《个人信息保护法(草案二次审议稿)》要点评析
《个人信息保护法(草案二次审议稿)》(以下简称“二读草案”)并未实质改变一读草案的立法框架和逻辑。在保留核心概念和制度构建的基础上,二读草案为了与《民法典》更好地衔接,完善了“合法性基础”,增加了对死者个人信息主体权利的继承规定,对个人信息保护基本原则进行表述上的完善,并在跨境数据传输机制中引入了中国版本的“标准合同条款”。此外,二读草案针对“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”设置了额外的监管义务,旨在通过外部机构的监督、要求配合监管落实对第三方的处置以及编写社会责任报告的方式,增强对大型平台企业的数据合规约束,促进平台内数据合规治理,强化对平台的监督与管控。在法律责任问题上,二读草案维持了一读草案中“五千万元以下或者上一年度营业额百分之五以下”的罚金上限,并将个人信息侵权行为的归责模式明确为“过错推定原则”。
继2020年10月21日《中华人民共和国个人信息保护法(草案)》(以下简称“一读草案”)对外公开征求意见后,2021年4月26日至29日举行的第十三届全国人大常委会第二十八次会议第二次审议了《中华人民共和国个人信息保护法(草案)》,并于4月29日公布了《个人信息保护法(草案二次审议稿)》(下称“二读草案”)向社会公开征求意见。
与一读草案相比,二读草案在篇章结构和体系上并未作大幅调整,仍然以“个人信息处理者”为核心规制主体,具体规则按照个人信息处理规则、跨境传输要求、主体权利、个人信息处理者义务、个人信息处理监管以及法律责任等六个方面展开。二读草案也仍然坚持同时适用于公共领域和私人领域个人信息处理活动的设置,并保留了“国家机关处理个人信息的特别规定”的专门规定。
除了文本措辞上的调整以外,二读草案在具体合规要求上也作出了更新,包括引入对大型平台企业的额外监管要求(第五十七条)、中国版本的“标准合同条款”(第四十七条),以及死者个人信息主体权利的继承行使(第四十九条)等,并对个人信息处理的合法性基础、跨境数据传输、数据安全保护义务、侵权行为归责原则等规定进行了完善,体现了对实践经验和社会意见的吸收,不少制度相较于一读草案而言更为明确、更具可落地性。
本文将针对二读草案中重点的修订内容进行解读与评析,帮助企业更好地把握中国个人信息保护立法的走向与趋势。
“合法性基础”的完善
二读草案与《民法典》衔接,确认了对“已公开的个人信息”的处理合法性,并进一步平衡“同意”与其他合法性基础的关系。
1. 新增“合理处理已公开个人信息”作为合法性基础
根据《民法典》第一千零三十六条的规定,“合理处理该自然人自行公开的或者其他已经合法公开的信息”属于行为人无需承担民事责任的情形,二读草案参照该条在第十三条第一款中增加了“依照本法规定在合理的范围内处理已公开的个人信息”。
企业在适用该项作为个人信息处理的合法性依据时,需要注意“依照本法规定”和“在合理的范围内”两个要件。二读草案的第二十八条中对处理公开个人信息的规则作了进一步的明确。根据二读草案第二十八条,如果个人信息被公开时的用途是明确的,则企业的处理行为应符合该用途;如超出该用途的“合理范围”进行处理,本质上产生了新的处理目的,需要寻求额外的合法性依据。二读草案对何谓“在合理的范围内”并没有作出明确的解释,但是根据第二十八条第二款的规定可以看出,“从事对个人有重大影响的活动”将难以主张属于“合理范围”。比如,企业考虑利用已公开的个人信息对个人进行自动分析并作出具有法律效力的判断,是否能够继续依赖“合法处理已公开个人信息”作为其处理活动的合法性基础有待后续监管明确。
另外,如果个人信息被公开时的用途并不明确,企业则需要“合理、谨慎”地进行处理,如何衡量“合理、谨慎”的边界将有待立法部门进一步澄清。
2. 明确“同意”与其他合法性基础的同等地位
二读草案在第十三条中增加了第二款,“依照本法其他有关规定,处理个人信息应当取得个人同意,但有前款第二项至第七项规定情形的,不需取得个人同意”,明确了“同意”与其他合法性基础的同等地位。
《网络安全法》(“网安法”)下个人信息处理的合法依据是“告知+同意”。虽然《个人信息安全规范》在2017年版本和2020年版本中都已明确纳入了“征得同意的例外”,但《个人信息安全规范》仍仅为推荐性国家标准并非法律,在法律解释上难以作为网安法下“告知+同意”规则的替代,而本次二读草案则明确了“合法性基础”的规则原理。
二读草案中部分条款也作出了相应的调整,例如,第二十六条、第二十七条均删除了“法律、行政法规另有规定”,仅在单项条款中保留“个人同意”的要求,以配合在第十三条下统一适用不同合法性依据的选用规则。但是,与欧盟GDPR不同的是,二读草案中暂未对选用不同合法性基础的个人信息处理者提供数据主体权利响应的差分规定。
“未成年人个人信息”的处理规则更加严格
二读草案第十五条将不满十四周岁未成年人个人信息处理场景下的年龄识别标准从“主观标准”调整为了“客观标准”,企业可能将会面临更严格的合规要求。
一读草案中,该条款仅要求个人信息处理者在“知道或者应当知道”个人信息主体为未满十四周岁的未成年人时,落实征求监护人同意的义务;如果企业并不专门针对未成年人提供产品或服务,且产品和服务中也无需收集和使用用户的年龄信息,原则上企业会认为其产品和服务在机制上不会收集到未满十四周岁未成年人的个人信息。但根据二读草案,如果用户确实是未满十四周岁的未成年人,则企业将有义务征求其父母或其他监护人的同意。
虽然本次二读草案的侵权归责原则回归到了过错推定原则,且新修订的《行政处罚法》也明确“当事人有证据证明没有主观过错的,不予行政处罚”,[1]企业可以举证证明自身并不知晓也没有合理理由应当知晓其处理的个人信息属于未满十四周岁的未成年人而主张免责,但是相较一读草案,二读草案删除了原来“知道或者应当知道”的限制,无疑将增加企业在实践中的合理注意义务和举证责任。
在国际数据保护实践上,如何识别用户的年龄,以及如何进行父母以及监护人与用户之间关系的认证并且保证其满足数据最小化原则,一直是一个实践操作上的重大难题。如果《个人信息保护法》最终以二读草案规定的规则制定,所有不针对未成年用户提供产品和服务的企业都需要重点关注后续网信办等监管机构的实施细则以及解释。
新增死者个人信息主体权利的继承行使规则
二读草案新增的第四十九条更多考虑了《民法典》第九百九十四条“死者的姓名、肖像、名誉、荣誉、隐私、遗体等受到侵害的,其近亲属有权依法请求行为人承担民事责任”的规定,明确死者在个人信息处理活动中的权利,可以由近亲属行使,把对个人信息主体的保护从生前扩展到了死后,旨在给予个人及其信息更多的保护,也是对当下技术发展下新“数字身份”所带来的个人信息权益保护问题的回应。
纵观全球范围内明确数据保护法全部或部分适用于死者个人信息的立法蓝本,死者的个人信息是否需要保护以及如何保护,在国际层面也尚存在较大争议和讨论。例如,欧盟GDPR明确指出其并不适用于死者的个人信息,由欧盟成员国自行制定与死者个人信息处理相关的规则。[2]欧盟各成员国的具体做法则各不相同,若干国家确实给予了死者个人信息有限的保护,比如丹麦规定其国内的个人信息保护法和GDPR在个人信息主体去世10年内适用,法国允许个人信息主体对其去世后个人信息的管理作出指示,匈牙利允许死者生前指定的人或近亲属行使死者的个人信息主体权利,意大利允许由享有利益的个人信息主体或死者的代理人或者为了值得保护的家庭原因而行使欧盟GDPR第15至22条规定的个人信息主体权利,西班牙允许死者的继承人行使访问权、删除权、更正权;[3]德国法院的判例允许继承人访问死者的全部信息;[4]瑞典、英国等国家则明确规定仅保护在世者的个人信息。[5]而在美国,CCPA并未对该问题作出明确规定,HIPPA要求在去世后50年内给予死者的个人信息与其在世时相同程度的保护。[6]
二读草案直接将全部的个人信息主体权利授权给死者的近亲属行使的规定,后期的落地可能会导致企业的合规难题。例如,通过法律的形式直接授权死者以外的自然人访问其生前的个人信息,是否确实符合死者生前的个人意志?在认定是否构成侵权责任时,应当以死者的权益还是死者近亲属认为应保护的权益受到侵害为判断标准?如果响应一方近亲属的行权请求可能侵害死者或者其他近亲属的权益,企业应如何权衡?
更多跨境数据传输机制的变化
本次二读草案在个人信息跨境传输规则方面并没有作实质性的修订,维持了一读草案的主要规则框架,以及在选择同意作为合法性基础时要求个人信息主体给予“单独同意”的严格要求。
1. 中国版“标准合同条款”
一读草案的第三十八条规定了三种个人信息跨境传输机制,其中与境外接收方签订跨境传输协议被许多企业视作未来向境外传输个人信息的主要机制。但是,二读草案则采取了与欧盟GDPR第四十六条二款c项和d项[7]类似的思路,增加了“按照国家网信部门制定的标准合同”的限定,实质性地引入了中国版“标准合同条款”的概念,并且要求企业与境外接收方签订该标准合同方可依赖合同机制进行个人信息的跨境传输。
标准合同条款作为个人信息跨境传输的机制已经有几十年的实践落地经验,在GDPR之后,因为许多企业在签订SCC(Standard Contractual Clauses)之后并未实际地核实数据接收方是否已经实际落地了这些合同要求的保护义务,导致SCC的机制流于形式成为一纸文本。不久前欧盟委员会以及EDPB已经制定了新版本的SCC以及对补充措施作了进一步的要求。在欧盟监管机构认为中国的数据保护达不到与欧盟的个人信息保护法的实质上一致的大前提下,后续我国的监管机构是否也会对等地要求在中国收集或者产生的个人信息在传输到欧盟时需要在标准合同条款的基础上落地更多的补充措施也有待观察。
2. 调整限制境外调取数据的适用标准
针对第四十一条规定的向境外政府提供数据的审批要求,二读草案从“因国际私法协助或者行政执法协助(的需要)”的“目的导向标准”调整为了“向境外的司法或执法机构要求提供”的“主体导向标准”。对企业而言,这可能会是一个更加容易操作的判断标准,但这以后可能会对中国企业在海外法院应对应诉提出更多的挑战,因为国内的审批速度不一定能够兼顾境外法院或者监管机构设定的时限,可能会导致中国企业没有在规定期限内提交证据而承担不利的后果。
引入“平台监管”规则强化“守门人”义务
二读草案第五十七条针对“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”设置了额外的监管义务。
对大型平台企业施加更多或者更高的“守门人”要求的做法,在我国其他的法律法规中并不罕见,例如电商领域的《电子商务法》以专章规定了“电子商务平台经营者”所应履行的义务,数据保护领域的《移动互联网应用程序个人信息保护管理暂行规定》中对App分发平台、移动智能终端生产企业也施加了若干管理义务[8]。但是,与前述例子不同的是,根据二读草案的规定,企业仍难以判断自身是否落入规制范围,后续是否会针对第五十七条的适用主体范围出台更为具体的适用指南或规则,将有待立法部门进一步澄清。
就第五十七条的规定而言,可以简单概括为“管好自己”、“管好合作方”并“接受社会监督”。为了能够“管好自己”,二读草案要求大型平台企业“成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督”。在2019年FTC与Facebook达成和解的案件中,FTC就向Facebook提出了设置独立隐私委员会的要求,并针对独立隐私委员会的人员构成、会议机制、权力与职责等进行具体的规定。从立法意图上看,立法部门是希望通过任命外部成员组成的独立机构,能够更大程度地推动多方数据合规治理,并通过外部独立第三方的介入增强对大型平台企业的合规制约,强化对大型平台企业的监督与管控。
考虑到大型平台企业具有显著的流量优势,吸引并聚集着众多第三方产品和服务提供者,因而作为“管好自己”要求的一部分,二读草案还要求大型平台企业“对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务”。但是,二读草案并没有进一步明确说明本项义务的具体范围,除了需要“被动配合”,在监管部门对第三方的严重违法行为作出了明确的判断后断开产品和服务的接入以外,大型平台企业是否需要采取“主动监管”的路径,通过定期或不定期的第三方巡检和审计来辅助监管部门发现严重违法行为,将有待立法部门的进一步说明。
开展合规审计大势所趋
二读草案通过调整个人信息处理合规审计的适用场景,进一步明确了其在企业合规遵从和自证合规上的重要性。
考虑到“处理活动”已能够涵盖个人信息处理者保护个人信息的实践,二读草案第五十四条对定期合规审计的条款表述进行了简化。此外,一读草案中允许履行个人信息保护职责的部门要求个人信息处理者委托专业机构开展审计,但并未指出这一权力的适用场景;二读草案则对此进行了明确,仅在“履行职责中发现个人信息处理活动存在较大风险或者发生个人信息安全事件”时,有关部门方可行使这一权力。
合规审计将是企业确保自身遵守《个人信息保护法》以及其他数据保护规则并能够向合作方、监管部门自证合规的重要手段,建议企业应尽早在数据合规体系中纳入合规审计环节,识别数据保护内部管控的弱点与不足,及时完善整体的治理合规体系。
“受托方”的法律地位仍有待进一步澄清
二读草案第五十八条明确了受托方也“应当履行本章(即个人信息处理者的数据保护义务)规定的相关义务,采取必要措施保障所处理的个人信息的安全”。但是,二读草案仍然没有在一读草案的基础上进一步完善“受托方”的法律地位,也没有明确受托方对于个人信息处理行为的违规以及侵权后果的责任归属。
二读草案中规定法律责任的第六十五条和第六十六条均未明确限定违法的主体,似乎可以同时涵盖个人信息处理者和受托方;如果受托方与个人信息处理者一同考虑,是否也会对二者的营收一并考虑作为行政罚款的基数?此外,二读草案的第六十八条关于侵权责任的规定以及第六十九条关于公益诉讼的规定将主体限定为个人信息处理者,个人信息主体、相关部门和组织起诉时是否能够将受托方也列为共同被告,仍有待后续立法者进一步澄清。
侵权纠纷的归责模式回归过错推定原则
一读草案中的第六十五条对侵害个人信息权益的行为似乎采取了过错推定的归责原则,甚至可以解读为比过错推定更为严格,即个人信息处理者即使证明自己没有过错,仍可能承担赔偿责任,承担责任与否取决于法院的自由裁量权。二读草案第六十八条则回归了过错推定原则,个人信息处理者能够证明自己没有过错的,就不需要承担侵权责任。
由于侵害个人信息权益案件不是《民法典》规定的适用无过错责任和过错推定责任的情形,所以当时一读草案的第六十五条无疑加重了个人信息处理者的合规和诉讼压力,在公开征求意见时备受关注,也引起了业内广泛的讨论。考虑到一读草案在发布后学界业界都提议要与《民法典》进行衔接,在二读审议的过程中有关部门应该考虑过该问题,目前看来最终出台的《个人信息保护法》将很有可能采用过错推定原则。
在损害的范围方面,二读草案并没有进一步拓宽损害的范围,但增加了损失的界定可以以个人信息处理者因此获得的利益来判断。个人信息处理行为很多时候是与个人信息处理者提供的产品和服务息息相关的,在各种在线服务日益复杂的今天,某一项个人信息处理行为违反二读草案,是否会将该在线服务的收费作为收益来认定个人信息处理者因此而获得的收益?这点对企业的商业模式和合规实践相当重要,也期待后期最高法院能够通过相应的司法解释予以厘清。
多项条款体现实践经验与业界观点,
更具可落地性
除了规则的创新外,二读草案对一读草案中部分合规义务的具体实现方式也进行了修改,字里行间也体现了对企业合规困难的理解以及业内主流合规实践的认可,能够在实践中有效地降低企业合规的难度和成本。
1. 第二十五条限缩了个人信息主体要求企业说明自动化处理的场景,并允许企业通过提供退出机制实现合规
一读草案第二十五条第一款允许个人信息主体在其“认为自动化决策对其权益造成重大影响”时,要求个人信息处理者予以说明和拒绝仅以自动化决策的方式作出决定,这可能导致个人信息主体随意向企业提出说明请求,无疑大大增加企业应对个人信息主体行权的负担。二读草案第二十五条第三款删去了“个人认为”的主观前提,将重大影响的判断由主观标准调整为客观标准,减小了个人信息主体滥用权利的可能性。
对通过自动化决策方式进行商业营销、信息推送的,除了一读草案已规定的、通常适用于App场景下的“提供不针对个人特征的选项”之外,二读草案增加了“向个人提供拒绝的方式”这一选项,为个人信息主体提供更多的选择。
2. 第四十七条澄清了删除个人信息的流程以及无法删除时的解决方案
一读草案第四十七条要求企业在特定条件下主动或根据个人信息主体的要求删除个人信息,带来了企业应当主动删除、还是可以在个人信息主体要求时再删除的困惑。二读草案第四十七条则对此作出了澄清,明确企业应当首先主动删除,如果企业未删除的,个人信息主体将可以进一步提出删除的请求。
二读草案第四十七条第二款还规定了企业在无法删除时,“应当停止除存储和采取必要的安全保护措施之外的处理”,解决了此前一读草案要求停止“处理”但又仍然继续“存储”状态的矛盾。这一规定将有助于在实践中降低企业数据库运维和响应数据主体权利请求的成本,但是企业如援引这一条款作为不删除数据的理由,监管部门将可能会从“是否从技术上难以实现”和“是否采取必要的安全保护措施”两个方面对企业进行考察,建议企业在适用本条时也应注重合规自证。
二读草案的发布意味着《个人信息保护法》的基本架构与核心规则已基本定型,企业可以考虑从现阶段开始参考二读草案,逐步开展《个人信息保护法》的合规工作,尤其是大型平台企业更需要密切关注立法部门针对第五十七条的后续态度与意见。同时,由于二读草案对敏感个人信息、单独同意、受托方的法律定位及其与个人信息处理者的关系等重要问题并未提供更明确的合规规则,企业需要在这一阶段做好更扎实的个人信息处理活动核查,并对现有的制度以及合规体系进行评估,以便能够积极应对未来正式出台的法律及其实施细则。
1.《行政处罚法》第三十三条。
2. 欧盟GDPR 序言27。
3. https://www.twobirds.com/en/in-focus/general-data-protection-regulation/gdpr-tracker/deceased-persons,
最后访问于2021年5月6日。
4. https://www.reuters.com/article/us-britain-dataprotection-privacy-analys-idUSKCN1Q304F,
最后访问于2021年5月6日。
5. https://aanoip.org/life-after-death-data-protection-rights-of-deceased-persons/,
最后访问于2021年5月6日。
6. https://www.cpomagazine.com/blogs/privacy-intelligence/are-you-protecting-the-privacy-of-the-deceased/,
最后访问于2021年5月6日。
7. GDPR Article 46。
8. 《移动互联网应用程序个人信息保护管理暂行规定》
第九条 App分发平台应当履行以下个人信息保护义务:
(一)登记并核验App开发运营者、提供者的真实身份、联系方式等信息;
(二)在显著位置标明App运行所需获取的用户终端权限列表和个人信息收集的类型、内容、目的、范围、方式、用途及处理规则等相关信息;
(三)不得欺骗误导用户下载App;
(四)对新上架App实行上架前个人信息处理活动规范性审核,对已上架App在本规定实施后1个月内完成补充审核,并根据审核结果进行更新或者清理;
(五)建立App开发运营者信用积分、风险App名单、平台信息共享及签名验证等管理机制;
(六)按照监督管理部门的要求,完善报送机制,及时配合监督管理部门开展问题App上报、响应和处置工作;
(七)设置便捷的投诉举报入口,及时处理公众对本平台所分发App的投诉举报;
(八)国家规定的其他个人信息保护义务。
第十一条 移动智能终端生产企业应当履行以下个人信息保护义务:
(一)完善终端权限管控机制,及时弥补权限管理漏洞,持续优化和规范敏感行为的记录能力,主动为用户权限申请和告知提供便利;
(二)建立终端启动和关联启动App管理机制,为用户提供关闭自启动和关联启动的功能选项;
(三)持续优化个人信息权限在用状态,特别是录音、拍照、视频等敏感权限在用状态的显著提示机制,帮助用户及时准确了解个人信息权限的使用状态;
(四)建立重点App关注名单管理机制,完善移动智能终端App管理措施;
(五)对预置App进行审核,持续监测预置App的个人信息安全风险;
(六)在安装过程中以显著方式告知用户App申请的个人信息权限列表;
(七)完善终端设备标识管理机制;
(八)国家规定的其他个人信息保护义务。
《个人信息保护法(草案)》重点制度要点评析及合规展望
《民法典》:个人信息保护实操若干问题以及展望
尹云霞(Kate Yin)
合伙人
kate.yin@fangdalaw.com
执业领域:专攻政府调查及公司合规业务
张毅(Gil Zhang)
合伙人
gil.zhang@fangdalaw.com
执业领域:专攻数据保护、网络安全、监管合规业务
黎辉辉(Huihui Li)
方达律师事务所
张文豪(Katharina Zhang)
方达律师事务所
郑恺娴(Kaixian Zheng)
方达律师事务所
本微信公众号所发布的资讯或文章仅为交流讨论目的,不代表方达律师事务所出具的任何法律意见。任何依据本文的全部或部分内容而作出的判断或决定(无论作为或不作为)以及因此造成的法律后果,方达律师事务所不承担任何责任。如果您需要相关法律意见或法律服务,欢迎与方达律师事务所相关律师联系。