国标要不要遵守? 个人信息保护法给你答案
引言
数字经济方兴未艾, 正在日益与互联网、人工智能、云计算等行业深度融合发展。数据是数字经济的重要支撑, 已成为除土地、劳动力、资本和技术外的第五类“生产要素”。数据保护与规范亟需法律从个人信息与隐私保护、企业数据权益、国家安全与监管等维度作出系统性的制度安排。作为数据保护制度的基础法律, 《个人信息保护法》和《数据安全法》的重要性毋庸置疑。2021年4月29日, 《个人信息保护法(草案二次审议稿)》《数据安全法(草案二次审议稿)》公布。从企业使用数据和合规遵从的视角, 通力网安数据业务小组对审议稿作出系列解读, 本文为第二篇《国标要不要遵守? 个人信息保护法给你答案》。
企业对于《信息安全技术 个人信息安全规范》(“个人信息安全规范”)等个人信息保护国标无疑是纠结的。一方面, 这些国家标准规定了个人信息保护的最佳实践, 另一方面, 这些仅仅是推荐性的国家标准, 本身并无强制力, 不遵守似乎也不会导致任何形式的处罚(笔者注: 当然这一理解并不准确, 因为执法机关会以该等国标作为对于法律条文的解释和执法依据)。
《个人信息保护法(草案二次审议稿)》(“二审稿”)或许可以结束这种纠结。在二审稿之前, 中国已经有大量的个人信息领域的法律法规和国家标准, 与其“另起炉灶”, 在此基础上将已有的规定予以整合、改进, 成了二审稿的最佳选择。以现行法律法规和国家标准为参考系, 二审稿大量整合了此前对于个人信息处理活动的规则, 与此同时, 二审稿还提出一些富有前瞻性的条款。待国标中的条款“升华”为法律条文后, 其强制效力及企业的合规义务将再无疑问。在对二审稿与现行法律、国标的详细对比梳理的基础上, 我们挑选出六个最值得关注的立法发展进行分析, 兹借本文提出我们的解读意见。
一
最小必要原则
个人信息安全规范早已提出“最小必要原则”。此外, 其他多个部门规章、国家标准也对此予以明确(尽管关注点大多落在App合规), 例如不久前四部委联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》以及正在起草的《移动互联网应用程序个人信息保护管理暂行规定》。尽管如此, 法律层级还未将最小必要原则落于纸面。此次二审稿的明确规定使得个人信息保护的最小必要原则又向前迈出了一步。
“最小必要”是保护个人信息主体权益的应有之意。对此, 二审稿较此前发布的《个人信息保护法(草案)》(“一审稿”)和已有的最小必要原则相关立法, 新增了“采取对个人权益影响最小的方式”这一要求, 那么如何理解“采取对个人权益影响最小的方式”呢?
已经发布的国家标准《信息安全技术 个人信息安全影响评估指南》似乎可以提供借鉴。个人权益影响是该国标中提出的分析内容之一, 亦是个人信息安全影响评估的首要步骤。根据该国标, 个人权益影响可分为“限制个人自主决定权”“引发差别性待遇”“个人名誉受损或遭受精神压力”“人身财产受损”四个维度进行考察, 后三者较容易理解, 发生此等后果时企业也容易洞察, 第一个维度“限制个人自主决定权”更值得企业关注。国标中例举“限制个人自主决定权”的情形有: 被强迫执行不愿执行的操作、缺乏相关知识或缺少相关渠道更正个人信息、无法选择拒绝个性化广告的推送、被蓄意推送影响个人价值观判断的资讯等, 我们可以简单概括为“更少信息茧房, 更多开放选项”。
在法律层面没有针对“采取对个人权益影响最小的方式”出台更为详细的细则之前, 我们建议, 至少在APP方面, 企业可参考工信部组织制定的团体标准《APP收集使用个人信息最小必要评估规范》, 该规范对个人信息收集、存储、使用、传输、共享、删除等环节如何落实最小必要原则作出了具体指引。除此之外, 收集环节的最小必要要求还可参考《常见类型移动互联网应用程序必要个人信息范围规定》划定的三十余种常用服务类型的最小必要信息范围。
二
处理个人信息的合法基础
《民法典》及《网络安全法》等现有法律建构的处理个人信息的合法性基础均是围绕知情同意展开, 但以知情同意作为唯一的合法性基础存在诸多缺陷, 亦不是国际社会的通行做法, 我们曾在过往文章《<个人信息保护法(草案)>的明惑之思》一文中作过详细阐释。
二审稿破除了这一做法, 并修改、整合个人信息安全规范第5.6条“征得授权同意的例外”和第9.5条“共享、转让、公开披露个人信息时事先征得授权同意的例外”的情形作为与知情同意并列的处理个人信息的合法性基础。新规对于企业合规的直接利好在于, 不再以取得知情同意作为原则性做法, 而可以尝试依赖于第二项至第七项的规定开展个人信息处理活动, 可以一定程度降低企业一一获取用户授权同意的合规成本, 也可保护企业避免因合规需求而失去商业发展空间。
上述第二项至第七项的合法基础需要未来立法和司法进行释义。例如, “为订立或者履行个人作为一方当事人的合同所必需”“为履行法定职责或者法定义务所必需”应如何理解? 是否一旦存在合同关系或法定义务即可在相关所有个人信息处理活动中免于知情同意? 如不是, 免于知情同意的范围是什么? 对此问题, 敬请期待我们个人信息保护法系列解读中的后续文章《知情同意不再是唯一合法基础》。
三
利用已公开的个人信息
个人信息安全规范中, “利用已公开的个人信息”明确属于获取授权同意的例外情形之一, 但其推荐性国标的“尴尬”地位使得企业不敢贸然依赖该豁免规定。此外, 仅有这样一句原则性的描述并无助于解决现实中的公开个人信息利用问题。最普遍的问题便是, 只要是公开的个人信息, 就可以不考虑使用目的, 随意使用吗?
事实上, 此前的司法实践中对此问题已有涉及, 二审稿对此作出进一步明确对于公开的个人信息的利用必须符合个人信息被公开时的用途, 而对于公开时用途不明的, 处理应当合理、谨慎。我们理解, 此处的“合理、谨慎”可以结合上述“最小必要”及“对个人权益影响最小的方式”进行解读。
当然, 二审稿仍然遗留了部分未解答的问题。例如, 一个最基本的问题是, “公开”的范围如何界定? 是仅限于完全公开的网站、微博等, 还是包括半公开的场合(例如需要注册进入的论坛、贴吧)? 甚至是否包括微信朋友圈和微信群聊? 这些问题也有待于其他法律或行政法规对二审稿进行细化。
四
个人信息跨境传输
自从《网络安全法》生效以来, 个人信息跨境传输便成为企业, 尤其是外资企业头顶的一柄“达摩克里斯之剑”, 而这种情况在《个人信息和重要数据出境安全评估办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》这两部草案公布后显得尤甚。对于大量不构成关键信息基础设施运营者的企业而言, 个人信息跨境传输的相关义务是否需要履行, 如何合规地履行, 成为一个无法回避却无从下手的问题。
通过过往法规草案及二审稿可见, 个人信息跨境传输规则行至今日历经若干阶段, 整体趋势是由“松”至“严”, 又由“严”转向“松而有序, 严而有度”: 现行的法律法规和国家标准只针对关键信息基础设施运营者在中国境内收集和产生的个人信息跨境传输作出约束性规定; 而上述两部法律草案尝试扩大义务范围至所有网络运营者, 要求所有网络运营者在个人信息跨境传输之前均须完成主管部门安全评估; 而在一审稿和二审稿中, 立法者区分关键信息基础设施运营者和一般网络运营者, 并为后者提供了多种可以合规出境个人信息的路径。我们有理由相信, 中国并不寻求个人信息的“出口禁令”, 而是会通过立法、司法手段, 引导企业有序、合规地进行个人信息的跨境传输和利用。
有关二审稿下个人信息跨境传输规则的详细解读, 请见个人信息保护法系列解读系列文章《个人信息出境规则新动向》。
五
个人信息安全影响评估
个人信息安全规范中明确提出了“个人信息共享、转让”“个人信息委托处理”等多个场景下的个人信息安全影响评估要求, 但作为一份推荐性国标, 该等要求略显“底气不足”。二审稿第一次在法律层面对个人信息安全影响评估的情形进行归纳总结, 并对评估的内容进行简单列举, 这预示着个人信息安全影响评估将作为一项法定义务由个人信息处理者予以落实, 建议企业加以重视。
围绕二审稿第五十五条, 我们对其中“其他对个人有重大影响的个人信息处理活动”和不同个人信息处理活动场景下的特殊评估内容进行重点解读:
(一) “其他对个人有重大影响的个人信息处理活动”
“对个人有重大影响的个人信息处理活动”可能与影响个人信息主体权益的高风险个人信息处理活动存在较大重合, 参考《信息安全技术 个人信息安全影响评估指南》, 该等场景包括但不限于:
涉及对个人信息主体评价、打分等直接画像行为, 如进行负面标识、预测健康状态等;
使用个人信息进行自动分析给出司法裁定或其他对个人有重大影响的决定;
系统性的监控分析个人或个人信息, 如在公共区域监控、采集个人信息等;
收集的个人敏感信息数量、比重较多, 收集频率要求高, 与个人经历、思想观点、健康、财务状况等密切相关;
数据处理的规模较大, 如涉及50万人以上、持续时间久、在某个特定群体的占比高、涵盖的地理区域广泛或较集中等;
对不同处理活动的数据集进行匹配和合并, 并应用于业务;
数据处理涉及弱势群体的, 如未成年人、病人、老年人、低收入人群、文化水平偏低人群、寻求庇护人群等;
创新型技术或解决方案的应用, 如生物特征识别、IoT、人工智能等;
处理个人信息可能导致个人信息主体无法行使权利、使用服务或得到合同保障等。
在《个人信息保护法》的实施细则出台之前, 建议企业在出现上述情形前开展个人信息安全影响评估, 并对个人信息处理情况进行记录。
(二) 不同个人信息处理活动场景下的特殊评估内容
二审稿第五十五条中列出的三项评估内容较为概括, 结合不同的个人信息处理活动场景, 企业应对该等评估内容进行特别解释。
以“利用个人信息进行自动化决策”为例, 评估“对个人的影响及风险程度”时需要关注自动化决策的效果, 为保证自动化决策符合个人信息主体的实际情况, 不致产生偏颇从而影响个人信息主体权益, 企业至少应关注下述内容:
是否定期对自动化决策的效果进行评价;
是否对自动化决策使用的数据源、算法等持续优化;
是否向用户提供针对自动化决策结果的投诉渠道。
再以“委托处理个人信息、向他人提供个人信息、公开个人信息”为例, 建议企业在评估第三项内容“所采取的安全保护措施是否合法、有效并与风险程度相适应”时同时考虑:
数据发送方的安全管理保障和安全技术保障能力;
数据接收方的安全管理保障和安全技术保障能力(不适用于公开个人信息的场景);
个人信息是否进行去标识化处理。
六
个人信息安全事件的报告义务
从上表中可以看出, 一审稿和二审稿发布之前, 法律层面未专门针对网络安全事件/信息安全事件(“安全事件”)的报告义务和报告内容统一作出规定, 而关键行业的主管部门已陆续针对本行业的情况制定相关规则。基于此, 我们提示企业, 如企业所在行业已发布单行的安全事件报告规则, 建议企业对照该等规则进行完整汇报。
下文我们将重点讨论发生安全事件时事发单位应向谁报告, 即“履行个人信息保护职责的部门”的指向。二审稿第五十九条指出, 国家网信部门、国务院有关部门、县级以上地方人民政府有关部门统称为“履行个人信息保护职责的部门”, 但未对“有关部门”进行具体说明。结合上述法律法规, 我们对接收报告的部门进行梳理, 详见下表:
结语
尽管二审稿尚为法律草案, 其具体内容在正式颁布前可能变化, 但我们相信已确立的结构体系和相关原则不会发生实质性的改变。《个人信息保护法》可以说是对现有法律法规和国标的“集大成者”, 其确定了个人信息保护的主要脉络。当然, 《个人信息保护法》作为最高位阶的法律, 不可能事无巨细面面俱到, 必然有赖于下位法及国标等“毛细血管”对其的补充和支持。相信随着《个人信息保护法》的正式出台, 企业严肃对待、严格遵从将成为合规共识。
作者:
潘永建 合伙人 +86 136 2172 0830 +86 21 3135 8701 david.pan@llinkslaw.com | |
杨迅 +86 152 2182 2373 +86 21 3135 8799 xun.yang@llinkslaw.com | |
朱晓阳 律师 |
王雪莹 |
往期分享
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。
点击“阅读原文”,直达通力官网了解更多资讯!