環球熱消息：個保法實施前的歷史數據“冷凍”還是“補充”合規 實踐中缺乏標準答案

個人信息保護法實施之前收集的歷史數據，符合彼時的法規要求，如果繼續使用，還需要根據個人信息保護法進行合規嗎？

(資料圖片)

記者 尤為 見習記者王巍 南方財經全媒體 見習記者馮戀閣

編者按：

伴隨著數字經濟發展，對個人信息的采集和利用成為一種“剛需”。個人信息保護不斷涌現出新問題，隨意收集、違法獲取、過度使用、非法買賣個人信息等情況“野火燒不盡”。數據的挖掘利用與個人信息保護之間張力擴大，急需專門法律對個人信息處理活動提供規范樣本。

2021年11月1日，《個人信息保護法》正式施行，轉眼間即將實施一周年。南財合規科技研究院長期關注個人信息保護議題，持續跟蹤報道立法進程、監管動態，反映公眾呼聲。借此機會，將推出“南財個人信息保護月”系列活動，探討《個人信息保護法》實施以來的落實情況以及對企業帶來的影響。將圍繞“守門人”條款的落實、用戶個人信息權益的實現、數字廣告行業的變革、數字經濟發展與合規的平衡等多個維度推出20余篇系列稿件，刊出個人信息保護特刊，并且舉辦線下高峰論壇。

法律的生命力在于實施，在完成立法后，《個人信息保護法》需司法和執法接力，也需要企業恪守法律要求。我們希望能借助媒體的力量，持續追蹤問效，推動個人信息權益的保障，提升全社會個人信息保護的水位線。

互聯網的普及和發展，一方面便利了人們的生活，促進經濟發展；另一方面也出現信息泄露、濫用、被轉賣謀利等非法現象。個人信息保護法順勢而出，系統規定了個人的信息權益和企業的責任和義務，對企業合規提出更多、更高的要求。

值得思考的是，在個人信息保護法實施之前收集的歷史數據，符合彼時的法規要求，如果繼續使用，還需要根據個人信息保護法進行合規嗎？

繼續使用歷史數據必須有合法理由

2021年8月20日，個人信息保護法經十三屆全國人大常委會第三十次會議表決通過，并于同年11月1日起施行。這一法律揭開我國個人信息保護法治的新篇章，強調嚴格保護個人信息，平衡數據的保護與利用，對個人和產業帶來深遠影響。

隨著個人信息保護法的落地實施，業內廣泛討論著這樣一個問題：如果繼續使用在該法實施之前收集的歷史數據，是否需要按照該法進行合規？

對此，北京市競天公誠律師事務所合伙人周楊表示，雖然收集行為發生在個人信息保護法生效之前，但繼續使用這些數據仍需要有相應的合法理由；否則需要補充合法理由或“冷凍”數據。也就是說，“個人信息保護法并未對歷史數據豁免合法處理理由”。

她以銀行業為例作解釋：在個人信息保護法生效之前，銀行在貸款、反洗錢等業務中收集了大量數據，因為法定理由一直不變，個人信息保護法生效后，仍可以以此法定義務作為合法處理理由，但應注意不得變更信用審查、反洗錢等原處理目的。

而對于超出必要范圍收集的數據、變更數據的使用目的等情況，銀行則需要重新獲取用戶授權；否則“因沒有合法理由處理這些數據，銀行可能違反個人信息保護法，受到行政乃至刑事處罰。”她強調。

資深數據法律師袁立志進一步解釋，目前并無“新收集數據依新規、歷史數據依舊規”的法規依據，因為無論新舊數據，對數據的處理行為都發生在新法實施以后，這意味著所有數據統一適用個人信息保護法。

難點在于標記需要“補充”合規的數據

“個人信息保護法生效前，保護個人信息的相關規定散落在其他法規中，如民法典、消費者權益保護法、網絡安全法等。這些法規與個人信息保護法所要求的合規不盡相同、程度不一。”中國人民大學法學院教授、未來法治研究院副院長丁曉東表示。

海問律師事務所合伙人楊建媛舉例介紹：早在2009年，《刑法修正案（七）》就將非法獲取、非法提供公民個人信息的特定情節規定為犯罪，該條在2015年的《刑法修正案（九）》中得到了進一步的完善。

2012年頒布的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》首次對網絡服務提供者和其他企業事業單位、國家機關及其工作人員在收集、使用、保管公民個人電子信息中應當遵循的原則、承擔的義務及法律責任作出了較為具體的規定，例如不得非法獲取、非法提供公民個人信息，應當采取技術或其他措施防止信息泄露等。

2017年的《網絡安全法》規定，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，應當確保被收集者的知情同意，以及應當采取措施防止信息安全事件等。“這些規定大都是指向性的，缺乏可執行性。”她強調，相較于上述法規，個人信息保護法是專項法律，更加細化。

“個人信息保護法對個人信息權益如增刪查改、大型平臺的守門人義務等作出明確規定，使企業有了更綜合完善的數據保護義務。“這些都是企業需要額外注意的合規義務。”丁曉東補充說明。

面對更系統、更嚴格的要求，有觀點認為，對歷史數據“補充”合規的難度太大、成本過高，企業難以招架。

對此，多位專家表示“受影響最大的還是中小企業”，因為它們合規水平不高，商業模式或受到較大沖擊。而大型企業的合規底子較好，受影響有限。袁立志還表示，個人信息保護法的相關規定并非橫空出世，而是循序漸進演變而來的，雖然相較更加嚴格，但不至于嚴重影響行業發展。

“歷史數據體量大不是企業拒絕合規的理由，合規整改是一個過程而并不是一個結果。”北京大成律師事務所高級合伙人肖颯強調，如何對歷史數據進行科學合理的分類分級，是實踐中的痛點和難點。換言之，只要定性明確，進行整改就是一個可預期、可操作的合規過程。

周楊也表示，“補充”合規的難點在于“首先標記出需要重新獲取合法理由的數據，相當于對數據分類分級；再去獲取合法理由，如獲取授權”。

專家支招破解合規難題

那么在實務中，該如何進行合規？

袁立志表示，在個人信息保護法生效之前，雖然有一部分數據是基于合法業務收集的，但根本沒有獲得授權，存在較大的問題和風險。對于這部分數據，他建議盡量補充授權，或者通過下游使用方來獲得授權；如果無法獲取授權，也可以采用匿名化等技術手段處理后再繼續使用數據。

還有一部分數據在授權上存在一定瑕疵，比如告知不清晰，或者雖有同意，但沒有滿足單獨同意的要求等。對此，袁立志建議通過更新隱私文件來“修復瑕疵”，完善授權；如果無法修復，也可以考慮通過隱私計算等技術來使用數據。

如上所述，通過技術化手段處理數據達到合規像是“托底”操作，但目前在實務上也存在風險。

楊建媛以“匿名化”為例進行說明。個人信息保護法規定，匿名化是指個人信息經過處理無法識別特定自然人且不能復原的過程；匿名化處理后的信息不再屬于個人信息。這意味著，匿名化處理后的信息不受該法保護。而目前 “‘不能復原’似乎沒有一個度，是指合理努力不能復原還是絕對沒有能力復原？一旦標準定得過高則面臨數據價值大打折扣的困境”。

楊建媛還表示，雖然許多企業有自己的匿名化標準，但這個標準是否安全，能夠被監管機構認可是未知的。所以，她建議監管部門盡快制定相關技術指南供企業參考、執行。

標簽： 歷史數據 標準答案