《个人信息保护法(草案)》重点制度要点评析及合规展望
《个人信息保护法(草案)》借鉴欧盟《通用数据保护条例》也规定了类似的域外适用效力,要求以向境内自然人提供产品或者服务为目的,或者为分析、评估境内自然人的行为等发生在我国境外的个人信息处理活动也适用草案。同时,草案也明确了个人具有知情权、决定权、查阅复制权、更正补充权、删除权等权利,并对基于个人同意以外合法处理个人信息的情形作了规定。此外,草案还完善和重构了“告知-同意”系列规则和个人信息出境的规则。履行个人信息保护职责的部门对违反草案、情节严重的行为,可以处以五千万元以下或者上一年度营业额百分之五以下的罚款。
全国人大常委会于2020年10月21日正式对外公布了《个人信息保护法(草案)》(以下简称“草案”)。其正式出台后将成为我国个人信息保护领域第一部普适性、综合性的立法。相较于《网络安全法》中“网络运营者”范围的不确定性,草案的适用范围则更为直接明确,所有公司在运营中以线上或线下方式处理的消费者用户个人信息、员工个人信息、供应商或者客户代表的信息都可能会适用该法。
概述
我国《个人信息保护法》的专项立法工作最早可以追溯至2000年前后,[1]之后统一的《个人信息保护法》立法工作停滞了很长一段时间;直至2012年全国人大常委会通过《关于加强网络信息保护的决定》,开启了我国个人信息保护立法以及规章制定的第二波浪潮。
随着近年来《网络安全法》对个人信息处理的基本原则和规则的纳入,《刑法修正案(七)/(九)》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《儿童个人信息网络保护规定》、《个人信息出境安全评估办法(征求意见稿)》、《数据安全法(草案)》等法律法规及草案的出台和施行,以及以《信息安全技术 个人信息安全规范》为代表的配套国家标准的实践与试水,我国立法和监管机关已经积累了充足的理论储备和实践经验,在个人信息保护领域进行专项、综合立法的时机也日臻成熟,因而草案应运而生。
从条文规定可以看出,草案汲取了《网络安全法》和《信息安全技术 个人信息安全规范》等境内个人信息保护立法的主要规则,借鉴了境外个人信息保护立法的有益经验,并将实践中行之有效的做法上升为法律规范,对个人信息保护提供了综合性的监管法律框架和规范。
草案体例概览和要点评析
草案全文共八章、七十条,整合了国内现有的个人信息保护规则,覆盖了个人信息保护领域的主要问题,并对社会关心的热点问题也进行了必要的回应。具体而言:
草案采纳了《民法典》的规定,[2]明确个人信息的“处理”应包括收集、存储、使用、加工、传输、提供、公开等活动,[3]旨在覆盖全周期的个人信息操作行为;同时,草案在总则部分也明确纳入了个人信息处理的五大基本原则,即合法正当诚信原则、目的明确与必要原则、透明原则、信息准确原则,以及责任与安全保护原则。[4]
考虑到实践中个人信息处理情况的多样性,草案也规定了基于个人同意以外合法处理个人信息的情形,其中不仅引入《民法典》和《信息安全技术 个人信息安全规范》中已有体现的若干情形,[5]在“大数据有力支持抗击新冠肺炎疫情”的现实背景下也将“应对突发公共卫生事件”作为处理个人信息的合法情形之一。[6]
草案在《网络安全法》和《民法典》的基础上,进一步拓展个人在个人信息处理活动中的权利,包括知情权、决定权、查阅复制权、更正补充权、删除权。[7]特别是,草案在《网络安全法》的基础上规定了更多删除权的适用情形。
草案以专节规定了国家机关处理个人信息的规则,[8]要求国家机关为履职需要处理个人信息应依照法定的权限和程序进行,不应超越履职所必需的范围和限度;[9]非经法律、行政法规明确规定或个人同意,国家机关不得向他人提供其处理的个人信息。[10]
在监管机构的部分,草案在明确国家网信部门的统筹协调地位的同时,沿袭了《网络安全法》“国务院有关部门”的表述,[11]可见接下来在个人信息保护法的执法中还不可避免会出现“九龙治水”的情况。但相信通过草案的讨论以及制定,“履行个人信息保护职责的部门”未来能够更大程度地统一对草案条款的解读和后续实施细则的口径,并协调不同部门在实践执法中的监管水位。
我们将在下文对草案中与现有规则存在较大变化的重点制度进行简要解读和评析。
1. 域外效力规定
草案借鉴欧盟《通用数据保护条例》(GDPR)的做法,将“以向境内自然人提供产品或者服务为目的”和“为分析、评估境内自然人的行为”情形下在境外开展的个人信息处理活动,也纳入草案的管辖范围。
(请单击放大图片,进行详细阅读)
三部法律(草案)所采纳的循序渐进的域外效力规定以及近年来主要司法辖区的数据保护立法也正说明,扩大域外效力来增强个人对其个人信息的控制和保护已成为全球个人信息立法的普遍共识与现实趋势。因此,跨国企业需要进一步考虑全球主要司法辖区之间个人信息合规体系的协调与衔接。
2. “个人信息处理者”的角色定位
草案参考《民法典》的表述方式,以“个人信息处理者”作为基本的法律责任承担主体。虽然没有明确采纳欧盟GDPR区分“个人信息控制者”和“个人信息处理者”的模式,并且在法律中直接明确控制者和处理者的不同个人信息保护责任,但是草案对“个人信息处理者”的界定与欧盟GDPR对“个人信息控制者”的界定却有异曲同工之妙,即满足“自主决定处理目的、处理方式等个人信息处理事项”要求的主体才构成个人信息处理者。[12]事实上,草案中规定的绝大部分合规义务也由个人信息处理者承担,且草案也在基本原则部分明确要求个人信息处理者对其个人信息处理活动负责,[13]基本可以认为个人信息处理者在个人信息处理活动中处于主要地位。[14]但如何在法律上评价草案第二十二条项下的受托方的法律地位,除了与个人信息处理者之间合同规定的义务外,还需要履行草案中规定的哪些义务,也需要立法机关作必要的澄清和说明。
尽管如此,除了规定共同处理个人信息时承担连带责任外,[15]草案并没有对个人信息处理活动的责任承担和分配规则进行具体、明确的说明。在出现因个人信息处理活动侵害个人信息权益的情况时,根据草案将可能难以在处理者与处理者之间,或者处理者与受托方之间准确地分配法律责任。考虑到未来个人信息处理活动会愈加复杂,涉及的个人信息处理者、第三方和受托方可能越来越多,在草案中明确各方之间的责任分配将具有现实意义。自GDPR生效以及执行的两年多来,欧盟法院在多个具有代表性的案例中对共同数据控制者(joint controller)采取了更为宽泛的解释,以更好地保护个人信息这一权益,《个人信息安全规范》中也体现了这一思路,这也是企业实践中需要注意的地方。
3. “告知-同意”系列规则
在草案拟定的个人信息处理规则中,“告知-同意”系列规则仍然是基础和核心。[16]整体而言,草案中的“告知-同意”系列规则可以从多个因素和角度进行梳理,不同场景下“告知-同意”的规则要求将有所不同:
个人信息主体类型的角度:针对不满十四周岁的未成年人,应取得其监护人的同意。[17]
与《儿童个人信息网络保护规定》相比,草案针对儿童个人信息处理设定了一项前提,即个人信息处理者应“知道或应当知道”其处理的个人信息是不满十四周岁未成年的个人信息,因此一些企业自身的产品或者服务并不针对儿童,并且也没有相关因素可以判断存在儿童用户的,可能可以以此作为法律适用上的抗辩。
处理活动的角度:在特殊的情形下,个人信息处理者履行“告知-同意”义务的范围或时点会有所改变。
例如,在法律和行政法规明确规定的情况下,可以不向个人履行告知义务,[18]此时个人也无权要求查阅或复制其个人信息。[19]又例如,因发生紧急情况无法及时告知时,个人信息处理者应在情况消除后补充履行告知义务。[20]
另外,草案也为“委托处理”“转移”“向第三方提供”和“自动化决策”等不同的情形设置了相应的告知和同意要求。[21]特别是向第三方提供要求获得个人单独的同意,这点可能会为企业实践带来新的合规挑战。
个人信息类型的角度:相较于处理一般个人信息的告知和同意要求,处理敏感个人信息时,个人信息处理者需额外向个人告知处理行为的必要性及其影响,[22]并取得个人的单独同意。[23]如企业的产品或服务中涉及敏感个人信息的收集,则需要考虑是否设置专门的授权页面。
我们也注意到,草案明确列举的敏感个人信息范围与《信息安全技术 个人信息安全规范》资料性附录B中列举的个人敏感信息范围有所差异。原则上草案作为法律在效力位阶上理应优先,但是考虑到二者对个人敏感信息(或敏感个人信息)的定义并无实质差异,不排除实践中执法机构在判断某项个人信息是否属于敏感个人信息时,也会参考国家标准中更为丰富的列举。
4. 个人信息处理者的安全保护义务以及建立数据合规体系的必要性
草案以专章规定了个人信息处理者的安全保护义务。总体而言,草案还是采取相对宽泛的规定模式,以便预留应对后续新技术、新科技制定执行层面的监管实施细则的空间。对于许多企业而言其最关心的问题是,企业采取了哪些安全保护措施后可以认为在法律上没有过错,何为“必要的安全保护措施”仍有待立法和执法部门的进一步指引。
(请单击放大图片,进行详细阅读)
为了落实草案对个人信息处理者的个人信息保护义务的要求,企业需要在内部建立数据合规体系来持续和体系化地保护个人信息。从草案以及之前《数据安全管理办法(征求意见稿)》的规定来看,建立数据保护合规体系应当是接下来的法律要求,将不再停留在国家标准这种推荐性做法的层面。建立合规体系一般需要从如下维度考虑:
对数据处理行为的现状进行核查,清查所有数据处理行为并确保每一项数据处理行为都能够被数据合规体系覆盖。对所有的现状的合规差距进行分析后进行整改以及落地具体的合规建议;
关注人事组织架构以及内部管理规程构建(例如个人信息保护负责人的任命、基本的管理制度、应急预案、操作规程等),也需要关注技术措施的跟进(例如数据的分级分类、加密、去标识化、权限配置、数据泄露的补救措施等);
此外,需要关注内部隐患(例如员工的安全教育与培训,定期应急演练等)和外部风险(例如与第三方开展数据合作的风险控制);
既需要关注日常运行过程中数据保护,也需要为应对特殊场景做好充足准备(例如数据合规审计、风险评估、数据泄露应对等)。
草案将要求企业真正的在个人信息保护领域做到“合规工作的全面化、常态化”,因而企业应充分发挥内部职能部门与外部专业机构各自的优势,以期为自身打造一套综合性强、覆盖面广、能持续发展和更新的数据合规体系。
5. 个人信息的跨境传输规则
草案在现有规则的基础上,重构了个人信息跨境传输的监管框架。根据规定,个人信息处理者向境外提供个人信息的合法情形主要包括三种情况。[24]鉴于“通过国家网信部门组织的安全评估”、“个人信息保护认证”与“与境外接收方订立合同并监督个人信息处理活动”属于并列关系,是否意味着在安全评估过程中国家网信部门不会实质审查境内外双方的合同关系仍有待澄清。此外,草案还要求个人信息处理者向个人进行充分的信息披露,[25]并取得个人的单独同意,因而企业需要考虑以单独的页面、弹窗或文书就跨境提供事项向个人进行告知和征求授权。
草案在《网络安全法》的基础上扩大了个人信息本地化的要求。除关键信息基础设施运营者以外,处理个人信息达到规定数量的个人信息处理者也应履行个人信息本地化存储的义务,[26]而这一数量门槛是否会根据个人信息的性质、个人信息处理者所处的行业或其在个人信息处理活动中的角色不同而有所差异,需要立法部门或者国家网信部门进一步澄清。值得注意的是,与一般情况下向境外提供个人信息不同,负有本地化义务的实体原则上只能以“通过国家网信部门组织的安全评估”的方式才能合法地向境外提供个人信息,而安全评估的考虑要素也需要国家网信部门后续提出更为具体的指引。
草案还借鉴《数据安全法(草案)》的做法,对因国际司法和执法协助向境外提供个人信息的行为,规定了依法向主管部门申请审批的义务。[27]考虑到部分企业的境内业务服务器也会部署在境外,如境外机构因司法协助或执法协助的理由直接获取境外服务器中的个人信息,不排除这种未经境内主管部门审批即向境外机构提供数据的行为会被国内监管机构认定为违法行为。因此,建议企业在决定是否向境外迁移境内业务服务器时,应密切关注立法机关对本条的解读,并谨慎评估服务器迁移可能带来的成本以及合规风险。
6. 增强了违法个人信息处理行为的法律责任
草案中最引人关注的条款之一,正是其严苛的法律责任条款。本次公布的草案将“违反本法规定处理个人信息”或者“处理个人信息未按照规定采取必要的安全保护措施”的法律责任显著地提高至“五千万元以下或者上一年度营业额百分之五”,[28]大大地提升了个人信息权益侵害行为的违法成本。
然而,草案条款中并未明确处罚主体以及具体如何计算“上一年度的营业额”。根据草案上下文的解读,接受处罚的实体应为违反本法规定处理个人信息或者处理个人信息未按照规定采取必要的安全保护措施的“个人信息处理者”。结合草案第六十九条的定义,如“个人信息处理者”仅指个人信息处理活动链条上的某一个或者多个实体,而草案不进一步明确罚款基数是按照“个人信息处理者”的单一主体的营业额还是整个集团的营业额进行计算,这也可能会导致很多企业通过集团内部的商业安排来减少实际承担数据处理行为的主体的营业收入或者账上收入,来规避 “上一年度营业额百分之五”的罚款。
欧盟的GDPR对于罚金的计算采用的是“Undertaking”(经营者)的概念,然而这一概念是GDPR借鉴了欧盟竞争法,具体指进行同一经济活动的实体,从内涵上undertaking可以包括多个从事该经济活动的法律实体。[29]考虑到我国法律体系中缺乏类似欧盟法中“undertaking”的概念,草案也没有明确处罚主体,而数据处理行为很多时候都涉及整一个企业集团,那么在计算违法实体上一年度营业额时,今后个人信息保护的执法是否会参考、借鉴经营者集中反垄断申报实践中的营业额计算标准?另外,一项个人信息处理活动通常会涉及多个个人信息处理者,计算罚款基数“上一年度营业额”时是否有可能将相关个人信息处理者的上一年度营业额进行叠加?这些都是草案在后续修订和实施中亟待明确的问题。
此外,草案第六十五条似乎对个人信息权益的侵害行为采取了过错推定的认定规则,即由个人信息处理者自行举证证明其实施的个人信息处理活动是否存在过错;而在个人信息处理者证明自己没有过错的前提下,其仍然可能需要承担部分或全部责任。[30]《民法典》与《民法总则》在个人信息保护权的侵权责任归责模式上没有实质性变化,均为过错责任原则。之前在个人信息保护权的侵权民事案件中,负责审理“四川航空案”的法院在举证责任分配上以公平原则和诚实信用原则作了类似过错推定的处理,[31]如果今后个人信息保护权的侵权认定原则变成过错推定原则,这无疑会极大地增加个人信息处理者的合规和诉讼压力。
本次出台的草案充分体现了立法机关对境内外个人信息保护立法、执法和司法实践的广泛参考和深入总结,同时也展现了我国个人信息保护水平将达到国际先进水平的趋势。企业如果之前选择以满足法律规定作为合规的标准,将需要尽快考虑调整原有的合规措施,虽然距草案正式定稿生效还存在一定期间,但草案代表了今后的个人信息保护的机制的走向,对现有规则在执法中的解释也会具有引导作用。未来《个人信息保护法》正式颁布后,势必会对国内个人信息保护领域的实践带来重大影响:个人信息合规体系将成为企业合规建设中的必备要素,个人信息相关的执法和司法案例也可能会逐步涌现。考虑到个人信息处理规则日臻完备且被正式纳入法律当中,《个人信息保护法》是否会影响《刑法》项下“侵犯公民个人信息罪”的解读也有待进一步观察。接下来立法机关还会参考各界意见反馈及实践情况进一步完善草案内容,企业应密切关注有关部门现阶段的执法水位和司法态度,以便更好地掌握《个人信息保护法》立法的现实基础,随时调整内部的合规应对措施。
1. 据报道,当时由国务院信息办委托中国社科院周汉华教授成立课题组起草的专家建议稿已于2004年完成,并正式提交进入立法阶段。参见周汉华,“对《个人信息保护法》(专家建议稿)若干问题的说明”,载《中国科技法学年刊》,2005年卷01期,第322页。
2.《民法典》第一千零三十五条。
3. 草案第四条。
4. 草案第五条至第九条。
5. 即订立或履行合同、履行法定职责或义务、紧急保护自然人生命财产安全,以及维护公共利益之合理范围等情形。参见《民法典》第一千零三十六条和《信息安全技术 个人信息安全规范》第5.6条。
6. 草案第十三条。
7. 草案第四章“个人在个人信息处理活动中的权利”。
8. 草案第二章第三节“国家机关处理个人信息的特别规定”。
9. 草案第三十四条。
10. 草案第三十六条。
11. 草案第五十六条。
12. 草案第六十九条将“个人信息处理者”定义为自主决定处理目的、处理方式等个人信息处理事项的组织、个人,而欧盟GDPR项下的“个人信息控制者”是指能单独或共同决定个人信息的处理目的和方式的自然人、法人、公共机构或其他组织。
13. 草案第九条。
14. 虽然草案第二十四条中还规定了对外提供个人信息场景下的“第三方”,结合上下文进行解读,“第三方”也应属“个人信息处理者”,因而其在间接取得个人信息后以自身名义进行处理时,也应履行草案中个人信息处理者负有的合规义务。
15. 草案第二十一条。
16. 草案在不同的条款中所采用的“同意”“单独同意”“书面同意”等不同表述是否具有不同的实践内涵,需要立法机关进一步澄清。
17. 草案第十五条。
18. 草案第十九条第一款。
19. 草案第四十五条第一款。
20. 草案第十九条第二款。
21. 草案第二十二条至第二十五条。
22. 草案第三十一条。
23. 草案第三十条。
24. 草案第三十八条。
25. 草案第三十九条要求披露的内容包括境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使法定权利的方式等事项。
26. 草案第四十条。
27. 草案第四十一条。
28. 草案第六十二条。
29. 在欧盟法律中,“经营者”不单指参与交易的企业,还包括企业所在的集团,即共同组成一个有独立决策权的经济体的企业(单一经济体)。
30. 草案第六十五条:因个人信息处理活动侵害个人信息权益的,按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任……个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。
31. 参见“林念平与四川航空股份有限公司侵权责任纠纷二审民事判决书”,四川省成都市中级人民法院,(2015)成民终字第1634号。在该案中,法院认为由于原告举证能力有限,根据公平原则和诚实信用原则要求被告企业对其已经履行了个人信息安全保护义务承担举证责任,实际上将证明四川航空未履行安全保护义务的这一过错的举证责任倒置给了被告企业。
尹云霞(Kate Yin)
合伙人
kate.yin@fangdalaw.com
执业领域:专攻政府调查及公司合规业务
张毅(Gil Zhang)
资深律师
gil.zhang@fangdalaw.com
黎辉辉(Huihui Li)
方达律师事务所
张文豪(Katharina Zhang)
方达律师事务所
本微信公众号所发布的资讯或文章仅为交流讨论目的,不代表方达律师事务所出具的任何法律意见。任何依据本文的全部或部分内容而作出的判断或决定(无论作为或不作为)以及因此造成的法律后果,方达律师事务所不承担任何责任。如果您需要相关法律意见或法律服务,欢迎与方达律师事务所相关律师联系。