作者:周杨 辛小天 史蕾

2021年8月20日,《个人信息保护法》经过全国人大常委会三次审议正式发布生效。这一天距离《个人信息保护法》进入立法阶段的消息进第一次入公众视野已经过去了16年。这期间,数字经济取代了传统经济,全球经济秩序得到重构,欧盟通过颁布《一般数据保护条例》GDPR形成了个人数据保护水平的高地,并事实上创建了统一的欧盟数字经济市场,重新获得了竞争优势,全球个人数据保护立法在其影响下掀起层层高潮;这期间,“技术主权”“数字主权”“网络主权”成为了新的讨论热点,全球数据流动政策的规则不再仅仅是经济发展的内生需求,更夹带了各国数字主权的暗中较劲,并逐渐在立法层面亮明主张。

在复杂的国际局势之下,国内民众对于个人信息权利的觉醒也似乎在一夜之间。随着网信办、工信部、公安部和市场监督管理局四驾马车的并驾齐驱,国内应用程序非法获取用户信息、个人信息黑色产业链在监管打击之下不断沉浮。而2020年的疫情则加剧了大家对自身个人信息的觉知和保护需求。内外兼具的热切需求下,《个人信息保护法》正式发布。作为法律实务工作者,我们试图对《个人信息保护法》的重要条款进行实务层面的解读,以供讨论。

第一章 总则部分

1、个人信息权益被提升为宪法赋予的根本权利

正式稿对《个人信息保护法》第一条引入了关键词汇“根据宪法”, 根据我国宪法规定,国家尊重和保障人权,公民的人格尊严不受侵犯,公民的通信自由和通信秘密受法律保护,鉴此,个人信息权益将被提升为宪法赋予的根本权利。

第一条 为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。

2、个人信息的定义采用宽入口设计

从正式稿对个人信息的定义可见,个人信息的定义采纳了《个人信息安全规范》个人信息定义的最宽入口模式,无论是识别法(从信息到个人)关联法(从个人到信息)得到的信息均被认为是个人信息的范畴。该条款的设计实质上也与GDPR设计思路一致。

第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息

3、适用范围采用属地属人双重适用原则

正式稿中,仍为属地属人原则双重适用。属地原则方面,“组织、个人在中华人民共和国境内处理自然人个人信息的活动,适用本法“;属人原则方面,”在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:

(一) 以向境内自然人提供产品或服务为目的;

(二) 为分析、评估境内自然人的行为;

(三) 法律、行政法规规定的其他情形。“

同时,《个人信息保护法》亦在最末明确了不适用的情形,包括:

(一)自然人因个人或者家庭事务而处理个人信息的,不适用本法。

(二)法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定。”

4、重要原则新增合法正当诚信原则、质量原则和协同治理原则

正式稿第五条至第十条确立了七项重要原则,包括合法正当必要诚信原则,目的明确合理原则,公开透明原则,质量原则,安全保护原则,禁止非法处理原则,协同治理原则。在三次审议稿中,这些原则都进行了不同程度的微调和修改,也体现了立法者对于个人信息保护认识的全面性。例如:

—合法正当必要诚信原则,是指“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。”;

—目的明确合理原则,将个人权益的影响程度引入为判断合理的标准,并再次强调收集范围与目的之间的最小关联性,在已有的最小必要原则上进一步强调不得过度收集个人信息:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式收集个人信息,应当限于实现处理目的的最小范围。

—质量原则,是指“为实现处理目的,所处理的个人信息应当准确,并及时更新”;正式稿加入了对数据质量的要求,显示了立法者对个人信息乃至数据治理体系的全面洞察,对个人信息构建了更为科学和立体的保护立场。

—禁止非法处理原则,三审稿列举了明确的禁止性行为,“任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。”

—协同治理原则,是指“国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关行业组织、社会公众共同参与个人信息保护的良好环境”。

第二章 个人信息处理规则

5、七大处理个人信息的合法理由,新增实施人力资源管理所必须作为合法理由

相比之前《个人信息安全规范》中采用的“告知同意 – 告知同意的例外”作为合法处理个人信息的适用框架,《个人信息保护法》采用了与GDPR一致的立法逻辑,直接将告知同意作为处理个人信息的合法理由之一,同样的,以“同意”作为合法理由处理个人信息,必须赋予用户撤回同意的权利。

正式稿在处理个人信息的合法理由中,额外增加了附条件的“实施人力资源管理所必须”作为处理个人信息的合法理由,这是立法者充分考虑了实践困难的明显体现。员工信息保护曾对个人信息保护带来挑战,理由是用人单位处理员工个人信息时,因雇佣关系的天然失衡而难以取得员工“平等自愿”的同意,而基于《劳动合同》所获取的员工个人信息范围及其有限且使用范围狭窄。正式稿的这一增补对于企业而言提供了明确的适用准则,降低了员工个人信息处理风险的不确定性。“

第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:

(一)取得个人的同意;

(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

(三)为履行法定职责或者法定义务所必需;

(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;

(七)法律、行政法规规定的其他情形。

依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意

6、“单独同意”成为重要的同意形式

《个人信息保护法》中将单独同意作为了重要的同意形式。在此之前,单独同意的类似概念曾作为《个人信息安全规范》要求个人信息控制者收集生物识别信息前获取用户同意的形式要件。与之相类似的概念,例如“明示同意”至此将被“单独同意”这个更为明确更容易理解的概念所取代。在《人脸识别|保护人脸信息规范 规范行业法阵的有效司法路径》中,作者洪延青老师对单独同意的具体形式进行了讨论——我们理解,单独同意的形式不限,但应达到破除“无感知收集”“一揽子授权/捆绑授权”和“强迫收集”不利现状的效果。正式法所要求的必须采用“单独同意”的场景也是以往困于前述不利现状中的常见情形,分别是:

—个人信息处理者向其他个人信息处理者提供其处理的个人信息时;

—个人信息处理者公开其处理的个人信息时;

—在公共场所安装图像采集、个人身份识别设备所收集的个人图像、身份识别信息用于维护公共安全的目的之外的其他目的时;

—处理敏感个人信息时。

第十四条 处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示。法律、行政法规规定处理个人信息应当取得个人单独同意或书面同意的,从其规定。

7、保密义务和紧急情况称为豁免告知的法定情形

合乎要求的告知义务是合法正当必要诚信原则和透明原则的重要体现。正式稿在有关告知的要求中,从一般告知内容,告知的形式、变更告知的情形、告知的保存等均作出了细致要求。除此之外正式稿创设了两项豁免告知的情形,分别是基于保密义务的豁免,和基于紧急情况的豁免

第十八条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。

紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知”。

8、“共同处理”替代了“共同控制”概念,并将二者共同推向责任承担的前台

正式稿确定了共同处理者的概念,不再区分个人信息控制者和处理者。但也应澄清,除了概念上的重新定义,二者的责任承担方式也由《个人信息安全规范》中的前后台模式转变为共同面向个人主体的连带责任模式,且相关的连带责任包括了合同责任和侵权责任的双方面连带。

第二十条 两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。

个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。

9、向第三方提供的告知同意要求更为严格

作为个人信息权利极易遭到漠视和侵犯的缺口,向第三方(其他个人信息处理者)提供和共享个人信息受到监管的严在工信部APP侵害用户权益专项整治行动工作中,SDK作为第三方常见接入形式遭到各地通管局严查。正式稿中,向第三方提供个人信息需要履行相当严格的义务,包括但不限于(1)事先的充分告知和单独同意;(2)第三方受到严格的处理限制。

“第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。

10、自动化决策及其营销使用场景合并规制,捋顺逻辑且禁止大数据杀熟

在原有的个人信息保护体系中,自动化决策、个性化展示、以及拒绝营销权均分散表述,对于从业者而言曾引起很多误解和争议。正式稿从自动化决策的基本决策逻辑应“保证决策的透明度和结果公平公正”且“不得对个人在交易价格等交易条件上实行不合理的差别待遇”入手,在决策对个人权益造成重大影响时赋予个人主体释明权拒绝权,并要求个人信息处理者在自动化决策最为普遍的应用场景“信息推送、商业营销”中,同时向个人提供“不针对其个人特征的选项”,或者“向个人提供便捷的拒绝方式”。

本条款可能是个人信息处理者及精准广告从业者最为关心的条款。从条款全文来看,立法者亦在个人信息处理者的生存发展、合规成本和个人信息主体的权利保护之间寻找平衡,但整体仍更加倾向于对个人信息主体权益的保护。结合正式稿的立法逻辑,用于自动化决策的个人信息应当注意以下合规要点:

首先获得第十三条的合法处理理由以进行自动化决策,按照目前表述,一般应以取得个人同意作为合法处理理由;

—在正式进行自动化决策前,应当就自动化决策的透明和公平性做好充分说明;

—自动化决策用于信息推送和商业营销时,提供不针对其个人特征的选项或提供便捷拒绝方式;

—仅通过自动化决策作出对个人权益有重大影响的决定的,应保障个人释明权和拒绝权,相应的,产品设计中应尽量避免仅仅通过自动化决策作出对个人权益有重大影响的决定,考虑在产品设计之初引入人工复核决策机制。

不过,在用户行使拒绝权后,相关个人信息的处理方式如何细化仍值得讨论,是否可以比照《个人信息安全规范》(GB/T 35273-2020)的规定,“当个人信息主体选择退出或关闭个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项”,还是采用其他有效途径协助用户撤销对该个人信息用于自动化决策或个性化推荐的具体目的授权,并比照撤销权处理“所基于的个人信息的选项”,均有待进一步观望。

第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。

通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。

通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

11、公开个人信息及使用公开的个人信息的特别限制

公开的个人信息因其形式的公开性而遭到违背其公开目的滥用。典型案例即如个人用于访寻工作的公开的简历信息被滥用并加工后用户向雇主报告“人员异动情况”的滑稽场面。正式稿中对于已公开信息的处理进行了特别梳理,核心主要在于:

(1)opt-out模式:针对个人自行公开或者其他已经合法公开的个人信息,除非个人明确拒绝,个人信息处理者可以在合理范围内处理;

(2)Opt-in模式:处理已公开的个人信息对个人权益有重大影响的,个人信息处理者应当依照本法取得个人同意。请注意,此处的已公开信息并未强调其类别为“个人自行公开”或“合法公开”。

第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。

12、公共场所采集图像的特别安排

出于公共安全的需要以及避免公权力的滥用,正式稿规定了有关公共场所安装图像采集、个人身份识别设备收集个人图像和身份识别信息的限制:

—目的限制:应当出于维护公共安全所必须,遵守国家有关规定

—告知形式限制:设置显著的提示标志

—用途限制:只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。

第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。

13、设专节对处理敏感个人信息作出严格限制,将特定身份和不满十四周岁未成年人的个人信息纳入敏感信息范围

敏感个人信息在正式稿中的定义采用了概念与示例的方式,强调这类个人信息一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,其中,不满十四周岁未成年人的个人信息被正式纳入敏感信息范围,给予整体更加严格的保护。敏感个人信息处理的严格限制体现在(1)处理前提是特定目的和充分的必要性,并已采取严格保护措施;(2)基于个人单独同意(法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定),没有其他合法处理理由;(3)征得同意的告知事项增加告知处理敏感个人信息的必要性以及对个人权益的影响(依照本法规定可以不向其告知的除外);(4)处理不满十四周岁的未成年人个人信息的,应当取得其父母或者监护人同意,并应当制定专门的个人信息处理规则;(5)处理敏感个人信息或将持牌,有待进一步观察。

第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。

第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。

第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。

个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。

第三十二条 法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。

第三章 个人信息跨境提供的规则

14、捋顺了个人信息跨境提供需要满足的前提条件,探索全球数据流动新局面

在原有个个人信息保护体系下,个人信息跨境提供的规则难以捉摸。正式稿对个人信息跨境需要满足的必要前提进行了整合和梳理,并将向个人主体的告知和获取个人主体的单独同意作为另一必要前提条件

值得一提的是,必要前提外,《个人信息保护法》要求个人信息处理者采取必要措施保障境外接收方处理个人信息的活动达到《个人信息保护法》的保护标准,并承诺按照中国缔结或者参加的国际条约、协定对向中国境外提供个人信息的条件等有规定的参照规定执行。该条款反映了《个人信息保护法》在确保自身数据资产流入同等保护水平环境的同时,不断探索在全球数据流动圈中的新局面。

此外,除了关键信息基础设施运营者应当将在中国境内收集和产生的个人信息存储在境内外,处理个人信息达到国家网信部门规定数量的个人信息处理者,同样也受到了前述境内存储的本地化约束。二者若确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估。

第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:

(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;

(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;

(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;

(四)法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。

个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”

15、跨境合作标准合同呼之欲出

第三十八条第(三)款将数据出境与境外接收方订立合同限定为“按照国家网信部门制定的标准合同”。SCC(standard contractual clauses)是欧盟2010年提出的数据跨境标准之一,目的是为了对数据进口方的个人信息保护能力的确定。作为主要官方白名单标准(充分性认定原则)的替代性解决方案,SCC一直是国际业务企业数据商业跨境传输的最常选择适用模式。但在Schrems II引发欧美隐私盾失效后,欧盟法院对于SCC的普适性已经提出警告,欧盟委员会在2021年6月公布了个人数据从欧盟转移到第三国的新标准合同条款,EDPB并随后发布了补充措施指南,并确认了技术保护补充措施的重要适用原则。

《个人信息保护法》此次将SCC纳入顺应国际惯例,也可以预见到会成为商业数据出境尤其为总部管理、跨境电商、进出口业务等数据出境所需企业提供重要适用机制。国家网信部门已在布局标准合同的草拟,相信其中的考量要点也会集中于跨境目的限制、进口方和进口国数据安全能力评估、主体权利保障、再传输以及途径跨境规定和本土权益救济便利要求等。

第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:

(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;

(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;

(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;

(四)法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。

个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

16、个人数据管制和反制条款与《数据安全法》协同一致

出于在全球数据治理博弈中对中国个人数据主体和数据主权的保护,也出于在国际关系中取得微妙的平衡,《个人信息保护法》与《数据安全法》保持了一致,确保了对个人数据的管制和反制条款,具体体现的措施为将管制和反制对象列入限制或禁止个人信息提供的清单。管制和反制的适用条件也进行了严格限制。其中管制的对象为:从事损害了中国数据主体权益或危害中国国家安全、公共利益的个人信息处理活动的境外机构和个人;而反制的对象则是:对中国采取歧视性的禁止、限制或者其他类似措施的国家和地区。

此外,尽管确认了对外国司法或者执法机构的协助原则,但《个人信息法》同样与《数据安全法》保持了一致的执法协助限制,即“非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息”。该条款措辞严厉,有可能对位于境外但适用《个人信息保护法》的个人信息处理者造成适用困扰,有关本条的具体实施尚且有待进一步的落地细则出台。

第四十一条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。

第四十二条 境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。

第四十三条 任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。

第四章 个人在个人信息处理活动中的权利

17、个人信息主体权利的全面构建

与原有的个人信息保护体系相比,《个人信息保护法》对于个人信息主体权利进行了梳理和汇总,从8个方面赋予个人信息主体权利:(1)知情权(透明原则的权利落地);(2)决定权;(3)限制权;(4)拒绝权;(5)查阅、复制权;(6)可携权;(7)更正、补充权;(8)删除权;(9)规则解释权。

在备受关注的删除权方面,除了删除理由引入了“处理目的无法实现”外,《个人信息保护法》对个人信息处理者提出了一项类似“行为中止”的删除权救济保障,即,如果个人信息主体要求行使删除权但实际上保存期限尚未届满,或技术上存在很大困难的,则个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理作为对用户删除权的救济。

第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。

第四十五条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。

个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。

个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。

第四十六条 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。

个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。

第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:

(一)处理目的已实现、无法实现或者为实现处理目的不再必要;

(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;

(三)个人撤回同意;

(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;

(五)法律、行政法规规定的其他情形。

法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

18、逝者个人信息保护规则进一步完善,个人信息保护结构更加立体

该规定是对今年1月1日起施行的民法典中有关死者人格权继承的立法衔接。2018年,发生在河南郑州的“空姐乘顺风车被杀案”引发轰动。一张包含被害空姐个人信息的案件照片在网络流传,经查是郑州市公安局警犬训导支队警务辅助人员郝某利私自传播给朋友,进而引发全网扩散,对其个人和家人造成不良负面影响。事后,郝某利等人就被郑州警方以涉嫌侵犯公民个人信息罪为由刑拘。

逝者权利保障目前主要还是集中于对与经济性权益的继承以及著作权、署名权等传统知识产权权利的保护。全球法律对于死者的隐私权和个人信息保护(right to post-mortem privacy)仍处于探索阶段,个别国家和领域法律开始立法监管。例如,美国HIPPA规定了对于死者的医疗隐私的保护(死亡后2年内)。《2018年西班牙个人数据保护和数字权利保障组织法》承认个人有权获得数字遗嘱,并规定死者的继承人有权行使查阅、删除和更正数据的权利,除非死者会禁止或者不符合适用法律。

全球立法对于死者个人信息的保护的谨慎源于其较生者信息保护更加复杂。包括,个人隐私侵犯对于主体的伤害性判定,逝去主体个人知情同意权确认难度较大。基因遗传疾病信息对于其他家族成员的个人影响导致个人信息的保护需求也往往超出数据主体本身。另外死者后人对于死亡影像、尸检记录的隐私保护要求与医学研究、公共安全的冲突尤其在犯罪查处以及医疗研究方面表现突出。

随着在线交易和数据存储的数据资产需求增多,互联网平台在对于死者账户删除或经法院调令才可提供的传统处理之上,也在拓展账户继承等新型资产利用和保护模式。相较于二审稿,本条在最终发布的时候细化了继承人行使权利的法定基础(合法、正当,或遵照死者生前安排),以及可行使权利类型(查阅、复制、更正、删除),对于平台和企业用户权限设计和行使判定赋予更明确的指导性。当然实践中其他常见的问题,例如信息获取类型是否需要进一步划分限制、死者个人信息再传播限制以及公开监管等方面仍然需要细化落地,才能充分发挥该项权利赋予的正面作用。

第四十九条 自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。

第五章 个人信息处理者的义务

19、个人信息处理者的义务

《个人信息保护法》自草案发布以来,个人信息处理者的主要义务的要求呈现比较成熟稳定的立法状态,即围绕着制度建设、信息分类、技术措施、人员管理、应急预案这五大角度以及最后兜底的其他措施,这六点个人信息处理者的义务已经深入企业的实践,被业界接受认可,三次草案征求意见基本没有变动。

第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:

(一)制定内部管理制度和操作规程;

(二)对个人信息实行分类管理;

(三)采取相应的加密、去标识化等安全技术措施;

(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;

(五)制定并组织实施个人信息安全事件应急预案;

(六)法律、行政法规规定的其他措施。

20、建立境内外个人信息保护的人员对接机制

《个人信息保护法》对满足一定条件的个人信息处理者(即处理个人信息达到国家网信部门规定数量)要求指定个人信息保护负责人。个人信息保护负责人对外披露的要求仅限于联系方式,但需报送履行个人信息保护职责的部门的信息则包括姓名和联系方式。

对于适用本法的境外个人信息处理者,《个人信息保护法》要求设立境内专门机构或指定境内代表,并要求向履行个人信息保护职责的部门报送的义务,该项规定弥补了一直以来针对境外机构监管的敞口,与《个人信息保护法》的域外管辖扩展落地直接呼应,也是与欧盟GDPR等域外个人信息保护法的机制保持一致性的对等要求。因此,对于可能触发《个人信息保护法》适用的境外个人信息处理者应做好设立中国境内机构或指定代表的报送准备。

第五十二条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。

个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

第五十三条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

21、DPIA强制义务场景具象化

高风险处理活动进行个人信息保护影响评估(DPIA)是个人信息处理者合规经营、持续自主运转以及满足自证要求的最重要渠道之一。但此前,我国DPIA的规定处于《个人信息安全规范》非强制性标准级别,大多数企业也未将评估作为必备内控手段。《个人信息保护法》此次将DPIA要求提升至法律强制性要求,对于企业内部合规制度建设提出更严格要求。相比《个人信息安全规范》存在的“高风险”性笼统场景性规定(产品或服务发布前、业务功能发生重大变化时、法律法规有新的要求时、业务模式、信息系统、运行环境发生重大变更时、发生重大个人信息安全事件时),《个人信息保护法》提出的强制性DPIA要求则从更加具体化的处理活动为出发点:处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息,以及其他对个人权益有重大影响的个人信息处理活动。对于处理者来说有了本条规定,DPIA的遵循执行上减少内部判断繁琐和不确定性风险。另外,对于个人信息保护影响报告和处理情况记录保存时间提出了至少三年的期限性要求,也应作为企业档案保管制度新变化点。

第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:

(一)处理敏感个人信息;

(二)利用个人信息进行自动化决策;

(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;

(四)向境外提供个人信息;

(五)其他对个人权益有重大影响的个人信息处理活动。

第五十六条 个人信息保护影响评估应当包括下列内容:

(一)个人信息的处理目的、处理方式等是否合法、正当、必要;

(二)对个人权益的影响及安全风险;

(三)所采取的保护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

22、增加基础性互联网平台的社会责任

《个人信息保护法》二审稿的亮点之一即“守门人”责任的落实在正式稿中予以完善。本条涉及的基础性互联网平台一般包括三类:一是应用程序的分发平台,二是操作系统,三是大型平台App。立法的监管思路包括平台本身引入机构监督,平台内有关处理和保护个人信息规则的制定,对平台内产品或服务违规行为的管理,以及通过发布社会责任报告接受社会监督四类模式共存。我们认为这样的探索非常有益,也是个人信息保护发展的必然路径,但监督机制的细化和执行方案,以及实际的监督效果,还有待各守门人在实践中得出结论,当然,这其中免不了又将展开各方权利和义务的边界博弈,我们将拭目以待。

第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:

(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;

(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;

(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;

(四)定期发布个人信息保护社会责任报告,接受社会监督。

第六章 履行个人信息保护职责的部门

23、个人信息保护职责部门的定义、层级及职责范围更加清晰

《个人信息保护》下,个人信息保护职责部门的层级划分及职责范围如下表所列;履行个人信息保护职责的部门的具体职责主要包括:(1)宣导和监督;(2)受理投诉和举报;(3)组织个人信息保护情况测评和公布;(4)调查处理违法个人信息处理活动和(5)其他兜底。

部门

职责

备注

国家网信部门

统筹协调个人信息保护工作

监督管理

国家通用监管

国务院有关部门

在各自职责范围内负责个人信息保护和监督管理工作

部门监管

县级以上地方人民政府有关部门

按照国家有关规定确定

基层监管落地

第六十条 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。

县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。

前两款规定的部门统称为履行个人信息保护职责的部门。

第六十一条 履行个人信息保护职责的部门履行下列个人信息保护职责:

(一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;

(二)接受、处理与个人信息保护有关的投诉、举报;

(三)组织对应用程序等个人信息保护情况进行测评,并公布测评结果;

(四)调查、处理违法个人信息处理活动;

(五)法律、行政法规规定的其他职责。

24、推动标准和认证体系建设

与《网络安全法》《数据安全法》重视标准认证体系建设的原则一致,《个人信息保护法》在“履行个人信息保护职责的部门”专章中设有专门条款强调网信办统筹有关部门推进个人信息保护工作中有关标准和认证的工作职能。同时,《个人信息保护法》将个人信息保护评估、认证服务纳入到个人信息保护社会化服务体系建设当中,呼应了重要原则中的“协同治理原则”,提出推进网络身份认证公共服务建设,呼应了有关方面遵循自愿原则正在试点的应用网络身份认证公共服务,这将成为减少网络身份认证中对个人信息的过度采集的有力技术手段。但哪些机构有权开展、开展流程以及认证结论的时效性等问题仍有待关注具体的实施细则如何确定。

“第六十二条 国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:

(一)制定个人信息保护具体规则、标准;

(二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;

(三)支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;

(四)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;

(五)完善个人信息保护投诉、举报工作机制。”

第七章 法律责任

25、显著提高行政责任处罚标准,引入高管禁业处罚

在《个人信息保护法》中,行政责任的处罚标准在延续原有的《网络安全法》的百万处罚标准基础上,新设了“情节严重”的处罚标准,并将单位罚金提高至“五千万元以下或者上一年度营业额百分之五以下”,并同时可导致业务暂停乃至“吊销相关业务许可或者营业执照”的严厉处罚。直接负责的主管人员和其他直接责任人员罚金提高至“十万元以上一百万元以下”,同时,新增了省级以上履行个人信息保护职责的部门可以决定“禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

该处罚明显借鉴了GDPR中2000万欧元或者企业上一年度全球营收的4%(两者取其高)罚款的严厉处罚思路,也反映了监管对于整肃个人信息处理市场、打击违法处理个人信息的决心。值得注意的是,在尚未构成情节严重的违反规定处理个人信息的情形下,除了原有的责令改正,没收违法所得,警告,罚款的行政处罚之外,对应用程序可“责令暂停或者终止提供服务”,为目前行政部门采取的下架处罚提供了法律依据。

第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

26、明确了民事责任赔偿制度,明确采用过错推定责任原则

民事责任赔偿制度一直是个人信息保护中的弱项,《个人信息保护法》规定的民事责任赔偿制度沿用二审稿的规则,即可证明损失或获益的,以具体损失或获益承担赔偿责任;难以计算损失或获益的,根据实际情况确定赔偿数据。可见,个人信息侵权赔偿亦存在权利性质的特殊性和损失难以计算的属性,同时笔者也相信,在该具体条款的适用中,将面临侵犯个人信息主体多项权利时如何计算赔偿额,各区域是否存在统一的赔偿量化标准等,届时还有待司法审判的智慧与实践。

同时需要注意的是,《草案》明确个人信息民事侵权赔偿适用过错推定原则。根据《民法典》第1165条的规定,“行为人因过错侵害他人民事权益造成损害的,应当承担侵权责任。依照法律规定推定行为人有过错,其不能证明自己没有过错的,应当承担侵权责任。”对于个人信息处理者来说,过错推定原则的适用意味着个人信息处理者必须时刻注意履行“自证合规”义务,在日常的处理活动中严守合规制度,并做好相应的记录和存证。

“第六十九条 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。

前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。”

27、公益诉讼制度正式落地

《草案》提出个人信息权益保护的公益诉讼制度。《个人信息保护法》正式稿中对公益诉讼的主体进行了明确,包括“人民检察院、法律规定的消费者组织和由国家网信部门确定的组织”,这些机构,特别是检察院和消费者保护协会,已经在近些年的公益诉讼中扮演了重要角色并成功维护了社会公益,而国家网信部门确定的组织虽尚无定论,但被寄予厚望。不可否认,公益诉讼制度的提出意味着监管当局已经注意到了广大公民个人信息遭受侵犯而无力承担诉讼成本的现状,而我们也相信该现状将在近年内从多个层面得到有力遏制。

第七十条 个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。

声明:本文来自享法互联网JoyLegal,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。