// 继续昨天的话题 //
以数据产品涉及的数据类型为标准,可以分为涉及个人信息数据产品和非涉及个人信息数据产品。针对涉及个人信息的数据产品中,个人信息能否交易的问题,《个人信息保护法》明确规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”,而根据《GB/T37964-2019信息安全技术个人信息去标识化指南》,可以利用隐私计算或其他保密级别较高的去标识化技术解决特定场景下的个人信息数据产品的保密、加密需求。但是去标识化并不等同于匿名化,达到一定标准的去标识化信息是否可以不用遵循个保法要求,即在利用和对外提供时无需取得个人的同意,目前尚无法律依据。
目前,全国各地的交易机构都在积极探索个人信息数据产品的交易路径。以上海数据交易所为例,他们通过去标识化技术处理个人信息,确保无法逆向追溯至个人,从而实现了信息向数据的转化,并使其具备交易的可能性。与此同时,北方大数据交易中心也采用了类似的技术手段,力求提供更精准的个人信息服务。而北京和深圳则推出了个人数据授权产品,这种产品允许在获得个人授权的前提下,对个人数据进行交易变现,为数据的商业价值开发提供了新的路径。这些探索和尝试,无疑为个人信息数据产品的交易路径提供了宝贵的经验和启示。
涉及个人信息的数据产品主要包括:公开收集的数据、自行生产(从个人信息主体直接采集)的数据和通过交易等流通方式间接获取的数据等,合规评估的要点如下:
(1)获取已公开的个人信息
根据《个人信息保护法》,针对在合理范围内处理已公开的个人信息,不需取得个人同意,个人明确拒绝的除外。特别需要注意的是,即使是公开收集的个人信息数据,仍应当在已公开的合理范围内处理。对个人权益有重大影响的,应当依照《个人信息保护法》的规定取得个人同意,并且评估数据处理是否侵犯名誉权等人格权。
(2)直接采集的个人信息
单独处理。根据《个人信息保护法》,单独处理的情形下,数据产品包含直接采集的个人信息的,应判断供方是否取得个人的同意,涉及敏感个人信息的,判断该同意是否单独、具体、明确,法律另有规定的除外。 共同处理。根据《个人信息保护法》,共同处理的情形下,应评估数据供方是否取得个人信息主体同意,尤其是关于共同处理的告知与同意,共同处理者之间关于个人信息处理行为的约定为内部约定。
(3)合法间接获得的数据
由于间接获取的个人信息是无法获得个人直接授权同意的,根据上海数据交易所的相关规定,仅仅基于间接获取的个人信息而生产的数据产品不得交易。若间接获取的数据中包括个人信息的,则应当注意从共享、委托处理等具体获得或者处理类型判断其合法性基础。对于任何的间接获取形式的审查,均应当坚持直接性的审查原则,即应当追溯信息的直接来源者,对数据来源的合法性基础是否符合《个人信息保护法》的规定做穿透审核,对个人信息来源的合法性进行严格评估。另外,根据《个人信息保护法》,经过处理的个人信息,经过实质性加工和知识性投入形成的数据产品时,应当将数据产品需求方的相关信息告知个人,包括:名称、姓名、联系方式、处理目的、方式和信息种类,并取得个人信息主体单独同意。涉及个人信息的数据来源合法性审查中,除了依据《个人信息保护法》的同意、合理及最小化三个原则外,一些相关标准和规定也应当纳入作为审核依据,例如,《常见类型移动互联网应用程序必要个人信息范围》,《信息安全技术-个人信息安全规范》《信息安全技术-个人信息去标识化效果分级评估规范》《信息安全技术-移动互联网应用程序(APP)个人信息安全测评规范》《信息安全技术-个人信息处理中告知和同意的实施指南》等。
左上角“海纳数智研究院”,感谢您的关注!
