杜林

大數(shù)據(jù)時代在信息商業(yè)化過程中，信息失控已成為不爭的事實，個人信息保護已成為全球性議題。個人、企業(yè)和社會都無法再回避這一問題。

誠如北京大學法治與發(fā)展研究院執(zhí)行院長、北京大學法學院教授王錫鋅所講的，我們處在這樣一個時空當中，一方面數(shù)據(jù)經(jīng)濟、數(shù)字經(jīng)濟、大數(shù)據(jù)被看作是一場新的經(jīng)濟和財富的盛宴。但另一方面，面對這種無節(jié)制的對數(shù)據(jù)和個人信息的渴望，個人也身處一種焦慮和擔憂之中。所以，有時候我們看到數(shù)字經(jīng)濟帶來的場景，真的是一半是海水，一半是火焰。今天很多的業(yè)態(tài)都不可避免地跟數(shù)據(jù)、跟個人信息連接在一起。前一段時間大家都在熱議的特斯拉車主維權事件，還有河北卡車司機悲劇性事件，可能涉及很多方面，但極受關注的熱點卻是個人信息和個人隱私的問題。當然也有其他問題，比如數(shù)據(jù)權屬到底怎么界定的問題。因此，我們有理由相信，數(shù)據(jù)經(jīng)濟時代個人信息如何得到有效的保護，個人隱私如何得到充分的尊重，個人人格如何在這樣一種大數(shù)據(jù)包圍之下得到健康自主的發(fā)展，是一個重大且全新的歷史命題。

面對這樣一個重大且全新的歷史命題，中國科學技術法學會和其他的一些單位持續(xù)共同努力，歷經(jīng)十多年，推出《個人信息處理法律合規(guī)性評估指引》團體標準，并于4月28日與中國法學交流基金會一起召開新聞發(fā)布會正式進行發(fā)布，為監(jiān)管者、企業(yè)等主體判斷個人信息處理是否合規(guī)提供重要參考和具體評估指引，對于個人信息的保護，對于我們國家數(shù)據(jù)經(jīng)濟的健康發(fā)展來說意義重大?？梢灶A見，這個團體標準將會對規(guī)范個人信息處理活動，促進個人信息合理利用，保障個人信息依法合規(guī)有序流動起到很大作用。

理論與實踐相結合，從學術標準到團體標準逐年完善

在立法執(zhí)法越來越嚴格和公民個人信息意識開始覺醒的大背景下，對企業(yè)而言，如何加強對個人信息的保護至關重要。

發(fā)布會上，王錫鋅教授談到，保護個人信息，尊重個人隱私，對企業(yè)可持續(xù)地健康發(fā)展非常關鍵。如果一個企業(yè)以數(shù)據(jù)為生，但是對個人信息、個人隱私卻不給予充分的尊重，這樣的企業(yè)是沒有發(fā)展前途的，因為它不能可持續(xù)發(fā)展。信任關系的構建是以數(shù)據(jù)為生的企業(yè)的安身立命之本。

北京市金杜律師事務所合伙人寧宣鳳在發(fā)布會上也提出，企業(yè)的個人信息合法合規(guī)處理是很值得關注和討論的話題。以立法原則為基礎，輔之以行業(yè)指引的模式，將更能有效地引導企業(yè)對立法基本理念的理解和落實。我國個人信息保護立法已對個人信息的合規(guī)要求展開了諸多探索，細化的行業(yè)指引必將能夠為企業(yè)的個人信息處理合規(guī)提供有益參考。

那么，企業(yè)應如何做好個人信息處理合規(guī)建設？應如何準確把握收集使用個人信息的原則？中國科學技術法學會常務副會長兼秘書長、北京大學法學院教授張平一直在致力于研究并解決這個問題。

根據(jù)張平教授的介紹，關于個人信息處理的標準開始于2013年北大法學院的一個研究項目。當時，基于社會上對于個人信息、泄露、過度收集、超范圍使用等事件頻發(fā)，但是國內(nèi)企業(yè)這方面的意識明顯不足，法律規(guī)定也不完善?；谶@樣的情況，開始做這一課題研究，目的是促進企業(yè)制定自律性的合規(guī)政策來參與市場競爭。2014年的時候發(fā)布了一個民間的學術性標準，叫《互聯(lián)網(wǎng)企業(yè)個人信息保護測評標準》，當時給它命名為1.0版本。在2015年的時候把1.0版本上升到2.0版本，在這個測評標準相對成熟的情況下，研究團隊選擇了50家互聯(lián)網(wǎng)企業(yè)進行了產(chǎn)品和服務的測評。

>>團體標準新聞發(fā)布會現(xiàn)場 戎珊攝

到了2016年和2017年，逐年用這樣的標準選擇一些有代表性的企業(yè)，對他們的產(chǎn)品和服務進行測評的同時也發(fā)布測評報告。到了2018年，把測評工作擴展到全球的范圍，選擇了18個類別100款中外企業(yè)互聯(lián)網(wǎng)產(chǎn)品進行測評。2019年，開始在原學術標準基礎之上起草團體標準，希望能夠借助這個團體標準的平臺，推動個人信息社會保護水平的提升。2020年11月，團體標準基本定稿，根據(jù)各方的意見最后確定題目叫《個人信息處理法律合規(guī)性評估指引》。之后開始申報、內(nèi)容公布工作。在相關工作全部完成后，選擇2021年4月28日作為發(fā)布的日期。

接力實施，從團體標準到評估系統(tǒng)不斷升級

團體標準出臺后，落地很重要。

針對這一問題，王錫鋅教授在發(fā)布會上強調(diào)，期待在未來標準的實施過程當中，我們能夠以更高的開放性、包容性、參與性，更強的中立性把標準實施好。這個團體標準當然要不斷地升級，但它的生命力來源于也僅僅來源于它的客觀性和中立性，只有這種客觀和中立，才能夠不斷提升標準實施和評估工作的公信力。公信力是第三方評估的生命。未來這個團體標準不僅適用于企業(yè)，還可以適用于公共組織處理個人信息的情形。個人信息保護法草案，特別是二審稿當中也再次強調(diào)了國家機關處理個人信息合規(guī)的重要性，所以這樣的團體標準將來政府也應該可以適用。因此，團體標準未來的應用情景非常廣闊。

據(jù)記者了解，深圳市北鵬前沿科技法律研究院（以下簡稱“北鵬研究院”）是中國科學技術法學會與深圳市政府有關部門以及深圳市福田區(qū)政府聯(lián)合支持設立的第三方智庫機構。前期團體標準在研究階段，主要是北大法學院在張平教授的主持下完成，發(fā)布實施之后由中國科技法學會歸口管理，北鵬研究院負責一些具體實施的工作。

北鵬研究院副理事長、法學博士肖聲高談到，合規(guī)的評估系統(tǒng)，目前第一期開發(fā)已經(jīng)初步完成，向社會免費開放使用。第一期系統(tǒng)主要以問卷調(diào)查的形式開展，把團體標準里規(guī)定的評估要求展示出來，同時也免費開放給社會各界來使用，企業(yè)可以通過系統(tǒng)的自檢自測自評初步了解自己初步情況。接下來進行第二期的開發(fā)，結合具體的業(yè)務場景，同時優(yōu)化評估項，采用在線訪談和在線文件的審閱以及有關的技術測試全面評估的方法，同時輸出更多維度合規(guī)評估的報告供給企業(yè)或者相關評估方。下一步也會開發(fā)第三期系統(tǒng)，主要是針對個人信息保護法和數(shù)據(jù)安全法提到第三方評估認證機制做系統(tǒng)的優(yōu)化和設計。同步結合歐盟GDPR和美國CDPA法律評估系統(tǒng)，可以覆蓋全球主要法域評估體系，為中國企業(yè)在數(shù)據(jù)走出去以及外資企業(yè)在華的數(shù)據(jù)合規(guī)提供全方位的支持。第二期系統(tǒng)也會向團體標準成員單位就是起草單位來優(yōu)先開放使用。

>>參會人員合影 戎珊攝

2020年10月，國家發(fā)改委發(fā)布的《深圳建設中國特色社會主義先行示范區(qū)綜合改革試點首批授權事項清單》，明確提出要建設新型隱私保護制度和數(shù)據(jù)安全制度。深圳當?shù)氐臄?shù)據(jù)條例于2021年7月6日正式出臺。因此，個人信息處理法律合規(guī)評估在深圳是一項重點工作，北鵬研究院將在深圳相關科技園區(qū)有關重點的科技企業(yè)同步開展個人信息處理法律合規(guī)評估的工作。

與法銜接，保障即將出臺的個人信息保護法有效實施

據(jù)了解，4月9日，備受關注的“人臉識別第一案”迎來了終審判決。被告杭州野生動物世界被判刪除原告郭兵辦理指紋年卡時提交的包括照片在內(nèi)的面部特征信息和指紋識別信息，并于判決生效之日起十日內(nèi)履行完畢。案件落下帷幕，但個人信息保護還有很長的路要走。如何在科學技術進步和個人信息安全間找到合理的平衡點，急需法律提供相應的解決方法。

2021年4月26日，我國個人信息保護法草案提請十三屆全國人大常委會二審。此次提請全國人大二次審議的個人信息保護法草案，擬規(guī)定提供基礎性互聯(lián)網(wǎng)平臺服務，用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者應成立主要由外部成員組成的獨立機構，對個人信息處理活動進行監(jiān)督，并要求其定期發(fā)布個人信息保護社會責任報告等。

在與個人信息保護立法的銜接方面，中國科學技術法學會副會長孫永儉談到，此次發(fā)布評估指引，是為了更好保障即將出臺的個人信息保護法有效實施，更好地支持各類組織證明和聲明個人信息處理處于合規(guī)狀態(tài)和合規(guī)水平，相信這個指引可以成為貫徹實施個人信息保護法一個很好的抓手。

他介紹說，此次評估指引主要由以下三個方面組成：第一部分對團體標準進行概述并解釋了有關術語，目的在于為今后的個人信息處理活動以及其法律合規(guī)性評估活動建立一個共同認可的、易于溝通的語境和概念體系，提供個人信息處理法律合規(guī)性評估的概述，從而為評估指引的其他部分和其他標準的開發(fā)奠定概念基礎。

第二部分建立一個合規(guī)的框架，目的在于為評估準則的識別和確定建立一個體系化的框架，以便對富有綜合性的合規(guī)要求進行清晰的分類和歸納，以支持評估活動的啟動、規(guī)劃、實施、報告、評審、監(jiān)控和再評估。

第三部分是實施指南，為個人信息處理、法律合規(guī)評估活動的啟動、規(guī)劃實施報告，評審、監(jiān)控和再評估建立統(tǒng)一但能保留靈活性的流程和方法，以支持個人組織能夠高效的、可比較的、可問責和可持續(xù)進行法律合規(guī)性評估活動。

關于團體標準的亮點，上海市錦天城律師事務所高級合伙人吳衛(wèi)明律師談到，這一團體標準提供了一套方法論的指引，并且為學術機構、中介機構和企業(yè)之間構建了一套共同的話語體系。在這個共同的話語體系和方法論的指引下，我們能夠把評估工作和企業(yè)日常合規(guī)工作很好地落實。北京市金杜律師事務所合伙人寧宣鳳律師談到，這一團體標準是符合國際規(guī)則的嘗試，在制定指引過程中，各個社會團體積極參與，既有學界，也有產(chǎn)業(yè)界，還有法律實務界，當然還有政府的參與。它體現(xiàn)了對于數(shù)據(jù)治理、個人信息保護共同體的觀念。

當然，這一團體標準也不是盡善盡美，吳衛(wèi)明律師也談到一些困惑。因為團體標準是一個方法論的指引，可能無法解決一些實體性的法律問題。但是評估的時候，也一定會涉及實體性規(guī)則的理解和它的定性或者定量化的評估問題，還需要進一步深化研究。

體系建設，從企標團標到行標國標逐步構建

談起團體標準，其實普通大眾并不是很了解。因此，還是有必要對團體標準的定位以及團體標準與其他標準的區(qū)分做簡單說明。

中國電子技術標準化研究院網(wǎng)絡安全中心主任姚相振在發(fā)言中提到，2016年，根據(jù)國務院《深化標準化工作改革方案》（國發(fā)〔2015〕13號）有關要求，原國家質(zhì)檢總局、國家標準委制定了《關于培育和發(fā)展團體標準的指導意見》。這一意見中提出：“培育發(fā)展團體標準，是發(fā)揮市場在標準化資源配置中的決定性作用、加快構建國家新型標準體系的重要舉措。”

在法律層面上，2017年11月4日修訂的標準化法第二條明確規(guī)定：“標準包括國家標準、行業(yè)標準、地方標準和團體標準、企業(yè)標準?！睆姆缮线M一步明確了團體標準的地位。

至于團體標準與其他標準如何區(qū)分的問題，根據(jù)國家標準化管理委員會官網(wǎng)上的資料，團體標準和企業(yè)標準屬于市場標準，由市場自主制定；國家標準、行業(yè)標準、地方標準屬于政府標準，由政府主導制定。

政府標準與市場標準協(xié)同發(fā)展、協(xié)調(diào)配套，是一種新型的標準體系。市場標準除了快速反應市場需求外，其承載的一個重要功能就是創(chuàng)新。姚相振主任說，在國務院2015年發(fā)布的《深化標準化工作改革方案》中，提到對團體標準的制定，政府職能機構要進行必要的引導、規(guī)范和監(jiān)督。制定主體放開給市場，由市場自主選擇，也是進一步明確了團體標準靈活的地位。發(fā)展團體標準是中國標準化深化改革邁出的重要一步，是促進提升產(chǎn)品和服務競爭力，激發(fā)社會活力，推進經(jīng)濟提質(zhì)增效的可靠保障。團體標準也是我們國家標準和行業(yè)標準一個重要的補充，吸納優(yōu)秀的團體標準經(jīng)驗，鼓勵實施效果良好的團體標準轉(zhuǎn)化為行業(yè)標準乃至國家標準，也是我們今后一個重要的探索。

而且，事實上隨著我國經(jīng)濟的不斷發(fā)展，全社會對標準的需求不斷加大，但是當前標準供給并不能滿足市場經(jīng)濟發(fā)展的需要。因此，大力發(fā)展團體標準，將成為一種趨勢。

針對這次發(fā)布的團體標準，王錫鋅教授談到，我們今天看到個人信息保護如果從法律手段來說，有民法的保護、行政法的保護、消費者權益保護法的保護和刑法的保護等等，各種手段可以說是協(xié)同作用的。個人通過民事手段維權，政府通過行政手段進行監(jiān)管，國家通過制定相關法律規(guī)定進行規(guī)范，這些都非常重要的。但在這樣一個保護體系當中，第三方社會組織通過制定團體標準、設定評估框架，并且在實踐試點當中不斷地升級評估標準，也很重要。因為從數(shù)據(jù)治理的體系來說，個人、政府、國家固然是非常重要的，但社會也是一個極為關鍵的數(shù)據(jù)治理的角色。

中國經(jīng)濟體制改革研究會標準委副秘書長王雪黎談到，分析這次個人信息處理的合規(guī)性評估，目標主要在于支持組織證明和聲明其個人信息處理的合規(guī)狀態(tài)和合規(guī)能力水平，這一合規(guī)能力水平針對的是個人安全、個人健康和生命財產(chǎn)安全的范疇，這樣一個范疇是強制性標準范疇，所以這次在這個層面上建立了團體標準。但是面向的是國家級的強制標準，只有把這一團體標準的定位定清楚了，我們才知道怎樣才能進一步確定標準實施的范圍、標準實施的對象、標準實施的主體以及下一步可實施的路徑。

聚焦國內(nèi)，數(shù)字經(jīng)濟的時代浪潮已經(jīng)到來，當下正經(jīng)歷全面邁向人工智能化的深刻變革。數(shù)據(jù)產(chǎn)業(yè)時代浪潮同樣推動著數(shù)據(jù)保護領域立法、執(zhí)法的前行腳步。

《個人信息處理法律合規(guī)性評估指引》團體標準發(fā)布會在2021年4月28日已落下帷幕，但這一團體標準的后續(xù)實施還是非常值得關注。期盼這一標準在升級中不斷提升自身公信力，在我國的個人信息保護、數(shù)據(jù)合規(guī)等的法治歷程上發(fā)揮越來越大的作用。