2020年10月21日,全國人大法工委公開就《個人信息保護法(草案)》(下稱“草案”)征求意見。草案回應了近年的數(shù)據(jù)合規(guī)實踐,借鑒國際經(jīng)驗,開創(chuàng)貼合國情且富有前瞻性的監(jiān)管新路徑,也將為我國在國際數(shù)據(jù)保護話語體系中占據(jù)一席之地奠定基礎。于企業(yè)而言,強化個人信息保護的趨勢已經(jīng)明朗,數(shù)據(jù)合規(guī)將成為助力企業(yè)提升競爭力的重要驅(qū)動力。以下選取最受關(guān)注的八個典型問題進行討論。
一、處理個人信息仍然只能使用“同意”原則嗎?
長期以來,除為履行法定義務所必需外,取得個人同意是處理個人信息的唯一合法基礎。考慮到經(jīng)濟社會生活的復雜性和個人信息處理的不同情況,草案對基于個人同意以外合法處理個人信息的情形作了規(guī)定,即:訂立或履行合同所必需、履行法定職責或義務所必需、保護自然人的生命健康和財產(chǎn)安全所必需、為公共利益在合理范圍內(nèi)處理個人信息。
盡管如此,“告知-同意”依然是個人信息處理規(guī)則的核心,并已經(jīng)在國內(nèi)現(xiàn)有的法律和監(jiān)管體系中得到廣泛執(zhí)行。草案對“告知-同意”規(guī)則作出較大幅度的完善和更新,必將對合規(guī)生態(tài)產(chǎn)生深遠影響。
(一)廣泛的告知義務。常見的錯誤認知是:告知僅是基于同意處理個人信息的前置條件。草案明確規(guī)定,個人信息處理者在處理個人信息前,均需以顯著方式、清晰易懂的告知為前提,并詳細列示需要告知的事項。
(二)同意是在充分知情的前提下,自愿和明確的意思表示。“自愿”意即出于個人自由意志做出的意思表示。在單位處理員工個人信息的情況下,即使員工簽署《授權(quán)同意書》也未必滿足“自愿”的要求,因為單位與員工的地位并不對等。結(jié)合《個人信息安全規(guī)范》, “明確”的意思表示包括主動聲明,即個人通過書面、口頭等方式主動作出的具有語言內(nèi)容的聲明;也應包括肯定性動作,即主動勾選、主動點擊“同意”等肯定性動作。單純的沉默,即消極的不作為,在沒有法律規(guī)定、當事人約定或者符合交易習慣的情況下不應當被認為是“明確”。
(三)新概念創(chuàng)設:單獨同意。草案沒有解釋“單獨同意”的具體含義,只規(guī)定了需“單獨同意”的多種具體場景,即:向第三方提供處理個人信息、公開處理個人信息、在公共場所安裝圖像采集和個人身份識別設備、處理敏感個人信息和向境外提供個人信息。我們理解,“單獨同意”是比一般“自愿、明確同意”更高的標準,需由場景觸發(fā)、通過單獨展示的方式告知并獲得個人的明確同意。可參考GDPR規(guī)則中的明示同意。在《關(guān)于“同意”的指南》中其被解釋為,“建議使用更高標準的技術(shù)方式,以確保獲得用戶的真實授權(quán),比如增加一道驗證手續(xù),在獲取用戶同意后以鏈接或短信驗證方式要求用戶再次確認”。
為訂立或者履行個人作為一方當事人的合同所必需亦可處理個人信息。此項為極具突破性的設置,使用得當將為商業(yè)場景中處理個人信息提供不少便利。適用本條的核心問題是如何理解“必需”,草案未對此作詳細規(guī)定。對照GDPR,我們判斷未來實踐中將會對“履行合同”采取嚴格解釋的態(tài)度。具體而言,“必需”應是合同訂立和履行過程中為服務個人必不可少的處理行為,而不能局限在合同的約定或者用語的表達。舉例而言,消費者如果希望電商平臺的商家將商品直接寄到家里,則商家處理消費者的地址信息即可視為履行商品購銷合同所必需;但如果消費者選擇將商品寄到特定快遞點,則商家除非獲得其他合法性基礎,否則無法以履行合同為由處理消費者的地址信息。
二、敏感個人信息具體包括哪些,為何會單獨成節(jié)?
草案處處體現(xiàn)了對個人信息保護的“風險路徑”考量,即在規(guī)制個人信息處理行為時區(qū)分主次、抓大放小,企業(yè)也應據(jù)此合理分配合規(guī)資源。敏感個人信息的處理規(guī)則單獨成節(jié)即是證明之一。
個人信息處理者只有在具有特定目的和充分必要的情形下才能處理敏感個人信息。“告知-同意”義務方面,需額外向個人告知處理敏感個人信息的必要性以及對個人的影響,并取得個人的單獨同意或依法取得書面同意。舉例而言,在自動售賣機購物或從快遞柜取快件時均有使用人臉識別的方式驗證身份或進行支付的情形,而人臉作為個人生物特征屬于敏感個人信息。此時,如果個人在知情的情況下單獨同意售賣機或快遞柜的運營方處理其人臉信息,是否可行?盡管滿足特定目的的條件,但僅為購物或取快遞之目的而收集人臉很難證明具有充分必要性,在告知時也難以解釋。與此相反,個人在機場過安檢時的人臉識別系為公共安全之目的,具備充分的必要性,且因此場景中處理人臉信息并非基于個人同意而進行,故也無需取得個人的單獨同意。但是,向個人告知處理敏感個人信息的必要性及對個人影響的義務仍不能豁免。
敏感個人信息的范圍在草案中只有概括定義及非窮盡列舉。實踐中,可以參考《個人信息安全規(guī)范》表B.1對“個人敏感信息”的舉例,其對草案中的個人生物特征、醫(yī)療健康、金融賬戶類目均具備參考價值。值得關(guān)注的是,種族、民族、宗教信仰均作為敏感個人信息被寫入草案。傳統(tǒng)上,中國民眾對該等信息的敏感度并不高,我們從小就需要在各類表格中填寫民族。隨著社會的進步與多元,企業(yè)在處理個人信息時需要同時具備本地和國際視角,充分尊重不同的族群、宗教、政治、文化背景。
三、自動化決策是什么,相關(guān)規(guī)制會對本企業(yè)產(chǎn)生影響嗎?
草案首次在法律層面提及自動化決策,并且賦予其豐富內(nèi)涵,導致幾乎所有利用大數(shù)據(jù)的企業(yè)都多少會受到規(guī)制。具體而言,自動化決策是指利用個人信息對個人的行為習慣、興趣愛好或者經(jīng)濟、健康、信用狀況等,通過計算機程序自動分析、評估并進行決策的活動。
《個人信息安全規(guī)范》沿襲了GDPR規(guī)則,指出自動化決策的特征之一是決策必須能夠顯著影響個人信息主體權(quán)益。例如,能夠決定個人信用及貸款額度、面試篩選的決策屬于自動決策;而在用戶界面根據(jù)用戶的具體情況推薦不同產(chǎn)品或做默認排序并非自動決策。草案則突破自動化決策需對個人權(quán)益造成重大影響的要求,著眼于決策過程的自動化;但同時規(guī)定,如果自動化決策對個人權(quán)益造成重大影響,個人有權(quán)要求處理者予以說明,并有權(quán)拒絕其僅通過自動化的方式作出決策。
基于此,有關(guān)自動化決策的規(guī)定將廣泛影響信息社會中的各行各業(yè),尤其是人工智能的應用場景。個人信息處理者應當特別重視自動化決策的合規(guī),例如:通過隱私政策等方式,向個人告知自動化決策的存在、基本的運行邏輯及其對個人的影響;通過定期檢驗數(shù)據(jù)和算法等方式,保證決策基礎數(shù)據(jù)的準確性和相關(guān)性,以及決策算法的可解釋性和非歧視性;通過關(guān)閉選項、人工復核等方式,避免個人完全受制于自動化的機器決策。
四、處理公開的個人信息是否就沒有合規(guī)隱患,特別是當個人信息系由政府公開時?
長期以來,處理公開的個人信息在多數(shù)情況下被視為安全港,特別是當個人信息系通過官方渠道公開。既《民法典》之后,草案亦對處理公開的個人信息設定邊界,且更進一步。
《民法典》規(guī)定了處理個人信息的免責事由,包括合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息,但自然人明確拒絕或處理該信息損害其重大利益的除外。草案則規(guī)定,對于已公開的個人信息,個人信息處理者可以在與其被公開時的用途相關(guān)合理范圍內(nèi)處理,但是,如果處理活動將對個人產(chǎn)生重大影響,則仍應當告知個人并取得同意。“對個人產(chǎn)生重大影響”較“損害個人重大利益”顯然更容易證明,顯示出草案對于處理公開個人信息的謹慎態(tài)度。
早在草案出臺之前,司法實踐中與此相關(guān)的裁判思路即在發(fā)生變化。根據(jù)南方都市報運營公眾號“隱私護衛(wèi)隊”的報道,北京互聯(lián)網(wǎng)法院某法官的觀察顯示:在企業(yè)對數(shù)據(jù)的再度利用中,公開數(shù)據(jù)是重要的一類,包括權(quán)利人自行公開、政府信息公開或司法公開。以裁判文書為例,此前的法院裁判時因裁判文書屬于權(quán)威信息來源,通常認為只要再度利用時保持內(nèi)容一致,不存在不當利用的情形,就不構(gòu)成侵權(quán)。然而,在最近的生效判決中則出現(xiàn)不同的裁判結(jié)果,考慮公開信息的同時也會考察再度利用公開信息是否可能侵害權(quán)利人值得保護的重大利益。
五、跨境提供個人信息是否需要進行評估,進行評估后是否仍需要個人同意?
草案將個人信息跨境提供置于單獨章節(jié),足以見得立法、監(jiān)管層面對此的關(guān)注。總體而言,根據(jù)出境主體身份的不同,個人信息處理者或必須通過監(jiān)管評估、或可以從監(jiān)管評估、專業(yè)機構(gòu)認證、合同訂立當中進行選擇,特殊情況下(如因國際司法協(xié)助或者行政執(zhí)法協(xié)助需向境外提供個人信息)應按法律、行政法規(guī)進行處理。但無論如何,告知-同意義務均不能豁免。具體的關(guān)注點如下:
(一)草案要求關(guān)鍵信息基礎設施運營者、處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者,如確需出境個人信息,應當通過國家網(wǎng)信部門組織的安全評估(即監(jiān)管評估)。該等規(guī)定拓展了《中華人民共和國網(wǎng)絡安全法》(“網(wǎng)安法”)第37條中跨境安全評估的適用范圍,除關(guān)鍵信息基礎設施運營者外,處理個人信息達到一定規(guī)模者亦需遵守;同時,相較于《個人信息出境安全評估辦法(征求意見稿)》又提升了監(jiān)管評估的適用門檻。
(二)相比較監(jiān)管評估、經(jīng)專業(yè)機構(gòu)認證、或符合其他法定條件,與境外接收方訂立合同似乎是門檻最低的出境方式。草案規(guī)定,“與境外接收方訂立合同,約定雙方的權(quán)利和義務,并監(jiān)督其個人信息處理活動達到本法規(guī)定的個人信息保護標準”。然而,參考GDPR的“標準合同條款”模式,尤其是美歐隱私盾協(xié)議被判無效的同時,法院確認標準合同條款仍然是將歐盟個人數(shù)據(jù)轉(zhuǎn)移到歐盟境外的有效機制,但要求企業(yè)對個人數(shù)據(jù)接收國的法律及個人數(shù)據(jù)轉(zhuǎn)移場景進行個案評估。
( 三)對比GDPR,草案并未采用以國家或地區(qū)為單位的“充分性認定”模式,也未對同一集團下不同實體之間的跨境提供設置單獨規(guī)則。我們理解,框架性評估往往是通過眾多個案評估,提取評估經(jīng)驗后的產(chǎn)物。相同商業(yè)模式下或同一集團內(nèi)的個人信息出境模式常具有相似性,建立標準化的評估體系后即可極大降低合規(guī)成本。
六、草案對于個人信息權(quán)利與義務的規(guī)定有哪些突破、創(chuàng)新?
草案構(gòu)建了個人信息的權(quán)利義務體系。該等內(nèi)容在企業(yè)實踐中均已涉及,但在此之前尚未在法律層面予以全面規(guī)范。就個人權(quán)利而言,個人享有知情、決定權(quán),查閱、復制權(quán),更正、補充、刪除權(quán),以及要求解釋說明、申請受理的權(quán)利。就個人信息處理者義務而言,個人信息處理者應采取必要的技術(shù)與管理措施、設置個人信息保護負責人、定期開展合規(guī)審計、事前風險評估、個人信息泄露后應及時補救并通知。簡單選取值得討論的兩點:
(一)相較于網(wǎng)安法將違法違約收集個人信息作為個人行使刪除權(quán)的前提,草案擴張了刪除個人信息的情形,包括:約定的保存期限已屆滿或處理目的已實現(xiàn),處理者停止提供產(chǎn)品或者服務,個人撤回同意,個人信息的處理違法或違約,或其他法定情形。對比GDPR和CCPA,兩者均規(guī)定若干刪除的例外,例如為履行法定義務、維護系統(tǒng)安全、保障訴訟、行使言論自由、出于科學研究等公共利益。草案未提供例外,但保留了法定的保存期限未屆滿、或者刪除個人信息從技術(shù)上難以實現(xiàn)時,停止處理個人信息的選擇。
(二)此外,草案要求個人信息處理者發(fā)現(xiàn)泄露事件即應通知有關(guān)部門,但對于能夠有效避免信息泄露造成損失的,可免除通知個人的義務。然而,按照嚴格標準數(shù)據(jù)安全事件幾乎每天都在發(fā)生,在缺乏準確界定的情況下泛化的通知義務可能使企業(yè)陷入決策困境,同時無謂加重處理者和監(jiān)管部門的負擔。
七、未來中國也可以對個人信息處理的違法行為行使域外管轄權(quán)嗎?
草案將在中國境外處理境內(nèi)自然人個人信息的部分活動也納入管轄范圍,初步判斷實踐中可部分對標GDPR下的提供商品或服務原則及監(jiān)控原則。“以向境內(nèi)自然人提供商品或服務為目的”,在實際中可能會考量個人信息處理者是否“有意”在中國境內(nèi)向個人提供商品或服務。“為分析、評估境內(nèi)自然人的行為”系從處理目的的角度出發(fā),落腳于使用個人信息開展行為的分析、評估活動;監(jiān)控原則則是從行為角度,要求存在監(jiān)控行為并且還包括后續(xù)的利用。兩者具備相似性,如用戶畫像及相關(guān)的定向推送、消費者習慣分析均為典型場景。
草案除規(guī)定了域外管轄權(quán)外,還要求適用本法的境外個人信息處理者在我國境內(nèi)設立專門機構(gòu)或指定代表,并將有關(guān)機構(gòu)或代表的信息報送主管部門。其出發(fā)點應當是為執(zhí)法設置抓手,確保域外管轄權(quán)得以有效落實。
八、個人信息主體的違法成本有多高,相關(guān)違法行為的查處力度會有多大?
草案全方位地規(guī)定了違法處理個人信息的行政處罰、民事賠償和刑事責任,尤其是第62條高達5000萬元或上一年度營業(yè)額5%的天價罰款,堪比GDPR中2000萬歐元或上一年度全球總營業(yè)額4%的標準,宣示了中國對規(guī)范個人信息處理的決心。
對于違法行為的查處力度尚難以預估,但草案已經(jīng)對履行個人信息保護職責的部門進行執(zhí)法予以充分賦權(quán),包括對有證據(jù)證明是違法個人信息處理活動的設備、物品,可以查封或者扣押。查封、扣押屬于行政強制措施,原則上只能由法律設定。《中華人民共和國證券法》第170條規(guī)定了證券監(jiān)管機構(gòu)對證券交易記錄、證券賬戶等金融信息相關(guān)的查封與扣押,而草案賦予主管機關(guān)在處理個人信息案件時的查封、扣押權(quán),使個人信息監(jiān)管過程中的行政強制措施有法可依。
京ICP備05019364號-1 
京公網(wǎng)安備110105011258
