《规范》是推荐性国家标准,国家鼓励企业采用但并不强制要求。在制定《个人信息保护法》的呼声日益高涨的当下,企业对是否以及应如何遵从《规范》的意见并不统一。让我们先来看一个2015年的判例。
2013年5月6日,原告朱烨向南京市鼓楼区人民法院起诉百度公司,认为百度公司未经其知情和选择,利用网络技术记录和跟踪其搜索的关键词并据此在其浏览的网页进行广告投放,侵害了隐私权。一审法院支持了原告的主张。二审法院则认为关键词不属于个人信息,并参考国家指导性标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z28828-2012),认为一般个人信息的收集、使用仅需要适用默示原则,而百度收集的网络碎片化信息并不属于个人信息,因此无需取得原告同意。[1]
本案中,二审法院对于关键词等cookie信息的性质界定准确与否在所不论,单就个人信息的收集规则,法院明确参考了同为不具有强制力和法律约束力的国家指导性标准,说明此类国家标准在司法实践中具有参考价值。实际上,《规范》于个人信息控制者有着多重意义:
第一,对于绝大多数企业来说,遵从《规范》指引是遵守《网络安全法》相关规定最简便安全的方法。《网络安全法》涵盖了个人信息从收集、保存、使用、处理、共享、转让、公开、到针对安全事件的处置和组织管理的全流程风险防控要求,却仅有寥寥数百字。《规范》作为权威的官方解读,在《个人信息保护法》的立法空白期无疑具有重要指导价值,相信监管机构也有意通过检验《规范》所立标准的可行性为立法铺路。于绝大多数在业务运营中会涉及到个人信息但并非以此为主业的企业而言,与其花费巨大成本证明自己所采取的个人信息保护措施符合《网络安全法》的要求,倒不如直接采用并落实《规范》的指引更加简便和安全。
第二,与法律的惜墨如金不同,在如何以现有技术保护个人信息方面,《规范》为个人信息控制者提供了操作性较强的指引。《网络安全法》明确指出国家要建立和完善网络安全标准体系,由国务院标准化部门和其他有关部门牵头组织,企业、研究机构、高校、网络相关行业组织参与国家标准和行业标准的制定。[2]前述规定不仅为《规范》的权威性背书,同时通过鼓励业界参与制定标准而保障其具备现实可操作性。《规范》在附录中不仅对个人信息和个人敏感信息提供了简明易懂的判定方法,还详细列举可归入该等范畴的信息。针对收集个人信息需要获得个人信息主体同意并发布隐私政策的要求,《规范》通过举例的方式描述保障个人信息主体选择同意权的方法,甚至提供了一份详细的隐私政策模板。
第三,《规范》可能会成为监管机构在案件调查、起诉、审判阶段的重要参考,遵守《规范》可作为抗辩理由。例如,根据刑法第253条,单位也可能因为其员工的行为构成侵犯公民个人信息罪。在此情况下,如果企业通过制度建设和技术措施确保其运营符合《规范》的要求,则即使在个人信息保护出现风险之时,仍有机会向监管和司法机关证明其系独立的偶发事件,而非系统性风险。前述百度案也是司法机关认可推荐性国家标准的示例之一。实际上,因为数据的流动性特征,个人信息控制者持有数据的风险将远超传统意义的法律风险边界,除其自身、员工外,更有无法预知的第三方可能对其收集的数据进行处理加工,在此情况下个人信息控制者该如何“独善其身”,《规范》也提供了一些启示。
第四,个人信息控制者保护数据安全和用户正当期待的合规能力未来也可能成为其核心竞争力的组成部分,《规范》为个人信息控制者如何展示这种合规能力给予指引。目前,越来越多的商业合作都对企业的合规能力提出要求,例如反腐败与反商业贿赂,随着个人信息保护意识逐步增强,保护数据安全的能力也将成为刚需。例如,《规范》在委托处理个人信息部分即规定,个人信息控制者应对委托行为进行个人信息安全影响评估,确保受委托者具备足够的数据安全能力,提供了足够的安全保护水平。
