连坐原则。多个信息处理者责要分明、祸要连坐,责任需分别约定,个人权利与之分别对应,即第20条规定的“该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任”。
多方同意原则。办法23条明确, 在两个信息处理人之间转移个人信息的,需告知接收方名称或姓名、联系方式、处理目的、处理方式和个人信息种类,并需取得个人单独同意,接收方变更原先的处理目的、处理方式的,应当重新取得个人同意。
此外,办法21-22条也规定了委托继承原则,对委托人、受托人、转委托、继承等安排,国家机关处理个人信息的特别规定(第33-37条)和个人信息跨境提供的规则(第38-43条)。
三、对自动化决策、去标识化、匿名化等规范召唤数字化管理神龙(第24条和73条)
第73条明确,自动化决策是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。
第24条规定(1)个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。(2)通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。(3)通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
对于(2),这意味着,要么向客户提供拒绝被自动化决策的方式,要么要提供不针对个人特征的普通模式,结合第48条“个人有权要求个人信息处理者对其个人信息处理规则进行解释说明”,客户依据处理规则,要求提供可组合剔除的个性化安排似也无不可?比如选择去除一个或多个组合的性别因素、年龄因素、地域因素。。。诸如此类,此时,处理供需两端的“千人千面个性化诉求”,考验的是个人信息处理者信息处理的能力,和与经营目标之间的平衡,这比单纯经营目标导向的千人千面要更加复杂,如果考虑数据生产要素及其价值体现,且对个人信息能够定价衡量的话,那么整个交易过程则不仅将有所交付产品和服务的定价及价值转移安排,还应包括数据价值定价及转移安排,又或者,未来的产品或服务定价,需要结合不同的个人信息获取做出差异化定价安排。
对于(1),自动化决策要保证决策透明度和结果公平公正,不得存有不合理的差别待遇。除了信息处理者要有专业实现能力和自律精神之外,更需要有数字化、智能化的度量标准及手段。这愈将加快机器可读标准的嵌入式、智能化管理的应用进程,无论是内部审计,还是外部监管。
对于(3),如果客户申请一笔贷款,仅用模型跑出来的拒绝,可能被客户拒绝,仅用模型跑出来的分类定价,也可能被拒绝?加上人工签字确认的环节,还算不算?这个您有啥高见?欢迎留言!
此外,第73条还明确:去标识化是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。去标识化沿袭了此前《个人信息安全规范》不借助额外信息的规定,也因其依旧可被重新识别或具备重识别可能,因此,去标识化的数据依旧属于个人信息,只有匿名化处理后信息才不属于个人信息范畴(第4条)。
结合第51条中的(三)“采取相应的加密、去标识化等安全技术措施”字少事大的管理要求,以及当前不同国家或地区对于去标识化、匿名化等所做的不同定义和实施的不同律法约束,显然数据分类应用、分类管理、匿名化数据引入、加工和输出,以及外部交流合作等等,都是挑战和机会并存。
