2021年8月20日,第十三届全国人民代表大会常务委员会第三十次会议通过《中华人民共和国个人信息保护法》(“《个人信息保护法》”),该法将于2021年11月1日施行。
《个人信息保护法》共八章(总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任、附则),七十四条。
作为我国首部针对个人信息保护的专门性立法,《个人信息保护法》的正式颁布填补了个人信息保护领域高位阶且具有强制约束力的法律空白,并将与《民法典》、《网络安全法》、《数据安全法》共同构筑我国个人信息与数据保护的法律规范体系。
而随着大数据等新技术的崛起和发展,个人信息无疑是数字化时代企业最为核心的资产,如何平衡个人信息保护与合理使用,构建企业个人信息保护合规体系,避免违法违规法律责任,《个人信息保护法》提供了兼具原则性与可操作性的规范指引。
本文以企业视角梳理《个人信息保护法》的重要规范制度,解读法律规则下企业的主要合规义务,供企业规范利用个人信息时予以参考。
一、《个人信息保护法》的适用范围:属地+属人双重适用原则
企业关注《个人信息保护法》,主要应关注哪些企业可能面临《个人信息保护法》的合规法律责任风险。在《个人信息保护法》的正式稿中,仍采用属地属人双重适用原则。针对属地原则,针对境内企业而言,其处理个人信息的活动都将不可避免的适用《个人信息保护法》。
而针对属人原则,根据《个人信息保护法》第3条则明确了法律的“域外效力”,使该法具有了“长臂管辖”的效果。即对于在境外处理境内自然人个人信息的活动,有下列情形之一的,同样适用本法:(一) 以向境内自然人提供产品或者服务为目的;(二) 为分析、评估境内自然人的行为;(三) 法律、行政法规规定的其他情形。该条规定也意味着企业无法通过注册境外公司以实现规避中国法下的个人信息处理的合规风险。What is Personal Information?判断哪些信息属于“个人信息”,是企业合规经营和风险控制首要环节。对于个人信息的定义,《个人信息保护法》延续了《个人信息保护法(草案)》中的宽口径定义模式,即延续既有的“识别型”定义方式,还以“关联型”的判断标准扩大了个人信息的范围,即“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”而与自然人“有关的各种信息”,则可能包括消费记录、浏览信息、搜索记录、IP地址等信息。
事实上,《个人信息保护法》的此种规定方式扩大了个人信息的范围,此种变化将直接增加企业的合规压力,因为可识别以及可关联到个人的信息都将被纳入保护的范围,尤其随着新技术的发展,个人信息的范围存在不断扩大的可能。三、个人信息主体权利体系构建:“可携权”的首次引入System of Personal Information Rights《个人信息保护法》第四章全面规定了信息主体在个人信息处理活动中的法定权利,构建了信息主体享有知情权、决定权、限制权、拒绝权、查阅复制权、可携权、更正补充权、删除权、自动化决策权的权利体系。
其中最值得关注的是《个人信息保护法》第45条首次引入的可携权,即“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”。该规定有助于打破数据时代的数据垄断和不充分竞争格局,为初创企业创造参与竞争的机会,有利于数据资源的有效流动。四、企业合法处理个人信息的依据:同意和其他合法基础的区分Legal basis for handling Personal Information与《网络安全法》将用户同意作为唯一的合法依据不同,《个人信息保护法》为企业处理个人信息设定了七项合法性基础。在七项合法性基础中,用户同意仍为最主要且最常用的途径和手段。除了取得用户的同意外,企业可在(一)为订立或者履行个人作为一方当事人的合同所必需或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(四)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息;(五)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(六)法律、行政法规规定的其他情形下,未经同意即可处理个人信息。相比二审稿,正式颁布的《个人信息保护法》在“履行合同所必需”的基础上提出了人力资源管理所必需的情形,为企业收集、处理员工的个人信息提供了更加明确的合规路径,且因基于人力资源管理所需而获取的员工个人信息范围及其有限且使用范围狭窄,也降低了处理员工个人信息的风险。此外,《个人信息保护法》进一步对个人信息被公开的渠道进行了细化解释,包括个人自行公开的个人信息及其他已经合法公开的个人信息。五、企业如何获得信息主体的有效同意:同意的基本规则和特殊规则How to obtain Personal Information Subjectundefineds consent?针对企业获得信息主体的有效同意,《个人信息保护法》主要规定了同意的基本规则和特殊规则。针对基本规则,企业要获得的有效同意,应当由个人在充分知情的前提下,作出自愿、明确的意思表示;如果法律法规规定处理个人信息应当取得个人单独同意或书面同意的,从其规定;如果信息处理的目的、方式以及个人信息种类发生变更的,应重新取得个人同意(第14条)。个人有权撤回其同意(第15条)。
而同意的特殊规则,则表现为针对个人信息处理情境的差别,采取的差异化同意方式,即《个人信息保护法》明确提出“单独同意”及“书面同意”规则。在企业向其他个人信息处理者提供其处理的个人信息时(第23条)、公开其处理的个人信息(第25条)、在公共场所安装图像采集、个人身份识别设备所收集的个人图像、身份识别信息用于维护公共安全的目的之外的其他目的时(第26条)、处理个人敏感数据(第29条)、企业进行跨境数据传输(第39条)的,应当取得个人的单独同意。法律法规规定处理个人敏感信息应当取得书面同意的,从其规定(第29条)。Sensitive Personal Information:more strict rules《个人信息保护法》第28条规定,敏感个人信息一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,也正因如此,《个人信息保护法》设专节针对企业处理敏感个人信息作出严格限制。而敏感个人信息,则具体包括了生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等,此外,不满十四周岁未成年人的个人信息也被正式纳入敏感个人信息的范畴。《个人信息保护法》对敏感个人信息处理的严格限制体现在,其一,信息处理的前提是具有特定目的和充分必要性,并已采取严格保护措施;其二,除基于个人的单独同意外,(法律法规规定处理敏感个人信息应当取得书面同意的,从其规定),不存在其他合法事由;其三,征得同意的告知事项中,需增加告知处理敏感个人信息的必要性以及对个人权益的影响(依照本法规定可以不向其告知的除外);其四,处理不满十四周岁的未成年人个人信息的,应当取得其父母或者监护人同意,并应当制定专门的个人信息处理规则。Automated decision system随着互联网和数据分析技术的飞速发展和广泛运用,企业实现了商业模式的完全重构,例如企业利用所掌握的用户信息绘制用户画像以实现精准营销,但随之而来的大数据杀熟、区别定价以及广告骚扰等负面问题成为企业商业模式合规路上的拦路虎,作为对社会热点的关切和回应,《个人信息保护法》第24条对前述问题也作出了针对性规范。从条文内容来看,立法者试图寻找个人信息保护与合理利用之间的平衡,但整体更倾向于对个人信息主体的权益保护。根据条文规定,企业在实务中如需进行自动化决策时,则需关注以下合规要点:(1)企业进行自动化决策,通常应取得信息主体的有效同意作为信息处理的合法性依据;(2)在进行自动化决策前,应当针对自动化决策的透明性和公平性予以充分说明,且不得在价格等交易条件上实行不合理的差别对待;(3)自动化决策用于信息推送和商业营销时,提供不针对其个人特征的选项或提供便捷拒绝方式;(4)仅通过自动化决策作出对个人权益有重大影响的决定的,应保障个人释明权和拒绝权。
八、要点八:公共场所采集信息:用途、告知、目的三重限制
Collecting information in public places根据《个人信息保护法》第26条,在公共场所安装图像采集、个人身份识别设备,除取得个人单独同意的外,将同时接受信息采集用途、采集目的以及采集提示方式的限制,即应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的。Cross-border Personal Information针对个人信息的跨境流动,《个人信息保护法》体现了“以流动为原则、以不流动为例外”的促进个人信息有序流动的精神。除依据第39条需向个人信息主体告知并获取主体的单独同意作为必要前提条件外,《个人信息保护法》第38条规定了个人信息跨境流动的四项条件:即国家网信部门组织的安全评估、经专业机构进行个人信息保护认证、按照国家网信部门制定的标准合同与境外接收方订立合同及法律法规或者国家网信部门规定的其他条件。前述四项条件仅需满足其中之一即可向境外提供个人信息。值得一提的是,《个人信息保护法》要求个人信息处理者采取必要措施保障境外接收方处理个人信息的活动达到《个人信息保护法》的保护标准,并承诺按照中国缔结或者参加的国际条约、协定对向中国境外提供个人信息的条件等有规定的参照规定执行。该条款反映了我国为确保自身数据资产流入同等保护水平环境所做的努力。同时,根据既有的《网络安全法》及配套规则的立法逻辑,数据出境的前提条件是数据的本地化存储。针对数据本地化问题,《个人信息保护法》第40条规定关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。此规定打破了《网络安全法》所要求的关键信息基础设施运营者在境内运营中收集和产生的个人信息均应在境内存储的局限,体现了支持个人信息自由跨境流动的趋势。
十、要点十:企业合规义务:须建立个人信息保护合规体系制度
Establish personal information protection compliance system作为风险防范的源头和防线,企业必须时刻考虑如何在法律政策监管允许范围之内合规经营,因此如何在企业内部建立个人信息保护的合规体系制度,变得尤为重要。针对从事个人信息处理活动的企业合规义务,《个人信息保护法》第五章予以明确。其要求企业按照规定制定内部管理制度和操作规程、实行分级分类管理、采取相应的安全技术措施、明确操作权限并定期开展培训、制定实施安全事件应急预案(第51条);指定个人信息保护负责人对个人信息处理活动进行监督(第52条),定期对其个人信息活动进行合规审计(第54条),对处理敏感个人信息、进行自动化决策、委托处理个人信息、向第三方提供个人信息、公开个人信息、跨境提供个人信息等高风险处理活动,进行事前风险评估(第55条)评估内容主要包括:1)个人信息的处理目的、处理方式等是否合法、正当、必要;2)对个人权益的影响及安全风险;3)所采取的安全保护措施是否合法、有效并与风险程度相适应等。同时,评估报告及相关处理情况应至少保存3年(第56条);履行个人信息泄露通知和补救义务等(第57条)。
十一、要点十一:区分大小企业的个人信息保护义务:强调重要互联网平台的个人信息保护责任
Personal information protection responsibility of Internet platforms对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,因涉及多方义务主体,且处理个人信息数量巨大等原因,《个人信息保护法》第58条着重强调了其所应履行的个人信息保护义务,业界认为该条规定系针对“守门人”责任的落实。根据第58条的规定,重要互联网平台通过采取平台自身引入由外部成员组成的独立机构对个人信息保护情况进行监督、制定有关处理和保护个人信息的平台规则、平台内产品或服务违规行为的管理,以及通过发布社会责任报告进行社会监督四种方式增强对“守门人”企业的监管。该条规定意在加强超大互联网平台的个人信息保护义务,亦符合目前互联网产业的法治现状。而相较于重要互联网平台,小型个人信息处理者处理个人信息的活动通常不会造成系统性的风险,其在执行个人信息保护法也显的负担过重,因此《个人信息保护法》针对企业规模大小,区分设定企业处理个人信息的义务,第62条第(二)款规定,针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,应制定专门的个人信息保护规则、标准。十二、法律责任:企业违法处理个人信息将承担高额行政罚款Administrative penalty in breach of Personal information protection responsibility数据合规最直接的目的在于防范企业承担法律责任。企业数据战略的实现、数据价值的保护和商誉的维护核心是避免触及法律责任的红线。企业在个人信息保护合规过程中涉及多元的责任制度,《个人信息保护法》亦兼具私法与公法的特征。在数据执法领域,强监管和严格的法律责任是一个世界趋势,而《个人信息保护法》最终也选择采取设置高额罚款等严厉的事后处罚机制倒逼企业实现对个人信息的全面保护:除《个人信息保护法》继承了《网络安全法》针对一般违法行为处以一百万元以下罚款以及对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款的基本规定外,更为重要的是,《个人信息保护法》新设了“情节严重”的处罚标准:将单位罚金提高至“五千万元以下或者上一年度营业额百分之五以下”,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,同时还可决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人(第66条);同时增加了“记入信用档案”的处罚(第66条)。值得关注的是,《个人信息保护法》最终将可处以“高额罚款”的权限规定至省级以上履行个人信息保护职责的部门,更集中的行政执法有利于执法的统一性,并且避免地方保护主义以及权力滥用。此外,《个人信息保护法》还规定了民事诉讼以及公益诉讼机制。个人信息权益受到侵害的个人可通过民事诉讼向违反个人信息处理的信息处理者主张损害赔偿责任(第69条)。而且,如果个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼(第70条)。