近年来,随着以互联网为代表的移动技术飞速发展,全球进入数字经济时代,数据已成为和土地、资本、劳动力、技术等并列的关键生产要素,而个人信息在数据中占据相当大的比例。技术的发展给人们的生活带来巨大便捷,但个人信息泄露事件也屡屡发生,个人信息保护逐渐成为各国立法机构关注的重要议题。
截至目前,全球已经有128个国家和地区制定了与个人信息保护有关的法律法规。[1]其中,欧盟的《通用数据保护条例》(GDPR)、美国加州的《隐私权法案》(CPRA)成为很多国家立法的重要参考。
我国作为数字经济大国,也在构建个人信息保护的法律体系。其中,《刑法修正案(九)》增加侵犯公民个人信息罪等罪名,《网络安全法》确立个人信息保护原则,《电子商务法》对电子商务平台的经营者提出保护个人信息的要求,《民法典》在“个人权编”设立专章规范隐私权和个人信息保护,《数据安全法》对数据提出安全保护措施,此外国家还制定和出台了多部部门规章和国家标准,我国个人信息保护的法律体系逐步得到完善。
2021年8月20日,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)经第十三届全国人大常委会第三十次会议审议通过,并将于2021年11月1日起施行。《个人信息保护法》将与《网络安全法》《数据安全法》共同构建起我国个人信息保护的基本框架,向个人信息处理者提出新的合规要求。
一、个人信息的概念
《个人信息保护法》第四条规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
◆相关法律对比评析
在个人信息的定义上,《个人信息保护法》与GDPR类似,都将已识别与可识别的自然人有关的信息纳入保护范围。相比较而言,CPRA通过“定义+列举+排除”的方式把个人信息限定为“直接或间接地识别、关联、描述、能够合理地与某一特定消费者或家庭相关联或可以合理地与之相关的信息”,其保护范围更加明确。
需要注意的是,《个人信息保护法》并未沿用《网络安全法》对个人信息的定义。《网络安全法》第七十六条规定,“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”。从文义来解释,《个人信息保护法》中个人信息的外延更大,这有待于《个人信息保护法》正式施行后,由实施细则、配套法规、司法实践等予以明确。
二、《个人信息保护法》中个人信息处理的原则和规则
1. 个人信息处理原则
《个人信息保护法》在总则部分确立了处理个人信息时应遵循的原则,主要包括:合法、正当、必要、诚信原则(第五条),最小必要原则(第六条),公开、透明原则(第七条),准确、完整原则(第八条),主体负责原则(第九条),安全保障原则(第九条)。这些原则与世界范围内个人信息保护的原则趋同,与《网络安全法》《民法典》等我国先前立法的规定基本一致,贯穿于《个人信息保护法》的全文。个人信息处理者尤其要注意以下两项原则。
(1)更严格的最小必要原则
《个人信息保护法》第六条规定,“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”
参考《深圳经济特区数据管理条例》,最小必要原则的常见具体情形包括:
处理个人信息的种类、范围应当与处理目的直接关联;
处理个人信息的数量应当为实现处理目的所必需的最少数量;
处理个人信息的频率应当为实现处理目的所必需的最低频率;
个人数据存储期限应当为实现处理目的所必需的最短时间;
建立最小授权的个人信息访问控制策略;等等。
◆相关法律对比评析
对照GDPR的数据最小化原则,其主要要求收集个人信息的类型与数量最小化,并未明确要求对个人权益的影响最小化。从这一点来看,《个人信息保护法》的最小必要原则对个人信息处理者提出了更严苛的要求。
(2)准确、完整原则
《个人信息保护法》第八条规定,“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。”相应地,《个人信息保护法》赋予了个人更正权,其第四十六条规定,“个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。”
◆相关法律对比评析
参照GDPR的规定,个人信息处理者应贯彻“质量保证原则”,同时关注个人信息的“准确性”和“完整性”。[2]
◆对个人信息处理者安全保护义务的思考
第一,前述个人信息处理原则应贯穿于收集、存储、使用、加工、传输、提供、公开、删除等个人信息处理的全生命周期。
第二,要满足“最低频率”“最短时间”等最小必要原则,对于个人信息处理企业来说有一定的难度,因为对企业进行规制的不仅包括法律法规,还有国家标准、行业标准等多种规定。企业要达到最小必要的要求,应当将个人信息安全评估工作常态化,如评估所处理个人信息的类型、企业的法定义务、业务的运作模式等,结合行业特点针对性地满足法律法规的各项要求,如《网络安全法》要求对登录日志保留6个月、《电子商务法》要求对订单信息存储3年、《数据安全法》要求处理个人数据必须单独授权同意等。
第三,个人信息处理者在收集个人信息时应采取一定措施辨别信息来源是否可靠、个人信息是否准确;在收集个人信息后,如果个人信息发生变化应及时更新;并采取措施保障个人信息安全,使其免于丢失或损害。
2. 个人信息处理规则
《个人信息保护法》确立了以“告知+同意”为核心的个人信息处理规则,充分体现了对个人权益的保护。从《个人信息保护法》第十三条的规定看出,取得个人同意是处理个人信息的基础,而且第十四条明确这种“同意”必须以个人“充分知情”“自愿”“明确”为前提;同时,第十五、十六条赋予个人对其同意的撤回权,并禁止个人信息处理者以不同意或撤回同意为由拒绝提供产品或者服务。
除此以外,《个人信息保护法》还规定了五类个人信息处理者需要取得“单独同意”的情况,包括向其他个人信息处理者提供其处理的个人信息(第二十三条),公开其处理的个人信息(第二十五条),在公共场所出于公共安全以外的目的而收集个人图像、身份识别信息(第二十六条),处理敏感个人信息(第二十九条),向境外提供个人信息(第三十九条)。
◆相关法律对比评析
从个人信息的处理规则来看,《个人信息保护法》对个人信息处理者提出了比GDPR和CPRA更高的要求。《个人信息保护法》不仅采用GDPR以个人同意为前提的信息处理规则,同时对特殊情形下的“单独同意”提出明确要求,而GDPR并无此类要求。
◆对个人信息处理者安全保护义务的思考
第一,收集个人信息应当采用合法方式,不得通过隐瞒、欺诈、误导等不正当手段收集个人信息,且收集的目的应与实现数据产品或服务的功能直接相关;
第二,收集、处理个人信息应当明示个人信息处理规则,不得向用户提供冗长、复杂的用户协议,建议使用弹窗、隐私条款、常见问题等更容易送达用户的形式,且上述形式的文字排版不应造成用户阅读困难。
第三,不得要求用户提供“一揽子”授权,针对法律规定的特殊处理行为,必须制定单独的处理规则,不能仅在个人信息使用协议中进行披露。
三、《个人信息保护法》对个人信息处理者的特别规定
除了要遵循上述个人信息处理的原则和规则、满足通用的安全保护义务外,《个人信息保护法》对个人信息处理者还做出一些特别规定,主要体现在以下几个方面。
1. 首次明确个人享有数据可携带权
《个人信息保护法》第四十五条规定,“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”,首次将数据可携带权正式引入我国个人信息保护的法律体系。
数据可携带权的作用在于打破互联网时代的数据垄断格局,为初创企业提供与大型平台竞争的机会。随着我国互联网经济的发展,互联网头部企业的业务范围不断拓展,大型平台强者愈强,不仅导致个人对平台的依赖程度越来越高,平台经营者也利用其垄断地位实施“大数据杀熟”“二选一”等不公平竞争行为。因此,《国务院反垄断委员会关于平台经济领域的反垄断指南》将经营者掌握和处理相关数据的能力,以及其他经营者获取数据的难易程度作为认定经营者市场支配地位的考虑因素。《个人信息保护法》此次适时引入数据可携带权,一方面加强个人对其个人信息的控制,另一方面也有利于规制数据平台的垄断行为,保障数据在不同经营者之间流动,促进经营者公平竞争。
◆相关法律对比评析
数据可携带权由GDPR首创,其第二十条规定,“数据可携带权是指数据主体有权以结构化、通用的和机器可读的格式接收其提供给控制者的有关自身的个人数据,并有权不受妨碍地将这些数据传输给另一个控制者”。CPRA也规定经营者有义务根据消费者的访问请求,以可使用的方式向消费者免费披露和传输其个人信息,以便消费者能够将数据不受限制地传输给另一实体。
值得注意的是,GDPR明确限定“建立在同意或合同合法性基础上自动处理的数据”适用数据可携带权,其他数据并不适用;考虑到安全问题,CPRA强调经营者应在可核实身份的前提下支持消费者的数据携带请求。这两部法律均对数据可携带权的适用范围予以明确限定。相比较而言,《个人信息保护法》关于数据可携带权的规定尚不完整,具体适用条件由国家网信部门决定,这还需要后续的配套法律法规、部门规章等予以完善。
◆对个人信息处理者安全保护义务的思考
考虑到国家对于平台垄断经济的治理力度,数据可携带预计会成为国家对平台经营者的强制性要求。由个人提供的或经个人信息处理者收集的基础信息应当属于可携带数据,而由此加工、处理后得出的衍生信息应当不在可携带数据的范围之内。因此,个人信息处理者应当对其处理的个人信息分类标识,对不属于可携带数据的衍生信息,可以拒绝向第三方传输。
2. 针对重要互联网平台的“守门人条款”
作为特色创新之一,《个人信息保护法》借鉴欧盟《数字市场法(草案)》,引入针对重要互联网平台的特别义务,即“守门人条款”。《个人信息保护法》第五十八条规定,“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;(四)定期发布个人信息保护社会责任报告,接受社会监督。”
◆相关法律对比评析
欧盟《数字市场法(草案)》通过多种标准明确哪些企业可以成为“守门人”,对“守门人”的界定重点指向平台性,其实质是欧盟的反垄断法。[3]《个人信息保护法》借鉴欧盟的这一思路,将其应用于个人信息保护领域,要求重要的互联网平台(提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者)承担起个人信息保护的特别义务,利用其技术和资源优势,承担对平台中个人信息的监管职责,即建立健全制度体系、制定平台规则等平台治理责任,在个人信息保护中发挥更大的作用。
◆对个人信息处理者安全保护义务的思考
人们常说,能力越大、责任越大。加重平台责任、制约平台行为,是平台监管的国际趋势。目前,《个人信息保护法》对“守门人”的认定标准及义务尚未细化,个人信息处理者应关注配套的行政法规、部门规章等,研判是否会被认定为“守门人”,是否需要承担对个人信息的特别保护义务。
3. 完善个人信息出境规则
(1)扩大境外适用效力
《个人信息保护法》第三条规定,“在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形”,由此赋予《个人信息保护法》境外适用效力。
◆相关法律对比评析
对比《网络安全法》和《数据安全法》,《个人信息保护法》进一步扩大境外适用效力的范围,将关涉我国境内自然人的个人信息处理行为均纳入规制范围,这与GDPR中“提供产品或者服务”“行为监控”的规定相对应。这意味着境外机构或个人即使在我国境内没有从事任何商业活动,只要符合所列情形,即受本法的规制。
(2)向境外提供个人信息的安全评估要求
在《个人信息法》颁布之前,《网络安全法》在第三十七条已经对个人信息出境提出安全评估要求:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”即关键信息基础设施的运营者向境外提供个人信息时需进行安全评估。
在此基础上,《个人信息保护法》将适用安全评估的范围扩大到处理个人信息达到“规定数量”的个人信息处理者。《个人信息保护法》第四十条规定,“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”至于上述“规定数量”的具体数值,需要国家网信部门在配套法规、部门规章中予以明确。目前可以参考的是国家网信办之前公布的《网络安全审查办法(修订草案征求意见稿)》,其第六条规定,“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”
对于不属于前述两种情况的个人信息处理者,《个人信息保护法》在第三十八条提供了两条明确的个人信息出境途径:经专业机构进行个人信息保护认证,或者与境外接收方订立国家网信部门制定的标准合同,并确保境外接收方达到本法规定的个人信息保护标准。这也体现了国家在保证个人信息安全的前提下,促进个人信息跨境流动的立法态度。
(3)限制境外司法、执法机构调取个人信息
《个人信息保护法》第四十一条明确,对于境外司法、执法机构关于提供存储于境内个人信息的请求,我国将根据缔结的国际条约或按照平等互惠原则处理。非经批准,个人信息处理者不得向境外司法、执法机构提供存储于中华人民共和国境内的个人信息。
◆相关法律对比评析
此项要求沿用《数据安全法》“数据主权”的规定,这与《民事诉讼法》在司法协助情况下对外国机关或者个人在国内调查取证的立法精神保持一致,充分体现我国的司法主权。
(4)对境外的反制措施
近年来,以美国为首的西方国家屡屡以国家安全、个人信息保护为由对我国跨境企业进行制裁。基于国际法的对等原则,《个人信息保护法》设立反制措施,其第四十三条规定,“任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。”这与《数据安全法》在国外采取与数据贸易相关的歧视性措施时我国有权反制的规定一脉相承。
同时,《个人信息保护法》增设了“黑名单”制度,其第四十二条规定,“境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。”
◆对个人信息处理者安全保护义务的思考
结合国家网信部门对滴滴等企业的网络安全审查,以及国家近期出台的一系列政策,可以认定国家对数据出境会实施严格监管。有数据出境需求的企业往往具备网络运营者、数据处理者以及个人信息处理者多重身份,此时企业应当全面识别其身份特征,履行所适用的全部法律义务,建立并完善网络安全、数据安全以及个人信息安全三大方面的合规措施。随着《个人信息保护法》的颁布,我国网络空间治理的法律框架日益完善,各企业应在《网络安全法》《数据安全法》《个人信息保护法》“三驾马车”的驱动下,提前开展企业合规工作,保证网络与个人信息安全,这样才能充分享受数据带给企业的各项红利。
(本文作者:盈科王俊林、石陇辉律师 来源:微信公众号 盈科知产与竞争法资讯)