等,。对于这些不合理不透明的算法,《个人信息保护法》生效后也有相应的规定:通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。司机如果被算法不合理处罚的,可以根据公开透明原则要求平台公布算法并予以说明,拒绝仅通过算法进行的处罚决定。
四、互联网公司的用户数据优势会被威胁
《个人信息保护法》第四十五条第三款规定:个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。这个规定实际对腾讯这样有用户数据优势的公司会是一个很大挑战。
之前有个著名的案例 [v] ,字节跳动旗下社交软件多闪曾向用户发送弹窗消息称:“由于腾讯方面的要求,希望用户修改在多闪或者微信上的账户头像与昵称。”其实这个弹窗的原因是腾讯认为多闪为用户从微信复制昵称和头像的行为涉不正当竞争,申请天津法院出了行为保全裁定,裁定中除了禁止多闪从微信复制用户昵称和头像,还认定:腾讯经营的微信/QQ产品拥有很高的品牌价值和庞大的用户群体,其积累的包括身份识别作用的头像、昵称等用户信息,已成为可以为其带来竞争优势的商业资源。
根据《反不正当竞争法》,天津法院的认定在2019年没有问题。但当《个人信息保护法》生效后,法院再要认定用户信息成为可以为腾讯带来竞争优势的商业资源,就会谨慎不少,因为个人信息转移权成了用户的法定权利。以后,如果腾讯的竞争对手要从微信用户那里获取个人信息的,只要在个人授权流程授权上设置更合理,符合国家网信部门规定条件的,腾讯作为个人信息处理者想阻拦,正当性上会有欠缺。
最后,在个人信息保护上,中国的互联网公司享受了很多年法规没有跟上产业发展的制度红利,但这种处于灰色地带的红利侵犯了消费者隐私,对产业的健康长久发展是不利的,随着《个人信息保护法》的颁布,互联网公司应该在合规上多下功夫,从制度上完善个人信息保护,把发展的根基做得扎实,才能成长的更高更强。从这个意义上,他们不应该害怕,反而应该拥抱《个人信息保护法》。
本文作者:游云庭,上海大邦律师事务所高级合伙人,知识产权律师。电话:8621-52134900,Email: yytbest@gmail.com,本文仅代表作者观点。