个人信息处理合规要点
引言
数字经济方兴未艾, 正在日益与互联网、人工智能、云计算等行业深度融合发展。数据是数字经济的重要支撑, 已成为除土地、劳动力、资本和技术外的第五类“生产要素”。数据保护与规范亟需法律从个人信息与隐私保护、企业数据权益、国家安全与监管等维度作出系统性的制度安排。作为数据保护制度的基础法律, 《个人信息保护法》和《数据安全法》的重要性毋庸置疑。2021年4月29日, 《个人信息保护法(草案二次审议稿)》《数据安全法(草案二次审议稿)》公布。从企业使用数据和合规遵从的视角, 通力网安数据业务小组对审议稿作出系列解读, 本文为第三篇《个人信息处理合规要点》。
实践中, 个人信息处理情形多样, 既可能由单一主体进行, 也有可能由多个主体共同决定个人信息的处理目的和方式, 还有可能是某一主体委托第三方按一定要求处理个人信息。不同于此前《信息安全技术 个人信息安全规范(GB T35273-2020)》(以下简称“《个人信息安全规范》”)沿用GDPR的规定, 采用“个人信息控制者”, 《个人信息保护法(草案二次审议稿)》(以下简称“二审稿”)采用“个人信息处理者”的概念。在具体规定层面, 《个人信息安全规范》主要围绕个人信息控制者处理个人信息的要求与规范展开, 而二审稿主要围绕“个人信息处理者的义务”与“处理个人信息的要求与规范”展开, 似乎意在区分“个人信息处理者”与“其他参与处理个人信息的主体”的不同义务。本文根据二审稿的规定, 厘清处理个人信息的过程中, 不同主体应当遵守的义务, 为承担不同个人信息处理角色的企业提供合规思路。
一
处理个人信息的主体
一般而言, 区分“控制者”和“处理者”的目的主要是确定权责。通过上述不同条文对比, 我们可以发现“有权”/“自主”/“有能力”决定如何处理个人信息的主体需要对个人信息主体承担主要责任。至于如何解释“自主决定”“有能力决定”, 中国法尚未作出明确解释。值得注意的是, 二审稿区分了“个人信息处理者”与“其他参与处理个人信息的主体”, 具体情形可以分为:
(1) 个人信息处理者处理个人信息;
(2) 个人信息处理者全权委托他人处理个人信息, 由受委托方处理个人信息;
(3) 个人信息处理者向第三方提供其处理的个人信息, 由接收方在指定范围内处理个人信息。
即使二审稿未作场景上的明确区分, 实务操作中企业仍应区分“共同处理”还是“委托处理”, 即首先应明确框定“我方”的数据处理需求, 探明“对方”实际的数据处理能力, 了解“对方”对合同项下的数据是否也有处理的需求。在构成共同处理的场景下, 主要明确各自的权利义务, 划分数据和隐私安全责任, 发生侵权事件后的追偿权利等; 在委托处理的场景下, 主要明确受托方处理数据的范围和目的, 是否允许转委托等。
二
个人信息处理义务
根据个人信息的全生命周期, 我们暂将二审稿中参与个人信息处理的各方区分为个人信息处理者、受委托处理个人信息的主体, 以及个人信息的接收方。这三类主体处理个人信息时应当遵守一般义务的同时, 还应当遵守各自的不同义务。
1. 处理个人信息需采取对个人权益影响最小的方式
处理个人信息方面, 除了个人信息处理应在“最小必要范围”这一要求外, 二审稿还在一审稿的基础上新增“对个人权益影响最小的方式”。这一修订对处理个人信息的主体提出了更高的要求, 保障个人信息主体的权益。
该表述与个人信息安全影响评估制度(“DPIA”)的评估事项较为类似。DPIA旨在特定情形下对个人信息处理活动进行评估, 并根据评估结果采取适当的安全保护措施, 降低对个人信息主体权益的影响。即使是《信息安全技术 个人信息安全影响评估指南(GB/T39335-2020)》(以下简称“《个人信息安全影响评估指南》”)也未要求必须将对个人信息主体权益的影响降至最低, 但二审稿却提出此要求, 对个人信息处理提出了更为严苛的要求。在实操层面, 如何理解“影响最小”, 是否需要衡量成本与效率, 尚需立法进一步明确。
2. 利用个人信息进行自动化决策的相关要求
在自动化决策方面, 二审稿增加商业化营销与信息推送需要“向个人提供拒绝的方式”, 这一规定直指实践中个性化广告无法关闭或关闭流程繁琐的弊端, 与二审稿第十六条规定的“个人信息处理者应当提供便捷的撤回同意的方式”相呼应, 新增的这一规定要求企业在进行精准化营销的同时, 赋予用户“拒绝权”, 使得用户可以自主、便捷地退出或关闭该等自动化营销和推送。
3. 受委托处理个人信息的要求
在委托处理个人信息方面, 除了一审稿规定的合同履行完毕或合同解除, 二审稿还增加了委托合同不生效、无效、撤销等情形下删除个人信息的要求, 且“不得保留”。按照这一要求, 一旦委托合同无效、终止等, 受委托处理个人信息的企业从可访问数据中“删除”相关个人信息是不够的, 必须在其数据库中彻底删除个人信息。
三
个人信息处理者的义务
个人信息处理者处理个人信息时应特别注意的义务, 我们首先总结在下表中, 表后我们选取几项重点内容进行解读:
1. 主动删除个人信息
二审稿第四十七条规定, 个人信息处理者在以下情形中应当主动删除个人信息:
(1) 处理目的已实现或者为了实现处理目的已经不再必要;
(2) 个人信息处理者停止提供产品或者服务, 或者保存期限已届满;
(3) 个人撤回同意;
(4) 个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
(5) 法律、行政法规规定的其他情形。
二审稿此处修改表明, “主动删除”特定的个人信息成为个人信息处理者必须遵守的义务。以机场、火车站安检中的人脸识别为例, 机场或火车站为了公共安全的目的对旅客进行人脸识别后, 其目的已经达成, 属于二审稿中的“处理目的已经实现”, 机场或火车站不应继续对该等个人生物特征信息进行保留和分享, 而应当主动删除; 再如, 根据工信部近期发布的《关于侵害用户权益行为的APP通报(2021年第3批)》[1], 多款天气类、新闻类手机应用软件存在超范围收集个人信息以及违规使用个人信息的情况, 根据二审稿, 此类手机应用软件属于违规收集、使用个人信息, 个人信息处理者应当主动删除该等个人信息。
2. 安全审计义务
二审稿要求个人信息处理者对其个人信息处理活动进行审计。在个人信息处理者的处理活动存在风险或者发生个人安全事件时, 履行个人信息保护职责的部门有权要求个人信息处理者委托第三方进行合规审计, 并对个人信息处理者的负责人进行约谈。
二审稿对于个人信息处理者的安全审计仅为原则性规定, 在安全审计的内容方面, 《个人信息安全规范》具体规定了六项内容, 可供企业参考, 具体包括: (1)审计个人信息保护政策、相关流程和安全措施的有效性; (2)建立自动化审计系统; (3)支撑安全事件处置、应急响应和事后调查; (4)防止非授权访问、篡改、删除审计记录; (5)及时处理审计过程中发现的个人信息违规使用、滥用情况; (6)审计记录和留存时间符合法律法规要求。
3. 基础性互联网平台服务提供者的特殊义务
近期执法部门对互联网巨头展开密集执法。这一形势下, 二审稿新增五十七条, 对基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者设定特定义务, 包括成立由外部成员组成的独立机构、停止对平台内严重违法违规的产品或服务提供者提供服务、定期发布社会责任报告等。
4. 风险评估义务
二审稿在个人信息处理者的事前风险评估方面未对一审稿进行实质性修改。需要提示的是, 2021年6月《个人信息安全影响评估指南》即将生效, 《个人信息安全影响评估指南》对个人信息出境前评估以及委托处理、向他人提供、公开个人信息前评估的因素和场景等进行了细化, 人信息处理者的事前风险评估宜参照《个人信息案影响评估指南》行事。
[1] https://www.miit.gov.cn/jgsj/xgj/fwjd/art/2021/art_4723dbffa9c94812b70236b9a1ff951a.html
作者:
潘永建 合伙人 +86 136 2172 0830 +86 21 3135 8701 david.pan@llinkslaw.com | |
杨迅 +86 152 2182 2373 +86 21 3135 8799 xun.yang@llinkslaw.com | |
邓梓珊 |
沙莎 |
往期分享
国标要不要遵守? 个人信息保护法给你答案
个人信息出境规则新动向小荷才露 — 简析《个人信息保护法》草案的实践影响
《个人信息保护法(草案)》的明惑之思通力组建大合规业务团队
通力获评2021年度LEGALBAND中国法律卓越大奖“最佳网络安全与数据合规律师事务所”
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。
点击“阅读原文”,直达通力官网了解更多资讯!