《个人信息保护法(草案)》开始征求意见，个人信息立法进入快车道

随着2020年10月《个人信息保护法（草案）》（“草案”）征求意见，个人信息立法正式进入快车道。草案规定的最高5000万元或上年营业额5%的罚款极具威慑力，这无疑将迫使企业将其数据合规计划提上日程，也将迫使越来越多的法律和律师. 专注于隐私合规（也称为“个人信息合规”或“数据合规”）领域。

即使不考虑《民法典》和《个人信息保护法（草案）》、《京东学生诉抖音》、《黄诉微信阅读》和《余诉天猫、淘宝、支付宝、乐家等典型案例“友人案”已经将组织保护个人信息的能力置于司法程序的审查之下，其影响已远远超出该案的赔偿金额。

在民法典即将生效和个人信息保护法（草案）开始征求意见的背景下，个人信息权利（利益）变得更加重要。可以预见，自然人个人信息权的行使将成为争议较大的领域。持有大量个人信息的机构将面临频繁的投诉和诉讼，加上高额的罚款和威慑，这需要相关机构尽快建立和完善自己的个人信息。权利响应机制。

- 1 - 完善维权响应机制

个人信息保护法（草案）带来的最大变化之一是民法典对个人信息权利规定的细化：

除对权利进行细化外，草案还要求个人信息处理机构应当建立受理和处理个人行使权利申请的机制。机关拒绝个人行使权利的请求，应当说明理由。

权利细化意味着个人信息主体可以更方便地行使权利，也意味着个人信息处理机构需要建立有效机制，协助自然人访问、复制、修改、删除个人信息。

这不是一件容易的工作。在数据合规实践中，我发现很多企业对内部数据的流向和类型没有清晰的把握，数据分散在不同部门的手中。比如我采访的一家公司的人事部负责员工的个人信息，但是行政部负责一些岗位的劳务派遣（保安、保洁）人员，消费者的个人信息可能由不同的品牌部门。考虑到安全性和其他类型的数据风险。造成数据管理混乱的原因一方面是管理层对数据要素和数据合规性不够重视核安全法 草案 全文，没有设立专门的部门和预算；另一方面，

对于机构而言，数据合规当然离不开内部法务与外部律师的密切配合。内部法务可以更好地了解业务线，更容易设置各种“基线”和“红线”；外部律师可以有更广泛的观点和同行的合规实践供机构参考。此外，数据合规工作的动力之一是来自法律法规的压力，例如欧洲的GDPR、加利福尼亚的CCPA、中国的网络安全法、数据安全法（草案）、个人信息保护法（草案）。草案）”，要求机构围绕法律相关的权利和义务，这是法律事务和律师的“家”，

对于大型互联网平台而言，需要在知识产权领域投入大量精力，建立“通知删除”机制，设置“反通知”流程，可能还需要承担争议的“仲裁者”，初步判断涉嫌侵权是否成立。. 在个人信息保护领域，机构也需要沿着知识产权内控机制的路径构建自己的个人信息权响应机制。

目前，绝大多数企业仍然主要通过其隐私政策中的邮箱来人工响应自然人的维权请求。当民法典和个人信息保护法生效后，这种手工作坊式的响应方式可能不再能满足频繁的请求。请求自然人的权利，需要搭建专门的平台或者直接在产品和服务中嵌入模块来响应个人信息权利请求。比如在App检查中重点关注的注销账号功能，对于很多App应用来说，就是一条难以实现的“天然护城河”。

- 2 - 隐私技术入口

机构在个人信息保护方面面临着来自内部和外部来源的巨大压力，自身可能无法满足合规要求，往往需要第三方隐私技术提供商的协助。据iapp发布的《2020隐私技术供应商报告》显示，隐私技术供应商的数量从2017年的44家增长到2020年的343家。GDPR的应用和全球隐私保护立法的加速正在为隐私做出贡献。技术供应商增长的原因。iapp 的报告将隐私技术分为以下几类：

1. 评估管理倾向于自动化隐私计划的不同功能，例如实施隐私影响评估、定位风险差距、证明合规性，以及帮助隐私领导者扩大需要电子表格、数据输入和报告复杂任务的流程。

2. 同意管理可帮助组织收集、跟踪、显示和管理用户同意。

3. 数据映射解决方案可以是手动的或自动的，以帮助组织确定整个企业的数据流。

4. 数据主体请求解决方案帮助组织促进希望行使其数据权利的个人的查询。这包括涉及访问权、更正权、可移植性和擦除权的请求。

5. 事件响应解决方案通过向相关利益相关者提供有关哪些数据被泄露以及必须履行哪些通知义务的信息，帮助企业应对数据泄露。

6. 隐私信息管理为企业提供广泛的、通常是自动化的、全球最新的隐私法信息。

7. 网站扫描是一项主要检查客户网站以确定嵌入哪些 cookie、信标和其他跟踪器以帮助确保遵守各种 cookie 法律和其他法规的服务。

8. 企业隐私管理 - 旨在满足隐私办公室需求以及组织整体业务需求的解决方案。

9. 活动监控可帮助组织确定谁有权访问个人数据以及何时访问或处理这些数据。这些解决方案通常带有帮助管理活动的控件。

10. 数据发现通常是一种自动化技术，可帮助组织识别和分类他们拥有的个人数据类型，以帮助管理隐私风险和合规性。

11. 去标识化/假名化解决方案可帮助数据科学家、研究人员和其他利益相关者从数据集中提取价值，而不会损害特定数据集中数据主体的隐私。

12. 企业通信是一种解决方案核安全法 草案 全文，可帮助组织以安全的方式进行内部通信并避免员工通信的危险泄漏。

虽然隐私技术在中国仍方兴未艾，但已经开始崭露头角。2019年，中国电子标准化研究院联合App专项治理工作组推出“App个人信息保护合规评估工具”（/cms/index），以问卷形式对App进行评估。百度还推出了“Springer安全与隐私合规平台”，基于AI检测技术，提供隐私风险项检测、隐私特殊检测、场景检测、权限过度收集和使用检测等产品和服务，深入探索App隐私合规. 监管风险的来源。

随着未来民法典和个人信息保护法的实施和实施，隐私技术也将具有巨大的潜力。对于律师和法律事务而言，隐私科技提供的产品和服务不是竞争对手，但需要充分利用工具来提高工作效率。假的东西。”

- 3 - 与技术解决方案共舞

然而，在个人信息保护领域，“仅靠法​​律是不够的”，仅仅依靠法律文件并不能使个人信息的保护更加完善。草案第五章明确要求个人信息处理机构“采取相应的加密、安全技术措施，如

律师和律师需要熟悉技术，了解不同技术可以实现的不同目标。例如，《网络安全法》、《民法典》和本次发布的草案都对“不能识别特定个人且无法恢复的处理除外”（匿名化处理）开了绿灯，允许匿名化后的数据不被泄露。由个人处理的信息范围内，无需遵守个人信息保护的相关规定。

2020年9月，美国斯坦福大学计算机科学教授李飞飞与斯坦福医学院教授Arnold Milstein等研究人员发表了题为《Using Ambient Intelligence to Illuminate the Dark Space of Medical 《自然》中的“关爱”，特别强调了隐私保护在环境智能领域所发挥的重要作用，以及不同技术所能达到的隐私保护目标：

图 4：保护隐私的计算方法。用环境智能照亮医疗保健的黑暗空间

熟悉技术有助于律师和律师事务所在了解自己的权利和义务的基础上探索更适合的解决方案，更好地将privacy by design（通过设计保护隐私）的理念融入法律服务，并能更好地与IT、信息安全，开发人员。

这一理念在国家推荐性标准《个人信息工程指南（征求意见稿）》中得到落实，并根据设计隐私的理念制定了相应的策略：

该标准虽然还处于征求意见阶段，但已经达到了一定的完成度，所以律师和法律事务的法律意见不应该有太大的偏差。

- 4 - 个人信息的保护：刚刚展翅的蝴蝶

个人信息是一个非常广泛的概念，任何类型的组织都需要或多或少地面临隐私保护和个人信息保护问题。不同的行业组织在不同的场景下存在不同的问题和可用的解决方案。

《个人信息保护法（草案）》刚颁布，就引起了轩然大波。后续征求意见稿、案文正式通过、生效、司法实践等，将继续推动我国个人信息保护工作，最终极大优化我国个人信息。信息保护的图片。

篇幅有限，我只能走这么远，但我期待能够在这个领域交流更多的想法和思考。

鲁心社发布的内容为原创，转载。转载内容的版权归原作者和出处。内容发布时，难免会有文章未及时授权。如有侵权，请留言与我们联系，我们将及时删除。