浩天安理律师事务所王新锐:云服务中数据保护相关的法律问题

所以,第二条我们在里面提到也是网安法第22条提到的网络产品的服务具有收集用户信息功能的必须要向用户明示。我刚才提到的默示问题是在特定的场景下,现在大家也在讨论有些场景下是不是能够适用,但是只要涉及到商业敏感的数据,我们是一定要做到明示同意。而且这个不是数据的收集者有义务,你作为服务方,很多时候我们云服务的提供方都是服务的整合者,这种情况下你要考虑到在过程中不能睁只眼、闭只眼,也要尽自己的义务。关键是涉及到个人信息和重要数据的本地存储和跨地传输的评估要求,这是不是涉及到跨境问题,涉及到你服务的提供者你提供服务的用户是不是在境外。这个问题就不展开讲,大多数云服务的提供商普遍还是在向境内用户提供服务,如果涉及到跨境的问题,可能要关注一下今年新出的跨境规定。

个人信息保护刚才已经提到了几点,我觉得整体是一个制度的问题,这里面提到知情同意原则和最少够用原则,这是在整个世界范围内主要的国家,不管是欧洲、还是东亚、包括日本、还有新加坡、香港地区都适用的,你使用的数据要跟你的目的性相关,我为用户提供什么样的服务。比如我为他提供地图服务,我收集的数据、我获得地理位置数据就很正常。比如说我提供一个打车服务,我获得你的地理位置就非常正常。但如果我是一个跟这个没关系的,我获得了地理的数据,那恐怕就有问题,所以这里面其实涉及到了说我收集数据时一定是要跟目的是相关的。

对于我们云服务提供商有个问题,你在过程中刚才提到以前有公司的商业模式是通过对我这上面存储大量海量的数据进行挖掘并进行利用。比如我是金融云解决方案提供者,我上面对大量的金融数据,甚至有些公司要做营销,这时候就要谨慎。比如你是云服务提供商,你通过数据挖掘向用户推送一些信息,你就要考虑到这个过程中你有没有识别用户,是不是用到了用户的个人信息。

我们过去给企业做咨询的过程中经常遇到这样的问题,企业自认为根本就没有用户的个人信息,但最后实践发现他还是用到了。不管是上网轨迹还是个人号,他不认为这是个人信息。如果我们看中国的两高关于个人信息犯罪的司法解释,大家可以看到,中国在个人信息的界定范围上是最世界最广的之一。为什么有这个结果?是因为中国的互联网、大数据行业发展是在世界上领先的,使得在立法部门在考虑的时候就要尽量全面不要遗漏,包含了一些直接信息,比如说手机号,还包括一些间接的个人信息。大家了解了这个以后就会发现在做业务的过程中有一些行为是受到了限制。

我们回到facebook的案子,其实facebook案子就是一个间接的通过收集用户的个人信息,来判断政治倾向,去做一些信息推送。这种模式在整个大数据行业里是很普遍的,很多时候也会运用到云服务尤其是云计算的一些手段。所以这块我觉得大家在做业务模式的时候,尤其是一些创新业务模式时要特别谨慎的一点。一旦大量用户的个人信息去做一些事情的话,这里面还是有一定的风险的,而且这种风险如果被放大,假如说是一个海量的,是几千万用户的,还是比较可怕的事情。

当然包括像删除权和更正权和欧洲的被遗忘权还是有差别的,删除权和更正权是个人信息出现错误后,我要求你删除或者更正,未来不排除用户向云服务提供商发出一些要求说你要把跟我相关的信息进行删除和更正。因为实际上据我们了解到的情况,删除这个问题在很多云服务提供商做得是不干净的,部分删除掉了,但很多信息他为了考虑到将来的安全不要有纠纷,他还会继续保存,所以以至于我们了解到一些云服务提供商最后积累了大量的数据,他把这些数据存下来了,还是有比较高的风险。

第三部分合规分析,有把端和云放在一起的。现在我觉得讲云不能光讲云,还要考虑到端。比如手机就是个端,我觉得这里还是一个整体的考虑因素。像端的很多处理风险相对云来说,有的时候利用它的计算能力和处理能力,我觉得是一个可以考虑的思路,我们一些数据的处理就放在端完成。当然,大家作为云,这是一个云服务中的环节,如果所有的数据都归总到云上,就是刚才说到的问题,在美国手机这个行业,不管是苹果、三星、谷歌、包括亚马逊他们都有这个争论,用户的数据我是在本地用siri把它处理掉,还是把它上传到服务器,在云端操作,所以这是一个应用模式讨论的问题,相对来说放在本地比放在端可能在合规上要好一些。整体就云的合规来说,首先是要尊重和维护数据主体权,数据主体属于个人的,一定要尊重他的权利。当他发现一些问题时,毕竟我们前面提到用户所有权和控制权分离,是不是用户产生的数据就完全被用户所有?这本身在法律上也是有争议的,但是至少他的基本权要尊重。