数据合规观察 | 十年磨一剑,霜刃将霍霍——个保法合规落地中的新与难【走出去智库】
随着近年互联网经济和数字化的快速发展,随意收集、违法获取、过度使用个人信息的问题日益突出。11月1日正式生效的《中华人民共和国个人信息保护法》,必将使信息处理者的违法行为受到法律的惩处。
走出去智库(CGGT)特约法律专家、金诚同达律师事务所高级合伙人彭凯指出,《网络安全法》《数据安全法》《个人信息保护法》的全部施行,宣告护航我国数字网络时代的“三驾马车”正式全面启航,网络安全、数据安全、隐私保护、个人信息保护等话题,不再是泛泛而谈的宣示性口号,信息处理者们需要意识到,那个又快又好的时代即将落幕,尤其是《个保法》的施行,在个人信息保护领域掷下重磅一子,将逐步显露出其“霜刃霍霍”之势。
今天,走出去智库(CGGT)刊发金诚同达律师事务所彭凯、周晨黠、宋海新的文章,供关注数据合规管理的读者参考。
要 点
CGGT,CHINA GOING GLOBAL THINKTANK
1、《个保法》并未对“已识别或可识别”“有关”等具体含义作出进一步说明,在操作层面会带来较大困惑,是否为个人信息仍需根据具体的信息组合来判断。
2、个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得在交易价格等交易条件上实行不合理的差别待遇,回应了大众当前对“大数据杀熟”的关切。
3、考虑到个人信息出境往往伴随着集团数据融合共享、公司对外提供数据等场景,因此亦很可能涉及到对外提供个人信息的相关规制,并进而引发新的合规要求。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
文/彭凯 周晨黠 宋海新
金诚同达律师事务所
引言
2011年5月,国家互联网信息办公室正式设立,次年12月28日,第十一届全国人民代表大会常务委员会第三十次会议通过《关于加强网络信息保护的决定》。
2021年8月20日,中华人民共和国主席习近平签发中华人民共和国第九十一号主席令:《中华人民共和国个人信息保护法》已由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议于2021年8月20日通过,现予公布,自2021年11月1日起施行。
随着《个人信息保护法》(以下简称“《个保法》”)正式施行,至此,《网络安全法》《数据安全法》《个人信息保护法》的全部施行,宣告护航我国数字网络时代的“三驾马车”正式全面启航。从2012年末《关于加强网络信息保护的决定》明确提出要求保护个人电子信息,到《个保法》三审通过、公布施行,我们走过了近十年的光景,恰如诗有云:十年磨一剑,霜刃未曾试。
核心要点
《个保法》公布以来,各类从业机构的个保合规工作进展不一,近期显见的变化主要在于“隐私政策更新”和“移动应用程序端的用户交互页面调整”。但个保合规的全面落地,远非数个文本修订的“面子工程”,实务工作中的困惑、疑问乃至焦虑,结合笔者近期的项目经验、实务考察以及业务交流,分享如下六项核心要点。
1. 新法适用范围
《个保法》确立了属地管辖原则。对于在中国境内处理自然人个人信息的活动,无论处理者的主体身份是否为境外实体,也无论自然人是否为我国公民,都适用《个保法》。除属地原则作为基础管辖标准外,《个保法》第3条第2款还赋予了必要的域外适用效力,规定对于域外的个人信息处理活动,如涉及以向境内自然人提供产品或者服务为目的、或分析、评估境内自然人的行为、或法律、行政法规规定的其他情形,也适用《个保法》的规定。
2. 个人信息的范围界定
《个保法》从单行立法的角度特别明确了“个人信息”的定义,即以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。只要与已识别或可识别的自然人有关的各种信息,都被纳入个人信息的范畴。但同时也需要注意到,《个保法》并未对“已识别或可识别”“有关”等具体含义作出进一步说明,在操作层面会带来较大困惑,是否为个人信息仍需根据具体的信息组合来判断。
3. 处理个人信息的合法性基础
《个保法》第13条明确了处理个人信息的七项合法性基础,包括六项具体的合法性基础和一项兜底的合法性基础。
《个保法》第13条在确立以“告知—同意”为核心的个人信息处理规则的同时,考虑到经济社会生活的复杂性和个人信息处理的不同情况,还对基于个人同意以外合法处理个人信息的情形作了规定,可谓《个保法》最大的亮点之一。
对于处理个人信息的合法性基础,从业机构非常关心的问题在于,如何整体把握适用处理个人信息的合法性基础?对此,建议企业全面梳理本企业内部全部的个人信息处理行为,在梳理完成后,逐一对照《个保法》第十三条的规定,判断每一项个人信息处理行为是否可以适用除“取得同意”的其他合法性基础。如果无法准确适用其他合法性基础,则建议依然适用“取得同意”的合法性基础,遵循《个保法》项下“告知—同意”的相关要求,向个人告知相应事项并取得个人的同意,有特殊同意要求(如单独同意、书面同意)的应取得特殊同意。
需要补充强调的是, 即使能够适用其他合法性基础, 其主要的作用为该等个人信息处理行为无需取得个人的同意,即《个保法》第十三条第二款规定的“依照本法其他有关规定, 处理个人信息应当取得个人同意, 但是有前款第二项至第七项规定情形的,不需取得个人同意。”而个人信息处理者依然要遵守《个保法》第五章规定的个人信息处理者的义务等的规定,履行个人信息保护义务。
4. 敏感个人信息的处理规则
《个保法》第28条将“敏感个人信息”界定为:一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有在具有特定目的和充分必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。如涉及处理不满十四周岁未成年人(儿童)的个人信息,应当取得儿童的父母或其他监护人的单独同意。此外,《个保法》还要求如涉及处理儿童个人信息,个人信息处理者应制定专门的个人信息处理规则。这一规定的设置与《儿童个人信息网络保护规定》(国家互联网信息办公室令第4号)的要求一脉相承,将这一规定提升至法律的高度,体现了法律对于儿童个人信息保护的重视。
5. 自动化决策场景
个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得在交易价格等交易条件上实行不合理的差别待遇,回应了大众当前对“大数据杀熟”的关切。虽然《个保法》并未对何为“不合理的差别待遇”进行解释,但可借鉴《关于平台经济领域的反垄断指南》第17条关于“差别待遇”的规定进行理解。分析是否构成“不合理的差别待遇”,其前提应为个人信息主体在交易安全、交易成本、信用状况、所处交易环节、交易持续时间等方面不存在实质性影响交易的差别。在此基础上,个人信息处理者依据大数据和算法,基于成本或正当营销策略之外的因素,根据个人信息主体的支付能力、消费偏好、使用习惯等,实行差异性交易价格或者其他交易条件,或实行差异性标准、规则、算法,又或实行差异性付款条件和交易方式。
6. 个人信息跨境提供规则
《个保法》第41条基本沿用了《数据安全法》第36条的规定,即在向外国司法或执法机构提供数据前,需先经主管机关批准,这是对于个人信息向境外提供的对象前置要求。
《个保法》第40条进一步明确,所有关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者的个人信息出境应当通过国家网信部门组织的安全评估。
在满足前述条件后,个人信息处理者还应确保个人信息的出境行为同时符合《个保法》设置的通用前提,具体包括三项:
一是向个人告知并获其单独同意;
二是事前进行个人信息保护影响评估;
三是通过国家网信部门组织的安全评估、或按照国家网信部门的规定经专业机构进行个人信息保护认证、或按照国家网信部门制定的标准合同与境外接收方订立合同并约定双方的权利和义务、或法律、行政法规或者国家网信部门规定的其他条件。
同时需要注意的是,考虑到个人信息出境往往伴随着集团数据融合共享、公司对外提供数据等场景,因此亦很可能涉及到对外提供个人信息的相关规制,并进而引发新的合规要求。
以上六项核心要点仅为《个保法》的冰山一角,反复咀嚼其七十四个条文,可谓别是滋味在心头:
◆ 域外适用情形下,境外处理者的义务履行和规制,实际落地情况将如何?
◆ 个人撤回同意的从业机构响应,如何落地实践?
◆ 多个场景触发下的单独同意实现路径为何,如何衡平业务需要、用户体验、合规要求的三者关系?
◆ 公共场所非安防用途的图像采集、个人身份识别设备,留存空间如何?
◆ 个人信息跨境提供的“四选一”条件,何时可以开始实操,无法实操之前的个人信息出境如何处置?
◆ 以查阅复制为典型的个人信息主体权利,从业机构如何构建响应机制,是否将引发“用户投诉/诉讼”重灾区?
◆ 个人信息保护影响评估怎么做,做到何种程度?
◆ 公益诉讼的实际威力和启动频次可能如何?
问题种种,在最高可至“五千万元或上一年度营业额百分之五”的罚款面前,不得不说:时间紧、任务重、规定新、要求严、业务难。
结语
互联网发展的高歌猛进时代,便利快捷导向之下的狂奔,一定程度上掩盖了私权被侵害的事实,作为普通大众的个体,对于个人信息的掌控力,愈发“有权而无实”,不给授权不让用、一次授权终身使用等问题至今仍然泛滥,虽有寥寥维权个案,仅是微弱的呼喊,甚至是无声的呐喊。
但是,草莽时代终将结束,网络安全、数据安全、隐私保护、个人信息保护等话题,不再是泛泛而谈的宣示性口号,信息处理者们需要意识到,那个又快又好的时代即将落幕,《个保法》的施行,在个人信息保护领域掷下重磅一子,作为个人信息保护领域的“基本法”,《个保法》将会引发怎样的全行业个人信息保护工作开展变化,或顶层设计的重构?或谨小慎微的细节打磨?十年光景磨出的这把个保之剑,伴随其正式施行,将逐步显露出其“霜刃霍霍”之势。
而跳出《个保法》的条文理解本身,个体权利的觉醒与私权保护、磨刀霍霍的监管与配套规制措施、数字主权浪潮与数字经济发展的并进态势,数字化时代的机遇与挑战,才刚刚开始。
数据安全观察 | 哪些数据必须本地化存储?数据出境如何做好合规管理?
数据合规观察 |《个保法》实施,跨境电商如何做好数据合规管理?
跨境数据合规 |《个人信息保护法》视角下的跨境电商生态数据合规问题
数据合规观察 | 观千剑而后识器:中美欧个人信息保护制度比较
数据合规观察 | 腾讯研究院:29个维度对比中美欧个人信息保护法
数据合规观察 | 面临新一轮数据监管浪潮,如何做好个保法、数安法与网安法三法合规联动
跨境数据合规 | 合规创造价值:新经济领域(拟)上市企业的若干合规要点分析
跨境数据合规 |《数据安全法》亮点解读:明确重要数据出境安全管理制度
专家简介
彭凯
执业领域:网络安全与数据合规、金融科技、公司治理与合规、收并购
走出去智库(CGGT)特约法律专家,金诚同达律师事务所高级合伙人,兼任复旦大学法律硕士专业学位实务导师,复旦大学法学院实务课程讲师,厦门市地方金融协会调解员,多家机构签约讲师,浪巅Shairk Intelligence 创始人,十字财经联合创始人。
执业以来为多家大型互联网公司、跨国企业、知名金融科技企业、金融机构、初创公司等提供常年及各类专项法律服务,深谙国内网络安全、数据治理、个人信息保护、互联网、金融领域法律法规,个人研究领域聚焦于网络安全、金融科技、大数据及人工智能,正持续围绕该等新兴领域进行研究及写作。
周晨黠
执业领域:网络安全与数据合规、争议解决、破产重整及保险
金诚同达律师事务所资深律师,毕业于上海交通大学法学院,先后获学士学位(法学及经济学)、硕士学位(法律)。自执业以来为多家金融科技公司、互联网企业、科技公司等提供有关网络安全、数据合规、个人信息与隐私保护等内容的咨询与专项法律服务。
曾代理包括建设工程施工合同纠纷、保险合同纠纷、融资租赁合同纠纷、股权回购纠纷等在内的众多商事争议解决案件,并在多个房地产建设工程项目、破产重整项目、内部调查项目中提供全流程专业法律服务,目前聚焦于个人信息保护与数据合规、人工智能、大数据、网络安全等多个新兴领域开展研究工作。
宋海新
执业领域:网络安全与数据合规、金融科技、公司治理与合规、争议解决
金诚同达律师事务所资深律师,毕业于上海交通大学凯原法学院,先后获学士学位、硕士学位。自执业以来为数十家互联网巨头、持牌金融机构、金融科技企业、大数据企业、初创公司等提供网络安全与数据合规、金融科技、公司治理与合规方面的常年及专项法律服务,并代理/负责包括软件开发纠纷、服务合同纠纷、民间借贷纠纷等在内的近十起争议解决案件。
主笔撰写数据合规专著1本,参与撰写金融科技专著1本,主笔撰写并公开发布数据合规文章30余篇,主笔撰写并公开发布金融科技文章10余篇。深谙国内数据合规和金融科技领域法律法规,个人研究领域聚焦于网络安全、大数据、人工智能及金融科技。
《美国政策研判和风险预警》是走出去智库(CGGT)出品,跟踪分析美国最新对华政策动向,内容涵盖华府风向标、科技竞争、贸易战、金融市场、实体清单、焦点企业等。如您希望参阅,请给走出去智库公众号后台留言(姓名、单位、职务、电话、邮箱)。
合作、业务咨询:
servicecenter@cggthinktank.com
走出去智库(CGGT)
不谈大道理,只讲干货。国内外一流投行、法律、会计、风险管理、银行/保险、品牌、人力资源、估值、境外信息情报和数据管理9个领域的专业人士联袂。走出去一站式专业实务和数据信息平台,企业跨境投资并购智囊团。
更多信息请访问:www.cggthinktank.com
版权声明:走出去智库(CGGT)欢迎转载,请注明来源:走出去智库(CGGT)。如不署名来源,CGGT将追究其相关法律责任。