法规速读|看完《个人信息保护法》,我问了自己这8个问题
01 / 啥是个人信息?
“识别型定义vs关联型定义”
《个人信息保护法》(以下简称“《个信法》”)对个人信息的定义,和此前《民法典》对于个人信息的定义有比较明显的区别。
《民法典》是纯粹的识别型定义:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”[1]。
《个信法》采用了识别型和关联型相结合的定义方式:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”[2]
关联型定义的外延一般认为会比识别型定义更大。实践中,识别个人身份未必是企业的核心商业目的。相比个人身份,通过去标识化方式以通信设备或账号为追踪和分析的目标是较为常见的方式。此举在《个信法》的个人信息定义下,是否仍将落入个人信息的范围并需遵循相关规定,尚待讨论。
“隐私权vs敏感个人信息”
《民法典》是在个人信息以外,将隐私权作为一种独立于个人信息之外的独立民事权利加以保护:“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”[3]
《个信法》则将敏感个人信息作为一个个人信息定义可以进行真包含的子集:“敏感个人信息是一旦泄漏或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”[4]
隐私权定义的侧重点和敏感个人信息定义的侧重点显然不同,一定程度上可能表现为私法调整和公法调整关注点的差异,《民法典》也明确规定,个人信息中的私密信息,适用有关隐私权的规定,没有规定的,适用有关个人信息保护的规定。在处理个人信息时,不能因为《个信法》而忘了《民法典》,反之亦然。
02 / 啥是必需?
“最少必需”:《个信法》依然遵循最小必要原则,所以《个信法》依然明确要求处理个人信息应当限于实现处理目的的最小范围,与处理目的直接相关,采取对个人权益影响最小的方式[5]。这与此前《网络安全法》和GDPR的原则基本是一致的。
“合同必需”:但《个信法》沿用了《个人信息安全规范(GB/T35273-2020)》的思路,明确了为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体劳动合同实施人力资源管理所必需,也可满足个人信息处理者可以处理个人信息的条件[6]。值得关注的是,大多数的网络服务都可被认为属于合同行为,而“合同必需”的情况按目前的《个信法》既不需要取得个人同意,也不适用撤回原则[7]。为了避免被滥用,我们会不会像欧洲数据保护委员会那样通过一系列标准进一步明确“合同必需”的判断标准,值得期待。
“情势必需”:除了上述合同必需的条件以外,《个信法》也将包括履行法定职责或义务、应对突发公共卫生事件、为公共利益实施相关行为等都纳入了个人信息处理的合法性基础,基本涵盖了实践中因情势无法或来不及完全进行完整告知或取得相关同意的信息使用场景,但又确需使用信息的情况。
03 / 啥是同意?
上面聊了啥是个人信息以及哪些才是必需的个人信息的问题,接下来得管朋友们要个人信息了。
既然得去要信息,那么就得取得朋友们的同意。而《个信法》时代的的“同意”,至少包含了下面三层意思:
“充分知情”:要以充分知情作为前提自愿、明确作出[8](关于“充分知情”下一条会专门讲)。
“便捷撤回”:虽然同意了,但个人信息处理者还是应当提供便捷的撤回同意的方式,让个人有权撤回同意[9]。特别地,针对自动化决策(下面会讲)的情况,还额外要求应当同时提供不针对其个人特征的选项(而不是yes或no单选题),或者需要提供便捷的拒绝方式。
“单独同意”:法律、行政法规可以规定部分个人信息的处理应当取得个人的单独同意或者书面同意[10]。实际上,《个信法》本身就规定了一大堆需要取得“单独同意”的情况:
04 / 啥是告知?
啥叫充分知情呢?就是要以显著方式、清晰易懂的语言真实、准确、完整地向个人告知一大堆信息[11]:
比如需要告知“个人信息处理者的名称或者姓名和联系方式”(而不是前两次审议稿的“身份和联系方式”),这一条在实践中会使得现在援引《个人信息安全规范》[12]的标准,以信息处理者的类型如“关联企业”、“合作方”等描述身份或者类型信息的操作边界变得更为狭窄。
此外,还需要告知“个人信息的处理目的、处理方式,处理的个人信息种类、保存期限”、“个人形式本法规定权利的方式和程序”、“法律、行政法规规定应当告知的其他事项[13]”等。如果涉及跨境,那么还需要告知“个人向境外接收方行使本法规定权利的方式和程序等事项”[14]。
如果处理的信息是敏感个人信息,那么就“还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响”[15]。
需要进行个人权益的影响评估的,不仅仅是敏感个人信息,还有自动化决策。
05 / 啥是自动化决策?
《个信法》对“自动化决策”的定义是:“自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或经济、健康、信用状况等,并进行决策的活动。”[16]
所以,自动化决策具备三个要素,第一是运用计算机程序自动进行为方式;第二是以进行分析、评估和决策(从目前的文义来看,光评估不决策应该不纳入)为行为;第三是以行为习惯、兴趣爱好或经济、健康、信用状况等为内容——三个要素缺一不可。
自动化决策情况下的个人信息处理,包括刚才提到的个人权益影响说明在内,有许多特殊要求:
“防止大数据杀熟”:即“应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇”。
“便捷拒绝”:刚才说过,就是要么不要搞单选题,要“同时提供不针对其个人特征的选项”,要么就“向个人提供便捷的拒绝方式”。
“个人权益影响评估”:如果“通过自动化决策方式作出对个人权益有重大影响的决定”,那么“个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定”[17]。
对于这些要求,此前也有不少散落于各个法规的细致规定,我们在遵守《个信法》的同时,在不同领域的实践操作,还要记得关注前面所讲的这类实操规定。
06 / 影响评估咋整?
我们发现,无论是敏感个人信息处理,还是自动化决策,都需要开展个人权益影响评估。
这个评估的重要性就不言而喻了。那么,这个评估该怎么做呢?
《个信法》将个人信息保护影响评估的内容规定[18]为:
“三原则符合”:即“个人信息的处理目的、处理方式等是否合法、正当、必要”;
“风险描述”:“对个人权益的影响及安全风险”情况进行描述;
“保护对等”:即是否采取了“合法、有效并与风险程度相适应”的保护措施。
光看这些条目,是没法指导个人权益影响评估的实践操作的。所以得提醒一下,我们还需要特别关注《信息安全技术个人信息安全影响评估指南(GB/T 39335-2020)》的详细规定,该规定从“个人权益影响程度”和“安全事件可能性程度”两个维度决定“风险级别”,并以此作为评估结果指导个人信息处理。在这里就不赘述了(但可以整一页指南里的示意图给你看看)。
07 / 可携带权咋整?
《个信法》首次新增了个人信息“可携带权”的规定, 即“个人请求将个人信息转移至其指定的个人信息处理者, 符合国家网信部门规定条件的, 个人信息处理者应当提供转移的途径”[19]。对比GDPR,《个人信息保护法》所规定的“可携带权”仍属原则性规定,将来至少需要在三方面进一步细化:
一是哪些信息可以携带?个人信息可携带权并非《个人信息保护法》首创,早前已生效实施的《个人信息安全规范》第8.6条已有规定,但是只是将可携带个人信息范围限制为“个人信息主体的基本资料、身份信息、健康生理信息、教育工作信息”,但是公布实施后并未引起重视,各类个人信息保护监管文件也未将此作为重点规范对象。《个人信息保护法》对于可携带的个人信息范围并未做出特别规定,特别是对用户个人信息进行加工、提炼、分析得到的衍生数据凝结了企业价值,如何在商业利益和个人信息保护之间取得平衡有待进一步观察;
二是使用什么方式携带?《个人信息保护法》未对个人信息的携带形式或技术规格做出规定。实践中不同企业存储个人信息的方式和技术存在差异,兼容性较差,因此未来是否会借鉴GDPR的相关规定,对可携带个人信息作出“结构化、通用化和可机读”的质量要求,以实现数据的跨平台利用,尚不得而知;
三是可以携带给谁?《个人信息保护法》规定,符合国家网信部门规定条件的,个人信息处理者应当提供个人信息转移的途径,并强调携带对象应当由个人信息主体指定。首先,个人信息携带引发的处理效果是“转移”,与“传输”或“提供”等个人信息处理活动有何区别?其次,符合网信部门规定的条件,究竟是指技术条件、个人信息类型条件还是转移目的条件?最后,提供转移路径究竟是转出方的义务还是转入方的义务,如何分配安全责任和传输风险?
虽然个人信息可携权制度安排有助于破除大型平台的数据垄断,促进数据流通,避免形成数据“孤岛,但是商业机构也不能滥用“可携带权”作为获取用户流量的捷径,以免触碰不正当竞争的法律红线。
08 / 跨境咋整?
《个信法》颁布之前, 其实已有大量数据出境相关的推荐性国家标准, 如《个人信息和重要数据出境安全评估办法(征求意见稿)》、《信息安全技术数据出境安全评估指南(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》等, 但是大多停留在征求意见稿阶段, 而且效力层级较低,无法直接用于指导企业经营实践。此次,《个信法》的第三章专题为个人信息的跨境提供提出要求:
“四条件”:四个条件至少具备其中一个,包括“通过国家网信部门组织的网络安全评估”、“按照国家网信部门的规定经专业机构进行个人信息保护认证”、“按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务”以及“法律、行政法规或者国家网信部门规定的其他条件”。
“两要素”:要干跨境,自然也得“进行告知” +“单独同意”。这俩上面都讲过了,不赘。
“两特殊”:如果构成关键信息基础设施运营者或处理个人信息达到国家网信部门规定数量的个人信息处理者,那么“本地储存”+“安全评估”,将是强制的[20]。
这里多说两句,《网络安全法》第三十七条已经确立了适用对象为关键信息基础设施的运营者, 适用范围为个人信息和重要数据的“本地存储”以及“原则允许出境+安全评估”的监管框架。本次除了关键信息基础设施机构以外, 《个信法》针对“达到国家网信部门规定数量的其他网络经营者”也提出个人信息本地存储的要求, 但是具体数量标准尚未公布。当然, 适用于个人信息本地存储要求的信息处理者并非意味着严禁个人信息跨境传输, 而是需要通过国家网信部门组织的安全评估, 法律法规另有规定除外。
***以下无正文***
1《民法典》第1034条。
2《个信法》第4条。
3《民法典》1032条。
4《个信法》第28条。
5《个信法》第6条。
6《个信法》第13条。
7《个信法》第15条。
8《个信法》第14条。
9《个信法》第15条。
10《个信法》第14条。
11《个信法》第17条。
12《个人信息安全规范》第9.2条。
13 以上均为《个信法》第17条的规定。
14《个信法》第39条。
15《个信法》第30条。
16《个信法》第73条。
17《个信法》第24条。
18《个信法》第55条。
19《个信法》第45条。
20《个信法》第40条。
关注大队长金融,回复“个人信息保护法”
即可领取福利《个人信息保护法(草案)》与 GDPR 的比较(PDF高清版)