文| 王雅蓉 信通院互联网法律研究中心助理研究员
《个人信息保护法》第六十二条规定,国家网信部门统筹协调有关部门依据本法针对小型个人信息处理者制定专门的个人信息保护规则、标准。目前,相关具体规定还未制定出台。本文拟结合部分域外立法经验,探索我国小型个人信息处理者个人信息保护专门制度的构建思路。
一、小型个人信息处理者的制度价值
不同规模的个人信息处理者,其处理个人信息的技术水平、管理模式和风险控制能力存在差异,制度的落地需要“因地制宜”。对于大型科技互联网企业的监管,国际社会已基本取得了共识。然而,对于中小型企业,考虑到其技术水平、风险等级等,是否要对其进行部分责任豁免,目前全球各国还处于探索阶段,仅有少数国家作出了相关规定。
我国《个人信息保护法》第六十二条也是首次对该问题进行规定。根据全国人大法工委编写的《个人信息保护法释义》[1],我国提出制定小型个人信息处理者专门规则的原因在于:其处理个人信息的数量少、处理活动相对简单,且在专业人才、技术能力和资金水平等方面都相对较弱,需要适当减轻其合规成本。一方面,由于人力财力物力限制,小型个人信息处理者应当获得部分义务的豁免,以降低合规成本。另一方面,在豁免义务的内容上需要有针对性,以保障在豁免义务、降低成本的同时不会产生较大个人信息权益受侵害的风险。
二、小型个人信息处理者个人信息保护制度的构建思路
如何界定小型个人信息处理者,在哪些义务内容上进行豁免,是需要重点探索的制度内容。
(一)小型个人信息处理者的界定
界定主体范围,即何为小型个人信息处理者,是对其权利义务进行细化的前提。小型个人信息处理者不能等同于小型企业或中小微企业。一方面,《个人信息保护法》的规制对象不仅包括企业,也包括其他组织和个人,例如非营利法人、特别法人、非法人组织等。另一方面,小型个人信息处理者的定量标准不仅是资金和人力水平。资金水平、人力资源是影响合规能力的重要因素,因此可以参考该规定中的具体定量标准进行细化,但小型个人信息处理者不同于中小微企业的根本原因就在于,个人信息处理活动本身影响着企业的个人信息保护合规义务要求,需要关注到,部分资金、人力紧缺的组织,其主要活动、业务围绕个人信息展开,并不应然地得到个人信息保护责任的豁免。
在界定小型个人信息处理者时,需要考虑多个因素:一是营业收入、资产总额、从业人员数量等传统定量因素。资金和人力水平是影响组织个人信息保护合规能力的主要原因。我国《中小企业划型标准规定》中依据不同的行业对中小微企业的规模作出了界定,其主要依据为营业收入、资产总额及从业人员人数,但由于涉及的行业众多,不同行业中的企业都可能存在处理个人信息的行为,因此需要统筹考虑。欧盟GDPR引言13条中提到“微型、小型和中型企业的概念应借鉴委员会第2003/361/EC1号建议书附件第2条。”该建议书[2]中确定中小微型企业的依据也是其资金和人力水平。但在第30条提及记录义务时,仅要求“雇员人数少于250人的”,未提及资金水平。因此,这些传统定量因素作为界定范围标准,应当是满足其一即可还是均需满足、选取哪些定量因素、如何确定划线标准,需要进一步研究。二是处理的个人信息数量、用户数量等定量因素。用户数量是在互联网监管中常用且好用的定量因素,《网络数据安全管理条例(征求意见稿)》第73条对大型互联网平台运营者作出了界定,要求用户超过5000万以及满足其他条件。《个人信息保护法》第58条的守门人条款也提出了“用户数量”的表述。美国《加州隐私法》(CPRA)排除了不符合“单独或组合,每年购买、接收、出售或共享10万及以上消费者或家庭的个人信息”的处理者,还提出了家庭数量的标准。定量标准可以依据某段时间或某个时间点的统计值,例如美国CPRA使用的表述为“每年”“上一年”“年收入”等以年为单位的计量标准,印度、澳大利亚、欧盟相关立法中也均使用了“财政年度”的表述,而印度《个人数据保护法(2019年草案)》还提出了“过去十二个月内的任何一天”这样的时间点式表述。此外,在时间上还需要关注组织本身的变化,如存续期间,因为存在新设企业难以计算上年营业收入、小型个人信息处理者转变为一般个人信息处理者等情况。三是个人信息类型、处理活动的目的、重要性等定性因素。可以通过:(一)处理个人信息在其业务类型中的地位,如美国CCPA中的“通过销售消费者的个人信息获得其年收入的50%甚至更多”,以规制收入不高但处理大量个人信息的企业或以销售个人信息为主要业务的企业。(二)收集个人信息的目的,如印度《个人数据保护法(2019年草案)》要求考虑数据处理者以向其他个人或实体披露为目的收集个人数据;如澳大利亚《隐私法》将为利益等目的收集或提供他人数据的排除出小型数据处理者。(三)处理的个人信息类型,如澳大利亚《隐私法》将对外提供并持有他人健康数据的排除出小型数据处理者。(四)提供的服务的重要性,《个人信息保护法》第58条的守门人条款首次提出了“提供重要互联网平台服务”的表述,并且对业务类型也提出了要求,因此,小型个人信息处理者提供的服务应当能够与之区分,避开重要互联网平台服务类型和复杂业务类型。而何为重要互联网平台服务,需要通过守门人条款明确。
(二)小型个人信息处理者的义务豁免
在豁免义务的内容设计上,有三种立法思路。一是豁免全部个人信息保护义务。如美国CCPA在界定管辖范围时采取了“排除式”立法模式,明确不满足管辖条件的个人信息处理者不需要遵守该法的规定。这与美国在定义小型个人信息处理者的方式上有关,其通过低标准的排除式,仅将一小部分实体排除在CCPA管辖范围之外。与我国《个人信息保护法》中针对小型个人信息处理者制定专门规则的主题思路相斥,且如果完全豁免小型个人信息处理者的个人信息保护义务,矫枉过正,不利于保障公民的个人信息权益。二是出台详细的指南。针对每个权利义务条款,明确中小企业的豁免程度,如欧盟欧盟网络安全局(ENISA)出台的《中小企业个人数据处理安全手册》《中小企业个人数据处理安全指南》等详细文件,进行了一揽子安排。三是针对具体义务进行豁免。例如,欧盟GDPR虽然明确在实施中考虑中小微型企业的具体情况,但也直接在条文中明确豁免/限制其部分义务,如记录保存义务,雇员少于250人的机构只需要记录可能存在损害个人信息权利风险的信息处理活动,对于其他日常信息处理活动无须履行记录义务。(第30条)、数据保护认证机制、数据保护印章和标记的义务,规定应当考虑微型、小型以及中型经济主体的特定需求。(第42条)。而印度《个人数据保护法(2019年草案)》中,更是援引了近二十条规定,明确该部分规定不适用于小型个人信息处理者,包括:收集或处理个人数据的通知要求(第7条)、处理的个人数据的质量(第8条)、保留个人数据的限制(第9条)、确认和访问权的简要总结(第17条第(1)款(c)项)、数据可携权(第19条)、被遗忘权(第20条)、行使权利的一般条件(第21条)、隐私设计政策(第22条)、个人数据处理活动的透明度(第23条)、安全保障(第24条)、个人数据泄露报告(第25条)、重要数据处理者(第26条)、数据保护影响评估(第27条)、维护记录(第28条)、数据处理政策和行为等的审计(第29条)、数据保护官(第30条)、其他主体的数据处理行为(第31条)、对申诉的补救(第32条)。
不论是第二种方式出台具体的指南还是第三种方式援引具体条款进行豁免,均是可行之路,能够精细地针对小型个人信息处理者的义务进行豁免。在明确豁免何种义务上,合规的成本、可能性和必要性是需要考虑的主要因素。
[1]杨合庆:《个人信息保护法释义》,法律出版社2022年版,第155页。
[2]《欧盟委员会2003年5月6日关于微型、小型和中型企业定义的建议》,https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3a32003H0361&msclkid=fbc0abced04f11eca1adb60acd22d00b
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
