2020-10-22
《個人信息保護法(草案)》經典問答
作者:
楊建媛
傅鵬
2020年10月21日,全國人大法工委公開就《個人信息保護法(草案)》(下稱“草案”)征求意見。草案回應了近年的數據合規實踐,借鑒國際經驗,開創貼合國情且富有前瞻性的監管新路徑,也將為我國在國際數據保護話語體系中占據一席之地奠定基礎。于企業而言,強化個人信息保護的趨勢已經明朗,數據合規將成為助力企業提升競爭力的重要驅動力。以下選取最受關注的八個典型問題進行討論。
一、處理個人信息仍然只能使用“同意”原則嗎?
長期以來,除為履行法定義務所必需外,取得個人同意是處理個人信息的唯一合法基礎。考慮到經濟社會生活的復雜性和個人信息處理的不同情況,草案對基于個人同意以外合法處理個人信息的情形作了規定,即:訂立或履行合同所必需、履行法定職責或義務所必需、保護自然人的生命健康和財產安全所必需、為公共利益在合理范圍內處理個人信息。
盡管如此,“告知-同意”依然是個人信息處理規則的核心,并已經在國內現有的法律和監管體系中得到廣泛執行。草案對“告知-同意”規則作出較大幅度的完善和更新,必將對合規生態產生深遠影響。
(一)廣泛的告知義務。常見的錯誤認知是:告知僅是基于同意處理個人信息的前置條件。草案明確規定,個人信息處理者在處理個人信息前,均需以顯著方式、清晰易懂的告知為前提,并詳細列示需要告知的事項。
(二)同意是在充分知情的前提下,自愿和明確的意思表示。“自愿”意即出于個人自由意志做出的意思表示。在單位處理員工個人信息的情況下,即使員工簽署《授權同意書》也未必滿足“自愿”的要求,因為單位與員工的地位并不對等。結合《個人信息安全規范》, “明確”的意思表示包括主動聲明,即個人通過書面、口頭等方式主動作出的具有語言內容的聲明;也應包括肯定性動作,即主動勾選、主動點擊“同意”等肯定性動作。單純的沉默,即消極的不作為,在沒有法律規定、當事人約定或者符合交易習慣的情況下不應當被認為是“明確”。
(三)新概念創設:單獨同意。草案沒有解釋“單獨同意”的具體含義,只規定了需“單獨同意”的多種具體場景,即:向第三方提供處理個人信息、公開處理個人信息、在公共場所安裝圖像采集和個人身份識別設備、處理敏感個人信息和向境外提供個人信息。我們理解,“單獨同意”是比一般“自愿、明確同意”更高的標準,需由場景觸發、通過單獨展示的方式告知并獲得個人的明確同意。可參考GDPR規則中的明示同意。在《關于“同意”的指南》中其被解釋為,“建議使用更高標準的技術方式,以確保獲得用戶的真實授權,比如增加一道驗證手續,在獲取用戶同意后以鏈接或短信驗證方式要求用戶再次確認”。
為訂立或者履行個人作為一方當事人的合同所必需亦可處理個人信息。此項為極具突破性的設置,使用得當將為商業場景中處理個人信息提供不少便利。適用本條的核心問題是如何理解“必需”,草案未對此作詳細規定。對照GDPR,我們判斷未來實踐中將會對“履行合同”采取嚴格解釋的態度。具體而言,“必需”應是合同訂立和履行過程中為服務個人必不可少的處理行為,而不能局限在合同的約定或者用語的表達。舉例而言,消費者如果希望電商平臺的商家將商品直接寄到家里,則商家處理消費者的地址信息即可視為履行商品購銷合同所必需;但如果消費者選擇將商品寄到特定快遞點,則商家除非獲得其他合法性基礎,否則無法以履行合同為由處理消費者的地址信息。
二、敏感個人信息具體包括哪些,為何會單獨成節?
草案處處體現了對個人信息保護的“風險路徑”考量,即在規制個人信息處理行為時區分主次、抓大放小,企業也應據此合理分配合規資源。敏感個人信息的處理規則單獨成節即是證明之一。
個人信息處理者只有在具有特定目的和充分必要的情形下才能處理敏感個人信息。“告知-同意”義務方面,需額外向個人告知處理敏感個人信息的必要性以及對個人的影響,并取得個人的單獨同意或依法取得書面同意。舉例而言,在自動售賣機購物或從快遞柜取快件時均有使用人臉識別的方式驗證身份或進行支付的情形,而人臉作為個人生物特征屬于敏感個人信息。此時,如果個人在知情的情況下單獨同意售賣機或快遞柜的運營方處理其人臉信息,是否可行?盡管滿足特定目的的條件,但僅為購物或取快遞之目的而收集人臉很難證明具有充分必要性,在告知時也難以解釋。與此相反,個人在機場過安檢時的人臉識別系為公共安全之目的,具備充分的必要性,且因此場景中處理人臉信息并非基于個人同意而進行,故也無需取得個人的單獨同意。但是,向個人告知處理敏感個人信息的必要性及對個人影響的義務仍不能豁免。
敏感個人信息的范圍在草案中只有概括定義及非窮盡列舉。實踐中,可以參考《個人信息安全規范》表B.1對“個人敏感信息”的舉例,其對草案中的個人生物特征、醫療健康、金融賬戶類目均具備參考價值。值得關注的是,種族、民族、宗教信仰均作為敏感個人信息被寫入草案。傳統上,中國民眾對該等信息的敏感度并不高,我們從小就需要在各類表格中填寫民族。隨著社會的進步與多元,企業在處理個人信息時需要同時具備本地和國際視角,充分尊重不同的族群、宗教、政治、文化背景。
三、自動化決策是什么,相關規制會對本企業產生影響嗎?
草案首次在法律層面提及自動化決策,并且賦予其豐富內涵,導致幾乎所有利用大數據的企業都多少會受到規制。具體而言,自動化決策是指利用個人信息對個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,通過計算機程序自動分析、評估并進行決策的活動。
《個人信息安全規范》沿襲了GDPR規則,指出自動化決策的特征之一是決策必須能夠顯著影響個人信息主體權益。例如,能夠決定個人信用及貸款額度、面試篩選的決策屬于自動決策;而在用戶界面根據用戶的具體情況推薦不同產品或做默認排序并非自動決策。草案則突破自動化決策需對個人權益造成重大影響的要求,著眼于決策過程的自動化;但同時規定,如果自動化決策對個人權益造成重大影響,個人有權要求處理者予以說明,并有權拒絕其僅通過自動化的方式作出決策。
基于此,有關自動化決策的規定將廣泛影響信息社會中的各行各業,尤其是人工智能的應用場景。個人信息處理者應當特別重視自動化決策的合規,例如:通過隱私政策等方式,向個人告知自動化決策的存在、基本的運行邏輯及其對個人的影響;通過定期檢驗數據和算法等方式,保證決策基礎數據的準確性和相關性,以及決策算法的可解釋性和非歧視性;通過關閉選項、人工復核等方式,避免個人完全受制于自動化的機器決策。
四、處理公開的個人信息是否就沒有合規隱患,特別是當個人信息系由政府公開時?
長期以來,處理公開的個人信息在多數情況下被視為安全港,特別是當個人信息系通過官方渠道公開。既《民法典》之后,草案亦對處理公開的個人信息設定邊界,且更進一步。
《民法典》規定了處理個人信息的免責事由,包括合理處理該自然人自行公開的或者其他已經合法公開的信息,但自然人明確拒絕或處理該信息損害其重大利益的除外。草案則規定,對于已公開的個人信息,個人信息處理者可以在與其被公開時的用途相關合理范圍內處理,但是,如果處理活動將對個人產生重大影響,則仍應當告知個人并取得同意。“對個人產生重大影響”較“損害個人重大利益”顯然更容易證明,顯示出草案對于處理公開個人信息的謹慎態度。
早在草案出臺之前,司法實踐中與此相關的裁判思路即在發生變化。根據南方都市報運營公眾號“隱私護衛隊”的報道,北京互聯網法院某法官的觀察顯示:在企業對數據的再度利用中,公開數據是重要的一類,包括權利人自行公開、政府信息公開或司法公開。以裁判文書為例,此前的法院裁判時因裁判文書屬于權威信息來源,通常認為只要再度利用時保持內容一致,不存在不當利用的情形,就不構成侵權。然而,在最近的生效判決中則出現不同的裁判結果,考慮公開信息的同時也會考察再度利用公開信息是否可能侵害權利人值得保護的重大利益。
五、跨境提供個人信息是否需要進行評估,進行評估后是否仍需要個人同意?
草案將個人信息跨境提供置于單獨章節,足以見得立法、監管層面對此的關注。總體而言,根據出境主體身份的不同,個人信息處理者或必須通過監管評估、或可以從監管評估、專業機構認證、合同訂立當中進行選擇,特殊情況下(如因國際司法協助或者行政執法協助需向境外提供個人信息)應按法律、行政法規進行處理。但無論如何,告知-同意義務均不能豁免。具體的關注點如下:
(一)草案要求關鍵信息基礎設施運營者、處理個人信息達到國家網信部門規定數量的個人信息處理者,如確需出境個人信息,應當通過國家網信部門組織的安全評估(即監管評估)。該等規定拓展了《中華人民共和國網絡安全法》(“網安法”)第37條中跨境安全評估的適用范圍,除關鍵信息基礎設施運營者外,處理個人信息達到一定規模者亦需遵守;同時,相較于《個人信息出境安全評估辦法(征求意見稿)》又提升了監管評估的適用門檻。
(二)相比較監管評估、經專業機構認證、或符合其他法定條件,與境外接收方訂立合同似乎是門檻最低的出境方式。草案規定,“與境外接收方訂立合同,約定雙方的權利和義務,并監督其個人信息處理活動達到本法規定的個人信息保護標準”。然而,參考GDPR的“標準合同條款”模式,尤其是美歐隱私盾協議被判無效的同時,法院確認標準合同條款仍然是將歐盟個人數據轉移到歐盟境外的有效機制,但要求企業對個人數據接收國的法律及個人數據轉移場景進行個案評估。
( 三)對比GDPR,草案并未采用以國家或地區為單位的“充分性認定”模式,也未對同一集團下不同實體之間的跨境提供設置單獨規則。我們理解,框架性評估往往是通過眾多個案評估,提取評估經驗后的產物。相同商業模式下或同一集團內的個人信息出境模式常具有相似性,建立標準化的評估體系后即可極大降低合規成本。
六、草案對于個人信息權利與義務的規定有哪些突破、創新?
草案構建了個人信息的權利義務體系。該等內容在企業實踐中均已涉及,但在此之前尚未在法律層面予以全面規范。就個人權利而言,個人享有知情、決定權,查閱、復制權,更正、補充、刪除權,以及要求解釋說明、申請受理的權利。就個人信息處理者義務而言,個人信息處理者應采取必要的技術與管理措施、設置個人信息保護負責人、定期開展合規審計、事前風險評估、個人信息泄露后應及時補救并通知。簡單選取值得討論的兩點:
(一)相較于網安法將違法違約收集個人信息作為個人行使刪除權的前提,草案擴張了刪除個人信息的情形,包括:約定的保存期限已屆滿或處理目的已實現,處理者停止提供產品或者服務,個人撤回同意,個人信息的處理違法或違約,或其他法定情形。對比GDPR和CCPA,兩者均規定若干刪除的例外,例如為履行法定義務、維護系統安全、保障訴訟、行使言論自由、出于科學研究等公共利益。草案未提供例外,但保留了法定的保存期限未屆滿、或者刪除個人信息從技術上難以實現時,停止處理個人信息的選擇。
(二)此外,草案要求個人信息處理者發現泄露事件即應通知有關部門,但對于能夠有效避免信息泄露造成損失的,可免除通知個人的義務。然而,按照嚴格標準數據安全事件幾乎每天都在發生,在缺乏準確界定的情況下泛化的通知義務可能使企業陷入決策困境,同時無謂加重處理者和監管部門的負擔。
七、未來中國也可以對個人信息處理的違法行為行使域外管轄權嗎?
草案將在中國境外處理境內自然人個人信息的部分活動也納入管轄范圍,初步判斷實踐中可部分對標GDPR下的提供商品或服務原則及監控原則。“以向境內自然人提供商品或服務為目的”,在實際中可能會考量個人信息處理者是否“有意”在中國境內向個人提供商品或服務。“為分析、評估境內自然人的行為”系從處理目的的角度出發,落腳于使用個人信息開展行為的分析、評估活動;監控原則則是從行為角度,要求存在監控行為并且還包括后續的利用。兩者具備相似性,如用戶畫像及相關的定向推送、消費者習慣分析均為典型場景。
草案除規定了域外管轄權外,還要求適用本法的境外個人信息處理者在我國境內設立專門機構或指定代表,并將有關機構或代表的信息報送主管部門。其出發點應當是為執法設置抓手,確保域外管轄權得以有效落實。
八、個人信息主體的違法成本有多高,相關違法行為的查處力度會有多大?
草案全方位地規定了違法處理個人信息的行政處罰、民事賠償和刑事責任,尤其是第62條高達5000萬元或上一年度營業額5%的天價罰款,堪比GDPR中2000萬歐元或上一年度全球總營業額4%的標準,宣示了中國對規范個人信息處理的決心。
對于違法行為的查處力度尚難以預估,但草案已經對履行個人信息保護職責的部門進行執法予以充分賦權,包括對有證據證明是違法個人信息處理活動的設備、物品,可以查封或者扣押。查封、扣押屬于行政強制措施,原則上只能由法律設定。《中華人民共和國證券法》第170條規定了證券監管機構對證券交易記錄、證券賬戶等金融信息相關的查封與扣押,而草案賦予主管機關在處理個人信息案件時的查封、扣押權,使個人信息監管過程中的行政強制措施有法可依。
京ICP備05019364號-1 
京公網安備110105011258
