【实务导师谈形势】个人信息保护法重点提要
作为“沪航”贸易高质量发展项目的一部分,我们将持续发挥“国际经贸人才实训平台”的优势与作用,邀请各个领域经验丰富的实务导师,在上海市商务委员会的指导下,于“上海公平贸易“公众号和”法嘉LAWPLUS“公众号上开设“实务导师谈形势”专栏,结合国际最新动态及热点事件焦点通报,为企业提供第一手的法律合规指导。
欢迎大家关注、转发。
近年来随着互联网应用和大数据的发展和普及,个人信息价值凸显。海量个人信息在精准营销、产品优化、公共管理等方面发挥了关键作用,但企业对个人信息的不当收集和使用对公民个人隐私及人身财产安全带来了隐患,备受社会关注。
由于早期立法及各地监管政策较为模糊或碎片化,企业在个人信息处理上缺乏明确指导,监管和执法也存在一定难度,因此自2020年以来,我国立法及执法机构密集修订相关法规。2020年10月13日全国人大制定《个人信息保护法(草案)》,并于2021年4月26日及8月13日分别提交了二次及三次审议稿;2020年3月6日,全国信息安全标准化技术委员会出台最新版《信息安全技术个人信息安全规范》;2021年3月23日,国家网信办、工信部、公安部等联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,明确规范App收集个人信息活动;2021年7月27日,最高人民法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》。与此同时,执法部门也针对app过度采集个人信息、企业擅自抓取人脸数据、大数据杀熟等行为开展了重点治理。
8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》(以下简称《个保法》),将于2021年11月1日起施行。《个保法》的正式出台意味着我国关于个人信息保护的制度体系已基本形成,本文拟就该部最新法律在个人信息保护方面的重点内容作简要介绍,为企业的合规审查提供一个基本框架。
哪些企业将受到个人信息保护法的制约
根据《个保法》,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。其中第二条规定,任何组织、个人在中华人民共和国境内处理自然人个人信息的活动,适用本法。由此可见,个人信息保护法的适用范围非常广泛,即便是传统企业,也可能因为持有员工简历、使用指纹或人脸识别打卡系统而负有个人信息保护的义务。
与此同时,企业在中国境外处理中国境内自然人个人信息,如以向境内自然人提供产品或者服务为目的,或分析、评估境内自然人的行为的,也将受到我国个人信息保护法的制约。对于境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。
哪些信息属于法律规定的个人信息
《个保法》第四条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息分为一般个人信息和敏感个人信息。所谓敏感个人信息是指,一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。
基于敏感个人信息的重要性,《个保法》对其收集、存储、传输等均设置了更为严格的要求,并在第二章第二节对敏感信息作出专门规定。《个保法》第二十六条还规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
个人信息的收集应当遵循哪些规则
《个保法》第六条规定了处理个人信息的基本原则,企业在处理个人信息的任何阶段都应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理,不得以个人不同意处理其个人信息为由拒绝提供产品或者服务。
在此原则下,个人信息的收集阶段应遵循“告知-同意”及“可撤回”规则:
(一)企业在收集个人信息前必须取得个人的同意,并且应当以显著方式、清晰易懂的语言向个人告知下列事项:1、个人信息处理者的身份和联系方式;2、个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;3、个人行使本法规定权利的方式和程序;4、法律、行政法规规定应当告知的其他事项。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。基于个人同意处理敏感个人信息的,个人信息处理者还应当取得个人的单独同意。
(二)基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式;个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
个人信息应如何存储
《个保法》对个人信息的存储要求主要涉及三个方面:
(一)设置保存期限
根据《个保法》第四十七条的规定,个人信息的保存期限应当为实现处理目的所必要的最短时间,有下列情形之一的,企业应当主动删除个人信息:1、处理目的已实现或者为实现处理目的不再必要;2、个人信息处理者停止提供产品或者服务,或者保存期限已届满;3、个人撤回同意;4、个人信息处理者违反法律、行政法规或者违反约定处理个人信息。
(二)提供安全保障
《个保法》第五十一条规定,企业应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取必要措施防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除。
关于存储安全的具体措施,《信息安全技术个人信息安全规范》对此提供了详细的指导。如,个人生物识别信息应与个人身份信息分开存储;原则上不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但不限于:仅存储个人生物识别信息的摘要信息;在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。
(三)应在境内存储
根据《个保法》的规定,在中国境内收集和产生的个人信息原则上应存储与中国境内。尤其是国家机关、关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者处理的个人信息应当在中华人民共和国境内存储,确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。对于境外个人信息处理者,还应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务。
个人信息的共同或委托处理
在实践中,可能存在两个或以上企业因合作关系共同处理个人信息、委托第三方处理个人信息或企业主体变更等情况,《个保法》对相关情形也作出了明确的规定:
(一)两个或以上企业共同处理个人信息的,应当约定各自的权利和义务。但是该约定不影响个人向其中任何一方要求行使本法规定的权利。企业共同处理个人信息,侵害个人信息权益的,应当承担连带责任。
(二)企业委托他人处理个人信息的,应当与受托方约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托方的个人信息处理活动进行监督。受托方应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托方应当将个人信息返还个人信息处理者或者予以删除,不得保留。未经个人信息处理者同意,受托方不得转委托他人处理个人信息。
(三)企业因合并、分立等原因需要转移个人信息的,应当向个人告知接收方的身份、联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式,应当依照本法规定重新取得个人同意。
哪些企业将受到个人信息保护法的制约
对于个人信息的加工和使用主要反映在企业通过自动化决策方式进行商业营销、信息推送等行为,其中包括广受公众诟病的“大数据杀熟”。
根据《个保法》第七十三条第(二)款,自动化决策是指利用个人信息对个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,通过计算机程序自动分析、评估并进行决策的活动。第二十四条规定,企业利用个人信息进行自动化决策,应当保证决策的透明度和结果公平合理,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝仅通过自动化决策的方式作出决定。
个人信息出境应如何处理
为适应企业数据出境的实际需求,同时保障我国公民个人信息不会在境外被滥用,《个保法》在符合一定条件的情况下允许企业向境外提供个人信息:
(一)该提供行为应当通过国家网信部门组织的安全评估;(二)应按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。
此外,企业还应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意,同时采取必要措施,保障境外接收方处理个人信息的活动达到《个保法》规定的个人信息保护标准。
此外,《个保法》还对企业在个人信息合规审计提供了重要指导,其中第五十四条至五十九条,就企业如何在事前进行个人信息保护影响评估;发生或者可能发生个人信息泄露、篡改、丢失的,如何采取补救措施;企业在用户数量巨大、业务类型复杂的情况下,如何建立合规机制等方面均作出了较为全面的规定。
早在2003年,我国就已经启动了个人信息保护相关的立法研究,但在机构改革、立法资源有限等多重因素作用之下,立法一度陷入停滞,直到2018年,《个保法》才被列入十三届全国人大常委会立法规划。《个保法》的正式出台并实施,是相关立法机构借鉴他国立法、立足我国实际情况、长期总结实践经验的基础上取得的重大成果,对促进我国数字经济的高速平稳发展、满足公众对隐私保护的迫切需求意义重大。随着法案的正式出台,相关配套措施和监管机制可能在短期内得到进一步完善。在《个保法》的指导下,企业亦有义务强化风险意识,逐步完善自身的个人信息保护工作,有序融入数字经济发展的大环境。
实务导师介绍
黄阳阳律师
中伦文德律师事务所
上海分所合伙人
黄阳阳律师是北京市中伦文德律师事务所上海分所合伙人。目前已在知产领域发表专业论文四十余篇,并经常为企业提供讲座与培训,为众多知识产权密集型企业防范法律风险提供了切实的指导。此外,她还负责发展并维护与多个国际机构的合作,与WIPO多元化纠纷解决中心、欧盟知识产权局及多家英国及欧洲律师事务所有密切合作关系。
往期文章链接🔗:
近期热点活动
2021年度·卓越法务与合规精英班招生简章
“沪航”贸易高质量发展之出口管制专题培训顺利举办
数字经济与全球数据治理系列研讨会成功举办
近期热点文章
大律嘉谈 | 也谈自由意志
【实务导师谈形势】解读网络安全审查制度——从滴滴被实施网络安全审查谈起
还在家里躺平?快来解锁精英们的同款周末!
《个人信息保护法》重要规定及合规要点评析
总法嘉谈|如果在平行世界,张文宏的博士论文被认定抄袭……