在线观看一区二区三区三州_日韩精品免费播放_日韩中文娱乐网_日韩欧美一区二

2020年10月21日，全國(guó)人大法工委公開就《個(gè)人信息保護(hù)法（草案）》（下稱“草案”）征求意見。草案回應(yīng)了近年的數(shù)據(jù)合規(guī)實(shí)踐，借鑒國(guó)際經(jīng)驗(yàn)，開創(chuàng)貼合國(guó)情且富有前瞻性的監(jiān)管新路徑，也將為我國(guó)在國(guó)際數(shù)據(jù)保護(hù)話語(yǔ)體系中占據(jù)一席之地奠定基礎(chǔ)。于企業(yè)而言，強(qiáng)化個(gè)人信息保護(hù)的趨勢(shì)已經(jīng)明朗，數(shù)據(jù)合規(guī)將成為助力企業(yè)提升競(jìng)爭(zhēng)力的重要驅(qū)動(dòng)力。以下選取最受關(guān)注的八個(gè)典型問題進(jìn)行討論。

一、處理個(gè)人信息仍然只能使用“同意”原則嗎？

長(zhǎng)期以來(lái)，除為履行法定義務(wù)所必需外，取得個(gè)人同意是處理個(gè)人信息的唯一合法基礎(chǔ)。考慮到經(jīng)濟(jì)社會(huì)生活的復(fù)雜性和個(gè)人信息處理的不同情況，草案對(duì)基于個(gè)人同意以外合法處理個(gè)人信息的情形作了規(guī)定，即：訂立或履行合同所必需、履行法定職責(zé)或義務(wù)所必需、保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需、為公共利益在合理范圍內(nèi)處理個(gè)人信息。

盡管如此，“告知-同意”依然是個(gè)人信息處理規(guī)則的核心，并已經(jīng)在國(guó)內(nèi)現(xiàn)有的法律和監(jiān)管體系中得到廣泛執(zhí)行。草案對(duì)“告知-同意”規(guī)則作出較大幅度的完善和更新，必將對(duì)合規(guī)生態(tài)產(chǎn)生深遠(yuǎn)影響。

（一）廣泛的告知義務(wù)。常見的錯(cuò)誤認(rèn)知是：告知僅是基于同意處理個(gè)人信息的前置條件。草案明確規(guī)定，個(gè)人信息處理者在處理個(gè)人信息前，均需以顯著方式、清晰易懂的告知為前提，并詳細(xì)列示需要告知的事項(xiàng)。

（二）同意是在充分知情的前提下，自愿和明確的意思表示。“自愿”意即出于個(gè)人自由意志做出的意思表示。在單位處理員工個(gè)人信息的情況下，即使員工簽署《授權(quán)同意書》也未必滿足“自愿”的要求，因?yàn)閱挝慌c員工的地位并不對(duì)等。結(jié)合《個(gè)人信息安全規(guī)范》， “明確”的意思表示包括主動(dòng)聲明，即個(gè)人通過書面、口頭等方式主動(dòng)作出的具有語(yǔ)言內(nèi)容的聲明；也應(yīng)包括肯定性動(dòng)作，即主動(dòng)勾選、主動(dòng)點(diǎn)擊“同意”等肯定性動(dòng)作。單純的沉默，即消極的不作為，在沒有法律規(guī)定、當(dāng)事人約定或者符合交易習(xí)慣的情況下不應(yīng)當(dāng)被認(rèn)為是“明確”。

（三）新概念創(chuàng)設(shè)：?jiǎn)为?dú)同意。草案沒有解釋“單獨(dú)同意”的具體含義，只規(guī)定了需“單獨(dú)同意”的多種具體場(chǎng)景，即：向第三方提供處理個(gè)人信息、公開處理個(gè)人信息、在公共場(chǎng)所安裝圖像采集和個(gè)人身份識(shí)別設(shè)備、處理敏感個(gè)人信息和向境外提供個(gè)人信息。我們理解，“單獨(dú)同意”是比一般“自愿、明確同意”更高的標(biāo)準(zhǔn)，需由場(chǎng)景觸發(fā)、通過單獨(dú)展示的方式告知并獲得個(gè)人的明確同意。可參考GDPR規(guī)則中的明示同意。在《關(guān)于“同意”的指南》中其被解釋為，“建議使用更高標(biāo)準(zhǔn)的技術(shù)方式，以確保獲得用戶的真實(shí)授權(quán)，比如增加一道驗(yàn)證手續(xù)，在獲取用戶同意后以鏈接或短信驗(yàn)證方式要求用戶再次確認(rèn)”。

為訂立或者履行個(gè)人作為一方當(dāng)事人的合同所必需亦可處理個(gè)人信息。此項(xiàng)為極具突破性的設(shè)置，使用得當(dāng)將為商業(yè)場(chǎng)景中處理個(gè)人信息提供不少便利。適用本條的核心問題是如何理解“必需”，草案未對(duì)此作詳細(xì)規(guī)定。對(duì)照GDPR，我們判斷未來(lái)實(shí)踐中將會(huì)對(duì)“履行合同”采取嚴(yán)格解釋的態(tài)度。具體而言，“必需”應(yīng)是合同訂立和履行過程中為服務(wù)個(gè)人必不可少的處理行為，而不能局限在合同的約定或者用語(yǔ)的表達(dá)。舉例而言，消費(fèi)者如果希望電商平臺(tái)的商家將商品直接寄到家里，則商家處理消費(fèi)者的地址信息即可視為履行商品購(gòu)銷合同所必需；但如果消費(fèi)者選擇將商品寄到特定快遞點(diǎn)，則商家除非獲得其他合法性基礎(chǔ)，否則無(wú)法以履行合同為由處理消費(fèi)者的地址信息。

二、敏感個(gè)人信息具體包括哪些，為何會(huì)單獨(dú)成節(jié)？

草案處處體現(xiàn)了對(duì)個(gè)人信息保護(hù)的“風(fēng)險(xiǎn)路徑”考量，即在規(guī)制個(gè)人信息處理行為時(shí)區(qū)分主次、抓大放小，企業(yè)也應(yīng)據(jù)此合理分配合規(guī)資源。敏感個(gè)人信息的處理規(guī)則單獨(dú)成節(jié)即是證明之一。

個(gè)人信息處理者只有在具有特定目的和充分必要的情形下才能處理敏感個(gè)人信息。“告知-同意”義務(wù)方面，需額外向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人的影響，并取得個(gè)人的單獨(dú)同意或依法取得書面同意。舉例而言，在自動(dòng)售賣機(jī)購(gòu)物或從快遞柜取快件時(shí)均有使用人臉識(shí)別的方式驗(yàn)證身份或進(jìn)行支付的情形，而人臉作為個(gè)人生物特征屬于敏感個(gè)人信息。此時(shí)，如果個(gè)人在知情的情況下單獨(dú)同意售賣機(jī)或快遞柜的運(yùn)營(yíng)方處理其人臉信息，是否可行？盡管滿足特定目的的條件，但僅為購(gòu)物或取快遞之目的而收集人臉很難證明具有充分必要性，在告知時(shí)也難以解釋。與此相反，個(gè)人在機(jī)場(chǎng)過安檢時(shí)的人臉識(shí)別系為公共安全之目的，具備充分的必要性，且因此場(chǎng)景中處理人臉信息并非基于個(gè)人同意而進(jìn)行，故也無(wú)需取得個(gè)人的單獨(dú)同意。但是，向個(gè)人告知處理敏感個(gè)人信息的必要性及對(duì)個(gè)人影響的義務(wù)仍不能豁免。

敏感個(gè)人信息的范圍在草案中只有概括定義及非窮盡列舉。實(shí)踐中，可以參考《個(gè)人信息安全規(guī)范》表B.1對(duì)“個(gè)人敏感信息”的舉例，其對(duì)草案中的個(gè)人生物特征、醫(yī)療健康、金融賬戶類目均具備參考價(jià)值。值得關(guān)注的是，種族、民族、宗教信仰均作為敏感個(gè)人信息被寫入草案。傳統(tǒng)上，中國(guó)民眾對(duì)該等信息的敏感度并不高，我們從小就需要在各類表格中填寫民族。隨著社會(huì)的進(jìn)步與多元，企業(yè)在處理個(gè)人信息時(shí)需要同時(shí)具備本地和國(guó)際視角，充分尊重不同的族群、宗教、政治、文化背景。

三、自動(dòng)化決策是什么，相關(guān)規(guī)制會(huì)對(duì)本企業(yè)產(chǎn)生影響嗎？

草案首次在法律層面提及自動(dòng)化決策，并且賦予其豐富內(nèi)涵，導(dǎo)致幾乎所有利用大數(shù)據(jù)的企業(yè)都多少會(huì)受到規(guī)制。具體而言，自動(dòng)化決策是指利用個(gè)人信息對(duì)個(gè)人的行為習(xí)慣、興趣愛好或者經(jīng)濟(jì)、健康、信用狀況等，通過計(jì)算機(jī)程序自動(dòng)分析、評(píng)估并進(jìn)行決策的活動(dòng)。

《個(gè)人信息安全規(guī)范》沿襲了GDPR規(guī)則，指出自動(dòng)化決策的特征之一是決策必須能夠顯著影響個(gè)人信息主體權(quán)益。例如，能夠決定個(gè)人信用及貸款額度、面試篩選的決策屬于自動(dòng)決策；而在用戶界面根據(jù)用戶的具體情況推薦不同產(chǎn)品或做默認(rèn)排序并非自動(dòng)決策。草案則突破自動(dòng)化決策需對(duì)個(gè)人權(quán)益造成重大影響的要求，著眼于決策過程的自動(dòng)化；但同時(shí)規(guī)定，如果自動(dòng)化決策對(duì)個(gè)人權(quán)益造成重大影響，個(gè)人有權(quán)要求處理者予以說(shuō)明，并有權(quán)拒絕其僅通過自動(dòng)化的方式作出決策。

基于此，有關(guān)自動(dòng)化決策的規(guī)定將廣泛影響信息社會(huì)中的各行各業(yè)，尤其是人工智能的應(yīng)用場(chǎng)景。個(gè)人信息處理者應(yīng)當(dāng)特別重視自動(dòng)化決策的合規(guī)，例如：通過隱私政策等方式，向個(gè)人告知自動(dòng)化決策的存在、基本的運(yùn)行邏輯及其對(duì)個(gè)人的影響；通過定期檢驗(yàn)數(shù)據(jù)和算法等方式，保證決策基礎(chǔ)數(shù)據(jù)的準(zhǔn)確性和相關(guān)性，以及決策算法的可解釋性和非歧視性；通過關(guān)閉選項(xiàng)、人工復(fù)核等方式，避免個(gè)人完全受制于自動(dòng)化的機(jī)器決策。

四、處理公開的個(gè)人信息是否就沒有合規(guī)隱患，特別是當(dāng)個(gè)人信息系由政府公開時(shí)？

長(zhǎng)期以來(lái)，處理公開的個(gè)人信息在多數(shù)情況下被視為安全港，特別是當(dāng)個(gè)人信息系通過官方渠道公開。既《民法典》之后，草案亦對(duì)處理公開的個(gè)人信息設(shè)定邊界，且更進(jìn)一步。

《民法典》規(guī)定了處理個(gè)人信息的免責(zé)事由，包括合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息，但自然人明確拒絕或處理該信息損害其重大利益的除外。草案則規(guī)定，對(duì)于已公開的個(gè)人信息，個(gè)人信息處理者可以在與其被公開時(shí)的用途相關(guān)合理范圍內(nèi)處理，但是，如果處理活動(dòng)將對(duì)個(gè)人產(chǎn)生重大影響，則仍應(yīng)當(dāng)告知個(gè)人并取得同意。“對(duì)個(gè)人產(chǎn)生重大影響”較“損害個(gè)人重大利益”顯然更容易證明，顯示出草案對(duì)于處理公開個(gè)人信息的謹(jǐn)慎態(tài)度。

早在草案出臺(tái)之前，司法實(shí)踐中與此相關(guān)的裁判思路即在發(fā)生變化。根據(jù)南方都市報(bào)運(yùn)營(yíng)公眾號(hào)“隱私護(hù)衛(wèi)隊(duì)”的報(bào)道，北京互聯(lián)網(wǎng)法院某法官的觀察顯示：在企業(yè)對(duì)數(shù)據(jù)的再度利用中，公開數(shù)據(jù)是重要的一類，包括權(quán)利人自行公開、政府信息公開或司法公開。以裁判文書為例，此前的法院裁判時(shí)因裁判文書屬于權(quán)威信息來(lái)源，通常認(rèn)為只要再度利用時(shí)保持內(nèi)容一致，不存在不當(dāng)利用的情形，就不構(gòu)成侵權(quán)。然而，在最近的生效判決中則出現(xiàn)不同的裁判結(jié)果，考慮公開信息的同時(shí)也會(huì)考察再度利用公開信息是否可能侵害權(quán)利人值得保護(hù)的重大利益。

五、跨境提供個(gè)人信息是否需要進(jìn)行評(píng)估，進(jìn)行評(píng)估后是否仍需要個(gè)人同意？

草案將個(gè)人信息跨境提供置于單獨(dú)章節(jié)，足以見得立法、監(jiān)管層面對(duì)此的關(guān)注。總體而言，根據(jù)出境主體身份的不同，個(gè)人信息處理者或必須通過監(jiān)管評(píng)估、或可以從監(jiān)管評(píng)估、專業(yè)機(jī)構(gòu)認(rèn)證、合同訂立當(dāng)中進(jìn)行選擇，特殊情況下（如因國(guó)際司法協(xié)助或者行政執(zhí)法協(xié)助需向境外提供個(gè)人信息）應(yīng)按法律、行政法規(guī)進(jìn)行處理。但無(wú)論如何，告知-同意義務(wù)均不能豁免。具體的關(guān)注點(diǎn)如下：

（一）草案要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者，如確需出境個(gè)人信息，應(yīng)當(dāng)通過國(guó)家網(wǎng)信部門組織的安全評(píng)估（即監(jiān)管評(píng)估）。該等規(guī)定拓展了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（“網(wǎng)安法”）第37條中跨境安全評(píng)估的適用范圍，除關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者外，處理個(gè)人信息達(dá)到一定規(guī)模者亦需遵守；同時(shí)，相較于《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》又提升了監(jiān)管評(píng)估的適用門檻。

（二）相比較監(jiān)管評(píng)估、經(jīng)專業(yè)機(jī)構(gòu)認(rèn)證、或符合其他法定條件，與境外接收方訂立合同似乎是門檻最低的出境方式。草案規(guī)定，“與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)，并監(jiān)督其個(gè)人信息處理活動(dòng)達(dá)到本法規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)”。然而，參考GDPR的“標(biāo)準(zhǔn)合同條款”模式，尤其是美歐隱私盾協(xié)議被判無(wú)效的同時(shí)，法院確認(rèn)標(biāo)準(zhǔn)合同條款仍然是將歐盟個(gè)人數(shù)據(jù)轉(zhuǎn)移到歐盟境外的有效機(jī)制，但要求企業(yè)對(duì)個(gè)人數(shù)據(jù)接收國(guó)的法律及個(gè)人數(shù)據(jù)轉(zhuǎn)移場(chǎng)景進(jìn)行個(gè)案評(píng)估。

（ 三）對(duì)比GDPR，草案并未采用以國(guó)家或地區(qū)為單位的“充分性認(rèn)定”模式，也未對(duì)同一集團(tuán)下不同實(shí)體之間的跨境提供設(shè)置單獨(dú)規(guī)則。我們理解，框架性評(píng)估往往是通過眾多個(gè)案評(píng)估，提取評(píng)估經(jīng)驗(yàn)后的產(chǎn)物。相同商業(yè)模式下或同一集團(tuán)內(nèi)的個(gè)人信息出境模式常具有相似性，建立標(biāo)準(zhǔn)化的評(píng)估體系后即可極大降低合規(guī)成本。

六、草案對(duì)于個(gè)人信息權(quán)利與義務(wù)的規(guī)定有哪些突破、創(chuàng)新？

草案構(gòu)建了個(gè)人信息的權(quán)利義務(wù)體系。該等內(nèi)容在企業(yè)實(shí)踐中均已涉及，但在此之前尚未在法律層面予以全面規(guī)范。就個(gè)人權(quán)利而言，個(gè)人享有知情、決定權(quán)，查閱、復(fù)制權(quán)，更正、補(bǔ)充、刪除權(quán)，以及要求解釋說(shuō)明、申請(qǐng)受理的權(quán)利。就個(gè)人信息處理者義務(wù)而言，個(gè)人信息處理者應(yīng)采取必要的技術(shù)與管理措施、設(shè)置個(gè)人信息保護(hù)負(fù)責(zé)人、定期開展合規(guī)審計(jì)、事前風(fēng)險(xiǎn)評(píng)估、個(gè)人信息泄露后應(yīng)及時(shí)補(bǔ)救并通知。簡(jiǎn)單選取值得討論的兩點(diǎn)：

（一）相較于網(wǎng)安法將違法違約收集個(gè)人信息作為個(gè)人行使刪除權(quán)的前提，草案擴(kuò)張了刪除個(gè)人信息的情形，包括：約定的保存期限已屆滿或處理目的已實(shí)現(xiàn)，處理者停止提供產(chǎn)品或者服務(wù)，個(gè)人撤回同意，個(gè)人信息的處理違法或違約，或其他法定情形。對(duì)比GDPR和CCPA，兩者均規(guī)定若干刪除的例外，例如為履行法定義務(wù)、維護(hù)系統(tǒng)安全、保障訴訟、行使言論自由、出于科學(xué)研究等公共利益。草案未提供例外，但保留了法定的保存期限未屆滿、或者刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)時(shí)，停止處理個(gè)人信息的選擇。

（二）此外，草案要求個(gè)人信息處理者發(fā)現(xiàn)泄露事件即應(yīng)通知有關(guān)部門，但對(duì)于能夠有效避免信息泄露造成損失的，可免除通知個(gè)人的義務(wù)。然而，按照嚴(yán)格標(biāo)準(zhǔn)數(shù)據(jù)安全事件幾乎每天都在發(fā)生，在缺乏準(zhǔn)確界定的情況下泛化的通知義務(wù)可能使企業(yè)陷入決策困境，同時(shí)無(wú)謂加重處理者和監(jiān)管部門的負(fù)擔(dān)。

七、未來(lái)中國(guó)也可以對(duì)個(gè)人信息處理的違法行為行使域外管轄權(quán)嗎？

草案將在中國(guó)境外處理境內(nèi)自然人個(gè)人信息的部分活動(dòng)也納入管轄范圍，初步判斷實(shí)踐中可部分對(duì)標(biāo)GDPR下的提供商品或服務(wù)原則及監(jiān)控原則。“以向境內(nèi)自然人提供商品或服務(wù)為目的”，在實(shí)際中可能會(huì)考量個(gè)人信息處理者是否“有意”在中國(guó)境內(nèi)向個(gè)人提供商品或服務(wù)。“為分析、評(píng)估境內(nèi)自然人的行為”系從處理目的的角度出發(fā)，落腳于使用個(gè)人信息開展行為的分析、評(píng)估活動(dòng)；監(jiān)控原則則是從行為角度，要求存在監(jiān)控行為并且還包括后續(xù)的利用。兩者具備相似性，如用戶畫像及相關(guān)的定向推送、消費(fèi)者習(xí)慣分析均為典型場(chǎng)景。

草案除規(guī)定了域外管轄權(quán)外，還要求適用本法的境外個(gè)人信息處理者在我國(guó)境內(nèi)設(shè)立專門機(jī)構(gòu)或指定代表，并將有關(guān)機(jī)構(gòu)或代表的信息報(bào)送主管部門。其出發(fā)點(diǎn)應(yīng)當(dāng)是為執(zhí)法設(shè)置抓手，確保域外管轄權(quán)得以有效落實(shí)。

八、個(gè)人信息主體的違法成本有多高，相關(guān)違法行為的查處力度會(huì)有多大？

草案全方位地規(guī)定了違法處理個(gè)人信息的行政處罰、民事賠償和刑事責(zé)任，尤其是第62條高達(dá)5000萬(wàn)元或上一年度營(yíng)業(yè)額5%的天價(jià)罰款，堪比GDPR中2000萬(wàn)歐元或上一年度全球總營(yíng)業(yè)額4%的標(biāo)準(zhǔn)，宣示了中國(guó)對(duì)規(guī)范個(gè)人信息處理的決心。

對(duì)于違法行為的查處力度尚難以預(yù)估，但草案已經(jīng)對(duì)履行個(gè)人信息保護(hù)職責(zé)的部門進(jìn)行執(zhí)法予以充分賦權(quán)，包括對(duì)有證據(jù)證明是違法個(gè)人信息處理活動(dòng)的設(shè)備、物品，可以查封或者扣押。查封、扣押屬于行政強(qiáng)制措施，原則上只能由法律設(shè)定。《中華人民共和國(guó)證券法》第170條規(guī)定了證券監(jiān)管機(jī)構(gòu)對(duì)證券交易記錄、證券賬戶等金融信息相關(guān)的查封與扣押，而草案賦予主管機(jī)關(guān)在處理個(gè)人信息案件時(shí)的查封、扣押權(quán)，使個(gè)人信息監(jiān)管過程中的行政強(qiáng)制措施有法可依。