如果你有浏览国外网站、使用国外应用的经验,一定对如今满天飞的各种「弹窗」「横幅」不陌生。这些元素设计各异,但内容和功能都是告知用户将会收集、处理的个人信息类型,使用Cookies的情况,并要求用户同意。不用说,这显然是运营公司适用的当地个人信息法规在发挥威力。
那么,除了中国,世界上目前还有哪些主要的个人信息保护法规,它们与《个人信息保护法》又有哪些异同呢?
首先,在世界范围内谈到个人信息保护,欧盟的《通用数据保护条例》(GeneralDataProtectionRegulation,GDPR)一定是无法回避的话题。这部由欧盟制定的GDPR已于2018年5月生效,常常被视为世界范围内在隐私保护领域最为权威和细致的立法。
下面,本文就以这三部法律为作为当今世界个人信息保护法规的代表,对比中、美、欧三地个人信息保护制度的联系与区别。
要谈「个人信息保护」,首先要回答两个门槛性质的问题:一是「什么数据才算个人信息」,二是「什么活动才算处理个人信息。毕竟,只有在判断「个人信息」、界定「个人信息处理活动」的基础上,才有相应的权利义务可言,才能制定具体的行为准则。
先看个人信息的定义。从下图可见,就一般个人信息的定义而言,三部法律不谋而合,都强调个人信息的「可识别性」特征,即能识别特定个人的信息才算个人信息。其中,CPRA定义的外延略微偏小,进一步通过数据与个人「合理」的「关联性」对其定义进行限缩。
在定义方式上,个保法采取归纳式概括法,GDPR和CPRA除概念外还列举了多种满足条件的信息类型。
此外,三部法律都区分了一般类型的个人信息和敏感个人信息(在GDPR中被称作「特殊类型个人数据」)。如下图所示,三部法律都对敏感个人信息具体包含的数据类型进行了列举,但其具体涵盖类型存在差异,可谓是既有区别又有联系。
至于针对敏感个人信息的特殊保护方式,个保法和GDPR都设置了更高要求的处理条件,如必须用于特定目的、收集处理行为必须是充分必要、必须由信息主体明示或单独同意,以及采取更严格的保护措施等;而CPRA则没有做出此类特别规定。
再看个人信息处理的界定。三部法律都选择了列举方式定义,而列举的内容则存在差异且各有特色:
个保法:收集、存储、使用、加工、传输、提供、公开、删除
GDPR:收集,记录,组织,建构,存储,改编或修改,恢复,查询,使用,通过传输、分发方式进行披露或者其他使个人数据可被他人获得、排列或组合、限制、删除或销毁
CPRA:收集、使用、存储、披露、出售、共享
可见,GDPR所列举的处理方式最多,个保法列举的处理方式次之,但是二者都没有对具体的处理活动进行细致的描述。CPRA则最为精简,没有详细列举处理活动的类型,仅提及6种行为。结合该法上下文,可知加州立法者希望重点规范的是数据的收集、出售和共享行为。
本文开头就提到,信息全球流通、服务覆盖各地,是当今互联网的常态。如果你是立法者,肯定不会仅仅因为一家公司注册在境外、或者机房设在境外,就对它收集境内用户数据的行为视而不见。问题是,如何从法律角度涵盖这样的行为呢?
这就要先了解一下「管辖」这个法律概念。你或许听说过某某法院「管辖」某某案件的说法——这就是狭义的管辖,指法院受理案件的权限和分工,换句话说也就是什么样的案子交由哪个法院负责。
不过,在广义上,「管辖」也可以指某部法律的覆盖范围、某个执法机构的权限与范围,换句话说,哪些主体的哪些行为将受到约束。
回到本文涉及的三部法律,它们的管辖范围如下图所总结:
可以看出,三部法律都管辖境外实体在境内的个人信息处理行为,但在具体范围上存在着比较大的差异。
其中,GDPR的管辖范围非常宽泛,遵循「属地」(即根据个人信息处理行为的发生地判断)加「属人」(即根据个人信息处理主体的注册地判断)的管辖原则,管辖范围广泛、逻辑复杂,一路延伸到境内实体在境外的个人信息处理行为。
个保法对境外数据处理者的管辖较为明确,采取的是「属地」原则为主,例外情形为辅的方法。而CPRA的范围最窄,主要聚焦于「属地」原则,仅管辖在加州开展的商业活动,并设置了一定的管辖门槛使符合条件的中小企业的经营活动可以豁免管辖。
在个人信息的保护中,一个非常重要的议题就是尊重用户的选择权——用户有权决定自己的个人信息能否被处理、以什么方式被处理。相应地,三部法律都对于个人信息处理的原则作出了规定。
其中,GDPR和个保法比较类似,都构建了以「告知—同意」为核心的处理原则,信息主体(用户)的同意是企业处理数据时最重要的合法性基础,且有权随时撤回同意。
而美国的CPRA采取「选择退出」机制,除非消费者选择拒绝出售或共享数据,一般默认消费者同意数据的处理。但是在特定情形下,处理个人信息也需要取得个体的同意。
除此之外,三部法律还反映出一些共同原则:
界定了个人信息,明确了处理原则,接下来就该对处理个人信息的主体做出具体规定了。但这同样不是一个简单的问题:随着互联网商业模式的日益复杂,同一则个人信息可能在不同公司之间多次易手,法律到底应该管到什么范围呢?在个人信息处理中扮演不同角色的公司,是否需要区别对待呢?
在这个问题上,个保法形成了「个人—个人信息处理者」两方主体关系,GDPR则进一步细化,形成了「个人—数据控制者—数据处理者」的三方主体关系。
这里需要注意,GDPR的「处理者」仅仅表示代表「控制者」处理个人信息的主体,「控制者」则指的是决定个人信息处理目的和方式的主体。其中,数据控制者是GDPR下履行义务的主要主体,数据处理者主要根据与数据控制者之间的合同义务行事,GDPR下的法定义务则相对少一些。相反,我国个保法则没有区分处理者与控制者,而是统称为「个人信息处理者」,两者都要遵守个保法下的各项义务。
CPRA则采用了另一套分类方法,区分了「企业」、「服务提供商」和「承包商」三类主体。其中,「企业」的定义接近GDPR的「数据控制者」,其限定于在加州开展业务的营利组织,且需要在上一年度总收入、处理的个人信息数量及个人信息处理与收入的联系上满足一定的门槛。符合条件企业所控制的实体、合营企业及其他自愿受约束的主体也被囊括在「企业」的范围之内。实际上,只有「企业」承担CPRA下的义务;至于「服务提供商」和「承包商」,则只需根据其与「企业」的合同行事,不直接受CPRA约束。
上述不同主体区分方式以及相应义务如下图所示:
比较而言,欧盟GDPR与美国CPRA区分角色的行为能够细化各个主体的义务与责任,更加有利于产业的发展和保护;而我国个保法统一定义为「个人信息处理者」的模式则更加有助于个人信息的保护。
此外,在主体区分问题上,各法规还体现出一些特色:
不过,值得指出,个保法对权利的规定是较为简略,以列举权利名称为主,具体内涵则暂未进一步解释;而GDPR和CPRA对每种权利都进行了细致规定。
此外,较有特色的是,CPRA规定了拒绝后不受报复的权利,中国个保法规定了死者近亲属对死者个人信息拥有的权利。
规范数据的跨境传输是目前全球普遍的立法趋势。个人信息是一种重要的数据类型,对此,欧盟和中国都对其跨境传输进行了限制。我们此前已经对我国的管理方式做出过介绍,这里再与GDPR做一比较。(CPRA是州层面的立法,不涉及个人信息的跨国传输。)
首先,个保法和GDPR的共同之处在于,对于个人信息跨境传输的限制是单向的,即只监管个人信息的流出,而不监管个人信息的流入。
但两部法律的区别在于,GDPR采取了一种类似「白名单」的方式,个保法则规定了向境外传输的具体条件。
具体而言,GDPR首先规定了一个「充分保护水平认定」的名单,向名单上的国家、地区或组织转移数据的,不需要采取特别的保障措施。如果不在名单上,则需要根据GDPR的规定,采取适当的保障措施才能够进行个人信息的跨境转移。
除了上述两种基本规则外,GDPR还规定了两个特殊规则:一是在存在有效国际协议的情况下,可以基于司法判决、行政决定等进行跨境传输;二是在满足特定的条件后,即使缺乏充分保护认定以及适当的保障措施,也可以进行跨境转移。
此外,个保法对涉及一些特殊处理者、接收方的跨境传输提出了专门要求。例如,「关键基础设施」运营者存储于境内的个人信息,确需向境外提供的,必须通过国家网信部门组织的安全评估;境外的司法或者执法机构要求提供存储于境内的个人信息的,应当经主管机关批准等。
权利和义务都要通过责任来保障。对此,三部法律都规定了侵犯个人信息利益的行为,个人有权提起诉讼,而违法主体要承担罚款等后果。
关于法律责任,GDPR、个保法以及CPRA都对违法个人信息保护的行为规定了罚款。就罚款额度而言,GDPR的额度最高,处罚最严厉;个保法次之,而且其规定了多种处罚类型,且采取了双罚制的规定,企业与直接主管人员都要为不当信息处理行为负责。美国CPRA规定的罚金数额则比较低,且规定将把罚款存入消费者隐私基金。