《个人信息保护法》草案(以下简称“草案”)于2020年10月21日正式对外公布。作为一部社会关注度高、与技术发展高度结合、对数字经济影响巨大的法律,草案甫一公布,就引来了社会公众的普遍关注和业界人士的热议。不论是草案中抓人眼球的天价罚款条款——“五千万元以下或者上一年度营业额百分之五以下的罚款”,还是其规定域外适用效力、扩充的个人权利等,都值得业内人士和可能成为“个人信息处理者”的主体、国家机关的深入研究。本文仅试图就草案中的若干亮点简要总结,并就草案对未来企业数据合规的方向做初步总结,就草案中关键的“告知-同意”机制、个人的各项权利等问题,均有待进一步地展开论述。
一、草案的亮点归纳与简要评述
(一) 个人信息权益的再次重申及细化
草案从立法目的开始就使用了“个人信息权益”这一概念,这沿袭了《民法典》中的表述,未使用争议较大的“个人信息权”的概念,但草案在第四章“ 个人在个人信息处理活动中的权利”中仍然使用了知情权、决定权等一系列“权利”约定。可见,尽管立法者基于种种原因选择谨慎地使用个人信息权益这一概念,但这并不表示国家对这一权益有明显弱于其他权利(如隐私权等)的保护。
(二) 首次规定域外的适用效力和对境外的个人信息处理者的要求
草案第三条第二款规定了本法对境外主体处理中国境内自然人个人信息活动的适用效力,涵盖了以向境内自然人提供产品或者服务为目的的活动(如海淘等)以及为分析、评估境内自然人的行为的活动(如对境内用户进行画像等),此规定借鉴了GDPR中的类似规定,但增加了“法律、行政法规规定的其他情形”作为兜底条款。同时,依据草案第五十二条的规定,符合本款规定的境外的个人信息处理者,还负有在境内设立专门机构或指定代表,并履行相关信息报送的义务。
关于域外适用的效力问题,为解决可能带来的管辖冲突问题,欧洲数据保护委员会在适用GDPR过程中曾经发布《关于GDPR的地域适用范围指南(第三条)》,用于限缩和明确域外适用的规定。相信未来国内也会有进一步细化的规则确定域外适用的具体场景。
(三) 个人信息的定义的扩充
草案第四条规定了个人信息的定义为“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”,与网络安全法、民法典中规定的,个人信息是“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”有所不同,除强调匿名化信息不属于个人信息(草案六十九条已对匿名化做出了定义,要求其符合“无法识别、不能复原”的标准)外,还增加了与自然人“有关”的信息这一范畴,对个人信息的定义进行了适度的扩充。
草案出台后,业内已有声音要求草案中个人信息的定义应当尽量与网络安全法、民法典等的规定协调。作为草案的核心概念,相信未来一年个人信息保护法正式通过前对于个人信息定义的争论仍将持续。
(四) 个人信息处理者的引入
草案引入了“个人信息处理者”这一概念,作为履行个人信息保护义务的核心主体,对其定义“自主决定处理目的、处理方式等个人信息处理事项”与GDPR中规定的数据控制者(data controller)的相似。
不同于GDPR的是,草案并未设置数据处理者(data processor)这一概念,而是通过专条规定共同处理、委托处理、向第三方提供等场景就可能存在的数据处理的行为进行规制,此种规制方式是否足以规制当下广泛存在且某种程度上技术、经济实力可能远超个人信息处理者的“受托方”,仍有待进一步的探讨。
(五) 拓宽处理个人信息的合法性基础
草案第十三条规定了处理个人信息的六个合法性基础,除原本单一的“同意”外,还增加了履行合同所必需、为履行法定职责或法定义务所必需、为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需、为公共利益实施新闻报道和舆论监督所必需等基础。由于同意机制存在撤回的可能性(草案第十六条),相信在未来法案实施后,前述履行合同所必需、为履行法定职责或法定义务所必需的合法性基础将拥有极大的发展和适用空间。
同时,为应对突发公共卫生事件所必需的合法性基础的规定,也与今年疫情防控期间收集、使用个人信息的情况有关。不过,尽管草案第三十三条至第三十七条已对国家机关处理个人信息做出了规定,但因其仅适用于国家机关,对于今年疫情防控期间可能存在的告知不充分、收集无关信息、数据泄露等问题似无法直接规制。
(六) 构建同意机制的尝试
同意机制是个人信息处理行为最重要的合法性基础,草案在一般同意之外,还设置了单独同意和书面同意、特殊同意、重新取得同意等一系列要求。
当然,同意的前提是自愿且知情(参考GDPR的要求是“自由、明确、知情并清楚地通过陈述或积极行为”),为解决强制同意、捆绑同意等问题,草案第十七条规定了“个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外”,未来关于拒绝提供的范围(如是否包括歧视定价等)以及相关信息是否“必需”的界定,仍有待进一步观察,相信《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范 》等标准的规定能在一定程度上为接下来的立法和执法工作提供方向。
对于未成年人个人信息的问题,草案似乎在《儿童个人信息网络保护规定》的基础上有所放松,增加了个人信息处理者“知道或者应当知道”的要求,似乎为个人信息处理者的免责留出来空间。但应注意与刚刚通过的《未成年人保护法》第七十二条的衔接——”信息处理者通过网络处理未成年人个人信息的,应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外”。同时,“知道或者应当知道”的标准在GDPR等国外立法例中似未存在,未来应当进一步明确其边界。
(七) 敏感个人信息概念的厘清
敏感个人信息这一概念在民法典讨论过程中即有人大代表、学者建议加入,此前《信息安全技术 个人信息安全规范》中已有规定,本次草案很大程度上沿袭了标准中对于敏感个人信息的规定,但对其内涵做出了限定。
值得一提的是,草案第二十七条规定的在公共场所安装图像采集、个人身份识别设备的问题,此前已引发热议,尽管草案已要求设置显著标示、目的限定为公共安全等,但本条似乎缺少必要的监督机构,“公共安全”的范围本条过于宽泛,实践中存在着被理解为授权性条款的可能。
(八) 设立个人信息跨境提供的规则
受益于云计算、物联网、区块链等技术的发展,数据跨境流动目前已成为影响国家主权与国家安全、国际贸易、信息交流的重要行为。今年以来若干科技领域的热点事件,如云上贵州、TikTok美国受阻等,都与数据跨境流动有关。
个人信息跨境提供规则的设立,是本次草案的重点。草案除了对国家机关、关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者的行为做出特别规定外,还对于因业务需要进行跨境传输的个人信息处理者,作出了规定,要求采取安全评估、个人信息保护认证、签订符合要求的合同等方式履行合规义务。
值得注意的是,在鼓励国际合作(草案第十二条、第四十一条)的同时,草案也保留了对政策歧视、不合规行为的反制措施(草案第四十二条、四十三条)。
(九) 个人信息处理者的合规要求
草案设立专节规定了个人信息处理者为履行个人信息保护义务应当采取的组织措施和技术措施,并要求处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,履行相应的信息报送义务。同时,草案还要求个人信息处理者对其处理行为开展事前风险评估,以及个人信息安全审计工作。
另外,前述个人信息保护负责人是否有更大可能成为法律责任部分的"直接负责的主管人员和其他直接责任人员",进而承担个人责任仍有待观察。
(十) 行政监管、民事赔偿措施的强化
草案沿袭了此前实践中网信部门统筹协调、各行业主管部门分别负责的规定,对于各部门间如何协调行使职权,以及个人投诉、举报的具体路径,仍有待进一步探索。不过,草案为履行个人信息保护职责的部门提供了现场检查、查阅复制相关材料、扣押查封相关设备物品的权力,为此类部门提供了约谈之外更为有效的武器。
在民事赔偿部分,草案规定了按照受影响个人的损失或者个人信息处理者的收益确定赔偿责任,但实践中对于以上损失或收益的证明可能存在诸多困难。在美国的相关案例中,因果关系、举证责任等也成为重要的争议焦点,相信未来仍有待规则的进一步细化。除个人提起外,草案还规定了检察机关等提起公益诉讼的机制,但具体如何与当前公益诉讼制度衔接也有待探讨。
二、结 论
尽管草案借鉴了诸多GDPR的规定,但也基于我国当前行政监管的实践、数据产业的现实情况做出了本地化的调整。整体而言,草案对个人信息处理者提出了更高的合规要求,既包括了在组织措施、技术措施等方面的实施要求,也包括了应急预案、个人信息安全评估和审计工作等,相信在未来个人信息保护法、数据安全法通过后,企业将面临更大的挑战,应当提前应对。
作者简介
车 捷
国浩执行合伙人
车捷律师为第十三届全国人大代表,国浩执行合伙人,国浩南京管理合伙人、党委书记,江苏省律师协会副会长,江苏省破产管理人协会会长。
邮箱:chejie@grandall.com.cn
付 鑫
国浩南京办公室合伙人
付律师现任全国律协网络与高新技术专业委员会、江苏律协电子商务与信息网络法律业务委员会、江苏省互联网协会法律服务工作委员会等专业委员会委员,入选江苏省涉外律师人才库,主要从事数据合规和网络信息安全、商事争议解决、企业内部法律风险控制等法律服务领域。
邮箱:fuxin@grandall.com.cn
相关阅读
【 本文为作者原创,如需转载请通过留言方式联系本公众号运营者,谢谢!】
