2021年8月20日,第十三届全国人大常委会第三十次会议通过《个人信息保护法》,新法将于11月1日起施行。《个人信息保护法》立足于数据产业发展的实践和个人信息保护的迫切需求,完善了我国数据合规领域的法律体系,更为全面地保障个人权利。市场参与者要按照下个月即将生效的《数据安全法》和刚刚通过的《个人信息保护法》要求,加快数据安全治理体系建设。

一、《个人信息保护法》的立法沿革

2020年10月13日,十三届全国人大常委会第二十二次会议第一次审议了《个人信息保护法(一审草案)》。2021年4月29日,《个人信息保护法(草案二次审议稿)》在经全国人大常委会会议审议后,面向社会公布并征求意见。二审稿的主要亮点在于进一步完善了处理个人信息的合法性基础,补充了个人有权撤回同意的内容,新增对具有管理公共事务职能的组织的规范要求,要求按照网信部门制定的标准处理个人信息跨境,加强对向境外司法或执法机构提供个人信息的监管,新增规定死者的个人信息权益由近亲属行使,以及新增超大互联网平台特定的个人信息保护义务要求等等。

在20日通过的最终三审稿中,主要的亮点和变化体现在:进一步完善个人信息处理规则,特别是对应用程序(App)过度收集个人信息、“大数据杀熟”等作出有针对性规范;将不满十四周岁未成年人的个人信息作为敏感个人信息;完善个人信息跨境提供的规则;增加个人信息可携带权的规定;完善死者个人信息保护的规定,以及对完善个人信息保护投诉、举报工作机制及违法处理个人信息涉嫌犯罪案件的移送提出明确要求等等。

二、《个人信息保护法》亮点解读

(一)明确了个人信息处理的合法基础

《个人信息保护法》列举了个人信息处理的合法基础包括授权同意、为订立或履行个人作为一方当事人的合同所必需、履职必需、应对突发公共卫生事件、在合理的范围内处理已公开的信息、公益目的等等,总体而言采取了优先保护个人权利和社会公共利益的路径。与国际立法相比,个人信息处理者的合法利益本身不能构成授权同意之外的合规基础。对一般市场参与者而言,主要的数据处理合规基础即为授权同意、合同必需和在合理范围内处理已公开的信息。

对授权同意而言,尽管仍存在授权同意能否真正保障个人信息主体的知情权、授权同意流于形式、强势一手数据源为后续数据流转的参与方带来权利瑕疵“原罪”等问题,实践中已逐渐形成一定程度上的行业最佳实践,例如采用交互式弹窗的形式在用户使用特定功能时逐一获取该功能必需的数据,明确列出数据共享的目的及合作方名单,在隐私协议条款前简要介绍核心条款等等。因此,在平衡法律要求、用户体验和保障消费者知情权方面,行业逐渐开始摸索出一套较为成熟的合规实践。

对合同必需而言,合同必需的原则与最小必要原则密切相关。因此在获取数据之前,市场参与者需要区分产品服务的核心功能和附加功能,审慎衡量获取的数据类型是否是提供相关产品和服务的必要前提。

对处理已公开的信息而言,《个保法》也在附则对其含义进行了进一步的明确。市场参与者可能需要评估个人信息主体公开信息的具体途径、目的、预期公开程度、数据使用目的是否超出个人信息主体的合理预期等因素。由于该合规基础的模糊性较大,相对而言也会存在更多的合规隐患。

(二)为个人赋予撤回同意的权利

考虑到实践中普遍存在的不支持注销账户、撤回同意投诉无门等问题,《个保法》要求个人信息处理者提供便捷的撤回同意方式。就“便捷”而言,依照相关国家标准的精神,其便捷程度宜与给予授权的便捷程度相对等。此外,《个保法》明确撤回同意不影响撤回前基于个人同意已进行的个人信息处理活动的效力。由于数据存在极强的可复制性,个人信息主体在给出首次授权同意后,对于姓名、身份证号、手机号、地址等相对静态的信息很容易失去控制权。即使在撤回同意后,个人及每一环节数据处理者也很难控制数据的后续流转。相比而言,更容易落地的是行为类数据,相关数据处理者需要确保在个人信息主体撤回同意后,相关数据被终止收集,必要时也需要对其进行删除或匿名化。

(三)将不满十四周岁未成年人的个人信息列入敏感个人信息

针对实践中儿童早已成为在线教育、线上游戏、视频网站和社交产品的用户群体之一,《个保法》明确要求将不满十四周岁未成年人的个人信息作为敏感个人信息加以保护。因此相关数据处理者可能需要更改内部数据分级分类的标准,依照我国法律和相关标准对敏感信息的要求对涉及的不满十四周岁未成年人的个人信息进行特别保护。

此外,《个保法》也要求个人信息处理者对其制定专门的个人信息处理规则。具体而言,处理规则的内容可能会涉及确认用户年龄的实现方式、确认监护人授权同意的实现方式、针对儿童群体准备专门的个人信息保护文本和用户协议、未成年人发布信息内容的提示和保护义务、推送内容的管理机制等等。

同时,对于面向普通公众提供产品和服务的运营者而言(如搜索服务),是否与专门针对儿童提供产品和服务的运营者在儿童个人信息保护领域的要求有所区分仍有待理论和实践的进一步探索。例如是否需要额外收集用户的年龄信息从而将儿童从全部用户群体中识别出来,此类要求与最小必要原则如何适配等等。

(四)针对自动化决策提出明确要求

针对用户画像、“大数据杀熟”等问题,《个人信息保护法》立足于维护广大人民群众的网络空间合法权益,充分吸收了成熟国家标准与行业实践的内容,从算法伦理、数据获取、数据使用、风险评估和日志记录的方面对自动化决策进行了规制。

在算法伦理层面,《个保法》要求数据处理者保证决策的透明度和结果公平合理。参照国际立法的实践,数据处理者可能需要在用户协议中向用户简明介绍算法的基本逻辑和对用户权益的影响,不得通过自动化决策对个人在交易价格等交易条件上实行不合理的差别待遇等等。

在数据获取方面,我国《个保法》要求数据处理者在进行商业营销、信息推送时给予用户拒绝的权利。

在数据使用方面,提供不针对个人特征选项的信息推送可能要求企业对自身的商业模式进行调整,如在自动化决策推荐算法之外,为用户提供单纯依照点击量、发布时间等统计结果的选项。

在风险评估方面,要求数据处理者在事前进行风险评估,具体的内容可能包括自动化决策系统在准确性、公平性、歧视、隐私和安全方面的影响(包括训练用数据的影响),并对影响评估中的问题予以纠正。

在日志记录方面,要求数据处理者并对数据的处理活动进行记录等等。

(五)全面规范个人信息跨境的规则

《个保法》设置专章对个人信息跨境提供的规则进行了全面的规范,与《数据安全法》《网络安全法》形成了完善的法律体系衔接。其中值得注意的是,在境外司法或执法机构要求提供境内个人信息时需要经过主管机关的批准。由于在实践中国际礼让原则逐渐式微,跨国企业可能会在国际诉讼中面临两难处境。因此,也有待后续立法进一步明确批准提供证据的具体主管机关、批准程序和时限等内容,更好地维护我国跨国企业在国际法律纠纷当中的利益。

(六)明确个人信息侵权行为的归责原则为过错推定

《个人信息保护法》明确了当个人信息权益因个人信息处理活动受到侵害时, 个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。换言之,个人信息处理者如果不能证明自己在数据处理、数据保护中不存在过错,将在诉讼中面临一定程度的败诉风险。在司法实践中,庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案的被告企业被要求证明自己不存在过错、已履行的信息安全保护义务、个人信息的具体泄露方以及泄露的具体环节,并最终由于难以提供相关证据而承受了败诉结果。

与之相反的是,在方月明诉北京金色世纪商旅网络科技股份有限公司、中国东方航空股份有限公司合同纠纷案中,法院认为企业提供的等保测评报告、对外合作协议、任命数据保护官的通知等证据,满足了法院关于“充分履行个人信息保护义务”的要求。具体到合作协议的证据留存方面,企业也需要对数据处理的所有参与方、各方的权利义务、违约情况等具体情形进行存证,以证明本方的数据处理符合法律的规定与合作方之间的约定。因此,我们建议相关企业可以参照司法实践中的经验,为合规制度的建设和司法实务中企业“证明自己没有过错”寻求一定程度的借鉴。

三、结语

《个人信息保护法》的出台进一步完善了我国在个人信息保护和数据安全领域的立法体系,为个人权益的保护构建了较为完善的法律框架,也为数据产业的市场参与者提供了更为具体的合规指引。企业内部数据合规管控和技术体系的构建已成为紧迫议题。数据处理者应当从战略和业务实际出发,识别数据合规关键风险点,评估整体的信息化策略能否支撑内外部合规需求,尽快建立数据安全治理体系,从而为用户权益的保障和企业的合规经营提供保障。

作者简介

仵姣姣,中国信息通信研究院云计算与大数据研究所工程师,主要研究方向为数据交易、数据流通、数据安全等,wujiaojiao@caict.ac.cn。

声明:本文来自隐私计算联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。