个人信息保护法:逻辑、重点及建议
《中华人民共和国个人信息保护法》(“《个保法》”)历经三读,于2021年8月20日通过,结束了中国个人信息保护基本法律缺位的历史。加上此前颁布的《中华人民共和国网络安全法》(“《网安法》”)和《中华人民共和国数据安全法》(“《数安法》”),中国网络安全领域的法律体系基本成型。
我们将深入分析《个保法》的立法逻辑及重点规则,为相关企业的应对提供初步建议。
一、《个保法》的立法逻辑
(一)个人信息的分层保护
《个保法》对不同类型的个人信息和处理活动采取分层保护的策略。对于一般个人信息及常规处理活动,《个保法》强调充分告知和明确同意,或具备其他合法性基础。对于敏感个人信息以及高风险数据处理行为,处理者除需遵守一般义务外,还需遵守以下特殊要求:
(二)线上与线下的统一适用
与《网安法》中的个人信息保护规则仅适用于网络空间不同,《个保法》未排除对非电子化的个人信息的保护,亦未区分线上、线下的个人信息处理活动,为线上与线下各种形式的个人信息提供统一保护。因此,通过传统方式(如纸质、手工)处理个人信息,或者线上与线下相结合方式(如O2O)处理个人信息,都受《个保法》约束。
(三)从单一到多元的合法性基础
无论是全国人大常委会《关于加强网络信息保护的决定》,还是《网安法》,均将个人同意作为处理个人信息的唯一合法性基础。但单一依赖个人同意作为处理个人信息的合法性基础,既无必要也不切实际,与国外相关实践也不一致。为了缓和《网安法》相关规则的刚性,《信息安全技术-个人信息安全规范》(以下简称“《个人信息安全规范》”)第5.6、9.5条设置了豁免同意规则,但其作为低位阶的推荐性国家标准,虽然在一定程度上满足了实践需要,但无法为企业合法处理个人信息提供坚实的法律基础,尤其是在面对诉讼时,无法作为可靠的抗辩理由。
在此背景下,《个保法》第13条借鉴域外立法,将处理个人信息的合法性基础从一元扩展到多元:
(1)取得个人的同意;
(2)为订立或者履行个人作为一方当事人的合同,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(3)为履行法定职责或者法定义务所必需;
(4)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(5)依照本法规定在合理范围内处理个人自行公开或者其他已经公开的个人信息;
(6)法律、行政法规规定的其他情形。
在欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)中,最为灵活的合法性基础是“控制者或第三方追求合法利益所必需(受个人利益或基本权利自由限制)”,《个保法》未明确引入,但在第(2)项“订立或履行合同所必需”这一合法性基础中增加了“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”,算是在劳动人事领域引入了“合法利益”条款。此外,第(6)项兜底性条款“法律、行政法规规定的其他情形”也为日后根据实践进一步扩展合法性基础留下余地。
合法性基础的多元化是《个保法》带来的主要变化之一,为企业的数据收集、使用和共享等活动提供了更大的灵活空间,预计会对行业产生积极影响;但同时也提出了新的课题,即在实践中如何准确界定、适当选择、合理构建合法性基础,如何避免合法性基础被认定为无效。
(四)商业机构和国家机关一并纳入监管
在规定各类处理者需普遍遵循的个人信息处理规则的基础上,《个保法》对于国家机关处理个人信息的行为设专章予以特别规定,在满足国家机关行使职权需要的同时,对其处理个人信息进行适当约束,以使得其不得过分利用技术手段和国家机器干预私人生活。
《个保法》第37条规定,依照法律、法规授权的具有公共事务职能为履行法定职责处理个人信息,适用国家机关处理个人信息的规定。
(五)对内和对外的全面保护
在全球数据主权争夺趋于白热化的当下,《个保法》在《数安法》基础上,亦发力于强化数据跨境监管,通过设专章专门规定个人信息跨境提供事宜。
《个保法》第36条要求境内处理者采取必要措施,确保境外接收方处理个人信息的活动达到中国个人信息保护标准。此要求与GDPR关于个人数据跨境监管的原则和目标基本一致,但不同于GDPR,《个保法》结合中国的实际情况,并未引入欧盟的“白名单”制度。
在《数安法》第25条、第26条基础上,《个保法》第42条、43条进一步对个人信息出口管制制度与域外对等保护机制作出规定,明确国家网信部门可以将从事危害中国国家安全、社会公共利益和个人信息权益的境外主体列入限制或者禁止个人信息提供清单,并对在个人信息保护方面对中国采取歧视性的禁止、限制或者其他类似措施的国家采取对等措施。
二、《个保法》的重点规则
(一)告知同意规则
《个保法》以近三分之一的篇幅,在很大程度上重构了告知同意规则,这也是《个保法》带来的主要变化之一。
第18条明确了告知的基本内容和有效形式,第14条明确了合法有效同意的基本内涵,此两项内容基本延续了《个人信息安全规范》建立的实践规则。在此基础上,第18条增加了豁免告知的情形,即在法律、行政法规规定应当保密或不需要告知的情形下,可以不向个人告知;但在紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,应当在紧急情况消除后予以告知。我们理解,告知与同意为处理者的两项义务,分别对应个人的知情权与决定权。二者的关系是,告知是同意的前提,知情权先于决定权,无告知则无同意,反之则不成立。因此,豁免告知的情形少于无需同意的情形(即适用其他合法性基础),在豁免告知的情形下,自然无需个人同意;但在无需同意的情形下,不当然免除告知义务,除非落入豁免告知的情形。
《个保法》第14条提出,同意的形式包括自愿明确同意、单独同意与书面同意三种,自愿明确是对同意的一般要求,而单独同意和书面同意则是特殊要求,其适用情形如下:
何为单独同意,《个保法》未予明确。按文义解释,单独同意应区别于捆绑多项业务功能或信息类型的一揽子同意,且应达到明示的标准。
何为书面同意,《个保法》也未予以明确。根据《民法典》第469条,书面形式除包括以合同书、信件、电报、电传等有形地表现所载内容的形式之外,还包括以电子数据交换、电子邮件等方式能够有形地表现所载内容,并可以随时调取查用的数据电文。按照这一定义,用户在网站或APP页面点击、勾选“同意”等按钮,会作为网络操作记录,以数据形式存储在服务器,事后可以随时调取查用,似也符合书面形式要求,但如此理解,则与一般形式的同意并无二致,《个保法》强调书面同意的意义何在,有待进一步讨论。此外,书面同意是否包括个人在电话录音、视频录像中给予的同意,也有待进一步澄清。
综合《个保法》的相关条款,特殊情况下的告知同意规则如下:
(二)公共场所安装图像采集、身份识别设备规则
《个保法》第26条规定,在公共场所安装图像采集设备、个人身份识别设备需同时满足如下要求:
(1)目的限制:为了维护公共安全所必需;
(2)额外告知要求:设置显著的提示标志;
(3)用于其他目的的限制:取得个人单独同意。
此处规定的图像采集设备、个人身份识别设备不限于人脸识别设备,原因在于,图像采集和身份识别设备未必使用人脸识别技术,如安防监控视频可以采集个人图像,但不使用人脸识别技术进行分析、验证或辨识;个人身份识别设备既可以采用人脸识别技术,也可以采用步态识别或声纹识别技术。因此,第26条的适用范围显然宽于《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(“《人脸识别司法解释》”)。
第26条只适用于公共场所。对于何为公共场所,《个保法》没有解释,参照《公共场所卫生管理条例》第2条及经验法则,宾馆、饭馆、理发店、美容店、影剧院、公园、商场(店)、书店、候诊室、候车(机、船)室、公共交通工具等可供不特定人自由出入的场所均为公共场所。《人脸识别司法解释》第2条第1项和《个人信息告知同意指南(征求意见稿)》附录D对公共场所的界定亦与此基本相同;但《人脸识别司法解释》同时使用了“经营场所”和“公共场所”两个术语,二者是否存在不同,有待观察。
关于目的限制,有三种可能性:不存在维护公共安全的目的,仅为了维护公共安全之目的,兼具维护公共安全及其他目的。在前一种情况下,即便获得个人的单独同意,亦不符合目的限制;后两种情况符合目的限制。
对于何为公共安全,参照危害公共安全罪的构成要件,公共安全是指不特定的多数人的生命、健康和重大公私财产安全及公共生产、生活安全,其核心在于保护对象的不特定性。
关于设置显著的提示标志,应以保障个人对设备采集其信息具有“一般威胁感知”为标准,即设备所覆盖的区域是能够被公众知悉的,不能安装在隐秘不为公众所知的地方,强调在实然状态下普通理性人对侵犯隐私威胁的感知,且不会对此抱有合理隐私期待。[1]此外,设置显著提示仅为额外的告知要求,不能代替处理者的告知同意,处理者仍需遵守一般的告知同意规则。
在第26条设置的多重限制之下,智慧零售场景下使用人脸识别技术进行精准营销等应用将面临严峻的合规挑战。
(三)利用个人信息自动化决策的规则
《个保法》第24条在借鉴GDPR和国内实践的基础上,提出了对自动化决策和个性化展示的基本监管要求,初步回应了社会关注的“大数据杀熟”问题,是对算法监管的有限探索。不过,算法监管是个系统工程、前沿工程,现行法律只是零星涉及,还需要更多研究探索,整体设计。
第24条同时规定了自动化决策和个性化展示,二者虽有关联,但分属两种行为。
根据第73条,自动化决策是指是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。进一步参照GDPR第22条及WP29工作组发布的《关于自动化个人决策目的和识别分析目的指引》,自动化决策所依赖的数据既可以是用户画像,亦可以为其他数据,无论自动化决策基于何种数据做出,归根结底其实质其基于技术手段帮助个人信息处理者做出了决定,且该决定可能对信息主体的个人权益造成重大影响,尤其是负面影响,如基于自动化决策做出的决定为拒绝向借款人发放贷款。因此,处理者应保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇;作出对个人权益有重大影响的决定时,个人有权要求处理者予以说明,并有权拒绝处理者仅通过自动化决策的方式作出决定。
关于个性化展示,参照《个人信息安全规范》第3.16条,个性化展示是指基于特定个人的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,向该个人展示信息内容、提供商品或服务的搜索结果等活动。个性化展示的目的在于影响个人的选择与决策,而非处理者自己的决策。对此,《个保法》第24条第2款要求赋予个人以自主控制权,即处理者应提供不针对个人特征的选项或向个人提供便捷的拒绝方式。
(四)个人信息跨境规则
《个保法》第38条将个人信息跨境监管规则的适用主体由《网安法》限定的关键信息基础设施运营者(“CIIO”)扩展到所有的个人信息处理者,从而补齐了个人信息跨境规则体系。
根据第39条,跨境提供个人信息需满足以下前提条件:
(1)向个人信息主体告知向境外提供个人信息的情况,如个人信息接收者、个人信息接收者、提供的个人信息类型等。但如在豁免告知的范围内,则可不履行告知义务;
(2)如以同意作为处理个人信息的合法性基础,则应取得个人的单独同意,如依赖其他合法性基础,则无需取得同意;
(3)境外接收方未被国家网信部门列入限制或者禁止个人信息提供清单。
在满足前提条件的基础上,根据第38条,跨境提供个人信息还需遵循适当的法律路径:
(1)CIIO和处理个人信息达到国家网信部门规定数量的处理者:在本地存储的基础上,如确有需要向境外提供的,需经过网信部门组织的安全评估,但另有规定可以不评估的除外;
(2)其他个人信息处理者:通过专业机构的个人信息保护认证,或者与境外接收方签署网信部门制定的标准合同,或者遵循其他法定路径,三者择一。
(五)个人信息主体的权利
根据《个保法》第44至47条,个人信息主体享有多项权利,大体可分为如下两部分:
(1)基础性权利:对个人信息处理活动的知情权、决定权、限制和拒绝处理权。知情权是决定权和其他权利的前提和基础;限制和拒绝处理权是决定权的展开。
(2)具体权利:对个人信息的查询权、复制权、更正权、删除权、可携权。
相较于既有规则,《个保法》增加了可携权,以及死者亲属行使死者个人信息权利的安排。
关于是否引入可携权,《个保法》的立法过程中存在争议。第45条的规定是,个人请求将个人信息转移至其指定的处理者,符合国家网信部门规定条件的,处理者应当提供转移的途径。其中加入了“符合国家网信部门规定条件”的限制,在引入可携权的同时,提供了灵活空间:如目前在技术实现和成本承受方面存在困难,网信部门可限制适用范围,附加较多条件,未来再逐步放宽。
关于死者的个人信息,第49条规定,自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利,但死者生前另有安排的除外。相较于草案,这种安排更好地平衡了死者及其近亲属的利益。不过,《民法典》第994条规定死者的隐私等人格利益仍受到法律保护,死者近亲属为了其自身的利益对死者的个人信息行使权利,则可能会与死者的人格利益、其他近亲属的利益或意愿形成冲突。如何协调三者之间的冲突,尚待司法实践的检验。
(六)“守门人”的特殊义务
《个保法》第58条增设了大型互联网平台保护个人信息的“守门人义务”,要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,履行以下义务:
(1)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
(2)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
(3)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(4)定期发布个人信息保护社会责任报告,接受社会监督。
这些“守门人”处于互联网生态处理个人信息的关键环节,为其平台内产品或者服务提供者(如APP、小程序、公众号、SDK,以下简称“平台内服务提供者”)提供接入服务(包括分发、下载、更新等),提供运营提供技术资源和信息收集渠道,以及市场和用户触达的渠道。[2]大型互联网平台基于对平台内服务提供者在技术和运营环境上的制约,使得其能够充当管控平台内服务提供者个人信息合规的第一道防线。
但是,《个保法》并未明确界定“重要互联网平台”“用户数量巨大”以及“业务类型复杂”的认定标准。参照《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》,“刀豆诉百赞、微信案”及张新宝教授的观点,以下类型的互联网平台会被认定为“守门人”:
(1)移动应用程序分发平台;
(2)智能终端操作系统服务商;
(3)提供基础性网络服务的互联网平台,如提供网络自动接入或自动传输服务的平台型APP,譬如搭载小程序的微信。[3]
(七)对违法行为的处罚和救济
《个保法》第7章与民法、行政法、刑法进行了妥当衔接,明确了违反个人信息保护义务的法律责任,其亮点包括:
(1)
《个保法》第70条规定的行政处罚具有相当的威慑力。根据该条规,对违法处理个人信息或疏于履行个人信息保护义务的主体处以五千万元以下或者上一年度营业额百分之五以下的罚款,这里的处罚对象既包括处理者,也包括接受委托处理个人信息的受托人。
(2)
《个保法》第69条确立了过错推定规则,即处理者侵害个人信息权益造成损害,不能证明自己没有过错的,应当承担损害赔偿等侵权责任。该条还明确了侵害个人信息权益的赔偿标准,对因个人信息处理活动侵害个人信息权益的,按照个人因此受到的损失或处理者因此获得的利益承担赔偿责任,损失或利益难以确定的,可由人民法院根据实际情况确定赔偿数额。
(3)
《个保法》第70条还规定了公益诉讼制度,处理者违法处理个人信息,侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼。在《个保法》出台前,《民事诉讼法》第55条、《最高人民法院关于审理消费民事公益诉讼案件适用法律若干问题的解释》第1条、第2条,就针对侵害公民个人信息的行为提起公益诉讼给予法律支持。据公开报道,已有广东、江苏、浙江、上海在内的14省市的检察机关陆续探索将个人信息保护纳入公益诉讼范围,深圳、福建、四川等地检察院亦有针对个人信息保护领域提起刑事附带民事公益诉讼。
《个保法》的上述规定将扭转先前因维权成本高、因果关系证明困难、赔偿数额低导致个人信息保护不力的局面。
四、 对企业的建议
《个保法》为个人信息处理提供了多元的合法性基础,这为企业合法处理个人信息提供了更大的灵活空间。企业可根据自身实际情况,在经过充分法律论证后,将当前无法或难以取得个人同意的处理行为,调整为依赖其他的合法性基础;甚至可以结合业务特定,在法律范围内适当构建合法性基础。
《个保法》在很大程度上重构了告知同意规则,尤其是针对敏感个人信息和高风险处理活动,提出了单独同意的要求。单独同意如何理解,针对特定数据类型或特定处理行为的单独同意,如何与当前实践中以业务功能为维度的告知同意规则协调衔接,如何通过产品设计来实现,是否能够得到主管部门和司法机关的认可,是很多企业面临的重大挑战,需要结合产品特点,充分论证后进行调整。
《个保法》未引入“共享去标识化信息无需个人同意”的规则,使得此前依赖这一规则开展数据流通的业务的合法性面临挑战。对此,企业可以根据业务的实际情况,选择其他合法性基础,或者增加用户同意,或者调整业务模式。
《个保法》建立了全面的个人信息出境管理机制,此前悬而未决的非CIIO个人信息出境管理成为法律要求。企业应当对数据出境事项进行梳理,通过修改隐私文件或其他方式,将出境情况充分告知个人,并征得其单独同意,除非可以依赖其他合法性基础;在此基础上,应当与境外接收方签署标准合同(国家网信部门正在制定),并采取必要措施(如合同约束、技术限制、定期复核、合规审计等),确保接收方妥善保护个人信息。未来国家出台个人信息保护认证规则以后,也可以采用认证路径来开展个人信息出境。
企业应当建立并完善个人信息主体权利响应处理机制,设置便捷的行权途经,及时响应个人及死者近亲属的行权请求。《个保法》新增的可携权,可在技术上可行、成本可以承受的范围内明确规则,进行尝试;如实施存在困难,可待主管部门明确适用条件后再行落实。
境外企业如因向境内自然人提供产品或服务而处理其个人信息,或为分析、评估境内自然人的行为而处理其个人信息,无论是否在中国境内设有实体,都应在中国境内设立专门机构或指定代表,负责处理个人信息保护相关事务,并将机构名称或代表姓名、联系方式报送主管部门。这对从事对华经营的外国企业提出了新的要求。如果该等企业在中国境内设有实体,可指定境内实体代为处理个人信息保护事宜;如未设有实体,则可以委托律师、其他机构或个人代为处理个人信息保护事宜。
《个保法》不但要求企业履行各项个人信息保护义务,还要求企业为落实保护义务而建立全面的内部治理体系,包括个人信息保护负责人、内部管理制度和操作规程、安全技术措施、人员管理、安全事件应急管理、合规审计、影响评估等,这对于中小企业来说是比较高的要求。企业只有通过这些措施筑起“防波堤”,才能通过“合规免责”机制,建成防范风险的“避风港”。
注释
[1]张新平:《智能视频监控之法律与技术的嵌合治理》,载《法制与社会发展》2020年第5期。
[2]张新宝:《互联网生态“守门人”个人信息保护特别义务设置研究》,载《比较法研究》2021年第3期。
[3]杭州刀豆网络科技有限公司与长沙百赞网络科技有限公司、深圳市腾讯计算机系统有限公司侵害作品信息网络传播权案,杭州互联网法院(2018)浙0192民初7184号民事判决书;张新宝:《互联网生态“守门人”个人信息保护特别义务设置研究》,载《比较法研究》2021年第3期。
数据隐私与网络安全专栏往期文章
4. Cross-border Transfer of Personal Financial Information
6. APP收购攻略
10. 企业如何应对数据泄露
14. App个人信息保护专项治理暴雨将至,你的屋顶会漏吗?
19. 欧盟《隐私与电子通信条例》(e-Privacy Regulation)草案介绍
22. 《网络安全等级保护条例(征求意见稿)》与《信息安全等级保护管理办法》的条款比对
23. 从《网络安全等级保护条例(征求意见稿)》看等保1.0到等保2.0的重要变化
25. 对“数据共享合法化”的分析与思考系列之三——欧盟B2B数据共享的案例研究
26. 中国企业的GDPR合规挑战
28. GDPR在看着你吗——GDPR第2条和第3条(适用范围)详解
29. 对“数据共享合法化”的分析与思考系列之二——欧盟B2B数据共享的案例研究
30. 对“数据共享合法化”的分析与思考系列之一:以《关于欧洲企业间数据共享的研究》为起点
32. GDPR之“用户数据可携权”评析(三)——“数据可携权”视角下的数据之争
33. GDPR之“用户数据可携权”评析(二)——“用户数据可携权”实务运用的若干问题
34. GDPR之“用户数据可携权”评析(一)——认识“用户数据可携权”
35. 记账理财APP的个人信息合规挑战
37. 您的公司有数据保护官了吗?
38. 《网络安全法》的出台改变了什么?——条文解析企业的网络安全义务和法律合规新需求
袁立志律师先后从上海对外经贸大学和新加坡国立大学取得国际法硕士和国际商法硕士学位,2016年底加入竞天公诚。
袁律师是IAPP(国际隐私专家协会)会员,通过CIPP/E、CIPM、CISP资格考试。袁律师代表竞天公诚律师事务所,参与多项信息安全技术标准的编制。袁律师兼任华东政法大学数字法治研究院特聘研究员,华东师范大学法学院校外实务导师。
袁律师的执业领域为网络与数据法、公司法律事务。袁律师曾为多家知名企业提供网络与数据法律服务,包括金融机构、汽车制造商、智能硬件制造商、文化娱乐企业、互联网企业、数据服务商、云服务商、医疗机构等,承办了一系列前沿的、富有挑战性的项目,积累了丰富的实践经验,是该领域的知名专家 。
袁律师先后荣获The Legal 500亚太地区TMT(电信、媒体与科技)领域(2020年度)和数据保护领域(2021年度)“特别推荐律师”,并名列LEGALBAND中国顶级律师排行榜“网络安全与数据”第一梯队(2020年度、2021年度),中国律师特别推荐榜15强:网络安全与数据合规(2020年度)。
袁立志律师历史文章
1. 医疗数据合规三问
2. Three questions on medical data compliance
7. Cross-border Transfer of Personal Financial Information
8. APP收购攻略
12. 企业如何应对数据泄露
13. 网约车行业数据保护的规则及其特点
14. 网约车与电商法的适用五题
16. App个人信息保护专项治理暴雨将至,你的屋顶会漏吗?
21. 中国企业的GDPR合规挑战
23. 债权催收行业法律研究报告(下)
24. 债权催收行业法律研究报告(上)
段宇律师历史文章
5. 网约车与电商法的适用五题