系列 | 个人信息保护之二:个人信息保护法的基本原则
关键词:个人信息保护;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:《个人信息保护法》;草案二审稿;基本原则
本文约2964字,大概需要阅读 6 分钟。
2021年4月29日,中国人大网公布《中华人民共和国个人信息保护法(草案二次审议稿)》(以下简称《二审稿》),并对其公开征求意见,这是在2020年10月13日初次审议后,经征求意见形成的第二稿。本号继上篇《什么是个人信息?》之后,来聊一聊该法律草案中所体现出来的在个人信息保护方面所应遵循的基本原则。
基本原则这一概念在法律上的地位至关重要,简单而言,基本原则一方面起着统领整部法律的作用,另一方也起着“兜底”作用,即当某一具体的事实并无对应的法条的情况下,可以用基本原则作为具体的裁判依据。例如,尤其是在当下这样一个社会经济发展“日新月异”的情况下,不时会看到法院援引“违反公共利益原则”或者“违反公序良俗原则”进行裁判(我们姑且不探讨此种援引是否存在问题)。
而《二审稿》提出了诸多与传统法律原则迥异的基本原则,一方面反映了这部法律的时代感与特殊性,另一方面也可以反映出法律的基本原则也会随着时代的发展而不断的调整与完善。
一
个人信息保护法的基本原则的总体特征
谈到特征,必须将其与相类似的法律或者规范进行比较,我们选取了欧盟《一般数据保护条例》(GDPR)与《信息安全技术 个人信息安全规范》(GB/T 35273-2020)(以下简称《个人信息安全规范》)进行比较。通过比较发现,《二审稿》中自第五条到第九条确立了五项基本原则,欧盟GDPR中第二章“原则”确立了六项基本原则,而《个人信息安全规范》确立了七项基本原则。
二
基本原则分述
1
合法正当诚信原则
《二审稿》第五条 “处理个人信息应当采用合法、正当的方式,遵循诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息”。这里提请注意,《二审稿》比《一审稿》多了一个“胁迫”。
欧盟GDPR没有单独将合法正当诚信作为基本原则,其表述为“(a)合法地、公平地并且以公开透明的方式对数据主体的个人数据进行处理”,可以简称为“合法、公平和透明”原则。《个人信息安全规范》并未明确提及此规则。
2
目的明确最小必要原则
《二审稿》第六条 “处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理。”
欧盟GDPR表述为“目的限制”原则,即“(b)基于具体、明确、合法的目的收集个人数据,且随后不得以与该目的相违背的方式进行处理;第 89 条第 1 款中为实现公共利益存档目的、科学研究或历史研究目的、统计目的而进行的进一步数据处理不视为与最初目的相违背”。其单独在c)项中规定了“最小必要原则”,表述为“(c)数据应是充足的、相关的并且限于数据处理目的最小必要范围”。
《个人信息安全规范》分别用两条来概括,表述为“b)目的明确:具有明确、清晰、具体的个人信息处理目的。d)最小必要:只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息”。
可以看出,《二审稿》将目的限制与最小必要做了归纳处理,将其合并在一个法条当中。
3
完整准确原则
《二审稿》第七条 “处理个人信息应当遵循公开、透明的原则,公开个人信息处理规则,明示处理的目的、方式和范围。”
欧盟GDPR在其a)项中已经与合法性、公平性相并列,前已述及。
《个人信息安全规范》表述为“e)公开透明:以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督”。
4
合法正当诚信原则
《二审稿》第八条 “处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响”。这里主要强调处理个人信息应当保障完整与准确。欧盟GDPR在其d)项中规定,“数据应是准确的,且若有必要应保持适时更新,采取一切合理措施确保与数据处理目的相悖的错误数据被及时清除或更正(准确性原则)”。
《个人信息安全规范》在其f)项中与保密性联系在一起,表述为“f)确保安全:具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性和可用性。”但并未提到准确性的问题,或许准确性被包含在“可用性”当中。
5
安全保障原则
《二审稿》第九条 “个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全”,这里不仅强调安全保障的要求,更要求其必须采取“必要措施”,且相关法律责任主体为“个人信息处理者”。
欧盟GDPR落脚于数据的完整性和保密性,表述为“(f)数据处理应当以确保个人数据的适当安全性的方式进行,包括采取适当的技术或组织措施以保护数据免遭未经授权或非法的处理以及意外的丢失、销毁或破坏(完整性和保密性)”。
《个人信息安全规范》是在其完整性原则中同时规定了安全保障的要求,同时在其第a)项中提出了“权责一致”的原则。即“a)权责一致:采取技术和其他必要的措施保障个人信息的安全,对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任”。
6
其他《二审稿》中未明确的原则
(1)主体参与原则
除了上述五个原则之外,《个人信息安全规范》还提出了“主体参与”原则,即“g)向个人信息主体提供能够查询、更正、删除其个人信息,以及撤回授权同意、注销账户、投诉等方法”。《二审稿》并未将其归纳为基本原则,而是在后续的法条当中将其具体化。
(2)存储限制原则
欧盟GDPR还在其“原则”部分,提出了“存储限制原则”,即“(e)以可识别数据主体身份的形式存储的数据的存储时间不能长于实现个人数据处理目的所必须的时间;个人数据仅在依据第 89 条第 1 款的规定,为公共利益存档目的、科学研究或历史研究目的、数据统计目的的情况下才可被储存更长时间,而且为保障数据主体的权利和自由,个人数据还应受本条例要求的适当技术和组织措施的调整(存储限制原则)”。
此外值得注意的是,欧盟GDPR在其“原则”部分规定了第2条,“数据控制者应当对上述原则的落实情况承担责任并予以证明”,换言之数据控制者存在合规义务的证明责任,并且在紧跟这基本原则后面,体现出数据控制者合规证明责任的全面性与广泛性。而《二审稿》并未对此作出规定,而是强调了其合规审计的责任,以及在涉及侵权时的证明责任。
陆续更新,敬请期待
如认为本文侵犯版权,请及时联系闪涛律师团队。
关键词:区块链;人工智能;大数据;智能合约;涉外法
团队介绍
闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、公司法务、并购、解散、破产、清算、金融、证券、私募、区块链、人工智能、智能合约、大数据等领域。
闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院教授、硕士研究生导师,中南财经政法大学博士研究生。
闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员。
点一下在看再走吧