2021年8月20日,经第十三届全国人大常委会第三十次会议审议后,《中华人民共和国个人信息保护法》(以下简称“《个保法》”)获得通过并公布,并将于2021年11月1日起生效实施。
《个保法》的立法历经多个重要阶段:
2018年9月7日,《个保法》首次列入十三届全国人大常委会立法规划;同年,全国人大常委会法工委会同中央网信办开始着手研究起草《个保法》;
2019年12月16日,经第十三届全国人民代表大会常务委员会第四十四次委员长会议原则通过,制定《个保法》被明确列入全国人大常委会2020年度立法工作计划;
2020年10月21日,经第十三届全国人大常委会第二十二次会议审议后,《个保法》(草案)全文公布并第一次向社会征求意见;
2021年4月29日,《个保法》(草案二次审议稿)(以下简称“《二审稿》”)在经第十三届全国人大常委会第二十八次会议审议后再次面向社会公布并征求意见。
随着全国人大常委会完成第三次审议,《个保法》正式出台。这是中国第一部专门规范个人信息保护的法律,对我国公民的个人信息权益保护以及各组织的数据隐私合规实践都将产生直接和深远的影响。同时,《个保法》还将与《网络安全法》、《数据安全法》一同构建和完善我国在信息保护和网络安全领域更加完备、全面和系统的法律保护体系,以形成规范有序的政策环境、营造良好数字生态。
二、重点内容概览
1、适用范围
2、重要定义
《个保法》第四条规定,个人信息指“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。“个人信息的处理”包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
《个保法》项下的法律义务大部分针对个人信息处理者。根据第七十三条规定,“个人信息处理者”是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
《个保法》第六十二条还规定国家网信部门统筹协调有关部门针对“小型个人信息处理者”制定专门的个人信息保护规则、标准。目前《个保法》未对“小型个人信息处理者”的定义和范围进行界定,这仍有待监管机关的后续规定做出解释。
3、处理个人信息的原则
《个保法》第五条至第九条明确了处理个人信息的基本原则,该等原则是贯穿个人信息处理活动的总体指引。这些原则包括:
3.1合法、正当、必要和诚信原则。个人信息处理者应当遵循合法、正当、必要和诚信原则,不得以误导、欺诈、胁迫等方式处理个人信息(第五条)。该原则作为《个保法》的首要原则,是个人信息处理者实施处理活动的前提。
3.3最小程度原则。《个保法》第六条从两个层面对个人信息处理的程度进行了限制:一是要求处理活动对个人权益产生的影响最小;二是不得过度收集个人信息,限于满足处理目的的最小范围(第六条)。
3.4公开透明原则。处理个人信息应当遵循公开、透明原则。该条要求个人信息处理者应当对外公开处理规则,并向个人明示处理的目的、方式和范围(第七条)。公开透明原则保障了个人信息主体的知情权和同意权,是个人信息处理者履行“告知同意义务”的前提。
3.5完整性和准确性原则。《个保法》第八条对处理个人信息的质量设定了评价标准,具体可从个人信息的完整性和准确性两方面切入。个人信息处理者应当避免因个人信息的不准确、不完整而损害个人权益。
3.6安全保障原则。《个保法》第九条明确了处理者是个人信息处理活动的直接责任人,由个人信息处理者承担个人信息处理的法定义务和责任。个人信息处理者应当采取必要措施保障个人信息的安全。
4、处理个人信息的基本规则
《个保法》第二章规定了个人信息处理的规则,其中的重点要求及简要分析如下:
4.1处理个人信息的合法性基础。符合下列情形之一的,个人信息处理者方可处理个人信息:(1)取得个人的同意;(2)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(3)为履行法定职责或法定义务所必需;(4)为应对突发公共卫生事件或紧急状况下保护自然人生命健康或财产安全所必需;(5)为公共利益实施新闻报道、舆论监督等在合理范围内处理个人信息;(6)在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;以及(7)法律、行政法规规定的其他情形。(第十三条)
4.2处理个人信息的告知与同意要求。原则上,处理个人信息应当取得个人同意,但是如果有上述第十三条项下第(2)项至第(7)项规定情形的,则不需取得同意。基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定应当取得个人单独同意或者书面同意的,从其规定(第十四条)。个人信息处理者在处理个人信息前,应以显著的方式、清晰易懂的语言向个人告知特定事项,但根据法律、行政法规规定应当保密或者不需要告知的情形除外。(第十七、十八条)
4.4共同处理。两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。(第二十条)上述内容系首次在法律中明确规定了“个人信息共同处理者”的情形以及对个人信息侵权行为依法承担连带责任问题。
4.5委托处理个人信息。个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、双方的权利和义务等内容,并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息,并且未经同意不得转委托。(第二十一条)。
4.6合并分立时的个人信息转移。个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应继续履行个人信息处理者的义务,若变更原先的处理目的、处理方式的,应重新获取个人同意。(第二十二条)
4.7共享个人信息。个人信息处理者向其他个人信息处理者提供个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述范围内处理个人信息。(第二十三条)
4.8公开个人信息。除非取得个人单独同意,否则个人信息处理者不得公开其处理的个人信息(第二十五条)。除非个人明确拒绝,否则个人信息处理者可以免于取得同意、在合理的范围内处理个人自行公开的个人信息;但如果该等处理对个人权益有重大影响的,则需要取得个人同意。(第二十七条)
5、自动化决策
5.1禁止大数据杀熟。自动化决策应保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。(第二十四条第一款)
5.2提供其他选项或拒绝方式。通过自动化决策方式进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。(第二十四条第二款)
5.3个人享有的权利。自动化决策作出对个人权益有重大影响的决定的,个人有权要求予以说明,并有权拒绝仅通过自动化决策的方式作出决定。(第二十四条第三款)
6、处理敏感个人信息的特殊规则
《个保法》对敏感个人信息的处理规则专门进行规定。其中,敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。(第二十八条)
处理敏感个人信息需要遵守的规则主要包括:
6.1需具有特定的目的和充分的必要性,并采取严格保护措施。(第二十八条)
6.3在告知内容方面,需特别向个人告知处理敏感个人信息的必要性以及对个人权益的影响。(第三十条)
7、个人信息跨境提供规则
《个保法》明确了个人信息跨境提供的基本规则,主要包括以下方面:
7.1法定条件。《个保法》规定向境外提供个人信息应首先满足“因业务等需要,确需向中国境外提供个人信息”的前提,同时还应具备下列条件之一:(1)通过国家网信部门组织的安全评估;(2)经专业机构进行个人信息保护认证;(3)按照国家网信部门制定的标准合同与境外接收方订立合同;或者(4)法律、行政法规或者国家网信部门规定的其他条件(第三十八条第一款)。此外,如果中国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的,可以按照其规定执行。(第三十八条第二款)
7.2特定主体的数据本地化和安全评估义务。《个保法》对关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者规定了境内存储的要求,并要求确需向境外提供的,则必须通过国家网信部门组织的安全评估。(第四十条)
7.3告知同意要求。《个保法》首次在法律层面对个人信息的跨境提供规定了更加明确、具体且严格的告知内容和单独同意要求,具体为:应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。(第三十九条)
7.4保护标准。个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。(第三十八条第三款)
7.5其他特定出境情形。《个保法》规定了个人信息处理者向外国司法或者执法机构提供存储于中国境内的个人信息应经中国主管机关批准,并对损害中国公民个人信息权益的境外组织与个人采取负面清单要求。此外,《个保法》还针对在个人信息保护方面对我国采取歧视性的不合理措施的其他国家和地区的规定了对等采取措施的要求。(第四十一、四十二、四十三条)
8、个人信息主体的权利
9、强化个人信息处理者的合规管理义务
《个保法》明确了个人信息处理者的合规管理和保障个人信息安全等义务,具体包括:要求其按照规定采取必要措施确保个人信息处理活动的合规性与安全性;处理个人信息达到国家网信部门规定数量的个人信息处理者应指定个人信息保护负责人对其个人信息处理活动进行监督;定期对其个人信息处理活动进行合规审计;对处理敏感个人信息、自动化决策、向境外提供个人信息等高风险处理活动,应事前进行风险评估并对处理情况进行记录;针对个人信息泄露等安全事件履行通知和补救义务等。
10、履行个人信息保护职责的部门及职责
11、法律责任
《个保法》同时对侵害个人信息权益的民事赔偿、刑事责任以及公益诉讼做出规定。具体而言,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任(第六十九条)。违反《个保法》规定构成犯罪的,追究刑事责任(第七十一条)。个人信息处理者侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼(第七十条)。
12、其他呼应社会热点的要求
《个保法》中同时包括下列新的要求及特殊规定:
12.1公众场所采集图像、身份识别信息的特殊要求。《个保法》对公共场所人脸识别技术的应用进行了规制,要求:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。(第二十六条)
12.2未成年人信息保护。《个保法》要求处理不满十四周岁未成年人个人信息应当取得未成年人的父母或者其他监护人的同意,并应当制定专门的个人信息处理规则(第三十一条)。由加强未成年人个人信息保护的社会热点和呼声,《个保法》对未满14岁的未成年人个人信息作为敏感个人信息予以严格保护,并在此基础上设计了监护人同意和专门处理规则的特殊要求。
12.3重要互联网平台的个人信息保护义务。《个保法》在第五十八条规定“重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”的个人信息保护义务,主要包括:(1)成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;(2)制定平台规则以明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;(3)对严重违法处理个人信息的平台内的产品或者服务提供者停止提供服务;(4)定期发布个人信息保护社会责任报告。
12.4国家机关处理个人信息也明确纳入监管范围。《个保法》首次明确将国家机关处理个人信息的活动纳入规制范围,并规定了国家为履行法定职责处理个人信息的基本规则,包括:不得超出履行法定职责所必需的范围和限;履行告知义务;国家机关处理的个人信息原则上应当境内存储,确需向境外提供的应当进行安全评估。(第三十三至三十六条)
三、与二审稿对比的重点变化
1、明确规范App个人信息保护义务和责任
与《二审稿》相比,《个保法》在第六条重申收集个人信息“应当限于实现处理目的的最小范围”,并增加了“不得过度收集个人信息”的规定,与《民法典》中“不得过度处理”的要求保持一致。这一规定也与监管实践中频繁出现的应用程序(App)过度收集个人信息的违规问题直接有关,因此将其纳入法律规定,有助于对个人信息收集活动作出有针对性规范。在监管职责方面,《个保法》在第六十一条新增规定履行个人信息保护职责的部门应“组织对应用程序等个人信息保护情况进行测评,并公布测评结果”。在法律责任方面,《个保法》在第六十六条新增规定“对违法处理个人信息的应用程序,责令暂停或者终止提供服务”。
近年来,App个人信息保护的监管和执法活动逐渐深入开展并呈现出常态化执法的趋势。但是在监管实践中,App违法违规收集使用个人信息的行为仍是屡禁不止。基于此,《个保法》从法律层面,对App过度收集个人信息等现象进一步完善了个人信息处理规则,同时赋予了监管部门对App组织开展测评并公布测评结果的法定职权,并明确App如违反涉法律规定处理个人信息的,将面临停止或终止服务的严厉后果。
2、自动化决策不得“大数据杀熟”
《个保法》在《二审稿》有关自动化决策规范的基础上,进一步规定“不得对个人在交易价格等交易条件上实行不合理的差别待遇”。(第二十四条)
3、加强未成年人信息保护
与《二审稿》相比,《个保法》将“不满十四周岁未成年人的个人信息”纳入敏感个人信息的范围,并要求个人信息处理者对此制定专门的个人信息处理规则。
由于网络的不断普及和迅猛发展,未成年人“触网”已毫无障碍,但与此同时也产生许多侵害青少年个人信息合法权益的问题。目前,国家标准《信息安全技术个人信息安全规范》已率先将十四周岁以下(含)儿童个人信息列为“个人敏感信息”,《未成年人保护法》和《儿童个人信息网络保护规定》均规定信息处理者处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者监护人同意。《儿童个人信息网络保护规定》还规定“网络运营者应当设置专门的儿童个人信息保护规则和用户协议”。
4、处理个人信息的合法性基础新增人力资源管理
《个保法》在《二审稿》基础上增加了一项无需取得个人同意的个人信息处理法定情形:“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”(第十三条)。该规定为企业在劳动管理之中涉及的员工个人信息收集提供了例外的安排。
5、完善个人信息跨境提供的保护规则
关于个人信息的跨境提供的规则,《个保法》相较于《二审稿》,在个人信息跨境提供适用的四项法定条件之外,也新增了一个例外情形,即如果中国缔结或者参加的国际条约、协定对向中国境外提供个人信息的条件等有规定的,个人信息处理者可以按照其规定执行,在此种情形下并不必须具备四项法定条件之一的才可向境外提供个人信息。
此外,《个保法》进一步完善个人信息跨境提供的保护标准。第三十八条第三款明确规定:个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。本项要求为《个保法》新增内容,为各企业跨境提供个人信息的安全保护义务确定一个具体的目标,基于该规定,各企业在实践中可采取签订协议、对境外接收方开展调查、审计等措施来约束其个人信息处理活动,以满足符合法律规定的保护标准。
最后,对于向外国司法或执法机构提供境内个人信息的情形,《个保法》相较于《二审稿》完善了中国主管机关处理该等事项的监管依据,即中国主管机关根据有关法律和中国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。该等依据是个人信息处理者在向外国司法或执法机构提供境内个人信息时,中国主管机关履行审批活动的判断基础。
6、明确委托处理信息的受托人义务
从个人信息权益保护的角度看,《二审稿》的上述规定或许可以起到强化受托人责任、督促其更严格地履行个人信息保护义务的效果。但是,就委托处理个人信息实践而言,由于委托人应作为在个人信息处理活动中能够自主决定处理目的、处理方式的“个人信息处理者”,而受托人则按照委托人的指示和要求处理个人信息,如果该等规定对委托人和受托人等不同主体的义务和责任均采取相同要求,可能对不同主体对自身角色认知和具体合规实践产生误解或矛盾。而《个保法》的规定则有效、明确区分了这两类主体的义务和责任,要求受托人应采取必要措施保障信息安全,同时有义务协助个人信息处理者履行本法义务,而非直接履行与委托方(个人信息处理者)相同的法定义务。
7、完善个人信息主体权利
7.1增加个人信息可携带权的规定。《个保法》在《二审稿》的基础上,增加了个人在个人信息处理活动中的“可携带权”。具体而言,第四十五条规定,个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。本项权利主要借鉴了境外国家和地区的立法(例如欧盟的《通用数据保护条例》),但是赋予了个人信息主体将其已向个人信息处理者提供的个人信息不受限制地转移给其他的个人信息处理者的权利,这便于用户自主且快速地将自己的个人信息在不同平台间转移。从行业发展的角度,个人信息可携带权的规定可能打破数据领域的垄断或数据孤岛局面,有利于互联网全行业的数据流通和交流,但对于企业而言,可携带权的落实也对企业的技术能力、人力物力成本提出较高的要求。
7.3起诉的权利。《个保法》第五十条还新增一项规定:个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。
8、重要互联网平台的个人信息保护义务
上述规定也体现了近年来监管机关越发重视对互联网巨头或重点互联网企业的监管和引导、着重要求该等企业或平台切实履行数据安全和个人信息保护等法定义务和责任的趋势。根据本规定,作为重要互联网平台的个人信息处理者,除了平台自身需严格履行个人信息保护义务外,还肩负着规范、督促平台内产品或服务提供者按照法律法规和平台规则等要求保护个人信息的重大责任。但是,“重要互联网平台服务”的判断标准和“外部成员”等定义如何界定,“个人信息保护社会责任报告”的编写方式和内容、发布频率和范围等要求如何实施,均有待后续的实施细则或监管机关的解释。
9、公开个人信息的处理要求
相较于《二审稿》,《个保法》第十三条第六项还增加了一项无需取得个人同意的个人信息处理法定情形:“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”。此外,《个保法》对《二审稿》项下关于已公开个人信息的处理规范做了重大调整。第二十七条规定,个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。
上述条款是与《民法典》有关规定的衔接。《民法典》第一千零三十六条规定,处理个人信息,有下列情形之一的,行为人不承担民事责任:合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。根据《个保法》的要求,企业如在业务经营中涉及处理个人自行公开或者其他已经合法公开的个人信息的,则其可以依照《个保法》规定在合理的范围内进行处理,并且免于取得个人同意。但是如果该等处理会对个人权益产生重大影响的,则仍需取得个人同意。对于何为“重大影响”,仍有待后续观察。
四、我们的观察和建议
《个保法》作为我国第一部个人信息保护的专门法律,将成为建立我国个人信息保护法律制度的重要法律基础。
《网络安全法》、《数据安全法》、《消费者权益保护法》、《民法典》等法律及网信办、工信部、公安部等出台的一系列规范性文件为企业合规及政府执法提供了一般性法律依据,电信及互联网企业、App等互联网产品近年来尤其受到重点执法监管。随着《个保法》的出台,我们相信执法标准将更加严格、深化,且将向各个行业深入。对于不同行业及领域的企业存在很多共性的要求,包括建立合规体系、梳理数据处理和收集的要求,同时他们也可能面临不同的风险点及合规挑战。对于企业来说,需要根据《个保法》上述各方面的新要求来制定合规的策略和体系。一些共性的需要考虑的重点要求及合规步骤包括:
1、梳理个人信息收集、使用场景。了解自身收集、存储、处理、转让、共享信息的各种情况和场景,对于每种情况下的合规状况全面、细致的掌握。
3、完善信息收集同意的流程,并增加单独同意机制。对自身的线上(如网站、App以及小程序等)、线下的各种收集场景进行评估,考虑是否修改相应的流程和同意的获得机制。
4、设置敏感信息、特殊收集情形保护的特别机制。对敏感个人信息,或采用人像识别或身份识别设备收集、使用、存储情况进行特别的评估、记录、满足法律要求的要件。
6、设计相应机制保证个人信息主体权利的行使。保障个人信息主体的权利可以便捷的行使,包括为死亡自然人亲属行使个人信息权利提供方式及渠道。
8、谨慎使用自动化决策工具用于信用评估、商业营销等活动。对于使用通过自动化决策方式对个人进行经济、信用状况等方面进行评估,需在使用前进行安全影响评估,并应个人要求进行说明、提供替代性方案等。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
10、完善修订员工信息收集的情形。根据《个保法》,按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的个人信息收集无需取得个人同意,但企业需考虑员工个人信息收集的必要性及合法性,并需将个人信息收集、使用情况告知个人。
对于涉及医疗医药、金融、电信、汽车、智能制造、物联网等不同行业和领域的企业,还应结合相应行业的特点以及监管的特别要求,例如对汽车行业,最近发布并将生效的《汽车数据安全管理若干规定》,进行相应的合规整理工作。
1.《民法典》第1035条规定,“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件……”