数据隐私在2020年多次成为全球科技及商业领域的关注焦点。面对日益严格的个人信息保护法律法规，企业如何在挖掘数据价值和保护用户隐私间取得平衡？日前，三位数据隐私专家和实践者围绕行业最关注的十大话题展开分享，从趋势回顾展望到实际业务场景，给予全方位的介绍和解答。

以下内容系#链睿对话数据隐私专家# 特邀嘉宾 

傅永辉知名数据隐私专家，曾在多家世界500强担任数据隐私和数据合规负责人 

孙建钢君合律师事务所伙人，聚焦隐私法规的解读及风险判断
 

杨阳链睿亚太区首席数据隐私官 

数据隐私合规十问：

1. 中国数据隐私合规的发展有哪些趋势特点？

2. 中国个人信息保护的立法现状如何？

3. 中国个人信息保护法律法规与GDPR的区别是？

4. 设备号是否受个人信息法规限制？

5. 用户授权是否意味着企业可以在营销中任意使用个人信息？

6. 数据安全与数据隐私的区别？

7. 数据加密是否意味着数据隐私合规？

8. 把手机号转成关联的设备号，存在何种风险？

9. 企业如何设置合规审核流程？

10. 您对企业数据隐私保护的建议？ 

第一问：中国数据隐私合规的发展有哪些趋势特点？ 

傅永辉：中国的信息保护在过去十年中发生了很大的变化，从中我们可以看出数据隐私合规发展的五大趋势。第一个趋势是立法趋于完整，法律指引日渐明确。我们都知道中国的个人信息保护法的立法进入公众视野是在大约2009年，当时在民事法律和行政法律对个人信息缺乏保护的情况下，国家采取了刑法的方式，将严重侵犯公民个人信息的行为纳入了犯罪。在其后的十年间又陆续出台了很多法律法规，对个人信息保护进行了相对明确的规定，比如说我们都听到过的网络安全法，明确了正当、合法和必要的个人信息处理原则。《民法典》则对个人信息的概念和保护范围进行了界定。最近大家也听说个人信息安全规范，对个人信息安全领域提供了一个非常基础并且广泛的国家标准。App相关的个人信息保护规定也对各种收集和使用个人信息的行为进行了列举和界定。在不远的未来我们还将出台个人信息保护法，所有这些都会为数据从业者提供更加明确、清晰的法律指引。

第二大趋势是执法能力日益提高，执法力度不断加强。个人信息保护和数据安全是过去几年中执法活动比较活跃的领域，包括对大量的侵犯公民个人信息案件的刑事审判，还有公安部持续开展的净网专项行动，以及工信部、网信办对个人信息不当收集和使用以及数据泄露这些安全实践进行约谈、整改还有处罚等等。从2019年到现在基本上已经有上千款的App因为违法、违规采集个人信息而被处罚，同时监管部门逐渐具备了大数据监管的能力，还有远程监管的能力，这就使得执法部门的执法力度和广度都将进一步提升。这也说明了数据隐私的迫切性。

第三大趋势就是公众对数据隐私保护的意识日渐提高。经过调查显示，大约八成用户在使用互联网服务的时候会主动进行隐私设置，说明对隐私是比较在乎的。大约六成用户在遇到个人信息泄露的情况下会进行投诉和举报。目前投诉比较多的三个问题，可能也都是大家比较熟知的。第一是个人用户注销比较难；第二是通常会被强制获取通讯录的权限；第三是有时候没有隐私安全的设置，同时，公众和专家也都认为默认勾选是目前比较严重的问题，那么公众对于个人信息保护意识的提高，以及专家对于个人信息保护问题的关注这些都将促使数据从业者采取更高的标准对个人信息进行保护，从而获得公众的信任，减少用户的投诉。 

在个人信息保护和数据挖掘之间寻求平衡是第四大趋势。对于数字经济的发展、大数据的运用、智慧城市的建设以及人工智能的发展而言，利用和挖掘个人信息已经成了必要的因素，如果对个人信息进行过度的保护就会加重数据开发者的责任和义务，阻碍数据价值的挖掘，但是如果不适当保护又会造成个人信息被滥用，侵犯公民的个人权利。面对这样的两难问题，我们看到的一个趋势是，立法者将会对用户、平台和公众利益之间进行平衡，一方面要求数据从业者承担个人信息保护的责任，另外一方面也兼顾人工智能、大数据和平台的经济发展，并且为数据和网络虚拟财产的保护预留了法律的空间。 

最后一个趋势是跨境数据流动的法律法规逐步健全。随着数据全球化成为推动经济发展的重要力量，频发的严重数据安全事件和跨境的网络攻击已经引起了世界范围的关注，欧盟、美国、新加坡等80多个国家和地区都相继制订了关于数据跨境流动的法律法规，我们国家也不例外，我们出台的网络安全法也是要求关键信息的基础运营者收集的个人信息和重要数据是要求存储在中国境内的，那么由于业务的原因确实需要向境外提供的，应当事先进行安全评估，并且进行政府申报，这些规定就使得企业在跨境数据传输的安全性和合规性方面需要投入更加多的资源和关注。 

第二问：中国个人信息保护的立法现状如何？ 

孙建钢：如果用一句话来总结我国目前个人信息立法的情况，应该说是我们有宏观的法律原则，有一些执行性的法律规范，但是我个人觉得可能将来还会有一部专门的法律来进一步细化。我给大家解释一下这句话。

 首先我国有一个宏观的规范，我指的是《民法典》。《民法典》可能是2020年所有的立法活动当中最重要的一件事件了。另外一个角度来说，《民法典》也是我们国家建国以来被称为法典的第一部法律。其中的人格篇有一个专章对隐私权和个人信息保护进行了规定。我个人觉得这是一个非常好的信号。它从法典这样一个非常高的法律位阶给我们的个人信息和隐私保护做了一个定海神针。 

而且我觉得它的梳理比较有力。它把隐私和个人信息做了立法定义，把隐私归结为自然人的私人安宁，和不愿意为他人知晓的私人空间、私密活动和私密信息。个人信息也做了定义，叫做以电子或者其他方式能够单独或者是结合来识别自然人的信息，包括姓名、出生年月、身份证、生物识别信息等。

 所以从这个角度来说，其实隐私和个人信息不是一回事，它也并不是一个简单的包含和被包含的关系。因为在隐私当中，很重要的部分是隐私信息，也包括私人的空间和活动，但是在个人信息当中只有一部分属于隐私信息，还有一些可能是属于个人信息，但是没达到隐私的程度。总之，《民法典》在我们国家的立法活动当中做了一个比较好的基础性作用。

 在此之上，我们还有很多执行性的法规，比如说之前的网络信息安全法提到了个人信息，而且他的个人信息的定义基本上和《民法典》是一致的。还有新定的个人信息安全规范。再细一点的，有互联网个人信息安全保护规定，有儿童个人信息保护相关的安全规定，所以这是我国目前的一个立法现状。

 我国目前还没有一个真正意义上的个人信息保护法出台。根据全国人大法工委及5月份的立法计划来看，其实在不远的将来应该会有这样一部法律。所以，我们已经有了基础法典作为定海神针，已经有了一些既有的执行规范执行，将来还会拥有一部单行的个人信息保护法。希望立法的不断完善能够既保护到个人信息，同时又平衡到社会和经济的发展。

第三问：中国个人信息保护法律法规与GDPR的区别是？ 

傅永辉：最大的不同之处是在于处罚方面，在GDPR的规定下，违反个人信息保护会遭到巨额罚款，有多么巨额呢？就是在2000万欧元和这家企业过去一年全球营收总和的4%之间取一个高值。而中国的法律并没有规定巨额的罚款，但是，存在被追究行政责任，甚至刑事责任的可能性。所以也很难说哪一个处罚性比较重，它的处罚关注度是不一样，一个是在钱上面，另外一个是在行政或者是刑事责任上面。 

从法律基础而言，在中国法下获取个人信息处理权需要个人信息主体的知情同意，明年1月1日施行的《民法典》也规定了合法公开和公共利益这两种基础。在GDPR项下它则有比较多的获取和处理个人信息的法律基础，除了我们刚才讲到的知情同意，和公共利益之外，还可以因为履行合同，履行法定义务，或者是具有切身利益、具有合法利益等等原因来使用和处理个人信息。

 同时，GDPR项下的信息主体的权利也比较广泛。在中国法下信息主体拥有知情同意权，可以更正、删除，可以要求注销账户，在GDPR项下除了这些之外，信息主体还拥有另外三项比较特殊的权利，第一是叫做携带权，就是信息主体有权利要求信息的处理方，将信息化和机器可读的格式传输给第三方，以便进行重复的利用。

另外，还拥有限制处理权和拒绝权，也就是可以不要求删除，但是限制使用，并且要求数据处理人限期进行核实，看他是不是遵守了限期使用的要求，或者是拒绝把这些信息用于直销、政府使用等特殊目的。 另外，在跨境传输方面，中国法和GDPR之间也是有差别的，GDPR允许向达到欧盟保护标准的国家自由地进行传输。在集团公司内部，只要集团公司之间签署一个BCR，他们就可以在内部进行传输了。如果没有达到欧盟保护水平的国家怎么办呢？这个时候也是可以传输的，只是说需要签订标准合同的标准条款，对于数据进行保护。中国对于跨境传输采取了比较严格的规定，要求信息主体要同意，与信息接收方之间要签署合同，要保障信息的安全，同时进行安全评估和向政府进行申报，这个要求就使得我们在国内的这些企业，特别是一些跨国公司对于未来怎么样进行跨境数据传输就产生了比较大的挑战。

 另外，在敏感信息的界定，和数据运营主体以及执法部门等方面两部法律也是有所不同的。

第四问：设备号是否受个人信息法规限制？

 孙建钢：其实隐私和个人信息本身在现在的法律视野下是有所区别的。在这样的区分下，设备号本身被认为构成个人隐私的可能性不高。但是，他会比较容易被认为是个人信息的组成部分。为什么这么讲呢？无论是《民法典》还是网络安全法，他们对于个人信息的定义是能够单独，或者与其他信息相结合来识别个人身份的各种信息。 

那么，我为什么说设备号不是隐私呢？因为它可能是一个印在设备上，或者某些设备电子化凭证中显示的。它本来不是被遮盖起来的，不是隐蔽的信息。但是它本身结合整个设备，无论是手机号还是一些其他的使用信息，可能就能识别它的设备持有人，或者是设备使用人的身份。如果是这样的情况，我们认为设备识别号倾向于容易构成个人信息，在这个条件下，它应该受到中国法律对于个人信息使用的规范，包括同意，包括规则的公开性，包括使用过程当中的合理性等。 

所以，回到实践当中来，有一些情况是设备识别号已经被用于广告，但是如果从法律角度来出发，我们觉得要参照网络安全法，并且新的《民法典》再次明确个人信息的定义，这样的话我们觉得应该要根据法律的原则性要求来重新梳理，而不是简简单单认为已经存在的就一定是没有风险。这是我的初步想法。

 第五问：获得用户授权是否意味着企业可以在营销中任意使用个人信息？

 杨阳：现在在中国法律项下讲的个人信息一般我们会分为两种，一种是指个人的一般信息，一种是指敏感信息。我们今天把敏感信息先拿掉，因为它本身受制于更高要求的规范级别。那么就讲个人信息，在目前的这个现行法律当中，除去一些法律允许除外的特殊情况，正常来说收集和使用个人的一般信息是应该事先取得被收集者，也就是消费者同意的。在实践当中，大概2019年下半年我也看到一拨比较明显的手机App的更新，大部分流量比较大的手机App都做了改版。改版之后，当用户打开这个App的第一时间就会收到一个弹窗，内容一般就是隐私条款。企业向用户明确他的隐私条款，然后用户点击同意，之后去使用这个服务。    

目前这已经成为相对通用的做法，但并不是说用户点击了同意以后，所有收集的个人数据就会被任意使用于各种营销场景当中。目前个人数据的使用要严格受限于企业在隐私条款当中写明的授权范围，是不可以超授权使用的。另外法律也有一些对数据使用收集方面的原则性的规定。比如说授权必须要明确，明确这些信息被收集和使用之后，使用的目的、方法、范围。另外必要性也是原则之一，就是说你收集的信息要不能突破你服务所需的必要性的范畴等。这些是法律的一个强制性的规定，也是必须要明确遵守的。此外，可能各个企业现在还必须要向用户提供一些措施，方便用户撤销他的授权。

 回到这个问题本身，企业要有一份比较完整、翔实、透明的隐私政策和用户协议作为基础，这也是用户信息使用的核心环节，但并不是有了它，所有的数据使用都变成合规的，还要根据数据使用的场景来做最终的确认跟审核。

第六问：数据安全与数据隐私的区别是？ 

杨阳：大部分人在遇到具体问题时可能会混淆数据安全和数据隐私。其实这两块业务是相互关联，但又相互独立的。 数据安全主要侧重于在数据存储、传输和使用过程当中的数据保护的安全级别。它针对的数据不仅仅是个人数据，也包括了业务数据，也就是说只要是企业有的数据，都需要进行安全存储，它依据的法律也是网络安全等级保护条例以及相关的标准，实际当中也分为不同的等保级别，比如说我们公司是等保三级，这其实是安全方面的一个规定。 

但数据隐私合规是不一样的。隐私合规更多是审核个人数据在收集和使用过程当中是不是符合当地的法律，更多是为了保护消费者作为公民本身的隐私权，以及个人数据在使用过程当中的公开透明与合规性。数据隐私合规依据的法律更多是我们熟悉的欧洲的GDPR，加州的CCPA，以及我国的网安法等一系列法律法规。所以两者的法律基础也不一样。 

在企业实践当中，负责的部门、承担的职责以及工作内容是不一样的，需要承担的标准、流程在制订过程当中也都是完全不一样的。比如说在我们公司内部有专门的团队专注数据安全，也有专门的律师团队专注数据隐私，他们是不同的。有了等保证书，只能说明这家公司的数据安全已经达到了国家认可的一定的级别，但是并不能代表它在整个的产品和服务当中使用的数据本身是合规的。这其实是两件事情。 

第七问：数据加密是否意味着数据隐私合规？ 

点击阅读全文https://mp.weixin.qq.com/s/gx06ERt6Bv_H9y8jkvrT7Q