【律师视点】周杨、辛小天、史蕾:实务视野 | 《个人信息保护法》(草案)的规范含义解读
北京德和衡律师事务所合伙人
北京德和衡律师事务所合伙人
北京德和衡律师事务所合伙人
自2018年5月25日欧盟《一般数据保护条例》(“GDPR“)正式施行以来,受制于其全球管辖带来的网络主权危机,全球个人数据保护立法掀起层层高潮,美国、日本、新加坡、韩国、巴西、印度乃至阿联酋等国家都陆续完成了相关个人数据立法工作。作为全球最大的互联网市场,中国在法律层面一直没有出台针对个人数据的专门立法。万千企盼之下,《个人信息保护法》(草案)(“草案“)正式全文发布。
《个人信息保护法》(草案)全文共八章七十条,在总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人处理者的义务、履行个人信息保护职责的部门、法律责任和附则等多个层面设计和建构个人信息保护的立法框架。作为数据合规行业的资深从业者,我们最为关注的是与现有的个人信息保护规范体系,特别是标准GB/T 35273—2020《信息安全技术 个人信息安全规范》(以下简称《个人信息安全规范》)相比,《个人信息保护法》对于数据合规实务方面产生的重大影响。本文之目的亦在于从企业风控合规的实操角度观察《个人信息保护法》(草案)可能对实务工作发生影响的以下【23】个重要条款:
第一章 总则部分
1.个人信息的定义采用宽入口设计
2.适用范围采用属地属人双重适用原则
3.重要原则新增合法正当诚信原则、质量原则和协同治理原则
第二章 个人信息处理规则
4.新增处理信息的六大合法理由,且基于同意理由的处理需要赋予用户撤回同意的权利
5.同意的形式要件新增“单独同意”
6.新增豁免告知的法定情形
7.“共同处理”替代了“共同控制”概念,并将二者共同推向责任承担的前台
8.向第三方提供的告知同意要求更为严格,匿名化信息不得重新识别
9.自动化决策及其营销使用场景合并规制,逻辑更加通顺
10.公开个人信息及使用公开的个人信息的特别限制
11.新增公共场所采集图像的特别安排
12.设专节对处理敏感个人信息作出严格限制
第三章 个人信息跨境提供的规则
13.捋顺了个人信息跨境提供需要满足的前提条件
14.国际执法协助扩展至行政执法协助,新增个人数据管制和反制条款
第四章 个人在个人信息处理活动中的权利
15.个人信息主体权利的全面构建
第五章 个人信息处理者的义务
16.强调信息专员制要求,建立负责人报送备案机制
17.建立境外个人信息处理者的沟通路径
18.DPIA强制义务场景具象化
第六章 履行个人信息保护职责的部门
19.个人信息保护职责部门的定义、层级及职责范围更加清晰
20.推动标准和认证体系建设
第七章 法律责任
21.显著提高行政责任处罚标准
22.明确了民事责任法定赔偿制度,明确采用过错推定责任原则
23.公益诉讼制度浮出水面
1.个人信息的定义采用宽入口设计
个人信息是“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。
从该定义可见,个人信息的定义采纳了《个人信息安全规范》个人信息定义的最宽入口模式,无论是识别法(从信息到个人)或关联法(从个人到信息)得到的信息均被认为是个人信息的范畴。该条款的设计实质上也与GDPR设计思路一致。
2.适用范围采用属地属人双重适用原则
属地属人原则双重适用。属地原则方面,“组织、个人在中华人民共和国境内处理自然人个人信息的活动,适用本法“;属人原则方面,”在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一) 以向境内自然人提供产品或服务为目的;
(二) 为分析、评估境内自然人的行为;
(三) 法律、行政法规规定的其他情形。“
同时,《草案》亦在最末明确了不适用的情形,包括:
“(一)自然人因个人或者家庭事务而处理个人信息的,不适用本法。
(二)法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定。”
3.重要原则新增合法正当诚信原则、质量原则和协同治理原则
《草案》确立了七项重要原则,包括合法正当诚信原则,目的明确必要原则,透明原则,质量原则,责任和安全保护原则,禁止非法处理原则,协同治理原则。相对于合法正当诚信原则、质量原则和协同治理原则为新增原则。合法正当诚信原则,是指“处理个人信息应当采用合法、正当的方式,遵循诚信原则,不得通过欺诈、误导等方式处理个人信息”;质量原则,是指“为实现处理目的,所处理的个人信息应当准确,并及时更新”;协同治理原则,是指“国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关行业组织、社会公众共同参与个人信息保护的良好环境”。
4.新增处理信息的六大合法理由,且基于同意理由的处理需要赋予用户撤回同意的权利
相比之前《个人信息安全规范》中采用的“告知同意 – 告知同意的例外”作为合法处理个人信息的适用框架,《草案》采用了与GDPR一致的立法逻辑,直接将告知同意作为处理个人信息的合法理由之一。同时,以“同意”作为合法理由处理个人信息,必须赋予用户撤回同意的权利。
“第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立或履行个人作为一方当事人的合同所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道,舆论监督等行为在合理的范围内处理个人信息;
(六)法律,行政法规规定的其他情形。
第十六条 基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。”
5.同意的形式要件新增“单独同意”
有关同意的规定中,主观要件、形式要件、变更情形、未成年人同意的特殊要求和保障用户可以拒绝同意的权利延续了原个人信息保护体系框架的要求。值得一提的是有关同意的形式要件新出现了“单独同意”的描述。在此之前,单独同意的类似概念曾作为《个人信息安全规范》要求个人信息控制者收集生物识别信息前获取用户同意的形式要件。与之相类似的概念,例如“明示同意[1]”至此将被“单独同意”这个更为明确更容易理解的概念所取代。
“第十四条 处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示。法律、行政法规规定处理个人信息应当取得个人单独同意或书面同意的,从其规定。”
6.新增豁免告知的法定情形
合乎要求的告知义务是合法正当诚信原则和透明原则的重要体现。《草案》在有关告知的要求中,从一般告知内容,告知的形式、变更告知的情形等均作出了细致要求。除此之外,《草案》创设了两项豁免告知的情形,分别是基于保密义务的豁免,和基于紧急情况的豁免:
“第十九条 个人信息处理者处理个人信息,由法律,行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条规定的事项。
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后予以告知。”
7.“共同处理”替代了“共同控制”概念,并将二者共同推向责任承担的前台
《草案》定义了共同处理者的概念,不再区分个人信息控制者和处理者。但也应澄清,除了概念上的重新定义,二者的责任承担方式也由《个人信息安全规范》中的前后台模式转变为共同面向个人主体的连带责任模式,且相关的连带责任包括了合同责任和侵权责任的双方面连带。
“第二十一条 两个或者两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。
个人信息处理者共同处理个人信息,侵害个人信息权益的,依法承担连带责任。”
8.向第三方提供的告知同意要求更为严格,匿名化信息不得重新识别
作为个人信息权利极易遭到漠视和侵犯的缺口,向第三方提供和共享个人信息已逐步受到监管的严密关注。在《草案》中,向第三方提供个人信息需要履行相当严格的义务,包括但不限于(1)事先的充分告知和单独同意;(2)第三方受到严格的处理限制,且额外要求第三方不得对匿名化信息采取技术手段重新识别。
“第二十四条 个人信息处理者向第三方提供其处理的个人信息的,应当向个人告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收个人信息的第三方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。第三方变更原先的处理目的、处理方式的,应当依照本法规定重新向个人告知并取得其同意。
个人信息处理者向第三方提供匿名化信息的,第三方不得利用技术等手段重新识别个人身份。”
9.自动化决策及其营销使用场景合并规制,逻辑更加通顺
在原有的个人信息保护体系中,自动化决策、个性化展示、以及拒绝营销权均分散表述,对于从业者而言曾引起很多误解和争议。本次《草案》从自动化决策的基本决策逻辑应遵守透明和公平原则入手,在决策对个人权益造成重大影响时赋予个人主体拒绝权,并直接限制了自动化决策最为普遍的应用场景“商业营销、信息推送”中应向个人提供“不针对其个人特征的选项”。该条款再次体现了《草案》通顺的逻辑和简明实用的立法技术风格。
“第二十五条利用个人信息进行自动化决策,应当保证决策的透明度和处理结果的公平合理。个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。”
10.公开个人信息及使用公开的个人信息的特别限制
沿用已有的个人信息保护体系,除非取得个人单独同意或者法律、行政法规另有规定的,个人信息处理者不得公开其处理的个人信息。值得一提的是,作为对公开的个人信息遭到毫无门槛的获取的现状的回应,《草案》对于已公开信息的处理作出特别限制,核心主要在于关注已公开信息在公开时的用途,以及使用此类公开信息的用途,具体体现为:(1)只能在合理范围内处理;(2)超出合理范围的处理应当重新告知并取得同意;(3)被公开的用途不明确的应当谨慎处理;(4)使用用途为对个人有重大影响的活动时应重新告知个人并取得同意。
“第二十六条 个人信息处理者不得公开其处理的个人信息;取得个人单独同意或者法律、行政法规另有规定的除外。
第二十八条 个人信息处理者处理已公开的个人信息,应当符合该个人信息,被公开时的用途;超出与该用途相关的合理范围的,应当依本法规定向个人告知并取得其同意。
个人信息被公开时的用途不明确的,个人信息处理者应当合理、谨慎的处理已公开的个人信息;利用已公开的个人信息从事对个人有重大影响的活动,应当依照本法规定向个人告知并取得其同意。”
11.新增公共场所采集图像的特别安排
出于公共安全的需要以及避免公权力的滥用,《草案》制订了有关公共场所采集个人图像和个人身份特征信息的条款,并限制了其安装设备和使用信息目的,要求其设置显著提示。该条款明显是对国际潮流的顺应[2],但对于何为个人身份特征信息尚有待进一步的解释和收口。
“第二十七条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像,个人身份特征信息只能用于维护公共安全的目的,不得公开,或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。”
12.设专节对处理敏感个人信息作出严格限制
敏感个人信息在草案中的定义采用了概念与示例的方式,强调这类个人信息的歧视性后果或造成人身、财产安全的严重危害的后果,相对于《个人信息安全规范》的个人敏感信息列表,“民族”“种族“首次被明确列举。敏感个人信息处理的严格限制体现在(1)处理前提是特定目的和充分的必要性;(2)基于个人同意处理的应获得单独同意或书面同意;(3)征得同意的告知事项增加告知处理敏感个人信息的必要性以及对个人的影响;(4)法律、行政法规规定处理敏感个人信息应当取得相关行政许可或者作出更严格限制的,从其规定。
“第二十九条 个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。
敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。
第三十条 基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
第三十一条 个人信息处理者处理敏感个人信息的,除本法第十八条规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。
第三十二条 法律、行政法规规定处理敏感个人信息应当取得相关行政许可或者作出更严格限制的,从其规定。”
13.捋顺了个人信息跨境提供需要满足的前提条件
在原有个个人信息保护体系下,个人信息跨境提供的规则难以捉摸。《草案》对个人信息跨境需要满足的必要前提进行了整合,并将向个人主体的告知和获取个人主体的单独同意作为另一必要前提条件。
此外,除了关键信息基础设施运营者应当将在中国境内收集和产生的个人信息存储在境内外,处理个人信息达到国家网信部门规定数量的个人信息处理者,同样也受到了前述境内存储约束。二者若确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估。
“第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”
14.国际执法协助扩展至行政执法协助,新增个人数据管制和反制条款
出于在全球数据治理博弈中对中国个人数据主体和数据主权的保护,也出于在国际关系中取得微妙的平衡,本次《草案》首次创制了对个人数据的管制和反制条款,具体体现的措施为将管制和反制对象列入限制或禁止个人信息提供的清单。管制和反制的适用条件也进行了严格限制。其中管制的对象为:从事损害了中国数据主体权益或危害中国国家安全、公共利益的个人信息处理活动的境外机构和个人;而反制的对象则是:对中国采取歧视性的禁止、限制或者其他类似措施的国家和地区。
“第四十一条 因国际司法协助或者行政执法协助,需要向中华人民共和国境外提供个人信息的,应当依法申请有关主管部门批准。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息有规定的,从其规定。
第四十二条 境外的组织、个人从事损害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。
第四十三条 任何国家和地区在个人信息保护方面对中华人民共和国釆取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者该地区采取相应措施。”
15.个人信息主体权利的全面构建
与原有的个人信息保护体系相比,《草案》对于个人信息主体权利进行了梳理和汇总,从8个方面赋予个人信息主体权利:(1)知情权(透明原则的权利落地);(2)决定权;(3)限制权;(4)拒绝权;(5)查阅、复制权;(6)更正、补充权;(7)删除权;(8)规则解释权。
在备受关注的删除权方面,《草案》对个人信息处理者提出了一项类似“行为中止”的删除权救济保障,即,如果个人信息主体要求行使删除权但实际上保存期限尚未届满,或技术上存在很大困难的,则个人信息处理者应当中止/停止处理个人数据以作为对用户删除权的救济。
“第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。
第四十五条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十九条第一款规定情形的除外。
个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。”
第四十六条 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。
个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。
第四十七条 有下列情形之一的,个人信息处理者应当主动或者根据个人的请求,删除个人信息:
(一) 约定的保存期限已届满或者处理目的已实现;
(二) 个人信息处理者停止提供产品或者服务;
(三) 个人撤回同意;
(四) 个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
(五) 法律、行政法规规定的其他情形
法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止处理个人信息。
第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。
第四十九条 个人信息处理者应当建立个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。”
16.强调信息专员制要求,建立负责人报送备案机制
《草案》强调负责人监督管理职责以及责任人个人姓名和联系方式的对外披露要求,个人信息保护责任负责人的设置条件(即处理个人信息数量级别)根据国家网信部门的规定。另外需要注意的是本次《草案》要求个人信息处理者应将个人信息保护负责人的相关联络性信息报送履行个人信息保护职责的部门,该等向政府的强制性报备机制的操作方式有待明确。另外,此次立法层面只是固化了《个人信息安全规范》中负责专员的机制,但没有强制、个人信息保护工作机构的部门设置要求,为中小企业在部门架构设置进行缓冲。
“第五十一条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
个人信息处理者应当公开个人信息保护负责人的姓名、联系方式等,并报送履行个人信息保护职责的部门。”
17.建立境外个人信息处理者的沟通路径
针对中国境外个人信息处理者活动的监管沟通路径,《草案》要求设立境内专门机构或指定境内代表,并要求履行沟通渠道的报送义务,该项规定弥补了一直以来针对境外机构监管的敞口,与《草案》的域外管辖扩展落地直接呼应,也是与欧盟GDPR等域外个人信息保护法的机制保持一致性的对等要求。因此,对于可能触发《草案》适用的外国组织应做好中国境内机构或指定代表的准备。
“第五十二条 本法第三条第二规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。”
18.DPIA强制义务场景具象化
高风险处理活动评估(DPIA)是是个人信息处理者合规经营持续化自主运转以及满足自证要求的最重要渠道之一。但此前,我国DPIA的规定处于《个人信息安全规范》非强制性标准级别,大多数企业也未将评估作为必备内控手段。《草案》此次将DPIA要求提升至法律强制性要求,对于企业内部合规制度建设提出更严格要求。相比《个人信息安全规范》 存在的“高风险”性笼统场景性规定(产品或服务发布前、业务功能发生重大变化时、法律法规有新的要求时、业务模式、信息系统、运行环境发生重大变更时、发生重大个人信息安全事件时),《草案》提出的强制性DPIA要求则从更加具体化的处理活动为出发点 —— 处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向第三方提供个人信息、公开个人信息、向境外提供个人信息,对于处理者来说DPIA的遵循执行上《草案》减少内部判断繁琐和不确定性风险。另外,对于风险评估报告和处理情况记录保存时间提出了至少三年的期限性要求,也应作为企业档案保管制度新变化点。
“第五十四条 个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向第三方提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人有重大影响的个人信息处理活动。
风险评估的内容应当包括:
(一)个人信息的处理目的、处理方式等是否合法、正当必要;
(二)对个人的影响及风险程度;
(三)所采取的安全保护措施是否合法、有效并与风险程度相适应。
风险评估报告和处理情况记录应当至少保存三年。”
19.个人信息保护职责部门的定义、层级及职责范围更加清晰
《草案》下,个人信息保护职责部门的层级划分及职责范围如下表所列;履行个人信息保护职责的部门的具体职责主要包括:(1)宣导和监督;(2)受理投诉和举报;(3)调查处理违法个人信息处理活动。
部门 | 职责 | 备注 |
国家网信部门 | 统筹协调个人信息保护工作 监督管理 | 国家通用监管 |
国务院有关部门 | 在各自职责范围内负责个人信息保护和监督管理工作 | 部门监管 |
县级以上地方人民政府有关部门 | 按照国家有关规定确定 | 基层监管落地 |
“第五十六条 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律,行政法规的规定在各自职责范围内负责个人信息保护和监督管理工作。
县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。
前两款规定的部门统称为履行个人信息保护职责的部门。
第五十七条 履行个人信息保护职的部门履行下列个人信息保护职责:
(一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;
(二)接受、处理与个人信息保护有关的投诉、举报;
(三)调査、处理违法个人信息处理活动;
(四)法律、行政法规规定的其他职责。”
20.推动标准和认证体系建设
与《网络安全法》重视标准建设的原则一致,《草案》在“”履行个人信息保护职责的部门”专章中设有专门条款强调其标准建设的工作职能。同时,《草案》将个人信息保护评估、认证服务纳入到个人信息保护社会化服务体系建设当中,呼应了重要原则中的“协同治理原则”,但哪些机构有权开展、开展流程以及认证结论的时效性等问题仍有待关注具体的实施细则如何确定。
“第五十八条 国家网信部门和国务院有关部门按照职责权限组织制定个人信息保护相关规则、标准,推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务。”
21.显著提高行政责任处罚标准
在《草案》草案中,行政责任的处罚标准在延续原有的《网络安全法》的百万处罚标准基础上,新设了“情节严重”的处罚标准,并将单位罚金提高至“五千万元以下或者上一年度营业额百分之五以下”,直接负责的主管人员和其他直接责任人员罚金提高至“十万元以上一百万元以下”,并同时可导致业务暂停乃至“吊销相关业务许可”的严厉处罚。
该处罚明显借鉴了GDPR中2000万欧元或者企业上一年度全球营收的4%(两者取其高)罚款的严厉处罚思路,也反映了监管对于整肃个人信息处理市场、打击违法处理个人信息的决心。
“第六十二条 违反本法规定处理个人信息,或者处理个人信电未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。”
22.明确了民事责任法定赔偿制度,明确采用过错推定责任原则
民事责任赔偿制度一直是个人信息保护中的弱项,《草案》规定的民事责任赔偿制度非常类似知识产权中的“法定赔偿制度”。即,可证明损失或获益的,以具体损失或获益承担赔偿责任;难以计算损失或获益的,由人民法院酌定赔偿数据。可见,与知识产权法定赔偿制度的由来一致,个人信息侵权赔偿亦存在权利性质的特殊性和损失难以计算的属性,同时笔者也相信,在该具体条款的适用中,也将面临与知识产权法定赔偿条款雷同的困难,诸如如何证明已经满足适用法定赔偿的前提,侵犯个人信息主体多项权利时如何计算法定赔偿额,各区域是否存在统一的赔偿量化标准等,届时我们亦将拭目以待具体的落地细则如何解决实际操作中可能存在的困难。
同时需要注意的是,《草案》明确个人信息民事侵权赔偿适用过错推定原则。根据《民法典》第1165条的规定,“行为人因过错侵害他人民事权益造成损害的,应当承担侵权责任。依照法律规定推定行为人有过错,其不能证明自己没有过错的,应当承担侵权责任。”对于个人信息处理者来说,过错推定原则的适用意味着个人信息处理者必须时刻注意履行“自证合规”义务,在日常的处理活动中严守合规制度,并做好相应的记录和存证。
“第六十五条 因个人信息处理活动侵害个人信息权益的,按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任;个人因此受到的损失和个人信处理者因此获得的利益难以确定的,由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。”
23.公益诉讼制度浮出水面
《草案》提出个人信息权益保护的公益诉讼制度。如同《民事诉讼法》中对公益诉讼主体的定义,“人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织”仍是一个未见踪影却被寄予厚望的机构,但不可否认的是,公益诉讼制度的提出意味着监管当局已经注意到了广大公民个人信息遭受侵犯而无力承担诉讼成本的现状,而我们也相信该现状将在近年内从多个层面得到有力遏制。
“第六十六条 个人信息处理者违反本法规定处理个人信息。侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼。”
注释:
[1]《个人信息安全规范》3.6明示同意 explicit consent
个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作 出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。
注:肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填 写或提供等。
[2]2018年7月15日,欧盟数据保护委员会EDPB在第十二次全体会议上通过了《关于通过视频设备处理个人数据的指南》(以下称《指南》),该指南旨在就如何通过视频设备根据GDPR处理个人数据提供指导。成员国可以维持或引入视频监控的具体国家立法,以便更准确地明确具体要求来调整GDPR规则的应用。
作者简介
周 杨
北京德和衡律师事务所网络安全与数据合规业务部合伙人
周杨律师,北京德和衡律师事务所网络安全与数据合规业务部合伙人,北京律协科技与大数据法律事务专业委员会委员、互联网仲裁院副秘书长,德衡律师集团互联网与TMT业务中心副总监,电子商务合规业务专业委员会主任,具有十余年工作经验,致力于与客户及其互联网产品共同应对每一次合规挑战。
2012年之前在内资知名知识产权律师事务所担任公司部律师及负责人,主要负责高新技术、知识产权相关的企业法律事务,处理事务包含企业法律风险合规处理、投资并购及争议解决。2012年之后在国内著名互联网企业360专业从事网络安全及相关互联网产品合规工作,并在后续执业中专注于互联网高新技术企业及前沿领域研究,擅长领域主要包含个人数据保护、GDPR、信息安全和电子商务平台合规治理(含跨境电商)。
周杨律师代表业绩有:奇虎360多个产品线合规工作,《360隐私保护白皮书》首版撰稿人之一;为某国内知名地产客户提供个人信息保护合规治理项目法律服务;为某金融机构提供个人信息保护合规治理项目法律服务;为某跨国企业员工数据出境提供合规治理法律服务;为某央企下属科技企业提供产品合规治理法律服务;为某著名跨境电子商务平台提供产品合规服务,兼顾国内个人信息保护及GDPR合规需求,为客户产品设计、开发及上线的产品合规工作,以及线上线下运营的商务模式的法律合规工作提供咨询和文件起草服务;为国内大型清算交易中心提供多次GDPR及个人信息保护专题培训;为国内著名女性电子商务平台提供产品合规服务,除完成产品筛查、用户协议、隐私政策撰写及修订工作外,为信息安全部门提供了多轮个人信息保护培训。
手机:18610123230
邮箱:zhouyang@deheng.com
辛小天
北京德和衡律师事务所合伙人,互联网与TMT业务中心总监
辛小天律师,北京德和衡律师事务所合伙人,互联网与TMT业务中心总监, 网络空间安全战略与法律委员会委员,清华大学创业引导年度荣誉导师。
辛小天律师曾就职于MayerBrown JSM 律师事务所,美国美富律师事务所,通用电气及奇虎360 。擅长投融资以及并购法律、互联网法律及合规风控、反垄断法、公司法及劳动相关法律、外商投资及外资公司设立相关法律、中国房地产开发、房产租赁、融资及抵押相关法律、酒店管理相关法律经验。主要业绩:奇虎360多个对外投资项目、奇虎360内部反舞弊等风控制度设立参与、阿里全资收购瀚海源项目法律顾问、乌云公司海外融资项目法律顾问、清华大数据产业联合会法律顾问,并协助多个投资项目、三里屯房地产项目法律咨询、喜来登、万豪、凯宾斯基、悦榕庄等数个酒店管理项目法律顾问、Apollo 基金中国反垄断申报等。
手机:13911159437
邮箱:xinxiaotian@deheng.com
史 蕾
北京德和衡律师事务所合伙人
史蕾律师,北京德和衡律师事务所合伙人,互联网与TMT业务中心秘书长。曾就职于环球资源(NASQ:GSOL)和奇虎360公司法务部,拥有十多年的公司内部法务工作经验。擅长股权激励、公司治理及互联网产品合规风控;专注互联网游戏、直播、互联网教育与出版、大数据和网络安全等行业领域;新三板挂牌及公司治理。
主要业绩:为某大数据公司提供用户隐私保护项目提供专项合规筛查服务,并提供整改建议和员工培训;为多家科技类创业公司提供股权激励方案制定;为互联网公司搭建海外融资架构;互联网教育科技企业新三板挂牌项目;代表多家挂牌公司完成新三板定向增发;担任多家互联网或高科技公司日常法律顾问。
手机:15810040811
邮箱:shilei@deheng.com
✦本文仅代表作者观点,如需转载、节选,请在后台留言