编辑导语:《个人信息保护法》的出台意味着未来信息安全、数据安全将愈发受到重视,而企业在收集个人信息时,也将有更加明确的界限。具体应该如何理解《个人信息保护法》的内容?本文作者做了详细解读,一起来看一下。
2020年10月21日,《中华人民共和国个人信息保护法(草案)》正式公开,向全社会公开征求意见。
2021年4月26日,第十三届全国人大常委会第二十八次会议对《中华人民共和国个人信息保护法(草案二次审议稿)》进行了审议。
2021年8月20日,第十三届全国人大常委会第三十次会议审议通过《中华人民共和国个人信息保护法》,并将于2021年11月1日起施行。
《中华人民共和国个人信息保护法》厘清了个人信息、敏感个人信息、自动化决策、去标识化、匿名化的基本概念,从适用范围、个人信息处理的基本原则、处理规则、跨境传输规则等多个方面对个人信息保护进行了全面规定,个人信息保护领域各主体的行为从此也有了更明确的法律依据。
本文将浅析《中华人民共和国个人信息保护法》,以期为各方提供些许参考。
目录
一、《个人信息保护法》处于何种法律地位?
《中华人民共和国个人信息保护法》是我国首部完整规定个人信息处理规则的法律。作为我国个人信息保护框架中重要的组成部分,《个人信息保护法》从立法开始就一直备受瞩目。
《个人信息保护法》一共分为8章74条,在有关法律的基础上,进一步明确了个人信息处理活动中的权利义务边界,细化、完善了个人信息保护应遵循的原则和个人信息处理规则。《个人信息保护法》第一条规定“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”该部法律“根据宪法”制定,意味着《个人信息保护法》已经成为了信息保护的基本法,也意味着个人信息保护权上升为公民的一项基本权利。
二、《个人信息保护法》的“个人信息”指什么?1.个人信息的定义
何谓“个人信息”?我国《个人信息保护法》第四条给出了如下定义:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
其实关于“个人信息”的定义,各部法律在具体的界定方法、概念的内涵均存在区别。从国际角度横向比较,中国的《个人信息保护法》与GDPR(GeneralDataProtectionRegulation,即通用数据保护条例)在定义上更加类似,二者都将所有可识别和已识别的自然人有关的个人信息都纳入了调整范围,保护范围更广,且都将匿名化信息排除在了个人信息范围之外。
三、《个人信息保护法》需要哪些企业遵守?
四、一般场景下,处理个人信息的法定限制1.目的正当性与处理必要性
2.“告知-同意”原则与例外情形
“告知-同意”原则,是指信息处理者在收集个人信息前,应当对信息主体就有关个人信息处理有关事宜进行充分告知,征得信息主体明确同意后方能进行收集的原则。这也是本次个保法中最为核心的处理规则。
《民法典》虽规定了同意的例外情形,但也仅限于处理自然人自行公开或其他已公开信息的情形以及维护公共利益或者自然人合法权益的情形。
相较于《网络安全法》和《民法典》,《个人信息保护法》采用了与GDPR一致的立法逻辑,将“告知-同意”确立为个人信息处理规则的核心,但《个人信息保护法》规定了更多无需征得个人同意的例外情形,在这些例外情形下,无需取得个人同意,即可处理个人信息。
但是无论是何种合法性事由,个人信息处理者都需要履行事先告知的义务。相比于《网络安全法》、《民法典》,《个人信息保护法》对于告知义务规定的较为详细,给企业在法律层面做出了明确的指引,但企业在不同场景下如何具体落实告知同意原则,后续可参考《信息安全技术个人信息告知同意指南(征求意见稿)》。
与同意规则一样,告知规则也有不适用的情形,即在特定的情形下,处理者不负有告知的义务。个保法对告知的例外规定体现在第十八条和第三十五条,《个人信息保护法》第十八条规定:“个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知”;《个人信息保护法》第三十五条规定:“国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外”。
由于在现实生活中存在的利益众多,公共利益、法定职责、国家利益、自然人的生命健康和财产安全等利益有时会存在冲突,所以,“同意+例外”规制方式,给予了个人信息处理更灵活的空间,也能够更好地保护国家和公民的利益。
但是我们发现,相较于《个人信息安全规范》第5.6条之规定,《个人信息保护法》大大压缩了理论上可以具有合法性的情形,简化了处理个人信息处理的合法性基础,可能给后续落地带来新的问题,使得一些具有正当性的个人信息处理情形陷入于法无据的困境。
3.自动化决策
科技是把双刃剑,《个人信息保护法》在吸纳《电子商务法》和《个人信息安全规范》关于定向推送和个性化展示的规定基础上,对“自动化决策”作出专门限制,增加了“禁止大数据杀熟”条款,明确规定“自动化决策应保证透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。”丰富了对歧视性定价、算法歧视问题的规制路径。
《个人信息保护法》第二十四条中还明确“通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。”个保法在赋予个人主体拒绝权的基础上要求个人信息处理者提供“便捷”的拒绝方式,为用户提供退出或关闭个性化展示模式的选项,对信息处理者有较强的制约,信息处理者的责任进一步加重。
4.撤回同意
根据《个人信息保护法》规定可知,个人信息主体撤回同意的权利可以在个人信息的收集、使用、保存、共享等全生命周期内行使,而个人信息主体一旦行使权利,即包含了对个人信息使用全过程中的处分。
个人信息主体所撤回的个人同意,对于已经发生的个人信息处理行为,没有溯及力,但是个人信息处理者应主动删除内部所存储的个人信息。相较于《个人信息保护法》,GDPR中个人信息主体行使撤销同意权的范围更为广泛。
根据《个人信息保护法》第十五条的规定,个人信息处理者应当提供“便捷”的撤回同意方式,我们理解便捷的方式,包括但不限于将撤回的按钮置于醒目的位置,与“同意”的选项相对应,给与对应撤回的选项等等,其困难程度不能高于“同意”的方式,企业在落地实施的过程中,可以参考《信息安全技术个人信息告知同意指南(征求意见稿)》第9.3条同意的撤回的规定。
另外,由于数据的可复制性,个人信息处理者在处理个人信息的过程中,可能将个人信息向其他第三方共享、提供、委托处理等等,在这些情况下,个人信息处理者还需要在共享、提供、委托处理等环节设置相应的联动机制,保证在个人信息主体撤回同意后,这些第三方个人信息接收方能够按照个保法的要求进行删除。
五、特殊场景下的增强义务1.必须获取“单独同意”的情形
对于影响个人利益的重大事项,例如向第三方提供个人信息、个人信息出境等,《个人信息保护法》要求个人信息处理者需要取得该个人的“单独同意”。
就“单独同意”的适用频率和行业普适性而言,《个人信息保护法》第二十三、二十九、三十九条相较于其他两条更高,也是许多企业无法避免的。作为个人信息处理者的企业应从个人信息的敏感度、场景进行风险分析,基于处理行为的类型去区别实施不同的同意方式,并为实现不同的同意匹配新型的同意机制。
目前大数据行业的快速发展依赖于数据的共享与流动,《个人信息保护法》对单独同意的要求,意味着强监管时代的到来,在后续落实阶段,可能会给大数据行业个人信息的数据生态带来巨大的改变,企业在个人信息保护领域都需要构建全生命周期的数据合规管理体制,特别是数据的对外提供,此时,如何在不对外提供数据的情况下实现数据的价值呢?
隐私计算或能在一定程度上实现“数据的可用不可见”。例如“联邦学习”强调双方原始数据皆无流转,不存在对外提供、共享数据的情况,双方采用多方计算、同态加密等算法以及可信执行环境等,使用高强度加密算法确保数据的安全,解决了数据合作方之间互不信任而又可释放数据价值。
2.敏感个人信息的处理
《个人信息保护法》对敏感个人信息处理者的特殊要求可以总结为三句话:目的限定更严、告知事项更多、同意机制更严。
根据《个人信息保护法》规定:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”
由此可见,除敏感个人信息原有定义外(详见上文),《个人信息保护法》还将未成年个人信息明确列为敏感个人信息,加以重点保护,此时还需要注意,《儿童个人信息网络保护规定》同样将不满十四周岁的未成年人定义为儿童,因此,企业在遵守《个人信息保护法》的同时,还需要遵守《儿童个人信息网络保护规定》的规定。
《个人信息保护法》设专节对处理敏感个人信息作出更严格的限制,第二十九条至第三十条对敏感个人信息的处理规则上作出要求。其他章节中,第五十五条对敏感个人信息事前影响评估进行规定,第六十二条提出监管将制定专门的个人信息保护规则、标准。
3.个人信息跨境流动的要求
对于数据跨境的要求,我国已有多部法律法规以及国家标准进行规制,例如《数据安全法》、《网络安全法》、《关键信息基础设施安全保护条例》及《网络安全审查办法》等,因此需要结合其他法律法规共同理解。
首先,《个人信息保护法》进一步完善了个人信息跨境提供规则,相比《网络安全法》,《个人信息保护法》扩展了适用于数据本地化的适用主体范围,除关键信息基础设施运营者以外,还增加了个人信息达到国家网信部门规定数量的个人信息处理者,其中对于“规定数量”,还有待国家网信部门的细化规定出台。
《个人信息保护法》第四十条规定:“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”
这与《网络安全法》第三十七条规定基本上保持一致。作为个人信息处理者,如需向境外传输数据,首先应当判断其拟出境的数据是否涉及数据本地化要求,只有在不涉及数据本地化要求的情况下,才能进一步考虑个人信息出境需要满足哪些具体条件。
需要特别注意的是,根据《数据安全法》第三十一条及《网络安全法》第三十七条之规定,企业还需要判断是否涉及重要数据,否则即使是一般数据处理者,也同样需要遵守主要数据境内存储,境外提供需要单独进行安全评估的要求。
其次,当不涉及数据本地化要求的情况下,例如个人信息主体需要向境外提供个人信息的情况,《个人信息保护法》第三十八条规定了四项数据出境的合规路径:
再者,《个人信息保护法》对个人信息跨境流动需要满足的必要条件进行了充分整合,并将向个人主体的告知和获取个人主体的单独同意作为另一必要前提条件。
《个人信息保护法》第三十九条规定:“个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。”个保法要求个人信息处理者提前告知并获取个人信息主体同意的义务可以被视为数据出境行为的前置条件。
最后,《个人信息保护法》对境外的个人信息处理者也作出了更严格的规定。根据《个人信息保护法》第五十三条之规定,中国境外的个人信息处理者,需设立境内专门机构或指定境内代表,并要求履行沟通渠道的报送义务,这也弥补了一直以来针对境外机构监管的敞口。
六、对于个人信息,处理者的其他合规要求
个人信息处理者负有配合个人信息主体行使权利的义务。个保法明确了个人信息主体享有的一系列权利,实则也是对个人信息处理者的合规性也提出了更高的要求。个人信息处理者应注意从以下几方面加强自身内部的合规建设。
1.建立内部合规制度
根据《个人信息保护法》第五十一条的规定,个人信息处理者应建立内部合规制度,企业可以结合《个人信息保护法》及其他关联法律法规、国家标准、指南等的规定,结合自身业务特点进行补充调整。
具体而言可以从以下几方面着手落实。
首先,个人信息处理者应制定关于个人信息保护的内控合规管理制度与配套操作流程。
其次,个人信息处理者应对个人信息分类分级管理、分别保护,尤其应对敏感个人信息、出境个人信息、未成年个人信息等采取更严格的保护措施。
再者,个人信息处理者应对其所处理的个人信息采用相应的加密(可参考《信息安全技术信息系统密码应用基本要求》GB/T39786-2021)、去标识化(可参考《信息安全技术个人信息去标识化指南》GB/T35273—2020)等安全技术措施,最大程度保护个人信息安全。
2.加强内部组织建设
根据《个人信息保护法》第五十二条规定,对于处理个人信息达到国家网信部门规定数量的个人信息处理者,应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
《个人信息保护法》中尚未对“国家网信部门规定数量”进行明确规定,可参考《个人信息安全规范》第十一条:满足以下条件之一的组织,都应当设立专职的个人信息保护负责人和个人信息保护工作机构:(1)主要业务涉及个人信息处理,且从业人员规模大于200人;(2)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;(3)处理超过10万人的个人敏感信息的。
3.落实强制性个人信息保护影响评估
对高风险信息处理活动进行个人信息保护影响评估,是个人信息处理者合规经营、持续自主运转的要求,也是个人信息处理者满足自证要求的保障。
在个保法出台之前,《个人信息安全规范》等有关文件虽对个人信息保护影响评估也有所规定,但并非强制性,故大多数企业也并未将此作为一项必备的内控手段。
此次《个人信息保护法》第五十五、五十六条对需要进行个人信息保护影响评估的情形与个人信息保护影响评估应包括的内容进行了详实规定,从基本法的高度将个人信息保护影响评估提升为了一项对个人信息处理者的强制性要求,作为个人信息处理者的企业需要更加注意,并且予以贯彻落实。
七、企业可能承担的违法后果
《个人信息保护法》在处罚的措施的多样性与处罚力度方面较之前的立法有了大幅度提升。特别是第六十六条中规定的大额罚款,不仅借鉴了GDPR中2,000万欧元或者企业上一年度全球营收的百分之四(两者取其高)罚款的严厉处罚思路,更将罚款力度增加到上一年度营业额的百分之五。
总体而言,《个人信息保护法》的责任追究体系十分完整,涵盖了民事、行政与刑事领域,且十分严厉,具体可参见下表。
八、结语
如何平衡个人信息权益的保护和数字经济发展两者之间的关系,是当代社会必须要面对的命题。《个人信息保护法》根据宪法制定,是我国个人信息保护的基本法,具有优先适用的效力。个保法为监管机关的执法活动和企业的合规体系建设提供了重要指引,也是中国对当前全球数字治理的制度贡献。
本文由@个推原创发布于人人都是产品经理,未经许可,禁止转载。