Step 6 | 一天一步带你落地《个人信息保护法》
点击蓝字丨关注我们
一天一步带你落地
《个人信息保护法》
第六步
识别并遵守特定场景的增强义务
《个保法》还对一些高风险、处理活动复杂、涉及重大权益处理活动的特定场景规定了增强义务。
(一)必须获取“单独同意”的五种场景
当且仅当处理数据的合法性事由是基于同意的时候,有五个场景是需要获得“单独同意”的。这五个场景都是《个保法》下的明星条款。区别于《个保法》项下一般同意规则,个人信息处理者需将以下五种场景下处理目的、行为等单独向个人告知并取得“单独同意”。单独同意仅针对单一事项,不得通过一揽子授权的方式取得数据主体授权同意。《个保法》第二十五条规定,将个人信息予以公开需要获得信息主体单独的同意。前述段落已有参引的《个保法》第二十六条规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,如果用于其他目的的就需要取得个人的“单独同意”。就公共场所安装图像采集和个人身份识别设备的行为,GDPR以及EDPB在《关于通过视频设备处理个人数据的指南》中分了两个层次进行规定。首先是图像类的数据,其次是包括可以识别到单独个人的生物识别数据。如果是存储生物识别类数据(脸、声音等),应当适用敏感个人数据收集使用的同意,即获得明确同意。但是欧盟也面临了在公共场合下获得明确同意的困境,因为个人无法清晰的获知是否进入可能产生信息采集的公共区域,这种情况下粘贴公共通知是无法被视为明确告知同意的。所以EDPB提出了一个建议,例如控制者希望使用视频监控的方式对大楼的访问进行管理,首先控制者需要给出人脸识别的替代方案,例如胸卡或者钥匙。其次,控制者需要采取有效的交互方式获得用户的明确同意,例如通过按下按钮触发人脸识别的方式等。
但是,就这两条“单独同意”的适用频率和行业普适性而言,还是比较低的。以下所提到的“单独同意”场景,则是绝大部分企业无法避开且会被经常适用到的场景。
首先,《个保法》第二十三条规定了个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。“向他人提供”的数据离岸行为有多种形式,包括共享、委托处理、转让、转移等。这个时候都需要获取信息主体的单独同意。
其次,《个保法》第三十九条规定了个人信息处理者向境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
另外,《个保法》第二十九条规定处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。当然,某些针对敏感个人信息的处理活动不是基于同意而是基于履行法定义务,例如某些业务场景下需要基于法律法规要求对用户进行强身份认证、履行实名认证义务,在这种情况下的处理活动的合法性基础便不再是基于用户同意。
对比GDPR中同意的构成要件,《个保法》对同意的要求为:信息主体自愿作出的、知情的且明确作出的意思表示。但是没有提到关于“具体”的要求。GDPR中作为同意构成要件的“具体”,要求颗粒度更细,要求同意是基于某种特殊目的而作出的,必须跟一个或者多个特定目的相关,且用户可以对于目的进行选择,防止企业给出一个宽泛的目的范围去获取用户的同意,但实际的处理目的超出用户的预期,造成用户数据滥用。用欧盟目前对于Cookie合规的要求来举例,根据欧盟相关规定,Cookie根据使用目的可以划分为必要类/分析类/营销类等等,每种不同使用目的类型的Cookie都需要获得用户单独的同意。因为GDPR对每一个同意都要求是具体且单独,所以从立法技术上来说不需要对不同的场景做出类似《个保法》单独同意的特殊要求。但综合实践来看,GDPR上述规定无疑给企业以及用户均增加了负担。我国《个保法》在立法过程中考虑到了这个问题,没有将具体且单独的同意要求加至一般同意的规定中,而是对可能对个人产生较大影响的场景才设置了单独同意的要求,即通过一个“即时、单独、充分”的告知,不可捆绑的被授权,且该等同意需要个人主体明示做出。《个保法》与GDPR上述关于“同意”的区别需要我们在实践落地过程中进行关注和区分。
(二)处理敏感个人信息
《个保法》对处理敏感个人信息的特殊要求总结来讲为三句话,即目的限定更严、告知事项更多、同意机制强化(当合法性基础适用“同意”事由时)。
《个保法》规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。《个保法》第三十条规定,处理敏感个人信息的,除必须告知的一般事项外,还应当向个人增强告知:处理敏感个人信息的必要性以及对个人权益的影响,除非依法可以不向个人告知。《个保法》第二十九条规定处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
(三)必须进行保护评估的场景
《个保法》对先前审议稿中第五十五条和五十六条的内容做了修改,把“安全评估”的表述替换成了“风险评估”,使得评估范围更加完整和饱满。因为对于个人信息的保护不仅是安全侧的义务,也需要结合对个人信息主体权利行使的保护。对于风险评估事项,企业需要考虑在某项行动前对高风险的事项进行评估。其次,对拟计划出境的个人信息进行评估。
《个保法》对“高风险场景”进行了兜底性的描述,即对个人权益有重大影响的个人信息处理活动。《个保法》列举了几项属于高风险场景的数据处理活动。但是,需要强调的是,高风险场景并不仅限于《个保法》列举的示例,还应包括其他符合定义的场景。所以,企业首先需要判断自己的数据处理活动是否落入高风险场景范围内。“高风险场景”的适用条件包括敏感个人信息;自动化决策;委托处理、公开;境外提供;兜底以及对个人权益有重大影响的个人信息处理活动。
在确定适用条件之后,我们需了解要具体评估什么内容。首先,要评估处理目的、处理方式是否属于数据处理的一般原则,即合法、正当、必要原则。其次,要评估数据处理活动对个人权益的影响及风险程度。这要根据不同的处理行为做出一个针对性的分级。第三,要评估所采取的安全保护措施是否合法、有效并与风险程度相适应。
最后,即使经过相关决定和平衡后,风险已经被限制在对个人主体影响很小的范围内,企业还需要对整个的风险评估的过程进行报告和记录,并且该记录至少保存三年,这与企业违反法律规定时涉及的举证义务相关,而三年又与诉讼时效有联系。
GDPR有关于DPIA的规定,从适用范围上来讲,比《个保法》适用范围窄。且虽然规定企业有记录义务,却没有像《个保法》一样要求至少三年的保存期限。但GDPR相关规定的参考价值核心在于帮助我们理解个人信息保护影响评估的本质。就笔者个人观点,DPIA强调的是一个评估过程,属于程序性要求,而非要求达到一个固定标准的实体性要求。就企业而言,它给企业提供了一种合规路径和实现方式,通过DPIA去排查某行为是否符合合规要求,来确定产品或业务是否符合个人信息保护的要求,也是GDPR给予企业证明自身合规性的方法。
(四)自动化决策的场景(明星条款)
我们从两方面去解读《个保法》对自动化决策场景的相关规定。首先,自动化决策不一定直接关联对个人信息的展示或者对个人信息进行触达。企业在进行数据分析和自动化决策后,可能需要进一步开展对个人数据做个性化的推送或者展示,这个行为会对个人信息主体的权益造成影响。“保证处理的透明度和结果公正、公平”与“不得对个人在交易价格等交易条件上实行不合理的差别待遇”两项规定关注点在于处理者对个人信息进行自动化决策后,可能对个人信息主体的权益造成影响的场景。自动化决策的过程要符合对外公示的要求,企业要告知数据主体对其个人信息进行了处理,并保证所处理的结果公平公正,不会对信息主体造成歧视。《国务院反垄断委员会关于平台经济领域的反垄断指南》的相关规定中,也提到了针对“大数据杀熟”问题。部分互联网企业利用大数据分析对不同群体进行差别定价,实行“价格歧视”,对其他数据处理者的商业活动产生影响,从而导致不公平竞争的乱象出现,扰乱了市场秩序。而《个保法》遏制商家对大数据的滥用,主要是为建立健全大数据安全规范使用,提倡算法透明、公平,保护消费者的个人权益。
《个保法》还规定,利用个人信息进行自动化决策而进行信息推送、商业营销的,应同时提供不针对个人特征的选项,或者提供拒绝的方式。但是,仅为通知性的推送不属于该条规定的范围内。《电商法》以及《网络交易监督管理规定》中也对“提供不针对个人特征的选项”进行了规定。相比较而言,《个保法》对此并没有提出很多额外的特殊要求。对于“提供拒绝方式”的这项要求,《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》(以下简称“工信部164号文”)等也对类似的义务做出了规定。
GDPR项下的自动化决策有两种方式,一种是完全基于自动化技术且无人工干预的自动化决策,另外一种是基于用户画像的自动化决策。对于第一种基于自动化技术的决策,比如可以在没有人工干预的情况下,判断哪些人能够面试,哪些人能够简历过筛,哪些人能够享受社会福利。这种自动化决策的防御重点在于人工智能需要为人类服务,而不是因为一些技术而影响人本应该享有的福利,这也是为何起初欧盟禁止自动化决策的原因。
欧盟对于基于用户画像的自动化决策尺度就放松了,与我国的自动化决策保护的立法思路基本一致,强调公平和透明。比如对大数据杀熟的限制,此外是决策需要透明,如果个人对这个处理过程有疑虑,可以要求处理者予以说明。
我们可以从最近意大利数据保护机构对两个外卖软件作出的处罚决定中看出自动化决策对于算法公平性和可适用范围的要求。在这个案例中,意大利执法机关认为,首先,外卖软件可能会对骑手进行特征分析,进而给骑手分配配送订单,但是并未提供关于处理逻辑以及这种处理对骑手的重要性和后果,不满足透明性的要求。其次,在利用自动化决策以及特征分析进行订单分配时没有保障骑手的数据主体权利,至少未获得人为干预和监督的权利,未满足公平和保障用户权利的要求。目前,自动化决策与画像权已经成为了规制算法的主要条款,我们也期待在《个保法》落地过程中,反对自动化决策是否能成为算法规制的核心条款。
(五)数据跨境场景
《个保法》对数据跨境场景的相关规定,需要结合其他法条一起理解,例如《关键信息基础设施安全保护条例》《数安法》以及《网络安全审查办法》等。企业首先需要了解其本身所属的性质以及拟出境的数据是否涉及数据本地化要求。《个保法》第四十条规定关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当境内存储其处理的数据。对于“规定数量”的具体规定,还有待相关法规进一步给出具体的细化规定。企业还要判断拟出境的个人信息是否构成重要数据。如果构成重要数据,即使一般的网络运营者,也需要遵守重要数据境内存储、业务特需单独审批的要求。另外,根据《个保法》第四十一条规定,境外司法或者执法机构要求提供存储于境内的个人信息的,非经主管机关批准,不得提供。《数安法》有类似规定。
只有在不涉及数据本地化要求的情况下,企业才进一步考虑个人信息出境需要满足哪些具体条件。首先,《个保法》第三十九条规定,向境外提供个人信息的,应当向个人告知并取得个人的单独同意。提前告知并获取同意的义务可以被视为数据出境行为的前置条件。其次,《个保法》第三十八条对确实需要向境外提供个人信息的情况,规定了相应的条件:企业通过国家网信部门组织的安全评估;或者,接受专业机构进行的个人信息保护认证;或者,与境外接收方签订根据国家网信部门制定的标准合同(类似于GDPR下的SCC条款),约定双方的权利义务;以及,提供了符合法律规定的兜底条件以待日后补充。
即使《个保法》明确了个人信息出境的法定要求,但在出境前,企业还需要内部提前实施对拟出境个人信息的自评估,确认其个人信息出境行为具有合法性、正当性和必要性。同时,企业也需要对个人信息接收方的安全保护能力,包括安全措施和法律环境等进行评估。无论是采用网信部门组织的评估还是专业机构认证的模式,网络运营者提供数据接收方相关信息的义务无法避开,包括提供数据接收方对出境后处理个人信息的活动不低于《个保法》保护水平的证明等。另外,企业还有义务确定以及了解接收方是否会将拟出境的个人信息进一步转移,或者存在损毁、乱用、篡改的可能性。虽然《个保法》没有对自评估的具体内容进行规定,但强调了企业需进行履行评估义务的必要性。
最后,在某些特殊情况下,企业可能被考虑列入个人信息一定程度自由流通的范畴,而免受流通限制。如《个保法》第三十八条新增了“中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。”同时,接收方处理中华人民共和国公民个人信息,不得危害国家安全、公共利益。如果接收方确有上述危害国家安全、公共利益的行为,国家网信部门可将其列入限制、禁止提供清单或者采取反制裁的范围。
GDPR项下的跨境传输与《个保法》的跨境传输机制在核心内容上基本保持一致,核心条款是确保数据传输到境外之后,能得到和在境内一样的同等保护水平。除此之外,《个保法》还加上个人信息处理者应当采取必要措施保障同等个人信息保护标准的条款,其实可以视为对于EDPB在Schrems II案件后更新SCC和补充措施指南的回应。跨境传输规定的核心在于达到同等个人信息保护水平,因此《个保法》规定,无论企业选择哪种跨境方式,都需要提供必要的保障措施确保数据安全跨境到第三国家,被传输的数据都能达到跟在国内一样同等的保护水平。GDPR与《个保法》较大的区别在于告知同意的规则,GDPR将同意列为跨境传输的例外条件,如果个人数据主体被明确告知其数据传输无法得到充分保护且可能存在风险,仍明确表示同意这种预期的数据转移,那么企业也可以以此作为数据跨境转移的合法性基础。而在《个保法》中,企业除了满足前述提及的四选一的适用条件以及必要保障措施外,还需要获得信息主体的单独同意,这与境外大多数国家的跨境合法性基础规定不同,需要企业在实践过程中进行重点关注。
扫二维码|关注我们
M姐 数据合规评论
M_DigitalLawandLife