11月1日,《中华人民共和国个人信息保护法》正式施行,这标志着我国个人信息保护立法体系进入新的阶段,为个人信息权益保护、信息处理者的义务以及主管机关的职权范围提供了全面的、体系化的法律依据。
要点
CGGT,CHINAGOINGGLOBALTHINKTANK
1、GDPR遵循“属地+属人”的管辖原则,管辖范围广泛、逻辑复杂;个保法对境外数据处理者的管辖较为明确,采取的是“属地+例外”的原则;CCPA/CPRA主要聚焦于“属地”原则,仅管辖在加州开展的商业活动,并设置了一定的管辖门槛使符合条件的中小企业的经营活动可以豁免管辖。
2、欧盟GDPR与美国CCPA/CPRA区分角色的行为能够细化各个主体的义务与责任,更加有利于产业的发展和保护;而我国个保法统一定义为“个人信息处理者”的模式则更加有助于个人信息的保护。
正文
文/李瑞贾申钟俊鹏李梦涵
中伦律师事务所
摘要:本文以中国《个人信息保护法》、欧盟GDPR、美国CCPA和CPRA三部法律为基础,对中美欧三个法域的个人信息保护制度进行要点梳理和总结,以期助力进一步提高跨境数据合规业务水平,在不同法域的监管机制下发挥最佳运营效能。
前言
2021年8月20日,全国人大常委会通过了《个人信息保护法》(“个保法”),自2021年11月1日起施行,成为中国第一部专门规范个人信息保护的法律。此前,欧盟的《通用数据保护条例》(GeneralDataProtectionRegulation,“GDPR”)已于2018年5月生效,其被视为隐私保护领域最为权威和细致的立法。美国在联邦层面对个人信息保护采取“分散立法”的形式,但在州层面,《2018加州消费者隐私法案》(CaliforniaConsumerPrivacyActof2018,“CCPA”)及其修正案《加州隐私权法案》(CaliforniaPrivacyRightsActof2020,“CPRA”)为保护消费者个人数据的重量级法案。本文将以这三部法律为作为中美欧三个法域的个人信息保护法规的主要代表,对比个人信息保护制度在不同国家的联系与区别。
处于全球化时代,企业如何在“走出去”的同时与当地法律做好衔接,充分理解不同个人信息保护规则的同时不失自身在数字经济中的竞争力,成为企业合规的重要思考方向。本文尝试以尽可能简洁的方式,以三部法律为基础,对中美欧三个法域的个人信息保护制度进行要点梳理和总结,以期帮助企业在理解我国个保法的基础上进一步提高跨境业务的合规水平,在不同法域的监管机制下发挥最佳运营效能。
一、中美欧个人信息保护制度比较
(一)个人信息的定义与分类
三部法律都区分了一般类型的个人信息和敏感个人信息。
就一般个人信息的定义而言,各法都强调个人信息的可识别性特征,CPRA进一步通过数据与个人“合理”的“关联性”对其定义进行限缩。在定义方式上,个保法采取归纳式概括法,GDPR和CPRA除概念外还列举了多种满足条件的信息类型。
就敏感个人信息(在GDPR中被称作“特殊类型个人数据”)而言,各法都对敏感个人信息具体包含的数据类型进行了列举,但其具体涵盖类型存在差异。个保法和GDPR都针对敏感个人信息设置了更高要求的处理条件,如特定目的、充分必要、信息主体明示或单独同意、严格保护措施等,而CCPA/CPRA则没有做出此类特别规定。
对于敏感个人信息的内涵,各法既有区别又有联系[1],总结如下:
(二)管辖范围
各法在管辖上存在着比较大的差异,都管辖境外实体在境内的个人信息处理行为,但GDPR还会管辖境内实体在境外的个人信息处理行为,更加宽泛。总体上,GDPR遵循“属地+属人”的管辖原则,管辖范围广泛、逻辑复杂;个保法对境外数据处理者的管辖较为明确,采取的是“属地+例外”的原则;CCPA/CPRA主要聚焦于“属地”原则,仅管辖在加州开展的商业活动,并设置了一定的管辖门槛使符合条件的中小企业的经营活动可以豁免管辖。具体如下表所示;
(三)个人信息处理活动的范围
三部法律对“处理”个人信息的具体内涵界定上存在差异且各有特色。GDPR所列举的处理方式最多,个保法列举的处理方式次之,但是二者都没有对具体的处理活动进行细致的描述;CPRA则没有详细列举处理活动的类型,仅提及6种行为,且结合全法可知其重点规制的是数据的收集、出售和共享行为。
个人信息“处理”活动的范围,在三部法律中的具体规定如下:
(四)个人信息处理主体及其义务
就个人信息处理主体的界定而言,个保法与GDPR既有相似之处又有所区分。个保法形成了“个人-个人信息处理者”两方主体关系,GDPR则区分了“控制者”和“处理者”,形成了“个人-数据控制者-数据处理者”的三方主体关系。虽然同为“处理者”,但两者的概念和内涵并不相同。GDPR的“处理者”仅仅表示代表“控制者”处理个人信息的主体,“控制者”则指的是决定个人信息处理目的和方式的主体。其中,数据控制者是GDPR下履行义务的主要主体,数据处理者除了要遵守GDPR规定下的少量法定义务,还应当履行与数据控制者之间的合同义务。我国个保法则是将信息处理主体统称为“个人信息处理者”,除“自主决定处理目的、处理方式”的个人信息处理者外,与GDPR项下的“处理者”类似的是“委托处理”情形下的个人信息处理者,其应当按照与委托人的约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息。这种概念差异会带来跨法域对话以及法律适用上的差异。我国企业面临个人信息跨境流动和在欧盟开展经营,以及欧盟企业在我国开展经营时,均应注意概念转换与系列制度的理解问题。
相较之下,CCPA/CPRA则区分了“企业”、“服务提供商”和“承包商”三类主体。其中,“企业”的定义接近GDPR的“数据控制者”,其限定于在加州开展业务的营利组织,且需要在上一年度总收入、处理的个人信息数量及个人信息处理与收入的联系上满足一定的门槛。符合条件企业所控制的实体、合营企业及其他自愿受约束的主体也被囊括在“企业”的范围之内。在前述三类主体中,只有“企业”承担CCPA/CPRA下的义务,“服务提供商”和“承包商”所需要承担的删除等义务受限于其与企业的合同关系,不直接受法案约束。
比较而言,欧盟GDPR与美国CCPA/CPRA区分角色的行为能够细化各个主体的义务与责任,更加有利于产业的发展和保护;而我国个保法统一定义为“个人信息处理者”的模式则更加有助于个人信息的保护。
下表比较详细地列举了各法中个人信息处理主体及其义务:
(五)个人信息处理原则
GDPR和个保法都构建了以“告知-同意”为核心的处理原则,信息主体的同意是企业处理数据时最重要的合法性基础,且信息主体有权随时撤回同意。而美国的CPRA采取“选择退出”机制,除非消费者选择拒绝出售或共享数据,一般默认消费者同意数据的处理。但是在特定情形下,处理个人信息也需要取得个体的同意。
三部法律都认可,有效的同意应当由信息主体充分知情且自愿、明确地作出。CPRA更是排除了部分互联网场景下的具体情形,强调消费者接受通用条款或悬停、静音、暂停、关闭等行为都不构成同意,暗箱操作模式也会导致获得的同意无效。
三部法案都对处理儿童个人信息时须取得的同意做了特别规定,但设置的年龄门槛不同。GDPR以16周岁为界,中国以14周岁为界,CPRA则区分了13周岁和16周岁两种情况,要求处理低于特定年龄的儿童个人信息时取得监护人同意。此外,GDPR和中国个保法都规定了特殊的同意类型以适用特殊情形,而美国采取“选择退出”机制,没有特殊同意的类型。
但也应当注意到,“告知-同意”仅仅是个人信息处理原则中的“程序”要求,除了要满足这一表面要求,各法还都规定了目的原则和最小必要原则来限制个人信息的收集与处理,以此达到更好保护个人信息的效果。换言之,即使个人信息处理者(或控制者等其他术语)获得了信息主体的同意,如果其对信息的处理不符合法律限定的目的和最小必要的原则,同样也会构成侵害个人的信息权益的违法行为。
详见下图所示:
(六)信息主体的权利
三部法律都赋予了信息主体知情权、更正权、限制权、删除权、拒绝权、数据可携权等权利。其中个保法的规定较为简略,以列举权利为主,具体内涵有待进一步解释;而GDPR和CPRA对每种权利都进行了细致规定。
较有特色的是,CPRA规定了拒绝后不受报复的权利,中国个保法规定了死者近亲属对死者个人信息拥有的权利。
(七)自动化决策
(八)个人信息跨境传输
作为一种重要的数据类型,欧盟和中国都对个人信息的跨境传输进行了限制。由于CCPA/CPRA是州层面的立法,不涉及个人信息的跨国传输,因此本部分只对个保法和GDPR作以比较。
首先,对于个人信息跨境传输的限制是单向的,即,只监管个人信息的流出,而不监管个人信息的流入。其次,GDPR对于个人信息跨境传输规定了两种基本规则与两种特殊情况,个保法则规定了个人信息向境外传输的四个条件。此外,由于个保法对数据的存储也做了限制,因此,对于存储于我国境内的个人信息在跨境传输上有特别的要求。
(九)救济与法律责任
关于法律责任,GDPR、个保法以及CCPA/CPRA都对违法个人信息保护的行为规定了罚款。就罚款额度而言,GDPR的额度最高,处罚最严厉;个保法次之,而且其规定了多种处罚类型,且采取了双罚制的规定,企业与直接主管人员都要为不当信息处理行为负责。美国CCPA/CPRA规定的罚金数额则比较低,且规定将把罚款存入消费者隐私基金。
具体内容如下表所示:
二、企业和政府监管合规建议
2021年10月30日,习近平主席在二十国集团领导人第十六次峰会第一阶段会议上发表讲话称:“中国已经提出《全球数据安全倡议》,我们可以共同探讨制定反映各方意愿、尊重各方利益的数字治理国际规则,积极营造开放、公平、公正、非歧视的数字发展环境。”
结合上文介绍的三个主要法域的个人信息保护法律,我们对企业的个人信息保护合规工作提出以下合规建议:
●盘查及确定企业运营过程中的哪些可能受到GDPR、CPRA等境外法律的管辖;●尽快检查现有的隐私政策是否符合个保法(2021年11月1日起实施)的规定,并检查特定情形下是否有符合GDPR、CPRA等境外法律规定的隐私条款;●确认网站的设计足以尽到收集处理用户个人信息的告知义务;●确认哪些情况可能涉及敏感个人信息和未成年人个人信息,并检查该信息处理机制是否符合法律最新规定;●自动化决策可能未来会受到较强监管,应充分注意合规性;●如果企业收集的个人信息由第三方代为处理,注意将合同更新至符合法律的强制性规定,对双方的应尽义务进行补充说明;●开展数据合规培训,确保员工了解法律对个人信息保护的最新要求;●保证技术能够满足用户“彻底删除”、“获得可机读的数据”等合法要求。
此外,就个人信息保护领域的政府监管工作,我们提出如下建议:
注释:
1.中国方面结合了《个人信息保护法》和《个人信息安全规范》(标准号:GB/T35273-2020)。