前言
2020年10月21日,《个人信息保护法(草案)》(“草案”)经全国人民代表大会常委会审议后正式对外发布征求意见。
本次发布的《草案》全文共八章七十条,对个人信息的处理规则、个人信息的跨境提供、个人信息主体权利、信息处理者的义务、履行个人信息监管职责的部门以及法律责任等问题予以明确规定,体现了在保护个人信息权利的同时注重促进个人信息合理利用的立法精神。
作为数据领域的基本法律,《个人信息保护法》的起草和制定备受关注。而企业作为最重要的个人信息持有者和利用者,已习以为常的诸多做法实际上属于违法,将承担高额行政罚款和其他严重的法律责任,所以,在法律颁布后如何依法合规的进行个人信息处理,将成为企业极其重要的课题。
基于此,笔者以企业为视角梳理《草案》的主要内容,希望对企业合法合规地进行个人信息处理有所裨益。
哪些企业可能面临《个人信息保护法》的合规法律责任风险?对于谁需要考虑个人信息处理的合规问题,有一种错误的理解,即只有互联网公司才应关注数据合规。但事实上,无论是传统行业还是新兴行业、新型商业模式,几乎任何一个企业都会涉及个人信息。举个简单的例子,公司聘用员工时收集的员工信息、提供产品和服务时收集的客户资料,均属于对个人信息的处理行为,因此,绝大多数企业都将会落入《个人信息保护法》的管辖范围。境内企业都将不可避免的适用《个人信息保护法》,自然并无争议,而对于具有国际视野的企业家而言,可能存在的困惑在于,能否通过注册一家境外公司来规避中国法下的合规风险?对于这个问题,《草案》给出的回答是:不能。根据《草案》第3条首次在法律层面增加了“域外效力”的规定,使该法具有了“长臂管辖”的效果。即对于在境外处理境内自然人个人信息的活动,有下列情形之一的,同样适用本法:企业在经营管理过程中涉及的数据纷繁复杂,不同的数据类型也对应不同的法律风险,而个人信息,尤其是涉及医疗健康、征信等个人敏感信息,一旦泄露或滥用可能危害人身和财产安全,也容易导致个人名誉、身心健康受到损害,因此法律对企业提出更高的合规要求。因此,判断哪些信息属于“个人信息”,对企业的风险控制至关重要。对于“个人信息”的判断,《草案》与《民法典》及《网络安全法》的规定主要有两点不同。其一,《草案》对于个人信息的判断,除了延续既有立法的“识别型”定义方式,还以“关联型”的判断标准扩大了个人信息的范围,即“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”而与自然人“有关的各种信息”,则可能包括消费记录、浏览信息、搜索记录、IP地址等信息。其二,《草案》对于个人信息的定义,仅采取定义式的规定方式,而未采取不完全列举方式,如《民法典》规定:“个人信息……包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。事实上,《草案》的此种规定方式扩大了个人信息的范围,此种变化将直接增加企业的合规压力,因为可识别以及可关联到个人的信息都将被纳入保护的范围,尤其随着新技术的发展,个人信息的范围存在不断扩大的可能。《草案》规定了企业进行个人信息处理,需遵循以下基本原则:合法正当原则(第5条)、目的明确及最小化原则(第6条)、公开透明原则(第7条)、数据质量原则(第8条)、可问责性原则(第9条)、数据安全原则(第11条)。在商业实践中,企业通过用户勾选隐私政策而获得个人信息的授权使用,这便是同意原则在现实应用中最典型的体现,也是企业得以利用个人信息最常见的方式。与《网络安全法》将用户同意作为唯一的合法依据不同,《草案》为企业处理个人信息设定了六项合法性基础。在六项合法性基础中,用户同意仍为最主要最常用的途径和手段,但除了取得用户的同意外,企业仍可在(一)为订立或者履行个人作为一方当事人的合同所必需;(二)为履行法定职责或者法定义务所必需;(三)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(四)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息;(五)法律、行政法规规定的其他情形五种情形下,未经同意即可处理个人信息。此外,《草案》第28条规定了对于已经公开的信息,企业在进行个人信息处理时,应符合该信息被公开时的用途;如果用途不明确的,则企业应当合理、谨慎的处理已公开的信息;如利用已公开的个人信息从事对个人有重大影响的活动,应当依法向个人告知并取得其同意。针对企业获得信息主体的有效同意,《草案》主要规定了同意的基本规则和特殊规则。就基本规则而言,企业要获得的有效同意,应当由个人在充分知情的前提下,作出自愿、明确的意思表示;如果法律法规规定处理个人信息应当取得个人单独同意或书面同意的,从其规定;如果信息处理的目的、方式以及个人信息种类发生变更的,应重新取得个人同意(第14条)。个人有权撤回其同意(第16条)。处理未成年人信息,应取得其监护人同意(第15条)此外,除非提供产品或服务所必需,企业不得以个人不同意或者撤回同意为由,拒绝提供产品或服务(第17条)。但是,该条并未明确“拒绝提供产品或服务”,是否包括了提供差异化的服务。而同意的特殊规则,则表现为针对个人信息处理情境的差别,采取的差异化同意方式,即《草案》首次提出的“单独同意”及“书面同意”规则。企业向第三方提供个人信息(第24条)、公开其处理的个人信息(第26条)、处理个人敏感数据(第30条)、企业进行跨境数据传输(第39条)的,应当取得个人的单独同意。法律法规规定处理个人敏感信息应当取得书面同意的,从其规定(第30条)。随着互联网和数据分析技术的飞速发展和广泛运用,企业实现了商业模式的完全重构,例如电商平台根据所掌握的用户资产特征、购物爱好、需求特征等信息绘制用户画像,准确掌握目标用户的潜在需求,更有针对性的向用户提供产品。
在商业模式的升级为企业创造价值的同时,也为企业带来越来越大的合规风险,大数据杀熟、区别定价以及广告骚扰等负面问题成为企业商业模式合规路上的拦路虎。对于这些炙手可热的智能商业模式,《草案》也进行了特别规定。《草案》第25条要求企业如将采集的个人信息进行自动化决策时,首先应保证决策的透明度和处理结果的公平合理。同时赋予信息主体在在认为自动化决策有重大影响的情况下,要求企业予以说明并拒绝其仅通过自动化决策方式作出决定的权利。而在通过自动化决策方式进行商业营销、信息推送的情形下,信息处理企业也应当提供不针对个人特征的选项。在全球经济一体化进程中,越来越多的企业面临数据出境的现实需要,例如跨国国际酒店掌握的会员全球范围内的消费记录,国际航空公司对于乘客的里程记录等。
针对个人信息的跨境流动,《草案》体现了“以流动为原则、以不流动为例外”的促进个人信息有序流动的精神。《草案》第38条规定了个人信息跨境流动的四项条件:即国家网信部门组织的安全评估、经专业机构进行个人信息保护认证、与境外接收方订立合同及法律,以及行政法规或者国家网信部门规定的其他条件。前述四项条件仅需满足其中之一即可向境外提供个人信息。相较于《个人信息出境安全评估办法(征求意见稿)》,《草案》丰富了个人信息跨境提供的合法条件,也便于实现企业的数据跨境合规。同时,根据既有的《网络安全法》及配套规则的立法逻辑,数据出境的前提条件是数据的本地化存储。针对数据本地化问题,《草案》第40条规定关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。此规定打破了《网络安全法》所要求的关键信息基础设施运营者在境内运营中收集和产生的个人信息均应在境内存储的局限,体现了支持个人信息自由跨境流动的趋势。我国的监管部门历来十分关注个人信息领域可能引发的风险,因此企业必须时刻考虑如何在法律政策监管允许范围之内合规经营,作为风险防范的源头和防线,如何在企业内部建立个人信息保护的合规体系制度,变得尤为重要。针对从事个人信息处理活动的企业合规义务,《草案》第五章予以明确。其要求企业按照规定制定内部管理制度和操作规程、实行分级分类管理、采取相应的安全技术措施等(第50条);指定个人信息保护负责人对个人信息处理活动进行监督(第51条),定期对其个人信息活动进行合规审计(第53条),对处理敏感个人信息、进行自动化决策等高风险处理活动,进行事前风险评估(第54条),履行个人信息泄露通知和补救义务等(第55条)。对于受到高度监管的数据领域而言,企业进行合规建设的一个重要方面就是应当了解监管机构。在现有法律法规及相关政策的框架下,网络与数据领域呈现多头监管的现状,在《个人信息保护法》制定的过程中,也不乏建议者提出建立统一的数据监管机构,以解决“九龙治水”的分散执法问题。从《草案》第56条可以看出,我国《个人信息保护法》仍将采取现有的执法模式,即国家网信部门负责个人信息保护工作的统筹协调,发挥其统筹协调作用,而国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。数据合规最直接的目的在于防范企业承担法律责任。企业数据战略的实现、数据价值的保护和商誉的维护核心是避免触及法律责任的红线。企业在个人信息保护合规过程中涉及多元的责任制度,《个人信息保护法》因兼具私法与公法的特征,《草案》则主要涉及了企业的民事及行政责任风险。在数据执法领域,强监管和严格的法律责任是一个世界趋势,无论是欧盟还是美国,均通过设置高额罚款等严厉的事后处罚机制倒逼企业实现对个人信息的全面保护。显然,《草案》在此种立法考量背景下,选择了加大对违法行为的惩罚力度,设置了严格的法律责任:其一,《草案》承续了《网络安全法》针对一般违法行为处以一百万元以下罚款以及对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款的基本规定;其二,《草案》规定了情节严重时高达五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款(第62条);同时增加了“记入信用档案”的处罚(第63条)。此外,《草案》还规定了民事诉讼以及公益诉讼机制。个人信息权益受到侵害的个人可通过民事诉讼向违反个人信息处理的信息处理者主张损害赔偿责任。而且,如果个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼(第66条)。
