西盟斯数据观察 | 距生效仅剩52天 个保法合规有哪些重点？（下）

在上篇文章中，我们针对《个人信息保护法》（个保法）提出的各项义务，为大家解读了在合规工作中应当优先予以关注的重点问题。个保法中的部分配套规则尚待出台，在个保法生效之前的这段时间，我们建议企业保持高度关注，我们也会及时与大家分享监管动态。个保法带来的影响，绝不仅是短时间内合规任务的加重，而是从长远的角度重塑企业与用户的关系、商业模式乃至竞争格局。因此企业应以发展的视角，跟踪关注一些仍待澄清的关键问题，以及个保法所体现的前沿趋势，例如个人信息保护与促进竞争、消费者保护的结合，以及对自动决策、人工智能等新技术的规制。

悬而未决的问题

CII的识别

根据9月1日生效的《关键信息基础设施安全保护条例》（条例），重要行业和领域的主管部门将负责制定CII认定规则、组织认定本行业、本领域的CII，认定结果将通知运营者。尽管条例规定了认定CII时需要主要考虑的因素，但各行业、各领域“关键核心业务”的范围，衡量危害程度的指标（例如网站访问量、数据量、受影响个人的数量等）等，仍然有待明确。

CII的认定不是一次性的，而是一个动态调整的过程。CII运营者所承担的合规义务需要全面的系统和流程支持，也并非一日之功。部分重点行业的企业可能目前暂时未成为CII运营者，但仍需密切关注自身所在行业和领域的主管部门后续制定的CII认定规则，评估自身是否可能随着业务发展扩张而在不久的将来成为CII运营者，从而提前为网络设施及信息系统的安全保护以及各项合规义务做好准备。对于自身并非CII运营者但其客户群体中可能存在CII运营者的企业，也需要随时关注客户是否被识别为CII的情况，并做好为CII运营者提供网络产品或服务而间接受到条例影响的应对准备。

跨境转移安全评估、任命个人信息保护负责人的处理个人信息数量门槛

这些门槛将由国家网信部门决定。参考近期立法、规范性文件和标准（例如《网络安全审查办法（修订草案征求意见稿）》《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》《个人信息安全规范》等），处理100万人以上的个人信息很可能将受到重点监管。我们建议处理较大量个人信息的企业提前部署、做好准备。

重要数据目录

《数据安全法》规定，各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据重点保护。我们理解数据分类分级会与现行的网络安全等级保护制度、CII安全保护制度相衔接。一方面，重要数据可能指向特定的类型；另一方面，一般数据达到一定数量后，也可能构成重要数据。企业需要注意与重要数据处理者相关的合规义务，例如风险评估和出境规则等。需要特别注意的是，重要数据的范围与个人信息可能存在交集，某些特定类型的数据可能面临个人信息保护和重要数据安全管理的双重合规义务。

禁止“大数据杀熟”

个保法规定：利用个人信息进行自动化决策不得对个人在交易价格等交易条件上实行不合理的差别待遇，即俗称的“大数据杀熟”。事实上，在个保法之前，“大数据杀熟”已经引起了我国反垄断、反不正当竞争，以及价格监管部门的高度关注。
《反垄断法》禁止具有市场支配地位的经营者没有正当理由，对条件相同的交易相对人在交易价格等交易条件上实行差别待遇。《国务院反垄断委员会关于平台经济领域的反垄断指南》针对平台企业提出了特定的考虑因素，包括是否基于大数据和算法实行差异性交易价格或者其他交易条件等。此外，在近期发布的《价格违法行为行政处罚规定（修订征求意见稿）》《禁止网络不正当竞争行为规定（公开征求意见稿）》中，也对“大数据杀熟”作出了禁止性规定。

与反垄断立法相比，个保法禁止“大数据杀熟”不以企业具有市场支配地位为前提，因此辐射面更广、规制范围更大。相关主管部门在非常短的时间内推出针对“大数据杀熟”的多层次监管体系，这一趋势应当引起企业的高度重视。

此外，尽管我国《消费者权益保护法》（消保法）没有明确将“大数据杀熟”纳入规制范围，但其中部分条款事实上可以适用于这类情形，例如规定消费者享有了解商品或服务的真实情况的权利，经营者提供商品或者服务有欺诈行为的，应当承担惩罚性赔偿等。在司法实践中，已有判例依据消保法对“大数据杀熟”处以惩罚性赔偿。同时，消费者权益和个人信息保护也都是公益诉讼的覆盖范围。

综上，我们预计“大数据杀熟”行为将成为多个部门的执法重点，且“大数据杀熟”往往涉及大量消费者/个人信息主体，可能面临巨大的诉讼风险。建议企业高度关注、立刻自查。

促进数据跨平台流动和公平竞争

在数字经济的背景下，平台企业的商业模式越来越依赖于数据的收集、分析和评估，大数据成为平台企业开展经营活动的一项重要的前提条件。具有先发优势的企业��累了海量数据，在数据的占有、分析和利用方面比竞争对手有更大优势。在近期数字经济领域的反垄断重点案件中，数据优势已成为衡量市场支配地位的关键因素之一。

个保法增加了有关个人信息可携带权的规定，强调了用户对于个人信息跨平台流动的主导权，可以起到降低市场准入门槛和促进平台之间竞争的效果，这一规定也和GDPR相一致。个保法规定可携带权的行使还须符合国家网信部门规定的条件，这一点有待网信部门的实施细则提供更多指引。

客观而言，可携带权的确立有可能为企业带来较高的合规负担，而且其功能可由查阅复制权部分实现，因此在个保法的一审和二审稿中均未加入。此前在《金融消费者权益保护实施办法》的修订征求意见稿中，也曾经一度加入可携带权的规定，但最终版本并未纳入。可见，可携带权的确立已经历了各方博弈和反复讨论的过程。在当前强调保障和促进竞争的监管背景下，此次个保法确立这一权利并不意外，且我们预计监管会很快出台细则指引。对于平台型经济以及企业之间具有高度相似性、替代性的行业，平台壁垒之间的打通、用户与用户数据的自由流动将会是未来的发展趋势，企业应当及早准备和调整自身的竞争策略。

自动化决策、人工智能规则的公平与透明

自动化决策，是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。数据和算法是自动化决策的两大核心要素，我国立法正尝试从这两个维度一并进行规制。

个保法要求，自动化决策应当保证其透明度和结果公平、公正，通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明。网信办于8月底发布的《互联网信息服务算法推荐管理规定（征求意见稿）》（算法规定）将个性化推送、排序精选这些常见的自动化决策纳入了规制范围，并要求相关服务提供者以适当方式公示算法推荐服务的基本原理、目的意图、运行机制等。

自动化决策实际上是一种人工智能应用，而这些要求恰好与欧盟《人工智能条例草案》等域外立法所提出的“符合伦理、负责任的AI”“可解释性”等原则不谋而合。不论在国内或国外，都有越来越强烈的呼声要求企业向用户充分解释算法原理。

在实践中，要满足这些合规要求非常具有挑战性。在欧盟，已有AI开发者主动发布“可解释性报告”（也称透明度报告）披露其系统运行原理。撰写这类可解释性报告不仅需要技术团队，更重要的是要将难懂的技术语言转换成普通用户能够理解的白话，因此也需要法律乃至公关团队的参与。西盟斯是市场上极少数有此类经验的律所之一，我们的法律工程团队也同时协助客户从技术层面落实合规要求。