洪延青：个人信息法规中的“无关”和“必要”如何界定仍需讨论

8月20日下午，第七届互联网安全大会“个人信息安全与隐私保护”分论坛在京召开。

“个人信息安全与隐私保护”分论坛现场。主办方供图

北京大学法治与发展研究院高级研究员洪延青在会上从公权力的角度分享了他对个人信息合规的思考，并对近期出台的《数据安全管理办法（征求意见稿）》、《个人信息出境安全评估办法（征求意见稿）》进行了详细分析。

据介绍，全球已经有107个国家制定了数据安全和隐私保护的立法。在这一领域，欧美国家大幅领先于其他国家和地区，而亚洲和非洲只有不到40%的国家有相关法律。

在中国，目前最权威的相关法律就是2017年6月1日正式实施的《中华人民共和国网络安全法》（下称“网安法”）。相比过去已有的法律法规，网安法一个非常重要的创新点在于提出了“网络运营者不得收集与其提供的服务无关的个人信息”。

北京大学法治与发展研究院高级研究员洪延青。主办方供图

“这里的‘无关’和网络运营者收集、使用个人信息时应当遵循必要原则中的非‘必要’可否简单地划等号？”洪延青坦言，在参与App治理专项工作的时候，由于网安法写得很宽泛，导致专家组和企业对于这两个关键词有着截然不同的理解。

以新闻客户端为例。他指出，有人认为网络上提供新闻信息的时候收集用户个人信息是件“没有必要的事”，一旦把这里的“没有必要”等同于网安法的“无关”，就变成像今日头条这样的客户端不能收集任何个人信息了，这显然是不合理的。

“这两个圈怎么划？‘有关’和‘必要’之间的界限怎么定？都还需要继续研究和探讨。”他说。

2019年以来，数据安全和个人信息保护领域有不少动态。除了正在制定中的《个人信息保护法》《数据安全法》，网信办出台了《数据安全管理办法（征求意见稿）》《儿童个人信息网络保护规定（征求意见稿）》，公安部出台了《互联网个人信息安全保护指南》，四部委、公安部、市场监管总局也都展开了相关的执法活动。

洪延青重点解析了其中相对来说影响最大、效力最高的《数据安全管理办法（征求意见稿）》和《个人信息出境安全评估办法（征求意见稿）》。

他表示，《数据安全管理办法（征求意见稿）》的出台有两个前提，一是现有的个人信息保护主要是原则性表述，大量定义不够清晰；二是从重要数据的层面来说，缺乏定义，且仅在出境情况下作出了规定。

“《数据安全管理办法（征求意见稿）》沿着网安法往前走了一步”，他提到，它纳入了一些数据本身没有发生安全问题，但在使用和进入业务运营时对个人造成侵扰的情况，比如定向推送，自动合成新闻，假冒、仿冒、盗用他人名义发布信息等问题。

对于《个人信息出境安全评估办法（征求意见稿）》，洪延青首先提出了出境带来四个变化：控制者发生变化，适用的法律规则发生变化，境内监管机构难以管辖，以及个人难以行使权利。

“通过对合同进行大量细致的规定，（办法）要求境内提供方和境外接收方在合同里规定很多各自的权利和义务”，他表示，比如企业要申报评估，拟定合同，提供分析报告，再由省级网信部门进行评估；此外，对出境的事后管理也作出了明确规定。

采写：南都记者蒋琳