作者:
备受关注的《个人信息保护法》(《个保法》)于2021年8月20日颁布,并将于2021年11月1日起正式生效。《个人信息保护法》与《网络安全法》和《数据安全法》成为构建我国数据主权、数据安全、网络安全和个人信息保护法律框架的三个重要支柱,并对我国数字经济格局、个人信息保护、企业数据合规实践等产生重大且深远影响。《个保法》的颁布也标志着我国个人信息保护进入新时代。
安杰律师事务所《个人信息保护法》全解析系列文章将对《个保法》的重要条款进行解读,分析《个保法》对企业数据合规实践产生的影响,并为企业合规落地提供建议。承接上一篇“《个人信息保护法》颁布、中国个人信息保护进入新时代” ,本文为该系列文章第二篇,梳理了《个保法》下企业的具体合规义务。
我们按个人信息处理的全生命周期梳理了《个保法》下企业的具体合规义务。下图展示了这些具体合规义务的多样性和复杂性。
一、什么是“个人信息”?
什么是“个人信息处理”?
《个保法》规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”
《个保法》对于“个人信息”和“个人信息的处理”的定义与《网络安全法》、《民法典》和《个人信息安全规范》(“《规范》”)中的定义类似,尽管略有区别,但总体上《个保法》对于个人信息依然采取了较为宽泛的定义方式,强调在识别性的基础上,与特定自然人有关的信息均可构成个人信息。
二、如何处理个人信息?
(从个人信息全生命周期角度讨论)
《个保法》对于个人信息的处理规则以专章形式进行介绍,包括一般规定、敏感信息的处理规则和国家机关处理个人信息的特别规定。本文仅讨论其中与企业合规相关的内容。
1.处理的合法性基础
《个保法》规定了个人信息处理活动的合法性基础,包括:
● 取得个人的同意;
● 为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
● 为履行法定职责或者法定义务所必需;
● 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
● 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
● 法律、行政法规规定的其他情形。
个人信息处理者需至少满足以上合法性基础中的任意一项才可进行个人信息处理活动。除非另有特殊情形,上述第一项的“告知+同意”原则仍是企业处理个人信息的核心合法性基础。需要注意的是,根据上述规定,用人单位可以按照“依法制定的劳动规章制度和依法签订的集体合同”、为“实施人力资源管理”目的而处理劳动者的信息而无需其同意。该条虽然承认了雇佣场景下用人单位处理劳动者个人信息的正当性,但也不宜将其绝对化。我们认为,如果用人单位超出日常人力资源管理的合理范围处理个人信息、或存在某些特殊处理行为时(例如处理劳动者的敏感个人信息、员工信息出境、向他人提供员工个人信息等),仍应审慎判断并设置告知-同意机制,从而满足《个保法》下的要求。
2.个人信息处理者的告知义务
(1)告知的内容与要求
告知的内容:《个保法》规定了个人信息处理者处理个人信息和敏感个人信息前应当告知的内容,包括:
●个人信息处理者的名称或者姓名和联系方式;
● 个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
● 个人行使本法规定权利的方式和程序;
● 处理敏感信息的必要性(如有);
● 处理敏感信息对个人权益的影响(如有);
● 处理不满十四周岁未成年人个人信息的专门的个人信息处理规则;
● 法律、行政法规规定应当告知的其他事项。
根据《个保法》,“敏感个人信息”指的是“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”。
告知的要求:此外,根据《个保法》,个人信息处理者应当以显著方式、清晰易懂的语言真实、准确、完整地进行告知。如果告知事项发生变更的,应当将变更部分告知个人。如果通过制定个人信息处理规则的方式进行告知的,还应当公开处理规则,便于查阅和保存。
(2)无需告知的情形
《个保法》规定,企业的告知义务在一定情形下可以予以免除或延迟,包括:
● “法律、行政法规规定应当保密或者不需要告知的情形”,此时告知可以予以免除;或者
● “紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的”,此时告知可以延迟至紧急情况消除后再及时告知。
3.对个人信息处理行为的同意
(1)同意的要求
同意的内涵:《个保法》规定了同意的要求,即需以个人充分知情为前提,进而自愿、明确地作出。这也意味着,如果个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
单独同意/书面同意:值得注意的是,《个保法》提出,法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,应当从其规定。
《个保法》一共规定了5处需要个人单独同意的情形,包括:
● 个人信息处理者向其他个人信息处理者提供其处理的个人信息;
● 个人信息处理者公开其处理的个人信息;
● 在公共场所安装图像采集、个人身份识别设备,将所收集的个人图像、身份识别信息用于维护公共安全以外的目的;
● 基于个人同意处理敏感个人信息;
● 个人信息处理者向境外提供个人信息。
“单独同意”的外在表现形式仍有待进一步明确。如按语义理解,“单独”应与“共同”相对,因此“单独同意”应理解为该同意仅针对一个单独事项,而不能针对多个事项。此要求对企业可能影响较大,例如,App可能需要设置多个用户同意界面、或在同一用户同意界面设置多个勾选项,由用户逐一勾选同意。由于每一用户的选择不同,如何管理多个乃至海量用户的同意范围、并据此精细化管理收集的用户个人信息,对企业也是较大的挑战。
需要注意的是,根据《个保法》上下文理解,“单独同意”并不完全等于书面同意,书面同意只是实现单独同意的方式之一。我们倾向于认为,如个人信息处理者能够充分保证个人信息主体对上述特殊处理行为的知情权和选择权,在某些特定场景下,个人信息主体的主动行为也可推定为实现了“单独同意”。
(2)未成年人同意
《个保法》将不满十四周岁未成年人的个人信息也划定为敏感个人信息的一种,规定:个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。且个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
此条规定的未成年人的年龄限制与《规范》、《儿童个人信息网络保护规定》等规定中的限制相同。
(3)同意的撤回
对于以“告知+同意”为合法性基础的个人信息处理活动而言,《个保法》规定,个人有权撤回同意且个人信息处理者应当提供便捷的撤回同意的方式。同时在个人撤回同意的情况下,个人信息处理者不得以个人撤回同意为由拒绝提供产品或服务;除非处理个人信息属于个人信息处理者提供产品或服务所必需。
4.保存(个人信息存储/销毁环节)
《个保法》对个人信息保存期限的规定与《规范》等规定中一致,即除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。
由于各类个人信息处理行为的目的不同,很难划定全社会统一的保存期限,《个保法》也未对个人信息的保存期限提出进一步要求。企业需根据行业监管部门的特殊规定(如有)和具体处理行为的目的,设定个人信息的保存期限。
5.第三方处理个人信息(共同处理、委托处理、转移、其他个人信息处理者提供)
对于个人信息处理活动中涉及由第三方处理个人信息的情况,《个保法》区分为4种情况:1.共同处理、2.委托处理、3.因合并、分立、解散、被宣告破产等转移个人信息,和4.向其他个人信息处理者提供。个人信息处理者及此类第三方的具体义务如下:
个人信息处理者义务 |
第三方义务 |
|
共同处理 |
1. 约定各自的权利和义务; 2. 每一方都应响应个人向其提出的行使本法规定的权利的要求; 3. 如共同处理行为侵害个人信息权益造成损害,承担连带责任。 |
|
委托处理 |
1. 与第三方(受托人)约定委托处理的目的、期限、处理的方式、个人信息的种类、保护措施以及双方的权利义务等; 2.对第三方(受托人)的个人信息处理活动进行监督。 |
1.按照约定处理个人信息,不得超出约定范围; 2.委托合同不生效、无效、被撤销或者终止后,向个人信息处理者(委托人)返还个人信息或删除个人信息,不得保留; 3.未经个人信息处理者同意,不得转委托; 4.采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。 |
合并、分立、解散、被宣告破产等 |
向个人告知第三方(接收方)的名称或姓名、联系方式。 |
1. 接收方应继续履行个人信息处理者的义务; 2.接收方如变更原来的处理目的、处理方式,应按规定重新取得个人同意。 |
向其他个人信息处理者提供 |
1. 向个人告知第三方(接收方)的名称或姓名、联系方式、处理目的、处理方式和个人信息的种类 2. 取得个人的单独同意。 |
1. 在个人信息处理者告知个人的范围内处理个人信息; 2. 如变更原先的处理目的、处理方式,按规定重新取得个人同意。 |
6.公开(公开披露)
原则上不得公开:《个保法》规定,个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。
公开的个人信息的使用:对于已经公开的个人信息,《个保法》规定,个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。
上述规定确认了个人信息处理者可在合理的情况下、无需个人同意而处理个人已公开的个人信息,但如果该处理行为对个人权益会产生重大影响,则“告知-同意”规则仍应适用。
7.特殊个人信息处理行为
《个保法》对两种个人信息处理行为进行特殊规定:
自动化决策:
-自动化决策的透明性、禁止大数据杀熟:个人信息处理者应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇;
-个人信息主体对自动化决策的知情权、选择权、拒绝权:通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式;
-通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定;
-事前进行个人信息保护影响评估,并对处理情况进行记录。
公共场所安装图像采集、个人身份识别设备:
-应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识;
-所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的,取得个人单独同意的除外。
三、个人信息出境有何限制?
1.个人信息出境的条件
《个保法》规定,个人信息处理者因业务等需要,确需向境外提供个人信息的,除法律、行政法规或者国家网信部门规定的其他条件外,应当具备下列条件之一:
同时,中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
2.单独同意和个人信息保护影响评估
《个保法》规定跨境传输个人信息应当取得个人的单独同意,并应当向个人告知境外接收方的名称或姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项。
此外,《个保法》还规定,个人信息处理者在向境外提供个人信息之前,应进行个人信息保护影响评估,并对处理情况进行记录。
3.境外司法/执法机构调取个人信息请求
对于境外司法或执法机构要求提供存储于境内的个人信息的请求,《个保法》规定:中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。
四、个人在个人信息处理活动中享有哪些权利?
根据《个保法》,个人在个人信息处理活动中应当享有以下权利:
个人的权利 |
知情权 |
决定权 |
|
限制、拒绝权 |
|
查阅、复制权 |
|
转移请求权(“可携带权”) |
|
更正、补充权 |
|
删除权 |
|
要求解释说明权 |
为维护个人的以上权利,《个保法》还要求个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。如拒绝个人行使权利的请求的,应当说明理由。
五、如何保护个人信息?
1.必要措施
《个保法》规定,为防止个人信息发生未经授权的访问以及个人信息泄露、篡改、丢失等情形,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定:
必要措施 |
制定内部管理制度和操作规程 |
对个人信息实行分类管理 |
|
采取加密、去标识化等安全技术措施 |
|
合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训 |
|
制定并组织实施个人信息安全事件应急预案 |
|
法律、行政法规规定的其他措施 |
2.个人信息保护负责人/部门
《个保法》规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当:
-指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督;
-公开个人信息保护负责人的联系方式;
-将个人信息保护负责人的姓名、联系方式报送履行个人信息保护职责的部门。
目前国家网信部门对上述“规定数量”尚未有明确规定,仍需等待相关细则、解释的出台。
3.审计
《个保法》规定,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。同时,履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,有权要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。
4.个人信息保护影响评估
《个保法》规定,个人信息处理者在信息处理活动中,有下列情形之一的,应在事前进行个人信息保护影响评估,并对处理情况进行记录,相关评估报告和处理情况记录应当至少保存三年:
应进行个人信息影响评估的情形 |
处理敏感个人信息 |
利用个人信息进行自动化决策 |
|
委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息 |
|
向境外提供个人信息 |
|
其他对个人权益有重大影响的个人信息处理活动 |
个人信息影响评估应当包含的内容 |
个人信息的处理目的、处理方式等是否合法、正当、必要 |
对个人权益的影响及安全风险 |
|
所采取的保护措施是否合法、有效并与风险程度相适应 |
值得注意的是,国家市场监督管理总局、国家标准化管理委员会已在2020年发布了《信息安全技术-个人信息安全影响评估指南》,并于2021年6月1日正式实施。其中规定的风险评估流程、方法论及需评估事项,对企业依照《个保法》规定开展个人信息保护影响评估有一定的参考价值。
5.个人信息安全事件的补救和通知义务
《个保法》规定:
发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:
(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;
(三)个人信息处理者的联系方式。
如果个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。
6.平台责任
对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,《个保法》还规定了下列特殊义务:
(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(四)定期发布个人信息保护社会责任报告,接受社会监督。
作者介绍
杨洪泉 安杰律师事务所 合伙人
电邮:yanghongquan@anjielaw.com
杨洪泉律师,安杰律师事务所科技、数据保护及网络安全业务合伙人。
在科技、媒体和电信(TMT)领域,杨律师已有近20 年的公司内部法律顾问和外部律师的丰富经验。他在监管、商事和公司等事务上为客户提供广泛的法律服务,尤为专注数据保护、网络安全、电信和互联网、电子商务、社交网络、硬件和软件、技术采购和转让,分销和许可以及其他与技术有关的领域。
杨律师是中国最早从事数据保护和网络安全业务的律师之一,由于其在互联网及电信公司的多年工作经历,杨律师较为熟悉相关行业场景,且对跨国企业所需法律服务有深入理解。
在TMT和数据保护法律领域,杨律师多次受到国际权威法律评级机构推荐,包括:
-全球领导者(Global Leader):数据领域(Who’s Who Legal, 2021)
-中国律师事务所数据保护领域领军律师 (Legal 500, 2021)
-中国律师事务所TMT领域领军律师 (Legal 500, 2020/2021)
-钱伯斯亚太TMT推荐律师(Chambers and Partners, 2021)
-网络安全及数据—中国律师特别推荐榜15强(LEGALBAND, 2021)
杨律师主要服务于500 强公司、大型国有企业、知名互联网公司等。杨律师经常在国内外法律媒体和刊物上发表有关中国数据保护及网络安全方面的文章。
在加入安杰律师事务所之前,杨律师分别在DLA Piper, CMS 及英国电信工作。
往期回顾
声 明
文章仅代表作者观点,不视为安杰律师事务所正式法律意见或建议。如需转载或引用请注明出处。如有任何问题,欢迎与本所联系。
