自2018年5月欧盟《通用数据保护条例》正式施行以来,全球个人数据保护立法掀起层层高潮,美国、日本、新加坡、韩国、巴西乃至印度等国家都陆续完成了相关个人数据立法工作。作为全球最大的互联网市场,中国的互联网发展已实现“弯道超车”,发达的互联网+、大数据应用,远远走在了传统法律规范的前头,也走在了全世界的前头。这意味着,中国的个人信息保护立法要解决中国当下的问题,提供“中国式”解决方案,做到个人信息保护和信息化发展双赢。
万千企盼之下,2021年8月20日,第十三届全国人大常委会第三十次会议最终表决通过了《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),并将于2021年11月1日开始施行。该法案也将与《中华人民共和国网络安全法》及《中华人民共和国数据安全法》共同作为我国数据安全法律框架的重要组成部分。《个人信息保护法》在有关法律的基础上,进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则,明确个人信息处理活动中的权利义务边界,健全个人信息保护工作体制机制。该法全文共计八章七十四条,从总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人处理者的义务、履行个人信息保护职责的部门、法律责任和附则等多个层面设计和建构个人信息保护的立法框架。
对于中国企业,最为关注的则是面对《个人信息保护法》全新升级的合规要求,如何深化搭建安全合规的数据管理体系?本文旨在从企业风控合规的实操角度观察《个人信息保护法》可能对实务工作产生的影响,就相关重点条款进行解读,为企业在新合规下的数据安全建设提供方向。
一、明确个人信息定义
《民法典》中将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。《个人信息保护法》在第一章总则部分,则将其定义作出了进一步完善,在肯定前述定义的同时明确将经过匿名化处理的个人信息排除在了保护范围之外。经匿名化处理的个人信息因不可逆地不能再准确识别到特定个人,不需达到与个人信息同等高度的保护水平,只需遵循一般的数据保护相关规则即可。该排除有利于在保护个人隐私和信息安全的同时,减轻企业对处理后的个人信息的利用困难度,赋予企业更高的利用自由度。
二、适用范围采用属地属人双重适用原则
《个人信息保护法》第三条确立了适用范围原则上采用属地属人双重适用原则,属地原则方面规定“在中华人民共和国境内处理自然人个人信息的活动,适用本法”;属人原则方面则规定在境外处理中国境内自然人个人信息,且以向境内自然人提供产品或服务为目的或是为分析评估境内自然人的行为的,应当适用本法。原则之外也存在一些例外情况,附则第七十二条规定了“自然人因个人或者家庭事务处理个人信息的,不适用本法。法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定”。
三、禁止个人信息过度收集
生活中我们常常会遇到一些App强行索要权限,要求开启所有个人信息收集功能,若拒绝授权则无法正常使用App功能的情形。App过度收集个人信息的现象长期以来使人困扰却又无可奈何。《个人信息保护法》第一章总则中要求处理个人信息“应当遵循合法、正当、必要和诚信原则”,“应当具有明确、合理的目的,并应当与处理目的直接相关”,与二审稿相比又增加了“采取对个人权益影响最小的方式”和“保证个人信息质量”的要求,要求在具有明确合理目的前提下,收集实现功能所必需的最小范围的个人信息,从而对过度收集的行为进行约束。
四、确立“告知—同意”的个人信息保护核心原则
《个人信息保护法》延续并确立了之前相关立法中“告知—同意”的个人信息保护核心原则,第十三条第一款要求在取得个人同意的情况下方可处理个人信息。同时,第十五条规定以“同意”作为合法理由处理个人信息,必须赋予用户撤回同意的权利。值得一提的是有关同意的形式要件,第十四条新增加了部分法律、行政法规存在特殊规定的情况下,个人信息处理需取得个人“单独同意”或“书面同意”的要求。
五、豁免取得同意或豁免告知的法定情形
一些涉及公共利益所必需使用或合理使用的情形下,保证“告知—同意”核心原则不变的同时,《个人信息保护法》第十三条第二至七款规定了部分豁免获取同意的法定情形,“为订立或履行个人作为一方当事人的合同所必需;为履行法定职责或者法定义务所必需;为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;为公共利益实施新闻报道,舆论监督等行为在合理的范围内处理个人信息;或是满足法律,行政法规规定的其他情形”时,可在未获得个人同意的情况下处理个人信息。
《个人信息保护法》亦灵活地创设了两项豁免告知的情形,分别是基于保密义务的豁免和基于紧急情况的豁免。第十八条规定个人信息处理者处理个人信息,由法律,行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知个人信息处理者的名称或者姓名和联系方式。若在紧急情况下因保护自然人的生命健康和财产安全未及时向个人告知的,个人信息处理者应当在紧急情况消除后予以告知。
六、向第三方提供个人信息时告知义务更为严格
作为个人信息权利极易遭到漠视和侵犯的缺口,向第三方提供和共享个人信息已逐步受到监管的严密关注。《个人信息保护法》第二十三条规定向第三方提供个人信息需要履行相当严格的义务,包括但不限于(1)向个人进行事先的充分告知并取得个人的单独同意;(2)变更原先的处理目的、处理方式的,应重新向个人告知并取得其同意。
七、自动化决策及其营销使用规制
自动化决策是指通过程序自动分析、评估个人的行为习惯、兴趣爱好、经济信用状况等进行决策的活动。“大数据杀熟”就是一种常见的企业利用所掌握的消费者经济状况、消费习惯等个人信息,通过算法在价格方面对消费者自动设置歧视性差别待遇的自动化决策行为。《个人信息保护法》立足广大消费者的合法权益,对利用个人信息进行自动化决策作出了相应规范,第二十四条要求“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇,且通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。”同时规定,个人也有权拒绝个人信息处理者仅通过自动化决策的方式作出对个人权益有重大影响的决定。这就意味着个人信息处理者在利用个人信息针对个人进行自动化决策时,不得依据获取到的个人信息对消费者设置不公平的交易条件,个人也有权拒绝由该方式自动作出的交易条件,完全禁止了“大数据杀熟”行为。
与此同时,现今大多数购物平台、短视频、新闻平台会通过各自的推荐算法向用户推送可能感兴趣的产品、文章、视频或广告内容,追求最大商业利益的同时可能也忽略了用户个人的感受。新规定使用户拥有了选择的主动权,可对个性化推荐的功能进行关闭,不再被动接受个性化内容的推送。
八、新增公共场所图像采集特殊安排
科技飞速发展的同时也带来了崭新的法律问题,大量滥用生物识别信息的事件引发了社会公众的关注和担忧。出于公共安全的需要以及避免公权力的滥用,《个人信息保护法》制定了有关公共场所采集个人图像和个人身份特征信息的条款,并限制了其安装设备和使用信息目的,要求其设置显著提示,使生物信息识别技术的滥用的情形得到了规范。第二十六条要求“在公共场所安装图像采集、个人身份识别设备,应为维护公共安全所必需,且应设置显著的提示标识,所收集的个人图像、身份识别信息只能用于维护公共安全的目的”,杜绝了将收集的个人信息用于商业用途的行为。
九、对处理敏感个人信息作出严格限制
敏感个人信息是指“一旦泄露或被非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。”相较其他的个人信息而言,此类信息一旦泄露或被非法使用,对个人造成的影响和危害更为强烈,在其处理规则的制定上应当更加严格。《个人信息保护法》第二章第二节对敏感个人信息的处理制定了详细的规则,规定处理敏感个人信息时,除一般需告知的内容外,还需对处理行为进行事前评估,只有在有特定目的和充分的必要性,并采取严格保护手段的情况下方可处理,并需向个人告知处理的必要性和对个人权益的影响。与二审稿相比,《个人信息保护法》更是进一步明确了不满十四周岁未成年人的个人信息属于敏感信息,处理此类信息时应当取得未成年人父母或者其他监护人的同意,同时应当制定专门的个人信息处理规则,加强对未成年人儿童的保护和关爱。
十、个人信息跨境传递应满足相应条件
前不久,七部门进驻某网约车平台展开安全审查的消息霸占了各大新闻平台热搜榜首,也使个人信息的跨境传输问题呈现在人们面前。个人信息跨境传输小则涉及个人隐私,大则危害国家安全,该问题不容小觑。《个人信息保护法》第三章确立了个人信息跨境提供相关规则,为个人信息的跨境传输提供了合理可行的法律依据,也将随着之后相关司法解释及实施细则等配套制度的出台逐渐得到完善。《个人信息保护法》规定了个人信息以存储在中国境内为原则,在满足一定条件时才可以进行个人信息的跨境提供。首先个人信息处理者应当告知个人信息接收方相关信息并取得单独同意,并满足“通过国家网信部门组织的安全评估”“按照国家网信部门的规定经专业机构进行个人信息保护认证”“按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务”或“法律、行政法规或者国家网信部门规定的其他条件”四个条件之一方可进行跨境提供。
十一、个人在个人信息处理活动中的权利
与原有个人信息保护体系相比,《个人信息保护法》第四章对个人在个人信息处理活动中的权利进行了详尽规定,构建了较为完整的权利体系。个人除享有知情权、决定权外,还具有向个人信息处理者查阅、复制其个人信息的权利。发现其个人信息不准确或者不完整的,个人有权请求进行更正、补充。其中最令人关注的是第四十七条有关删除权的规定,除处理目的已实现或不再必要、停止提供产品服务或保存期限已届满、个人撤回同意等理由之外,新增了无法实现处理目的的理由。第四十七条还要求保存期限未届满或删除个人信息从技术上难以实现时,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理,从而保障个人的删除权得以行使。新增的第四十九条更是对逝者的个人信息保护规则进行了完善,构建了更加全面的个人信息保护体系。
十二、个人信息处理者的义务
为了加大个人信息保护力度,《个人信息保护法》第五章对个人信息处理者的义务进行了强化,要求个人信息处理者从管理制度、信息分类、技术手段、从业培训、应急预案及其他等六个方面采取措施以达到相关法律、行政法规的规定,防止未经授权的访问以及个人信息泄露、篡改、丢失。个人信息保护影响事前评估也是个人信息处理者应尽义务之一,处理敏感个人信息、利用个人信息进行自动化决策、委托处理或向第三人提供公开个人信息、向境外提供或其他对个人权益有重大影响的处理活动在进行之前均需对处理目的方式的合法正当性、对个人权益的影响及安全风险,以及对采取的保护措施进行事前评估。
特别需要提示的是,《个人信息保护法》对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者提出了较高的平台监管义务要求。平台应当按照第五十八条相关规定,(1)建立健全个人信息保护合规制度体系,并由外部成员组成独立机构对个人信息保护情况进行监督;(2)制定关于处理个人信息规范和保护个人信息义务的平台规则;(3)对严重违反规定的平台内产品或服务提供者停止提供服务,并应(4)定期发布个人信息保护社会责任报告,接受社会监督。
十三、履行个人信息保护职责的部门
履行个人信息保护职责的部门方面,《个人信息保护法》第六章确立了网信部门的统筹协调地位,负责推进个人信息保护工作,牵头制定各项具体规则和标准。也对有关部门具有监督管理职责进行了明确,履行个人信息保护职责的部门负责履行个人信息保护职责,并可采取询问当事人、查阅复制有关资料和现场检查等方式开展调查,确保了个人信息保护工作的顺利开展和进一步优化。
十四、法律责任
依据个人信息处理的不同情况,《个人信息保护法》第六十六条对违法处理个人信息的行为设置了不同层级的行政处罚,并借鉴欧盟《通用数据保护条例》的思路设置了高额罚款金。对于一般违法行为可由执法部门责令改正、给予警告、没收违法所得,对拒不改正的最高可处一百万元罚款;情节严重的,最高可处五千万元或上一年度营业额百分之五的罚款,可以责令暂停相关业务或停业整顿并对相关责任人员作出相关从业禁止的处罚。《个人信息保护法》还专门规定,对违法处理个人信息的应用程序,可以责令暂停或终止提供服务。
同时,《个人信息保护法》第六十九条明确了民事责任法定赔偿制度,明确采用过错推定责任原则,规定处理个人信息侵害个人信息权益造成损害的,个人信息处理者如不能证明自己没有过错的,应当承担损害赔偿等侵权责任。过错推定原则的适用,意味着个人信息处理者必须时刻注意履行“自证合规”义务,在日常的处理活动中严守合规制度,并做好相应的记录和存证。
《个人信息保护法》第七十条更是将公益诉讼引入保护途径当中,个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼,全方位对个人信息进行保护。
