近两年来,随着《个人信息保护法》落地实施,《民事案件案由规定》增设“隐私权纠纷”“个人信息保护纠纷“案由,目前个人信息保护已发展为独立的投诉/纠纷类型,并呈现出法律驱动的强劲态势。
与此同时,权利救济途径也逐渐从传统的司法/监管(民事赔偿、行政处罚、刑事责任)维度,拓展到公益诉讼、机关问责、信用档案、媒体及公众监督等社会治理面向。加上新技术应用层出不穷和不断迭代,以及消费者的权利保护意识和隐私焦虑日益增强等诸多因素,个人信息权利保护及企业应对实践也正在经历从“原点-迭代”的新发展路径。
从法律信息数据库查询案件量看,自2021/11个保法生效以来至2023/5月期间,与个人信息保护相关的司法案件达1611件,个人信息保护纠纷约910件;除此之外,“互联网信息服务投诉平台”统计个人信息保护相关(例如查询更正、账号注销、权限调用、收集使用个人信息)的投诉量在2022年惊人的突破到12万件,数量非常庞大。意味着从数据面看,进入司法程序的个保纠纷案件虽然不多,但实际上大量的与个人信息相关投诉已在企业营运内部调动资源进行了消化处理。对比近三年的投诉/案件接收数量及增速情况,从企业风险追踪角度,可以预见数量过载的维权事件(特别是与个人信息保护相关)或将极大的增加企业营运及协调处置成本,导致直接或隐性的加重经营负荷。
但是,传统的企业组织架构中,依靠原有的“后端”进行“个案处理“的解决方式或者“事后”处理思路,已经无法适配如今这般日益增多、越来越复杂的个人数据投诉/行权请求,也无法应对“井喷”式的批量维权给企业经营带来的“法律合规风险”和“成本负担”等负面影响。因此,企业需要找到更加适配自身业务风险、内部环境、经济有效的“体系化,多层次”解决方案。原因是在消费者进行个保投诉或者行权场景下,行权类型通常会涉及到个人信息查询、增加、更改、删除、权限调用(以下称“查增改删”)等“高频”请求,而这些请求所对应的底层数据及处理活动,在不同的业务场景中,又往往牵涉到组织内部职能分工及运行机制的平衡,例如需要平衡:1)基于数据生命周期的数据保护;2)基于个人数据之上建构的用户账号、业务模式、数据利用及存储等商业利益/业务逻辑;3)基于信息安全为基础的IT检索及信息系统、信息传输及提供;4)与组织内利益相关方的沟通及协作问题,等等。
因此,当企业在面对日益复杂的法律规则、数据业务场景、消费者行权请求时,需要前瞻考虑设计适合自己的应对方案和响应流程,提升沟通效率,即使是在原有运行基础上针对前述1-2个点位上进行提升,多做一二步也将对妥善应对权利主体行权至关重要。实务中,对于未将“个保合规”提上日程、数据保护项目尚未落地的企业,一旦面临行权纠纷,将无法及时有效完成法律要求的响应动作,无法妥善满足消费者期待/预期,导致承担严重法律后果;而那些已经拉通流程并完成“个保合规”从0到1搭建、具备一定成熟度的企业来说,无力是响应能力及整体表现、处置效果、应对空间都将会大大提升,降低及避免因行权响应及其延伸问题所带来的法律合规风险。特别是在依赖个人数据处理的企业/重要业务场景(例如E-commerce、跨境电商、自营品牌等)情况下,处理行权请求的效率和效果、法院裁判的认定结果将会反过来影响到业务场景/商业模式,特殊情形下(例如涉及账号处理)甚至“牵一发而动全身”。
综上,建议在“个人信息主体权利响应”问题上,企业及管理层给予充分的关注和重视,提前布局和储备内外部资源,以便在面临行权请求或者诉讼时,能够获得专业及时的协助和支持。
以下是简要整理的与个人信息主体权利相关法律规定要点(含PIPL、GB/T35273-2020、GDPR等规则对照),供大家参考。我们下期接着聊,晚安!
杨玉盟,执业律师,注册信息专业人员(CIPP/E)、注册信息隐私管理人员(CIPM)
