《个人信息保护法》正式生效,我们聊聊合规落地中的“五六七”
作者:
陈际红 吴佳蔚 焦雅婷
陈煜烺
一、五大合规风险
11月1日,《中华人民共和国个人信息保护法》(以下称“《个保法》”)即正式生效,新的个人信息保护时代已然来临。
在《个保法》建立的个人信息法律框架下,企业合规将面临前所未有的挑战。《个保法》生效伊始, 我们认为企业所面临的突出合规风险主要包括行政处罚、民事诉讼、公益诉讼、高管责任、媒体舆情及协会组织的质疑等五大方面:
(点击图片看大图)
除上述风险外,企业还可能面临因个人信息保护层面的合规程度低而受到合作伙伴质疑,进而失去商业机会;此外,企业如违法出售、非法提供、非法获取公民个人信息且情节严重的,还将面临构成侵犯公民个人信息罪的刑事风险。
我们认为,企业可结合自身的业务特点,评估适用性和影响程度,同时结合监管关注热点和行业实践的情形,采取风险导向的合规思路,适当确定合规任务优先级。基于此,我们根据实务经验,梳理企业面临的六大合规难点问题,涵盖法律基础、单独同意、对外提供、跨境传输、自动化决策及重要互联网平台合规义务,以期帮助企业从内到外、由点及面地展开合规工作,满足法律法规的要求。
二、六项合规难点
1. 难点一:法律基础的判断及边界
法律基础是各项个人信息处理活动开展的前提,也决定着个人信息处理全生命周期的策略。区别于既往《中华人民共和国网络安全法》(以下称“《网络安全法》”)框架下仅以同意作为个人信息处理活动的法律基础,《个保法》明确列举了除同意外的六项法律基础。其中,不乏独具特色的中国式立法方案,如按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需,为应对公共卫生事件,及依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。在实务过程中,全面梳理个人信息处理活动,并合理论证其法律基础一直是企业的痛点和难点之一。例如:
|
为解决法律基础判断这一难点问题,企业需在清晰梳理所涉个人信息处理活动的基础上,按照以下的四步法确定合法基础:
首先,厘清是否存在个人信息收集的法定义务及职责要求,是否存在紧急情况、突发公共卫生事件、公共利益等事项。
如不涉及,继而从用户选择、使用所提供产品或服务的根本期待和最主要的需求出发,明确产品或服务的业务功能及特性,再对法律基础是订立或履行合同的必要抑或是同意加以区分。
第三,如企业以同意作为个人信息处理活动的合法基础,则需特别注意在实践中是否满足同意“充分知情、自愿明确、随时撤回”的标准。
第四,特别地,对于前述创新型法律基础,如人力资源管理及公开个人信息使用,企业在实践中难以比照其他国家或地区的典型做法或判例加以佐证,需严格遵守法律法规的要求,密切关注配套法规的进展及相关执法活动,以及时调整应对。
在法律基础的告知义务层面,除同意需以明确的方式告知用户,使用户充分知情后作出决定外,其他法律基础尚无明确规定需一一向用户说明。但是,我们建议企业在内部梳理法律基础后及时做好记录工作,并以适当方式通过隐私政策等文件对外部披露相关数据处理活动的规则以满足《个保法》第十七条项下的透明性要求,如外部对个人信息处理活动存在疑问或质询,可以以合理理由在第一时间进行解释并作出回复。
2. 难点二:单独同意的适用及标准
《个保法》在敏感个人信息处理、对外提供个人信息、个人信息公开、公共场所图像采集及身份识别、个人信息跨境传输场景下首次提出了单独同意的概念。单独同意从文义解释来看,进一步加强了同意的告知义务,形式上更为分别和独立。从风险控制的角度考虑,单独同意即对本质上可能对用户个人信息权益带来显著影响的场景,施加给企业更严格的注意及告知义务。企业为满足此项要求,将着重分析论证相关场景的必要性及合理性,进而在最小必要的限度内开展此类高风险活动,并向用户告知。但在实践中,企业也面临着单独同意相关的种种困扰。例如:
|
就单独同意的适用,我们理解,企业既然需在上述场景赋予用户单独同意的权利,那必然需要允许用户拒绝同意并随时撤回。然而,除同意外的其他法律基础,其必要性及不可撤回性将使单独同意的作出形同虚设。另外,企业虽然开展上述高风险场景的活动,但是基于非同意的其他法律基础,如订立或履行合同的必要、履行法定义务或职责、公共利益等,该个人信息处理活动亦属于企业不得不承担的责任或履行的义务,如此时予以用户拒绝的权利,对企业而言也并不合理。据此,我们倾向于认为,单独同意仅适用于以同意作为合法基础的处理场景。
对于单独同意的标准而言,如企业确定在某一场景下需获取单独同意,我们理解,企业无需机械地理解法条规定,完全以牺牲用户体验的代价去实现。企业仅需以达到单独提示用户、赋予用户单独选择机会的效果标准出发,从形式和内容两方面加强高风险场景的告知和提示,确保用户充分知悉该个人信息处理活动的目的、方式和范围。
3. 难点三:对外提供、委托处理和共同处理的透明性要求
《个保法》第二十三条规定了个人信息处理者对外提供个人信息的合规要求,其中在透明性要求方面规定了对外提供的增强告知义务,即“告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类”;与此同时,《个保法》第二十条、第二十一条则未对共同处理、委托处理场景提出告知第三方具体信息的要求。在企业实务中,基于此等透明性要求,企业对于《个保法》第二十三条的适用及其与委托处理、共同处理的关系产生诸多难点。例如:
|
目前,实务界和理论界对于对外提供和委托处理、共同处理的含义已展开较为充分的探讨,其中不乏认为“对外提供包括委托处理,进而在委托处理的场景下也需履行《个保法》第二十三条的告知要求,并获得单独同意”的观点。我们理解,从区分对外提供和委托处理的立法目的角度分析,对外提供意味着提供方和接收方系独立的个人信息处理者,需各自对个人信息处理活动承担责任,个人信息主体亦可自行选择向哪一方处理者行权;而委托处理场景下受托人需完全在委托人指示下基于委托人的处理目的、处理方式来处理个人信息,并由委托人对外承担责任,个人信息主体原则上仅与委托人直接交互并向其行权。因此,我们倾向于认定对外提供和委托处理系并列而非包含关系。
进一步,隐私政策向用户披露个人信息处理规则的核心在于充分保障用户的知情权,而区分不同信息处理者类型的效果之一亦在于便于用户行使个人信息主体权利。同上分析,对外提供和委托处理对于个人信息主体行权存在不同的制度效果和立法意旨,据此,就是否披露第三方的姓名或者姓名、联系方式等信息,在委托处理场景下既无法律强制性要求,亦无扩张适用《个保法》关于对外提供条文予以规制的必要。但需提示企业注意,委托处理作为一种处理方式,应构成《个保法》第十七条第一款第(二)项规定的法定告知事项,因此最合规的做法仍为对每一项委托处理的场景均对处理目的、方式、种类、保存期限予以充分告知。
企业应梳理个人信息处理活动中涉及的第三方,从事实[5]和法律两个层面共同厘清与第三方的关系,并在此基础上分别通过隐私政策履行《个保法》第十七条和第二十一条的告知义务;其中,对于委托处理尽管无需告知受托人的名称或者姓名、联系方式,但原则上仍需逐项告知委托处理的具体场景如受托业务类型等,同时,对于第三方供应商提供数据存储、处理、技术支持支持等外部风险较低的委托处理行为,企业可在评估风险的前提下适当放宽要求。
4. 难点四:本地化存储义务及跨境传输
《个保法》在第三章对中国式个人信息跨境传输规则作出规定,提出关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者的本地化存储义务。然而,由于相关配套机制尚不完善,企业的本地化存储义务和个人信息跨境传输的路径可谓迷雾重重。例如:
|
所幸,10月29日,在《个保法》正式生效前夕,国家互联网信息办发布了《数据出境安全评估办法(征求意见稿)》(以下称“《评估办法》”),对部分问题进行了初步解答。
就本地化存储的义务主体而言,除《网络安全法》第三十七条[6]所规制的收集和产生个人信息和重要数据的关键信息基础设施运营者,《中华人民共和国数据安全法》第三十一条[7]规定的收集和产生重要数据的其他数据处理者外,还包括《个保法》第四十条规定的处理个人信息达到国家网信部门规定数量的个人信息处理者。《评估办法》在第四条中对《个保法》中提及的个人信息处理规定数量进行了解释,将“一百万人”直接作为了衡量规定数量的标准,即如处理超过一百万人的个人信息即需要履行本地化存储义务。另外,如个人信息处理者累积向境外提供超过十万人以上的个人信息或者一万人以上敏感个人信息,我们理解,也将可能触发本地化存储义务的门槛。
另外,针对个人信息跨境传输的路径,《个保法》设置了国家网信部门组织的安全评估、按照国家网信部门的规定经专业机构进行的个人信息保护认证、按照国家网信部门制定的标准合同与境外接收方订立合同、或其他法律法规规定四种路径。在其他路径尚不明确时,《评估办法》系统性地说明了安全评估的相关细则,包括数据出境风险自评估事项、安全评估的流程、申报材料等(具体见下图)。
(数据出境安全评估流程图)
5. 难点五:数据和算法双重治理下的自动化决策
人工智能、大数据、机器学习蓬勃发展的当下,人类已逐渐进入“算法社会”。算法带来便利的同时,大数据杀熟、信息茧房、价格歧视等问题也体现了算法的负面效应。《个保法》第二十四条对于自动化决策进行规制,并分别提出了三个层面的合规要求。其中《个保法》关于自动化决策的透明度,以及通过自动化决策作出对个人权益有重大影响的决定时的说明义务,均体现出《个保法》在数据治理层面对于公开、透明的重视;与此同时,近期《关于加强互联网信息服务算法综合治理的指导意见》《互联网信息服务算法推荐管理规定(征求意见稿)》等规定的出台,则从算法治理层面提出了“以显著方式告知用户其提供算法推荐服务的情况,并以适当方式公示算法推荐服务的基本原理、目的意图、运行机制”[8]的告知和公示要求。然而,此等从数据治理到算法治理层面的透明性要求对于互联网企业提出了巨大挑战。例如:
|
事实上,无论是《个保法》还是《互联网信息服务算法推荐管理规定(征求意见稿)》等规定,其对于算法透明性的规定中均未要求披露技术细节,因此,企业不必过于担心因对代码、技术方案等细节的披露不充分而受到监管处罚,也避免企业自身商业秘密、核心经营模式被强制要求公开披露的商业风险。但同时,数据治理和算法治理共同目标在于保护个体的知情权、自决权等权利,据此,企业所披露的算法规则应尽可能便于确保用户理解和作出选择,例如以示例、流程图等方式予以告知。至于算法所披露的详尽程度,从上述规定来看,至少应当包括“基本原理、目的意图、运行机制”等算法的决定性因素。
例如,国内某头部外卖平台即在今年9月首次公开骑手配送中“预估到达时间”的算法规则,其中并未披露技术细节,但对于基本原理(四层算法模型)、目的意图(为骑手提供充裕送餐时间)、运行机制(在模型预估时间的基础上增加三层保护时间)均予以告知。尽管相关规定和监管尺度尚属观察阶段,我们理解关于自动化决策透明度要求的监管红线将始终聚焦于用户,企业可据此部署显著明确、易于用户理解的自动化决策规则公开机制。
6. 难点六:重要互联网平台的义务主体定位
平台治理一直是近期的监管重点和难点,除《中华人民共和国反垄断法》《关于平台经济领域的反垄断指南》等规定从反垄断的层面提供规制思路外,《个保法》第五十八条则从个人信息保护层面对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者提出了特殊合规义务。然而,此等合规义务在实务的落实过程中也出现了障碍,核心问题在于:
|
值得关注的是,在《个保法》正式生效的三天前,国家市场监督管理总局于10月29日发布了《互联网平台分类分级指南(征求意见稿)》(以下简称“分类分级指南”)《互联网平台落实主体责任指南(征求意见稿)》,其中《分类分级指南》明确了平台的分级依据,即“综合考虑用户规模、业务种类以及限制能力”。其中,用户规模即平台在中国的年活跃用户数量,业务种类即平台分类涉及的平台业务,限制能力即平台具有的限制或阻碍商户接触消费者的能力。而就企业最为关心也是最易被量化的判断标准——用户规模而言,《分类分级指南》提出“超级平台”的标准为在中国的年活跃用户不低于5亿,“大型平台”的年活跃用户不低于5000万。
尽管该《分类分级指南》系由市场监管总局而非网信办等个人信息专门主管部门发布,且其未明确指出适用于《个保法》第五十八条的判断。但我们理解此等关于“大型平台”和“超级平台”用户规模的具体标准可作为企业判断自身是否构成第五十八条义务主体的参考,并据此尽快开展相关合规义务的部署和准备。例如,部分企业均于近期表示将成立“个人信息保护外部监督委员会”,并公开招募隐私保护监督员,此即履行《个保法》第五十八条第一款第(一)项“成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”的合规要求。
三、七条合规指引
企业在开展个人信息保护合规部署过程中出现的合规难点问题有赖于行业的共同探索,也有待于监管执法的进一步明确。针对目前关于《个保法》理解和适用中的前述重难点问题,我们提出如下合规路径,企业应当尽快做好准备,迎接我国个人信息保护新纪元。
*
1. 企业需首先关注2C端网络产品等易受用户投诉及监管关注的高风险场景,并进行集中治理,积极采取有效措施尽快取得阶段性合规成果,避免直接触发相应民事、行政、甚至刑事责任。
*
2. 企业需在梳理内部所有个人信息处理活动的基础上,首先厘清是否存在同意及合同之外的其他法律基础,其次明确产品或服务的基本业务功能和扩展业务功能,再对法律基础是订立或履行合同的必要抑或是同意加以区分,同时在内部及时做好记录工作。
*
3. 单独同意仅基于以同意作为个人信息处理活动的法律基础,企业仅需以达到单独提示用户、用户单独选择的效果标准出发,确保用户充分知悉该个人信息处理活动的目的、方式和范围。
*
4. 对外提供、委托处理和共同处理系三种并列而非隶属的模式,企业可依据《个保法》履行不同程度的告知义务;对于委托处理不必告知第三方具体信息,但原则上仍应逐项告知委托处理的具体场景。
*
5. 本地化存储及跨境传输相关细则仍有待进一步明确,企业可参照《评估办法》对自身用户量及个人信息处理量级进行统计,同时关注法律法规进展,以提前准备应对措施。
*
6. 企业对于自动化决策规则的告知不必披露技术细节,但应以显著明确、易于用户理解作为核心,并包括“基本原理、目的意图、运行机制”等算法的决定性因素。
*
7. 企业可结合《分类分级指南》,从用户规模、业务种类、限制能力等层面综合认定自身是否构成《个保法》第五十八条的义务主体,并据此履行重要互联网平台在个人信息保护层面的合规要求。
面对纷繁复杂的《个保法》及配套法规的法定要求以及日趋严格的监管态势,企业应当理性处理,积极应对,明确数据合规道阻且长,在风险导向的方法论指导下,及时转化外部法律要求为内部合规规范,建立数据合规风险长效识别与治理机制,从而能够在控制风险的前提下为数字化业务发展保驾护航。
[注]
[1] 此处仅列举具有外部性的高风险违规事项,除前述列举事项外,《个保法》中规定的违法事项还包括违法公开个人信息、未履行个人信息处理者的基本义务(制定内部管理制度和操作规程、实行分类管理、采取加密、去标识化等安全措施)等。
[2] 具体免责事由可参见《中华人民共和国民法典》第一千零三十六条:
处理个人信息,有下列情形之一的,行为人不承担民事责任:
(一)在该自然人或者其监护人同意的范围内合理实施的行为;
(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。
[3] 关于个人信息检察公益诉讼从严把握的重点方面具体见最高人民检察院《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》。
[4] 在我国个人信息保护法律框架下,对高管人员作了扩张解释,例如,除传统意义上的董监高外,企业个人信息保护负责人或直接责任人员亦将承担相应的法律责任
[5] 例如,在实务中存在接收方企业希望通过主张自身构成法律层面的受委托处理者,进而降低承担法律责任的风险,但其事实上对于接收的个人信息实施了数据融合等超出原委托协议范围的个人信息处理活动,则其在事实层面已不再属于委托处理,也难以通过主张委托处理而规避监管和责任。
[6]《网络安全法》第三十七条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
[7]《数据安全法》第三十一条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
[8]《互联网信息服务算法推荐管理规定(征求意见稿)》第十四条:算法推荐服务提供者应当以显著方式告知用户其提供算法推荐服务的情况,并以适当方式公示算法推荐服务的基本原理、目的意图、运行机制等。
The End
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权权利保护, 网络安全和数据保护, 反垄断和竞争法
特色行业类别:金融行业, 通讯与技术
吴佳蔚 律师
北京办公室 知识产权部
焦雅婷
北京办公室 知识产权部
陈煜烺
北京办公室 知识产权部
作者往期文章推荐
《网络空间治理升级——从数据治理迈向算法治理》
《<个人信息保护法>正式稿与二审稿对比》
《全景解构<个人信息保护法>,助力企业进入中国个人信息保护新纪元》
《明晰人脸识别案件司法裁判规则,推动AI行业规范发展——最高院人脸识别司法解释解读》
《激活网络安全审查制度 筑牢数据安全防火墙—— <网络安全审查办法(修订草案征求意见稿)>评析》
《欧盟个人数据传输的两项新工具(SCCs):历史演变、法律影响和应对策略》
《九万里风鹏正举:<数据安全法>已来,企业当如何乘风?》
《汽车数据强监管时代开启:<汽车数据安全管理若干规定>(征求意见稿)评析》
《天之未雨 绸缪牖户:企业如何实施个人信息安全影响评估?》
《简评<网络直播营销管理办法(试行)>》
《健康医疗企业IPO数据合规重点问题与应对(下)》
《健康医疗企业IPO数据合规重点问题与应对(上)》
《解读<网络交易监督管理办法>》
《网络安全与数据保护2020年度观察》
《新型电商的数据合规路径》
《EDPB<GDPR下数据控制者及数据处理者概念的指南>解读兼谈<个人信息保护法(草案)>关于处理者的定义》
《2020年APP个人信息治理工作启动,你需要关注的APP自评估指南的主要变化》
《<数据安全法(草案)>观察:构建我国基础性数据安全制度的开端》
《“抗疫”不忘数据合规:<个人金融信息保护技术规范>评析》
《疫情期间企业个人信息保护十问十答》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。