专题 | 年度盘点:2021年我国数据合规及隐私保护报告
2021年我国数据合规及隐私保护主要制度分析
作者:赵军,盈理律师事务所资深顾问、数据合规研究院院长;黄馨颐,盈理律师事务所资深顾问。
来源:全文转载自公众号“盈理律师事务所”。
一、截止2021年数据合规及隐私保护主要制度的立法情况一览 ///
刑法监管体系
• 2019.10.21(2019.11.01生效)《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》:对于多项信息网络犯罪的入罪和量刑情节予以明确
• 2017.05.08(2017.06.01生效)《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》:对于侵犯公民个人信息的定罪和量刑情节予以明确
• 2015.08.29(2015.11.01生效)《刑法修正案(九)》(全国人大常委会):将侵犯公民个人信息的犯罪主体扩充到一般主体,将非法侵入、控制、破坏计算机系统、非法获取计算机系统数据,拒不履行信息网络安全管理义务、非法利用信息网络、帮助信息网络犯罪活动等上升到刑事层面,且单位犯罪的,主管人员和直接责任人也应承担刑责,便于惩治信息网络犯罪活动
• 2009.02.28(2009.02.28生效)《刑法修正案(七)》(全国人大常委会):将国家机关或者金融、电信、交通、教育、医疗等单位的工作人员出售或者非法提供公民个人信息入刑,且明确单位犯罪的,主管人员和直接责任人也应承担刑责,并且将非法获取计算机数据、非法控制计算机系统及其帮助犯均明确入刑
个人信息保护制度
• 2021.11.03《关于开展信息通信服务感知提升行动的通知》(工业和信息化部):开展“524”行动,到2022年3月底,信息通信行业综合服务明显改善,用户获得感、幸福感和安全感进一步提升
• 2021.08.20(2021.11.01生效)《个人信息保护法》(全国人大常委会):个人信息保护基本法,奠定《个人信息保护法》《网络安全法》《数据安全法》“三驾马车”的基础地位
• 2021.07.27(2021.08.01生效)《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》:明确滥用人脸识别技术属于侵权行为,进一步厘清侵权行为边界
• 2019.12.26-2021.05.12《移动智能终端及应用软件用户个人信息保护实施指南》(电信终端产业协会):该指南自2019.12.26发布第2部分《个人信息分类分级》,之后陆续发布终端告知同意、应用软件告知同意、应用软件敏感权限规范、隐私政策、总则、定向推送、终端权限管理、注销账户等部分具体指南,为APP如何合规提供系统指南
• 2021.03.12《常见类型移动互联网应用程序必要个人信息范围规定》(国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅):明确移动互联网应用程序(APP)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用APP基本功能服务,并明确针对各种常见类型的APP必要个人信息范围
• 2020.12.29(2021.01.01生效,对2014年的司法解释进行修订)《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》:对于网络诋毁等利用网络侵害人身权益的民事侵权行为,进一步界定网络用户的责任和网络服务提供者的责任
• 2020.11.26《APP 用户权益保护测评规范》(电信终端产业协会):对超范围收集个人信息、定向推送、个人信息获取行为、权限索取行为、违规使用和收集个人信息等行为,清楚划分合规及不合规的界限,便于实践中实施
• 2020.11.26(及后续在2021.01.08、2021.01.15两次补充完善)《APP收集使用个人信息最小必要评估规范》(电信终端产业协会):分总则和针对各类信息的分则,规定了收集使用的最小必要原则,及在位置信息、图片信息、人脸信息、终端通讯录、录音信息、交易信息、身份信息等方面的详细要求
• 2020.11.19(2021.06.01生效)《信息安全技术 个人信息安全影响评估指南》(国家市场监督管理总局、国家标准化管理委员会):提供了个人信息安全影响评估的基本原理和实施流程,并且附表列出高风险个人信息处理活动示例、常用工具表及评估参考的具体方法,在实践中具有指导意义
• 2020.10.17(2021.06.01生效)《未成年人保护法》(全国人大常委会):新增第五章“网络保护”,加强对于未成年人的网络保护
• 2020.07.22(2020.07.22实施)《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》:通知印发之日至2020年12月10日,对APP服务提供者、软件工具开发包(SDK)提供者、应用分发平台针对违规处理用户个人信息、设置障碍、频繁骚扰用户、欺骗误导用户、应用分发平台责任落实不到位五个方面进行专项治理
• 2020.07.22《网络安全标准实践指南—移动互联网应用程序(APP)收集使用个人信息自评估指南》(全国信息安全标准化技术委员会):归纳总结了APP收集使用个人信息的六项评估点,供APP运营者自评估参考使用,小程序、快应用等运营者也可以参考评估
• 2020.05.28(2021.01.01生效)《民法典》(全国人大):明确公民的隐私权和个人信息保护的权利,以及网络侵权行为及责任划分
• 2020.03.06(2020.10.01)《信息安全技术 个人信息安全规范》(全国信息安全标准化技术委员会):针对个人信息面临的安全问题,根据《中华人民共和国网络安全法》等相关法律,规范个人信息控制者在收集、存储、使用、共享、转让、公开披露等信息处理环节中的相关行为,在当时具有较大的社会影响力,为《个人信息保护法》的出台奠定基础
• 2020.01.15《信息安全技术 移动互联网应用程序(APP)收集个人信息基本规范(征求意见稿)》(国家市场监督管理总局、国家标准化管理委员会):明确了APP收集个人信息时应满足的基本要求,虽未生效,但反映主管部门目前对APP监管的具体要求,可用于APP的监督检查和自测评估
• 2020.01.12《信息安全技术 个人信息告知同意指南(征求意见稿)》(国家质量监督检验检疫总局、国家标准化管理委员会):针对各类场景进行了列举,对各类场景如何获得同意进行分析和说明
• 2019.10.31(2019.11.06发布)《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》(工业和信息化部):自通知印发之日起至2019年12月20日,针对APP服务提供者和APP分发服务提供者在违规收集、使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍方面进行专项治理
• 2018.08.31(2019.01.01生效)《电子商务法》(全国人大常委会):对通过互联网等信息网络销售商品或者提供服务的经营活动进行规范
关键信息基础设施和等保2.0
• 2021.08.17(2021.09.01生效)《关键信息基础设施安全保护条例》(国务院):明确国家对关键信息基础设施实行重点保护,强化和落实关键信息基础设施运营者的义务和责任
• 2020.11.01《信息安全技术 网络安全等级保护定级指南》(国家市场监督管理总局、中国国家标准化管理委员会):明确对非涉及国家秘密的等保对象的安全保护等级定级方法和定级流程
• 2020.09《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(中华人民共和国公安部):强化落实等保要求、明确推进关键信息基础设施认定
• 2020.08.10《信息安全技术 关键信息基础设施安全防护能力评价方法(征求意见稿)》、《信息安全技术 关键信息基础设施边界确定方法(征求意见稿)》(全国信息安全标准化技术委员会):明确关键基础设施安全审查的配套标准
• 2019.05.10(2019.12.1生效)《信息安全技术 网络安全等级保护基本要求》(国家市场监督管理总局、中国国家标准化管理委员会):规定等保2.0的基本要求
• 2019.05.10(2019.12.1生效)《信息安全技术 网络安全等级保护测评要求》(中国国家标准化管理委员会): 规定了不同级别的等级保护对象的安全测评要求
• 2019.05.10(2019.12.1生效)《信息安全技术 网络安全等级保护安全设计技术要求》(中国国家标准化管理委员会): 规定等保2.0对安全设计的技术要求
网络安全审查制度
• 2021.11.16(2022.02.15生效,原2020.04.13公布的旧法同步废止)《网络安全审查办法》(国家互联网信息办公室等13个部门):除关键信息基础设施运营者外,增加网络平台运营者开展数据处理活动,影响或可能影响国家安全的,应进行网络安全审查,并规定掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查
• 2021.03.15(2021.05.01生效)《网络交易监督管理办法》(国家市场监督管理总局):对当前“社交电商”、“直播带货”等网络交易活动中的经营者的义务进行明确规定,规范网络交易活动,促进数字经济持续健康发展
• 2019.10.26(2020.01.01生效)《密码法》(全国人大常委会):核心密码、普通密码用于保护国家秘密信息;商用密码用于保护非国家秘密信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全
• 2016.11.07(2017.06.01生效)《网络安全法》(全国人大常委会):关于网络安全的第一部基本法,将已有的网络安全实践上升为法律制度,为网络强国战略提供制度保障
• 2016.07《国家信息化发展战略纲要》(中共中央办公厅、国务院办公厅):明确提出要加快构建关键信息基础设施安全保障体系,加强党政机关以及重点领域网站的安全防护,建立政府、行业与企业网络安全信息有序共享机制
数据跨境及境外上市规则
• 2021.12.24《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》(国务院)和《境内企业境外发行证券和上市备案管理办法(征求意见稿)》(证监会): 将港股上市也纳入证监会的备案监管框架内,要求各类企业境外上市需要向证监会提交备案材料
• 2021.10.29《数据出境安全评估办法(征求意见稿)》(国家互联网信息办公室):规范数据出境活动,促进数据跨境流动
重要数据制度
• 2021.11.14《网络数据安全管理条例(征求意见稿)》(国家互联网信息办公室):落实和细化网络数据安全领域的各项基本制度,明确了我国建立数据分级分类保护制度
• 2021.09《重要数据识别指南(征求意见稿)》(国家市场监督管理总局、中国国家标准化管理委员会):提出了重要数据的定义、特征和识别原则
• 2021.06.10(2021.09.01生效)《数据安全法》(全国人大常委会):规范数据处理活动的基本法,保护数据安全和促进数据利用并举
• 2020.03.30《关于构建更加完善的要素市场化配置体制机制的意见》(中共中央、国务院):将数据定性为一种新型的生产要素
二、各数据合规及隐私保护制度立法现状分析 ///
目前我国数据合规法律体系呈现“1+3”模式,“1”为《刑法》,“3”为《网络安全法》《数据安全法》《个人信息保护法》“三驾马车”,前述四部基本法构建了数据合规的基本立法体系,并向下延伸出多项基本制度,进一步在法律法规层面夯实我国数据合规和隐私保护的规范体系。以下为各项制度截止2021年底的具体情况:
1. 刑法监管体系
我国数据合规及隐私保护的立法呈现“刑法先行”的特色。2015年颁布并生效的《刑法修正案(九)》,第一次在法律层面将侵犯公民个人信息罪(253条之一)、拒不履行信息网络安全管理义务罪(286条之一)、非法利用信息网络罪(287条之一)、帮助信息网络犯罪活动罪(287条之二)明确入刑,并且对于单位犯罪的,不仅单位承担刑罚,其直接负责的主管人员和其他直接责任人员也需要承担相应的刑事责任。目前刑法中涉及数据合规和隐私保护最重要的几条分别是:
以侵犯公民个人信息罪为例,2015年的《刑法修正案(九)》已经明确向他人出售或者提供公民个人信息,情节严重的,需承担三年以下有期徒刑,对于“情节严重”如何界定,又在2017年侵犯公民个人信息刑事案件的司法解释中根据侵犯不同类型的个人信息,采用不同的入刑门槛,即对于高敏感度信息(包括行踪轨迹信息、通讯信息、征信信息)非法获取、出售或提供五十条以上即入刑;对于敏感信息(包括住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的)五百条以上入刑;对于前述敏感信息以外的公民一般个人信息,五千条以上入刑。该2015年修正案及2017年司法解释的出台具有划时代的意义,极大增加了对于网络信息犯罪的打击力度,对社会不法行为的治理起到很好的威慑和惩戒的效果。恰逢当时社会上裸贷、校园贷频发,自2017年侵犯公民个人信息刑事案件的司法解释出台后,裸贷、校园贷等类似的不法行为得到全面整治。
2021年也有多件具有重大意义的刑事案件,例如杭州市的“女子取快递被造谣案”中某女子取快递时被偷拍,并被造谣和快递员出轨,谣言在网络上广泛传播,造成该女子人格权受严重侵害,并因此丢了工作、找新工作被拒,并患上抑郁症,于是向警方报警。该案原本只是9日行政拘留,后被害人向法院提起自诉,考虑到该案已严重危害社会秩序,检察院建议公安局按公诉程序追诉,实现自诉转公诉,最终2021年4月30日杭州市余杭区法院以诽谤罪判处被告人有期徒刑一年,缓刑两年。该案是近年来网络空间治理的典型案件,明确将有严重社会危害性的网络诽谤、侮辱行为纳入公诉案件范围,拓宽了网络暴力维权的途径,有利于威慑和打击犯罪,也体现对公民人格权、个人信息权的保护。
又如“赖枰全侵犯公民个人信息罪案”,被告人赖枰全在东莞市应客户要求,将其所得知的公民身份证号码、姓名等发送给同伙查询上述公民的对应照片,再将上述照片通过“三色技术”制成动态人脸验证视频后贩卖给客户从中获利,共获利约达59000元。2021年5月10日广东省东莞市第二人民法院判处被告人赖枰全有期徒刑一年二个月,并处罚金30000元。本案作为个人信息保护视域下人脸识别类信息保护的典型案例,对网络时代下数据安全、个人信息和财产安全的保护具有重大启示意义。[1]
2. 个人信息保护制度
《个人信息保护法》(或称“《个保法》”)的出台无疑是2021年个人信息保护领域的大事件,具有划时代的意义。在延续之前《网络安全法》(或称“《网安法》”)及《数据安全法》(或称“《数安法》”)保护思路和保障范围的基础上,对个人信息保护进一步延展和梳理,借鉴了美国和欧盟的立法并且有所突破。2021年我国个人信息保护法呈现下列特点:
(1)拓宽了境外管辖的范围
在适用范围上,在《个保法》之前,《网安法》仅对“关键信息基础设施”受境外主体侵害的活动有管辖权,之后《数安法》将管辖权延伸到境外数据处理活动:涉及损害我国国家安全、公共利益或者境内公民或组织合法权益的,《数安法》即可管辖,体现了“属地+保护”的管辖原则。而《个保法》出台后,则进一步扩大了境外管辖权的范围,规定在中国境外处理境内个人的信息的,只要涉及向境内主体提供产品或服务、分析或评估境内自然人的行为、或法律法规规定的其他情形,我国均有管辖权,体现了“属地+属人+保护”的管辖原则。相比较而言,这种域外管辖原则基本与欧盟GDPR的规定一致。值得注意的是,在数据的域外管辖权规则上,美国的CLOUD法案展示了更加宽泛的思路:该法案规定,只要科技公司拥有(possession)、监护(custody)或控制(control)数据,则即使数据存储在美国境外,美国执法机关亦可通过相应的法律程序要求其提供数据。这里的“拥有、监管或控制”数据既包括公司享有取得数据的合法权利,也包括公司在技术上可以实际获得数据。与之相对应的,《个保法》第41条规定:非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。
[1] 西北政法大学发布2021年度十大刑事案件 (thepaper.cn)