数字时代下个人信息的“保护神” ——《个人信息保护法(草案)》解读
2020-11-13
一、出台背景
随着全球网络基础设施的不断完善,移动互联网、物联网、云计算等服务的普及,世界已步入数字化时代。在数字时代下,数据成为了关键的生产要素,而其中个人信息占有重要比重。数字诊疗、人脸识别、人工智能等领域的技术发展给人们生活带来便捷的同时,也使得个人信息遭受侵害的风险成几何量级增大,导致泄露事件层出不穷、愈演愈烈。
因此,个人信息保护逐渐成为各国立法机构关注的重要议题。至今,全球已经有140多个国家和地区制定了个人信息保护有关的法律。2018年5月25日实施的欧盟《通用数据保护条例》(“GDPR”,General Data Protection Regulation)独树一帜,成为众多国家立法的重要参考。一方面是因为GDPR设计了一整套较完备的个人信息保护制度,其中很多保护原则和理念得到国际认同;另一方面是因为欧盟是一个重要市场,很多国家(例如,印度)为了促进该国与欧盟之间的数字贸易发展,不断提高本国的个人信息保护水平,向GDPR的标准看齐。
近年来,我国作为数字经济的大国也在搭建个人信息保护方面的基本法律框架,其中,《民法典》设立专章规范隐私权和个人信息保护,《刑法修正案》增加“侵犯公民个人信息罪”等罪名,《网络安全法》确立个人信息保护的原则,《数据安全法(草案)》(“数安法”)从数据作为信息的底层载体的角度提出数据安全措施要求,《消费者权益保护法》明确“商品和服务提供者”对消费者个人信息的保护义务,《电子商务法》对电子商务经营者提出个人信息保护要求,《个人信息出境安全评估办法(征求意见稿)》详细规定个人信息出境的安全评估要求等等。不过,个人信息保护的专门法律一直缺位,社会各界呼吁制定《个人信息保护法》的声音越来越高。
2020年10月21日,“中国版GDPR”,即《个人信息保护法(草案)》(“本法”),经全国人民代表大会常委会审议后的正式“亮相”,全文八章七十条。下文将就本法的重点章节进行解读。
二、健全个人信息处理原则
(一)六大处理原则
本法确立了处理个人信息应遵循六个主要原则:方式合法正当(第5条)、目的明确合理(第6条)、最小必要(第6、20条)、处理公开透明(第7条)、准确性(第8条)、安全保护(第9条)。上述原则与世界趋同的个人信息保护原则以及《网络安全法》《民法典》的规定基本一致,其适用精神贯穿本法全文。
(二)“告知+同意”处理规则
在处理规则方面,本法确立“告知+同意”为核心,体现了对个人权益的尊重,也与上文中的合法正当和公开透明两个原则相呼应。
1.“告知”义务
本法第14条就将“充分知情”作为“同意”的前提条件。本法第18条具体列举个人信息处理者(“处理者”)应当告知的事项,主要包括其基本信息、信息处理的目的和方式、个人行使本法权利的方式和程序等。本法第19条规定了告知的例外情形,即在法律、行政法规规定应当保密或不需要告知的情况下,可以免除告知义务,但是该义务在紧急情况下无法及时告知时并不免除,而是将前置改为后置,凸显告知义务的重要性。
在以上基本适用原则的基础上,本法还规定了如下几类需要履行告知义务的情况:
个人信息转移和传输情况下的告知义务(第23、24条)。前者是在处理者“合并、分立”等情况下,而后者是向第三方提供的情况下。虽然两种情况下均需履行告知义务,但告知的内容略有不同。前者仅需告知接收方的身份和联系方式,而后者还需包括处理目的和方式以及个人信息的种类。其差别在于前者信息接收方基于收购等原因承继了处理者原来的业务,所以处理目的和方式以及个人信息的种类在大多数情况下没有变化;而后者作为独立于处理者的第三方,其处理目的和方式以及个人信息的种类的变化是其应有之义。
处理已公开的个人信息时,如果超出被公开时的用途的合理范围或者对个人有重大影响,需要履行告知义务(第28条)。
在处理敏感个人信息时,除第18条规定的事项外,还应当告知处理敏感个人信息的必要性以及对个人的影响(第31条)。
在国家机关履行法定职责处理个人信息时和个人信息出境时,均需履行告知义务(第35、39条)。
2.“同意”义务
除了本法第28条(2)-(6)列举的情形之外,取得个人的同意是处理者处理个人信息的前提。本法第14条明确了同意需基于“充分知情”、“自愿”、“明确”,且在处理目的、方式和种类发生变更时,需重新取得同意。第16条和第17条则赋予个人撤回权,并禁止处理者以不同意或撤回同意为由拒绝提供非必需的产品或者服务。
在以上基本适用原则的基础上,本法还规定了如下几类需要取得“单独同意”的情况:
向第三方提供处理的个人信息(第24条)
公开处理的个人信息(第26条)
公开或提供个人图像、个人身份特征信息(第27条)
处理敏感个人信息(第30条)
向境外提供个人信息(第39条)
三、个人信息涉及跨境问题
(一)域外适用
本法第3条赋予了一定的域外适用效力。虽然《数安法》第2条也类似规定,但本法的适用范围更加明确,即“向境内自然人提供产品或者服务为目的”和“分析、评估境内自然人的行为”。这与GDPR第3条第2款的提供产品或者服务(offering of goods or services)以及行为监控(monitoring of their behavior)一一对应。这意味着境外机构或个人即使在中国没有任何商业存在,只要符合本法第3条所列情况,便受本法的管辖。
(二)个人信息的跨境提供
关于个人信息出境的安全评估要求,首见于《网络安全法》第37条,不过仅适用于关键信息基础设施运营者。而《个信出境办法》将适用范围扩大至所有网络运营者,给业界带来一定震动和压力。而本法第40条试图在以上两者之间找到一个平衡,将安全评估的适用范围局限于“关键信息基础设施运营者”和“处理个人信息达到国家网信部门规定数量的处理者”,而“处理个人信息数量”在本法中未作明确,为监管部门预留裁量空间,保持一定灵活性。
此外,鉴于安全评估工作耗时费力,在某些情况下可能无法满足跨境流动对时效性的要求,本法第38条为处理者提供了另外两个信息出境的途径:(1)经专业机构认证;(2)与境外接收方订立合同并监督其处理活动达到本法规定的个人信息保护标准。值得注意的是,虽然第二种订立合同的方式最为简便易行,但是对于国内的处理者来说其履行监督义务,即确保(境外信息接收方)处理活动达到“本法规定的个人信息保护标准”的难度不容忽视。
(三)国际司法和执法协助下的个人信息出境
本法第41条明确要求在国际司法或行政执法协助情况下向境外提供个人信息,需要取得主管部门事先批准。这与《民事诉讼法》第277条对司法协助情况下外国机关或者个人在国内调查取证的要求保持一致,体现我国司法主权。《数安法》第33条也有类似规定,即要求境外执法机构调取存储于国内数据需要主管部门事前批准。这也是回应了近年来很多国家,包括美国《澄清境外数据合法使用法案》(the Cloud Act)在内,不断扩大跨境数据调取权利的立法趋势。
(四)反制和限制措施
依据国际法的对等原则,本法第43条就国外采取个人信息保护方面的歧视性措施时,赋予我国采取反制措施的权利。这与《数安法》第24条就国外采取与数据投资、贸易相关的歧视性措施时我国有权反制的规定一脉相承。
相较于《数安法》,本法第42条创造性地增设了一个“黑名单”制度,即对于从事损害我国公民权益、危害我国国家安全、公共利益个人信息处理活动的境外主体,网信部门有权将其列入限制或禁止提供个人信息的清单,并采取限制或禁止措施。在表述上,第42条所适用的范围应该比第3条的域外适用中所列范围更加广泛。
近年来,有些国家以国家安全、个人信息保护为由对我国科技企业(例如Tiktok和华为)采取“围追堵截”的措施。本法设立的反制和限制措施恰逢其时,丰富了我国在国际政治博弈斗争中“工具箱”。
四、个人权利与处理者的义务
(一)个人的权利
本法第四章专门明确个人在信息处理中的各项权利,包括:知情和决定权(第44条)、查阅和复制权(第45条)、更正和补充权(第46条)、删除权(第47条)、请求解释说明权(第48条)、请求处理者建立权利申请的受理和处理机制权(第49条)。这与《民法典》第1037条规定的查阅权、复制权、更正权、删除权等相衔接,并予以丰富和细化。
(二)处理者的义务
个人在个人信息保护方面的权利实现,很大程度上依赖于处理者对其义务的履行。本法第五章主要从“明确措施、落实人头”两个方面强化处理者的责任。
1.明确措施
本法对处理者提出了事前、事中、事后、事发全流程的保障义务要求:
事前风险评估(第54条)——要求在对个人有重大影响的个人信息处理活动之前进行风险评估。其列举的适用情况与上文需取得“单独同意”的情况类似,背后的共同逻辑是法律对处理者的义务要求需与处理活动本身的风险程度相匹配。该设计借鉴了GDPR规定的“数据保护影响评估”(DPIA, Data Protection Impact Assessment)制度。
事中合规和安保措施(第50条)——详细列举了处理者应采取的合规和安全保护措施,包括制度制定、分级管理、技术措施、员工要求、应急预案等。这将是处理者在日常合规工作中需要重点关注和落实的工作。
事后定期审计(第53条)——要求处理者定期进行合规审计。其监管思路与《网络借贷信息中介机构业务活动管理暂行办法》第31条要求的定期评估、审计类似。
事发补救和通知义务(第55条)——要求处理者在发生个人信息泄露情况下采取补救措施并通知监管部门和个人。这与《民法典》第1038条补救措施和报告制度相衔接。
2.落实人头
本法第51条规定处理个人信息达到网信部门规定数量的处理者应当指定“个人信息保护负责人”,对内负责对处理活动和保护措施等进行监督,对外担任联系人和与监管沟通人的角色。可以看出,本条借鉴了GDPR数据保护官(DPO, Data Protection Officer)制度。值得注意的是,GDPR非常重视该制度,对于违反该规定(即应设而未设数据保护官)的企业,单独设立一个严格的处罚标准:最高1000万欧元或企业全球年营业额2%(两者取高值)。与GDPR仅概括性地规定适用从事“大规模”数据处理业务的公司一样,本条也未明确“达到网信部门规定数量”的具体标准。我们相信网信部门会后续出台相关指引予以明确。
本法第52条要求境外的处理者在境内设立“专门机构或者指定代表”负责处理个人信息保护相关事务。该要求与《个信出境办法》第20条中要求收集境内用户个人信息的境外机构在境内设立“法定代表人或者机构”的内在逻辑一致,不过其表述比“法定代表人或者机构”更加清晰明了,避免了与公司法项下概念混淆。
五、监管部门
本法第六章明确了个人信息保护的监管部门及分工。其具体内容整理如下表:
履行个人信息保护职责的部门
六、带“牙齿”的法律
为了确保本法规定的各项要求落到实处,切实保护个人的权益,本法对个人信息保护的违法行为构建了从信用公示到刑事惩处一个全方位、多维度的法律责任体系,具体包括:信用公示(第63条)、行政处罚(第62条)、私益诉讼(第65)、公益诉讼(66条)、治安处罚(第67条)、刑事惩处(第67条)。
其中两个“亮点”值得关注:高额的处罚金额和公益诉讼制度的引入。其主要针对实践中个人信息保护工作的两大“痛点”:(1)因违法成本低造成社会普遍对个人信息保护重视不足;(2)因侵犯个人信息的违法行为隐蔽性强、调查取证难、个人防范意识差、维权成本高等因素,导致鲜有个人通过私益民事诉讼的方式维护自身权益。具体规定及分析如下:
本法第62条规定违法行为最高面临“五千万元以下或者上一年度营业额百分之五以下罚款”。这相较于《网络安全法》和《数安法》的一百万罚款上限,大幅提高惩戒力度,逐渐与GDPR项下罚款最高达全球年度营业额的百分之四的标准接轨,彰显国家在个人相信保护方面的决心。
本法第66条规定对于侵害众多个人权益的违法行为,人民检察院、个人信息保护职责部门、网信部门等主体均享有诉讼权利。这是继生态环境和资源保护、食品药品安全等领域之后,公益诉讼首次在个人信息保护领域的适用。
七、结语
本法在借鉴国际成熟的保护原则和立法经验基础上,结合我国国情,将之前相关法律、法规、标准中的实施经验和成熟措施上升为法律规范,在制度设计、维权途径、处罚力度等方面具有诸多创新和突破之处,完善了我国个人信息保护法律保护体系,提升了我国个人信息保护标准。其作用不仅在于促进我国数字经济的良性发展,还有利于我国参与国际规则的制定,促进个人信息保护领域的国际交流与合作,推动我国与国际间个人信息保护规则、标准的互认。
本法的很多内容带有鲜明的数字时代烙印,例如,自动化决策(第25条)、数据公开利用(第28条)、网信部门的主导地位(第38、40、42、51、56、58、66条)等。虽然个人信息不仅限于以电子方式记录,但随着网络对人们生活的深度渗透,以电子方式记录的个人信息无论从数量级还是面临侵害的风险程度来说,都无疑占据主要地位。因此,网络空间必将成为个人信息保护工作的“主战场”。
作为中国首部个人信息保护方面的专门法律,本法在正式颁布实施后,将肩负起数字时代下个人信息“保护神”的使命,引导我国个人信息保护的法制建设步入一个新的篇章。
本文作者:
王一楠,k8凯发天生赢家·一触即发北京办公室合伙人、律师;主要执业领域为数据保护、金融科技、电子商务、跨境投资和争议解决。受聘为网络安全应急技术国家工程实验室数据安全咨询专家。《亚洲法律杂志》(ALB)“2020中国15佳TMT律师”,2020年度LEGALBAND客户首选:合规多面手15强。
邮箱:wangyinan@cqhaolun.com
(实习生谢雪倩对本文亦有贡献)
声明:
本文由k8凯发天生赢家·一触即发律师事务所律师原创,仅代表作者本人观点,不得视为k8凯发天生赢家·一触即发律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。