2020年10月21日,《中华人民共和国个人信息保护法(草案)》正式公开,向全社会公开征求意见。2021年4月26日,第十三届全国人大常委会第二十八次会议对《中华人民共和国个人信息保护法(草案二次审议稿)》进行了审议。2021年8月20日,第十三届全国人大常委会第三十次会议审议通过《中华人民共和国个人信息保护法》,并将于2021年11月1日起施行。
《中华人民共和国个人信息保护法》厘清了个人信息、敏感个人信息、自动化决策、去标识化、匿名化的基本概念,从适用范围、个人信息处理的基本原则、处理规则、跨境传输规则等多个方面对个人信息保护进行了全面规定,个人信息保护领域各主体的行为从此也有了更明确的法律依据。本文将浅析《中华人民共和国个人信息保护法》,以期为各方提供些许参考。
目录
01《个人信息保护法》处于何种法律地位
02《个人信息保护法》的“个人信息”指什么
03《个人信息保护法》需要哪些企业遵守
04一般场景下处理个人信息的法定限制
05特殊场景下的增强义务
06对于个人信息处理者的其他合规要求
07企业可能承担的违法后果
《中华人民共和国个人信息保护法》是我国首部完整规定个人信息处理规则的法律。作为我国个人信息保护框架中重要的组成部分,《个人信息保护法》从立法开始就一直备受瞩目。
《个人信息保护法》一共分为8章74条,在有关法律的基础上,进一步明确了个人信息处理活动中的权利义务边界,细化、完善了个人信息保护应遵循的原则和个人信息处理规则。《个人信息保护法》第一条规定“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”该部法律“根据宪法”制定,意味着《个人信息保护法》已经成为了信息保护的基本法,也意味着个人信息保护权上升为公民的一项基本权利。
何谓“个人信息”?我国《个人信息保护法》第四条给出了如下定义:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
其实关于“个人信息”的定义,各部法律在具体的界定方法、概念的内涵均存在区别。从国际角度横向比较,中国的《个人信息保护法》与GDPR(GeneralDataProtectionRegulation,即通用数据保护条例)在定义上更加类似,二者都将所有可识别和已识别的自然人有关的个人信息都纳入了调整范围,保护范围更广,且都将匿名化信息排除在了个人信息范围之外。而CCPA(CaliforniaConsumerPrivacyAct,即美国加州隐私保护法)则采用定义、列举、排除并行的方式对个人信息进行界定,强调“合理性”,进一步限制了个人信息的范围,CCPA排除适用的信息类型也远远多于GDPR与《个人信息保护法》。三者具体比较可参见下表。
从国内角度纵向对比,《个人信息保护法》的定义与《中华人民共和国民法典》(以下简称“民法典”)、《中华人民共和国网络安全法》(以下简称“网络安全法”)、《信息安全技术个人信息安全规范》(以下简称“个人信息安全规范”)中对个人信息的定义近似,但略有区别,具体可参见下表。
通过比较可以看到,《个人信息保护法》通过内涵和外延较为宽泛的定义方式,最大程度上保证了本法的广泛适用,也最大限度保障了个人信息的保护,维护了个人信息主体的权益。
个人信息与隐私
个人信息与个人隐私呈交叉关系,即有的个人隐私属于个人信息,而有的个人隐私则不属于个人信息。隐私无法包含公开的个人信息,个人信息亦无法包含生活安宁和没有形成记录的隐私。
个人信息与敏感个人信息
个人信息和敏感个人信息呈包含关系,敏感个人信息首先是个人信息。敏感个人信息与个人信息划分的标准是信息的敏感度,强调的是对信息主体造成不良影响的可能性,因此立法对敏感个人信息的保护标准更为严格,保护程度更高。
具体来说,《个人信息保护法》第二十八条将敏感个人信息定义为一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。个人信息处理者只有在具有特定的目的和充分的必要性,并且采取严格保护措施的情形下,才可以处理敏感个人信息。
去标识化与匿名化
在确定个人信息定义和范围时,“去标识化”和“匿名化”是非常重要的概念,两者都是为了保护个人隐私安全的技术防护手段,具备一定的共通性,但是二者也存在着显著区别。
《个人信息保护法》第七十三条分别对“去标识化”与“匿名化”进行了定义:“去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。”“匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。”由此可见,去标识化后的信息,在满足一定条件下,仍可以识别到特定自然人,即去标识化后的信息仍可进行复原。而匿名化后的信息,在任何情况下都无法识别到特定自然人,且无法复原。两者从内涵上类似于GDPR语境下的匿名化与假名化(GDPR将匿名化信息定义为“已识别或可识别的自然人无关的信息或者以数据主体不可识别或不再可识别的方式匿名呈现的数据”,将假名化定义为“在采取某种方式对个人数据进行处理后,如果没有额外的信息就不能识别数据主体的处理。”前者不再适用GDPR,后者仍作为个人信息,依旧适用GDPR),两种不同的技术区别在于数据是否可以被重新识别,匿名化要求该信息无法再识别到特定自然人。即使是在欧盟,判断企业在实操过程中是否实现了匿名化,也是一项较为困难的事情,就如欧盟第29条工作组在其意见中指出一样:“真正的数据匿名化是一个极高的标准,数据控制者往往无法真正实现数据的匿名化。”
根据个保法的定义判断二者的关键在于,经过处理后的信息是否能够复原且识别到特定自然人。去标识化后的信息因为仍有可能识别到特定自然人,故属于个人信息;而匿名化处理之后的信息,因无法识别特定自然人且不能复原,故匿名化后的信息不属于个人信息,处理这类匿名化信息,不受《个人信息保护法》的保护。
《个人信息保护法》第三条规定:在中华人民共和国境内处理自然人个人信息的活动,适用本法。在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。
由此可见,《个人信息保护法》采取了类似于GDPR的综合立法模式,管辖范围不仅包括境内的个人信息处理行为,还包括了境外部分特定行为,将使用范围扩展至了域外,产生了“长臂管辖”的效果,同时,也与《数据安全法》在法律适用上进行了衔接。
但《个人信息保护法》与GDPR也存在区别:一、《个人信息保护法》强调“属地原则”,而GDPR以“营业地/设立地”为标准。二、GDPR以“保护主体”为标准:即使有关个人数据处理活动的控制者或处理者不在欧盟设立,但若其为欧盟境内的数据主体提供商品或服务、或对发生在欧盟境内的数据主体的活动进行监控,也将同样适用GDPR。对标GDPR“保护主体”规则,《个人信息保护法》对域外适用也进行了规定,当有关个人数据处理活动的控制者或处理者以向境内自然人提供产品或者服务为目的、为分析、评估境内自然人的行为而进行数据处理行为时,也应当适用《个人信息保护法》。从域外适用的范围看,GDPR的范围更宽泛,中国《个人信息保护法》在地域范围上做了适当延伸,但相较GDPR而言更为克制,也体现了个保法的谦抑性。
《个人信息保护法》与《民法典》、《网络安全法》一脉相承,保持和延续了个人信息处理的原则和规定。
而在实践中,大量APP存在收集过量信息的行为。2021年3月12日,中央网信办、工业和信息化部、市场监管总局、公安部等有关部门联合发布了《常见类型移动互联网应用程序必要个人信息范围规定》,列举了“常见类型APP的必要个人信息范围”。对APP采集个人信息的范围进行了一定的限制,而在《个人信息保护法》生效以后,有关监管部门将会对有关个人信息处理进行更严格的监管。
“告知-同意”原则,是指信息处理者在收集个人信息前,应当对信息主体就有关个人信息处理有关事宜进行充分告知,征得信息主体明确同意后方能进行收集的原则。这也是本次个保法中最为核心的处理规则。
但是无论是何种合法性事由,个人信息处理者都需要履行事先告知的义务。相比于《网络安全法》、《民法典》,《个人信息保护法》对于告知义务规定的较为详细,给企业在法律层面做出了明确的指引,但企业在不同场景下如何具体落实告知同意原则,后续可参考《信息安全技术个人信息告知同意指南(征求意见稿)》。
由于在现实生活中存在的利益众多,公共利益、法定职责、国家利益、自然人的生命健康和财产安全等利益有时会存在冲突,所以,“同意+例外”规制方式,给予了个人信息处理更灵活的空间,也能够更好地保护国家和公民的利益。但是我们发现,相较于《个人信息安全规范》第5.6条之规定,《个人信息保护法》大大压缩了理论上可以具有合法性的情形,简化了处理个人信息处理的合法性基础,可能给后续落地带来新的问题,使得一些具有正当性的个人信息处理情形陷入于法无据的困境。
科技是把双刃剑,《个人信息保护法》在吸纳《电子商务法》和《个人信息安全规范》关于定向推送和个性化展示的规定基础上,对“自动化决策”作出专门限制,增加了“禁止大数据杀熟”条款,明确规定“自动化决策应保证透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。”丰富了对歧视性定价、算法歧视问题的规制路径。
《个人信息保护法》第二十四条中还明确“通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。”个保法在赋予个人主体拒绝权的基础上要求个人信息处理者提供“便捷”的拒绝方式,为用户提供退出或关闭个性化展示模式的选项,对信息处理者有较强的制约,信息处理者的责任进一步加重。
撤回同意,实质为个人信息主体意思表示的撤销,即个人信息主体基于“告知-同意”原则,取消自己已经作出的“同意”的意思表示。
根据《个人信息保护法》第十五条的规定,个人信息处理者应当提供“便捷”的撤回同意方式,我们理解便捷的方式,包括但不限于将撤回的按钮置于醒目的位置,与“同意”的选项相对应,给与对应撤回的选项等等,其困难程度不能高于“同意”的方式,企业在落地实施的过程中,可以参考《信息安全技术个人信息告知同意指南(征求意见稿)》第9.3条同意的撤回的规定。另外,由于数据的可复制性,个人信息处理者在处理个人信息的过程中,可能将个人信息向其他第三方共享、提供、委托处理等等,在这些情况下,个人信息处理者还需要在共享、提供、委托处理等环节设置相应的联动机制,保证在个人信息主体撤回同意后,这些第三方个人信息接收方能够按照个保法的要求进行删除。
在《个人信息保护法》项下,个人信息处理者需要征得个人单独同意的场景如下:
就“单独同意”的适用频率和行业普适性而言,《个人信息保护法》第二十三、二十九、三十九条相较于其他两条更高,也是许多企业无法避免的。作为个人信息处理者的企业应从个人信息的敏感度、场景进行风险分析,基于处理行为的类型去区别实施不同的同意方式,并为实现不同的同意匹配新型的同意机制。
目前大数据行业的快速发展依赖于数据的共享与流动,《个人信息保护法》对单独同意的要求,意味着强监管时代的到来,在后续落实阶段,可能会给大数据行业个人信息的数据生态带来巨大的改变,企业在个人信息保护领域都需要构建全生命周期的数据合规管理体制,特别是数据的对外提供,此时,如何在不对外提供数据的情况下实现数据的价值呢?隐私计算或能在一定程度上实现“数据的可用不可见”。例如“联邦学习”强调双方原始数据皆无流转,不存在对外提供、共享数据的情况,双方采用多方计算、同态加密等算法以及可信执行环境等,使用高强度加密算法确保数据的安全,解决了数据合作方之间互不信任而又可释放数据价值。
《个人信息保护法》对敏感个人信息处理者的特殊要求可以总结为三句话:目的限定更严、告知事项更多、同意机制更严。
根据《个人信息保护法》规定:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”由此可见,除敏感个人信息原有定义外(详见上文),《个人信息保护法》还将未成年个人信息明确列为敏感个人信息,加以重点保护,此时还需要注意,《儿童个人信息网络保护规定》同样将不满十四周岁的未成年人定义为儿童,因此,企业在遵守《个人信息保护法》的同时,还需要遵守《儿童个人信息网络保护规定》的规定。
《个人信息保护法》设专节对处理敏感个人信息作出更严格的限制,第二十九条至第三十条对敏感个人信息的处理规则上作出要求。其他章节中,第五十五条对敏感个人信息事前影响评估进行规定,第六十二条提出监管将制定专门的个人信息保护规则、标准。
对于数据跨境的要求,我国已有多部法律法规以及国家标准进行规制,例如《数据安全法》、《网络安全法》、《关键信息基础设施安全保护条例》及《网络安全审查办法》等,因此需要结合其他法律法规共同理解。
首先,《个人信息保护法》进一步完善了个人信息跨境提供规则,相比《网络安全法》,《个人信息保护法》扩展了适用于数据本地化的适用主体范围,除关键信息基础设施运营者以外,还增加了个人信息达到国家网信部门规定数量的个人信息处理者,其中对于“规定数量”,还有待国家网信部门的细化规定出台。《个人信息保护法》第四十条规定:“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”这与《网络安全法》第三十七条规定基本上保持一致。
作为个人信息处理者,如需向境外传输数据,首先应当判断其拟出境的数据是否涉及数据本地化要求,只有在不涉及数据本地化要求的情况下,才能进一步考虑个人信息出境需要满足哪些具体条件。需要特别注意的是,根据《数据安全法》第三十一条及《网络安全法》第三十七条之规定,企业还需要判断是否涉及重要数据,否则即使是一般数据处理者,也同样需要遵守主要数据境内存储,境外提供需要单独进行安全评估的要求。
其次,当不涉及数据本地化要求的情况下,例如个人信息主体需要向境外提供个人信息的情况,《个人信息保护法》第三十八条规定了四项数据出境的合规路径:1、通过国家网信部门组织的安全评估;2、接受专业机构进行的个人信息保护认证;3、与境外接收方签订根据国家网信部门制定的标准合同(类似于GDPR下的SCC条款),约定双方的权利义务;4、提供了符合法律规定的兜底条件。
再者,《个人信息保护法》对个人信息跨境流动需要满足的必要条件进行了充分整合,并将向个人主体的告知和获取个人主体的单独同意作为另一必要前提条件。《个人信息保护法》第三十九条规定:“个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。”个保法要求个人信息处理者提前告知并获取个人信息主体同意的义务可以被视为数据出境行为的前置条件。
最后,《个人信息保护法》对境外的个人信息处理者也作出了更严格的规定。根据《个人信息保护法》第五十三条之规定,中国境外的个人信息处理者,需设立境内专门机构或指定境内代表,并要求履行沟通渠道的报送义务,这也弥补了一直以来针对境外机构监管的敞口。
个人信息处理者负有配合个人信息主体行使权利的义务。个保法明确了个人信息主体享有的一系列权利,实则也是对个人信息处理者的合规性也提出了更高的要求。个人信息处理者应注意从以下几方面加强自身内部的合规建设。
根据《个人信息保护法》第五十一条的规定,个人信息处理者应建立内部合规制度,企业可以结合《个人信息保护法》及其他关联法律法规、国家标准、指南等的规定,结合自身业务特点进行补充调整。具体而言可以从以下几方面着手落实。
根据《个人信息保护法》第五十二条规定,对于处理个人信息达到国家网信部门规定数量的个人信息处理者,应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
《个人信息保护法》中尚未对“国家网信部门规定数量”进行明确规定,可参考《个人信息安全规范》第十一条:满足以下条件之一的组织,都应当设立专职的个人信息保护负责人和个人信息保护工作机构:(1)主要业务涉及个人信息处理,且从业人员规模大于200人;(2)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;(3)处理超过10万人的个人敏感信息的。
对高风险信息处理活动进行个人信息保护影响评估,是个人信息处理者合规经营、持续自主运转的要求,也是个人信息处理者满足自证要求的保障。
在个保法出台之前,《个人信息安全规范》等有关文件虽对个人信息保护影响评估也有所规定,但并非强制性,故大多数企业也并未将此作为一项必备的内控手段。此次《个人信息保护法》第五十五、五十六条对需要进行个人信息保护影响评估的情形与个人信息保护影响评估应包括的内容进行了详实规定,从基本法的高度将个人信息保护影响评估提升为了一项对个人信息处理者的强制性要求,作为个人信息处理者的企业需要更加注意,并且予以贯彻落实。
《个人信息保护法》在处罚的措施的多样性与处罚力度方面较之前的立法有了大幅度提升。特别是第六十六条中规定的大额罚款,不仅借鉴了GDPR中2,000万欧元或者企业上一年度全球营收的百分之四(两者取其高)罚款的严厉处罚思路,更将罚款力度增加到上一年度营业额的百分之五。
总体而言,《个人信息保护法》的责任追究体系十分完整,涵盖了民事、行政与刑事领域,且十分严厉,具体可参见下表。
如何平衡个人信息权益的保护和数字经济发展两者之间的关系,是当代社会必须要面对的命题。《个人信息保护法》根据宪法制定,是我国个人信息保护的基本法,具有优先适用的效力。个保法为监管机关的执法活动和企业的合规体系建设提供了重要指引,也是中国对当前全球数字治理的制度贡献。