汇业评论 |《个人信息保护法(二审稿)》解读:回应热点问题、借鉴先进经验
2021年4月29日,十三届全国人大常委会审议了《个人信息保护法(草案二审稿)》(下称“二审稿”)并公开发布征求意见稿,一共八章七十三条。二审稿充分吸收了前期征求意见中各方提出的有益建议,借鉴了国内外个人信息保护立法与执法经验,回应了社会热点问题。
2020年10月13日,十三届全国人大常委会第二十二次会议审议了《个人信息保护法(草案一审稿)》(下称“一审稿”),并于当月21日公开征求意见。按照三审三读的立法惯例,业界普遍预测,《个人信息保护法》二审稿是相对比较成熟的版本,预计将于2021年四季度前完成三审,并于年底公布正式版,如果按照六个月左右的过渡期计算,将于2022年6月1日左右正式生效。
结合近年来中国网络安全、数据安全与个人信息保护立法、政策及标准制定实践,汇业律师事务所网数法律团队详细解读二审稿的主要内容及对行业的影响,仅供业内参考。
一、二审稿主要修订内容
首先,二审稿回应社会比较关切的个人信息保护部际协调、分工与治理体系问题,参照《网络安全法》、《数据安全法(草案)》相关规定,明确国家网信部门统筹协调个人信息保护工作(包括但不限于制定个人信息保护具体规则,以及人脸识别、人工智能等专门规定等),工信、公安、市监及其他主管部门根据各自职责负责相关工作,确保个人信息保护立法与执法工作的统一性、协调性。
第二,在总结、提炼、细化《网络安全法》、《App违法违规收集使用个人信息行为认定方法》、《常见类型移动互联网应用程序必要个人信息范围规定》、《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》等有关内容的基础上,细化了“告知—同意”、“最小-必要”、“质量原则”等规则。例如,二审稿细化了撤回同意的便捷性要求及法律后果;扩充了“最小”内涵,即“对个人权益影响最小”;升级了“准确原则”到“质量原则”,明确规定“避免因个人信息不准确、不完整对个人权益造成不利影响”;等等。
第三,二审稿第五十七条在借鉴国内外制度设计经验的基础上,创造性的规定了头部互联网企业(指“基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”)个人信息保护的特殊责任:设立由外部人员(例如相关领域学者、安全或技术专家、律师或审计人员等)组成的独立监督机构,定期发布社会责任报告,强化平台治理等。
第四,增加了合法处理事由,即“依照本法规定在合理的范围内处理已公开的个人信息”。
第五,二审稿细化了个人信息民事权益及侵权责任有关规定,增强了与《民法典》相关内容的链接。例如,二审稿承认了死者个人信息的财产属性,规定死者“在个人信息处理活动中的权利由其近亲属行使”;二审稿六十八条调整了举证责任条款,首次明确个人信息处理者承担过错推定责任,即“不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”
第六,二审稿第五十八条明确规定受托处理个人信息的受托者,亦“应当履行第五章(注:个人信息处理者的义务)规定的相关义务,采取必要措施保障所处理的个人信息的安全。”
第七,业界普遍关注的人脸识别条款以及境外机构的境内代表,二审稿第二十七条、五十三条无实质变化。
二、二审稿修订内容对企业的影响及应对建议
汇业律师事务所黄春林律师介绍,二审稿增加、细化了一审稿的部分合规控制项,将其他单行立法、标准文件及前期监管执法中的部分合规要求上升为法律层面,对企业的现有产品或业务流程影响较大。根据二审稿变化情况,我们进一步建议企业:
1. 在开展个人信息处理活动前,应当依据有关法规并参照有关标准文件,开展个人信息影响评估,确保合法合规、安全质量且对个人权益影响最小。
2. 为用户提供便捷的撤回同意的方式,具体包括但不限于在网站、APP及小程序等的相关页面增加撤回同意的在线交互按钮、链接或者其他便捷的途径,并向用户说明撤回同意的影响。
3. 通过自动化方式向用户提供个性化推送的(例如千人千面、精准营销等),除了应当提供客观呈现方式外,还应当为用户提供退出/关闭/拒绝自动化推送的方式。
4. 应当允许死者的近亲属行使死者的个人信息权利,但应当核验身份信息;涉及财产处分的,还应当依法核验继承关系。
5. 基于合同向境外跨境传输数据的,合同应按照国家网信部门制定的数据跨境“标准合同”订立。
6. 强化个人信息保护合规建设,坚持“合规遵从”和“案件抗辩”的双重价值导向,积累个人信息保护合规的“常态化素材”(包括但不限于认证/备案、制度/措施、培训/内控、承诺/合同、定期审计/评估、第三方监管等),降低在发生民事争议后的过错推定风险。
三、近期个人信息保护有关的立法与标准制定概览
随着《网络安全法》、《电子商务法》等法律及配套规则的陆续生效实施,以及《数据安全法》、《个人信息保护法》的脚步越来越近,近期以来,相关部委及标准组织先后发布了一系列与个人信息保护有关的单行规定或标准文件,从不同角度强化了个人信息保护有关的工作,具体如下:
四、2021年工信部个人信息执法行动概览
2021年以来,工信部信通局先后启动了多次专项整治行动,截至目前已经公开通报了4批共计412款侵害用户权益行为的APP,相关应用商店及违法违规情形统计如下:
(图一:应用商店分布情况)
(图二:违法行为分布情况)
此外,2021年4月26日,根据二审稿确立的部际分工体系,在国家互联网信息办公室的统筹指导下,工信部牵头发布了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》,将前期专项整治行动中确立的监管要求及措施上升到立法层面。
作者介绍
黄春林
汇业律师事务所合伙人
黄春林律师,现为上海市律协互联网与信息技术专业委员会副主任,主要执业领域为网络与数据合规、高新技术及泛娱乐领域综合法律服务,常年为数十家境内外企业提供前瞻性法律服务解决方案,2019年在人民法院出版社出版专著《网络与数据法律实务:法律适用及合规落地》,多次被LegalBand、知产力等评为中国顶级律师之一。
作者介绍
李天航
汇业律师事务所合伙人
李天航律师,上海交通大学网络空间治理研究中心研究员。主要执业领域为网络安全与数据合规、公司业务合规、刑事法律风险防控、反舞弊调查、刑事辩护、刑民交织争议解决、劳动与人力资源。在网络安全与数据合规领域有丰富的实践经验,为多家全球领先企业提供法律合规服务,发表多篇实务文章。曾在上海市公安局法制办公室工作逾16年,负责大案要案指导和协调、刑事案件质量控制、刑事政策制定等。
往期文章推荐: