一、隐私权与个人信息区分管理
二、明晰数据处理的合法依据
三、对数据进行分级分类保护
四、保障数据主体权益
五、严格遵守数据处理者义务
六、数据跨境传输需遵守相关规则
七、结 语
近年来,以大量个人信息及其他数据有效流转为核心驱动力的大数据、人工智能、物联网等技术的应用,极大促进了数字经济的发展,不仅引发了公民对隐私和个人信息加强保护的迫切需求,而且对企业因处理附着于海量个人信息而产生的数据权益及其他智力成果亦需加以保护。由此,如何平衡信息技术发展与个人信息保护的关系,为个人信息及其他数据保护与公共利益确立基本规则,是我国构建数据保护法律体系面临的基本问题。我国企业也在这个基本问题探索中逐步建立起数据保护合规体系,以期在数据竞争中获得竞争优势。
《民法典》专章规定了隐私权与个人信息保护,为数据保护与合理利用奠定了基础规则,是企业数据合规工作的基础依据。同时,《数据安全法》虽然没有正式颁布出台,但《数据安全法(草案)》包含数据合规新规定,结合《民法典》,我国数据保护法律基本框架已经形成。2020年7月20日最高院、发改委联合发布的《关于为新时代加快完善社会主义市场经济体制提供司法服务和保障的意见》更是释放出司法机关加强数据权利和个人信息保护的基本理念。
基于此,本文通过对《民法典》和《数据安全法(草案)》包含的数据保护规定进行解读和评析,以帮助企业了解和梳理新的数据合规要求。
在《民法典》颁布前,企业数据合规以《网络安全法》《个人信息安全规范》为主要依据,以个人信息合规为主,虽有附带对用户隐私的保护的功能,但忽略了在具体业务场景中用户对隐私保护期待的问题。这种倾向在实践中极易出现可能侵犯用户隐私问题。近日,黄某诉腾讯微信读书案就是没有很好区分用户隐私权与个人信息的合规管理,从而招致用户提起合规诉讼。
《民法典》第一千零三十二条首次界定隐私权是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息;第一千零三十四条规定个人信息的定义,明确其与隐私权定义相区别,并规定个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定,衔接了个人信息与隐私权出现重合情况时的适用规则。不难发现,《民法典》明确隐私权与个人信息保护的区分,给予隐私权高度保护。
对《民法典》上述规定,企业要引起重视,不仅要排查业务开发和推广过程中是否存在《民法典》第一千零三十三条明确禁止侵犯隐私权的行为,在产品或服务涉及个人信息与隐私权难以区分的业务场景,要评估用户对该业务场景下隐私保护的期待。数据管理上,建议区分用户对私密信息与个人敏感信息、普通个人信息的授权管理。
对于数据处理的合法依据,企业首先要明确个人信息与数据关系,我国主流观点认为个人信息和数据属于内容与表现形式的关系,《数据安全法(草案)》第三条规定,数据是指任何以电子或者非电子形式对信息的记录。据此,个人信息属于一种特殊数据,数据包含个人信息。不同的类型数据处理,企业需要进行区分:
1.处理个人信息的合法依据
在个人信息处理合法依据方面,《民法典》颁布前,由《网络安全法》确立了收集、使用个人信息应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意的基本规则,即告知规则+选择同意原则,也称知情同意原则,《民法典》从民事基本法角度对该原则进行确认,规则适用主体由网络运营者扩大到个人信息处理者。
同时,由于个人信息权益的保护也要兼顾和协调个人信息自由流动和合理利用的关系,故《民法典》规定了以下几种告知规则+原则同意的例外情形:
(2)在该自然人或者其监护人同意的范围内合理实施的行为;
(3)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
(4)为维护公共利益或者该自然人合法权益,合理实施的其他行为;
(5)为公共利益实施新闻报道、舆论监督等合理使用个人信息。
据此,企业在处理个人信息的合法性在于用户知情同意或者符合以上例外情况。即便如此,根据《民法典》第一千零三十五条规定,不得过度处理个人信息;第一千零三十六条规定需在合理处理个人信息,企业在开展具体产品和服务过程中合规论证需要充分考虑必要性。
由于个人信息属于一种特殊数据,个人信息处理已有法律明确规定,按照特别法优于一般法的规定,《民法典》关于个人信息处理的规定相对于《数据安全法(草案)》关于数据处理的规定,属于特别规定,优先适用《民法典》及其他个人信息处理的规定,《数据安全法(草案)》第二十九条第二款也衔接了个人信息与数据保护规定的适用问题。
所以,在数据层面处理的合法性上,如企业在运营产品或服务过程中处理个人信息之外的数据,根据《数据安全法(草案)》第二十九条规定,必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
在符合上述原则下获取的数据,企业享有《数据安全法(草案)》第五条规定与数据有关的权益。如深圳市谷米科技有限公司诉武汉元光科技有限公司运营的“车来了”软件窃取谷米公司的数据,侵犯其谷米公司所积累的公交数据权益,而“车来了”利用爬虫技术爬取谷米公司数据库内的公交数据可直接适用《数据安全法》来认定违法。
企业在区分隐私权与个人信息区分管理仍是不够的。对于如此大规模的个人信息及其他类型数据的保护,企业有必要进一步对数据进行分级分类保护,分级授权与使用审批。
在现有个人信息保护规定上,《民法典》作为基础性法律渊源,将个人信息分为私密信息与非私密信息,但未具体规定个人信息保护措施,主要由配套的规定进行细化,比如:
根据《个人信息安全规范》,一旦泄露、非法提供或者滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或者歧视性待遇将个人信息分为个人敏感信息和普通个人信息。
根据《个人金融信息保护技术规范》,按照信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三 个类别。
具体到数据层面的分级分类保护上,《数据安全法(草案)》规定分级分类保护的要求,分类依据是该数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度。
从《关于为新时代加快完善社会主义市场经济体制提供司法服务和保障的意见》加强数据权利和个人信息保护的意见中,就现有规定来看,企业要特别注意用户个人信息的权益。
1.查阅和复制权
如前述,对于个人信息的数据主体而言,从个人信息被收集时,享有被告知处理信息的规则,处理信息的目的、方式和范围等信息。
相比于《网络安全法》,《民法典》增加了查阅和复制权,为更正、异议和删除权的行使提供了请求的基础。对于查阅复制的信息范围,《民法典》没有具体规定。目前2020年版《个人信息安全规范》规定的查阅范围包括查询信息主体持有其个人信息或个人信息的类型,来源、所用于目的以及获得其个人信息的第三方。《个人信息安全规范》规定了信息主体可以获得个人信息副本的,仅限于个人基本资料、身份信息、生理健康信息和教育工作信息。
根据《民法典》第一千零三十七条,信息主体除享有查阅、复制权,在发现信息错误时有更正和异议权, 发现信息处理者违反法律、行政法规的规定或者双方的约定处理信息,请求删除权。
《民法典》规定信息主体发现被收集信息有误的,不仅能要求更正,而是有权提出异议要求更正及其他必要措施,弥补了《网络安全法》仅单一规定更正权,也衔接了《个人信息安全规范》及其他细化规定,更好应对实际发生的应用场景。同样地,删除权的行使也是原则性的规定,有待进一步明确的细化规定。
区别于各国立法例使用的个人信息控制者的概念,《民法典》创造性规定信息处理者。在《民法典》未明确信息处理者定义情况下,一般来说,涉及处理大量个人信息的企业需要承担信息处理者的义务。
1.一般义务
信息处理者要遵循合法处理的义务,《民法典》第一百一十一条,不得非法收集使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。在处理时,要公开个人信息的规则,明示处理信息的目的、方式和范围的义务。
另外,对于信息主体提出的请求,包括查阅、复制、更正、异议、删除权,信息处理者负有配合义务。
例如,通过视频设备处理个人信息的,若信息主体需要调取被商场监控的录像,商场有义务相应响应和配合义务,但是,信息主体的查阅、复制权是有限度,信息处理者可以结合具体应用场景具体确定,涉及到第三人的情况下,要采取技术措施进行处理,若涉及较高成本,可能要求信息主体承担相应的费用。
如涉及国家安全和公共安全等特定情况,信息处理者可以不响应信息主体的要求。
根据《民法典》第一千零三十八条规定信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
符合条件的信息处理者对于网络安全的义务可参照《网络安全法》第四章网络信息安全规定,《数据安全法(草案)》第四章也进一步强调了数据安全保障义务。
此外,重要数据处理者还要按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。根据《个人信息和重要数据出境安全评估办法(征求意见稿)》重要数据是指与国家安全、经济发展,以及社会公共利益密切相关的数据,个人信息数据也属于重要数据。
与《网络安全法》第二十一条要求设立网络安全责任人制度是相同,《数据安全法(草案)》规定重要数据处理者要设立数据安全负责人和管理机构,落实数据安全保护责任。
在欧盟《通用数据保护条例》(GDPR)通过之后,世界各国都加强数据本地化和跨境流动的限制。2020年7月16日,欧盟法院做出欧盟与美国之间基于隐私盾设定的数据安全传输机制无效的重磅裁决,数据跨境传输问题再次引发广泛关注。这背后实际上是国家安全和数据主权的问题。
因为涉及不同国家和地区数据的流动的规制规则,较为复杂,企业在开展业务过程中需要特别注意数据跨境流动数据合规问题。
我国《民法典》没有对数据跨境传输进行直接规制,但为个人信息主体和信息处理者构建了基本的规则,是数据跨境传输的合规的核心基础。作为配套的《数据安全法(草案)》要求数据处理者秉承总体的国家安全观,一切数据活动的首要合法标准是国家安全。《数据安全法(草案)》三十三条规定,境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。《数据安全法(草案)》第二十三条规定的属于管制物项的数据,不得出口。
据此,若遇到如美国政府基于《外国情报监控法》(FISA)要求调取储存在我国境内服务器的数据,企业要向主管部门报告,并获得批准才能提供,对于人口健康信息、个人金融信息等特殊类别信息出境需要特别注意合规问题。
总的来说,对于数据跨境的规制,我国立法和执法都出于探索阶段,除了《国家安全法》《保守国家秘密法》,《网络安全法》及配套规定和国家网信办发布得规定是企业合规操作的主要依据,需要随时关注。
数据合规发端于围绕数据开展商业模式的企业,在我国进一步向数字社会转型的趋势下,全社会全面和深度的数据化,涉及处理数据的企业将面临更多的数据合规问题,在《民法典》和《数据安全法》即将生效之际,数据合规不仅是为了应对外部监管的压力,避免丧失商业机会,从长远发展看,做好数据合规,能够获得法律保护的数据权益,形成竞争优势,是企业发展壮大的必由之路。
广信君达专职律师。专注于网络安全、数据合规和隐私保护。
