《個人信息保護法》時代開啟
——簡析對業務實踐的影響
文章轉自:君合法律評論
作者:董瀟
全文:3610字 | 8分鐘閱讀
第十三屆全國人大常委會第二十二次會議對《中華人民共和國個人信息保護法(草案)》(以下簡稱「《草案》」)進行了審議。2020年10月21日,《草案》全文在中國人大網公布,徵求意見截止至2020年11月19日。
從2012年全國人大常委會發布《關於加強網絡信息保護的決定》,從而這一年被稱為中國個人信息保護的元年開始,歷經八年,《草案》終於面世。其間,科技與實踐的變化帶來信息收集和利用方式巨變,各國採用具有差異但方向相似的路徑加強信息保護監管,特別是以歐盟GDPR為代表對商業實踐中個人信息處理方式開始嚴肅挑戰,在反壟斷、商業投資、電信服務等各相關領域產生數據相關的持續質疑和糾葛,而我國實踐之中亦由於法律法規不夠明確而帶來不少實踐的困惑與困難。此時《草案》的發布可以說在一定程度對這些變化和問題進行了回應。
草案總的來說既包含了全球視野,也體現了中國的特色,平衡有序,為《個人信息保護法》的出臺打下了堅實的基礎。
《草案》共八章七十條。下面希望和大家討論可能會直接影響業務實踐的幾方面內容。我們會在後續再和大家進行更全面的討論。
第一,哪些主體和情形會需要遵守未來的《個人信息保護法》的規定。
和目前《網絡安全法》類似,《草案》第三條第一款規定了屬地原則,而引起熱議的第三條第二款規定加入了一定程度的「屬人」原則。這一條的規定也體現了國際趨勢和一直以來監管的態度,例如體現在《個人信息出境安全評估辦法(徵求意見稿)》第二十條對境外機構經營活動中通過網際網路等收集境內用戶個人信息的規制建議,以及近期的一些案例之中。同時這也確實體現了全球主要法域在個人信息保護立法的趨勢,一定程度上借鑑了GDPR的規定。當然,這一條通過後如何在實踐之中解釋和逐步的執行,特別是對於跨境交易和服務如何適用,相信也會帶來不少的疑問。個人信息和處理行為的定義文字上雖然較現有法規有一定調整,但似乎沒有實質性的變化。
第二,處理個人信息需要遵守什麼樣的基本規則。
這一點最大的變化是雖然仍以「告知——同意」為主線,但也規定了另外五項處理個人信息的法定基礎,例如為訂立或者履行合同所必需、或履行法定職責或法定義務所必需等。在此基礎上,對同意的要求進行細化,強調「充分知情」、「自願」、「明確作出意思表示」以及遵守其他另有規定的「單獨」或者「書面」同意的形式要求。這一點可以解決目前實踐中很多常見的情形下難以或者無法實際取得同意但是又需要信息且也比較合理的情形,或者這些相對合理的情形下取得同意以後擔心撤回同意的尷尬狀態,例如在勞動關係的建立和持續過程之中的信息收集等。另外,也可以在一定程度上對目前實踐之中過於依賴和濫用同意的情形通過更加嚴格的規制進行調整,強調同意的基本要素、不得不合理索取和可撤銷性。當然,建議的規定仍然會存在相當後續的解釋和適用難度。例如,何種情形可以視作單獨同意,何種情形可以視為緊急情況或公共利益等,均有進一步釐清之空間。
第三,委託處理、分享和轉讓個人信息需要遵守什麼樣的規則。
首先,《草案》提出了「個人信息處理者」的定義。不同於GDPR之中關於控制者和處理者的區分,按照《草案》定義,「個人信息處理者」乃為自主決定處理目的、處理方式等個人信息處理事項的組織、個人,自然不包括第二十二條之中規定的信息處理的受託方,那麼邏輯上可以看出第五章之中「個人數據處理者」的義務,例如內部治理要求、個人信息保護負責人的設置、記錄及信息洩露的通知義務等,並不當然適用於受託方。當然這樣的安排可以說是與我國《民法典》以及《網絡安全法》之中的規定一脈相承、邏輯相符的。而對於在實踐之中對於委託第三方進行數據處理的常見情形,就需要考慮相應的法律策略和安排,對於雙方的權利義務根據中國法律規定進行梳理和定義,不能當然去適用GDPR的思維定式。但是否在法律直接規定受託方的法律責任也值得思考。
其次,對於向第三方提供個人信息的情形,《草案》作出了相對嚴格的規定。特別是,要求向個人告知的範圍包括第三方的身份、聯繫方式、處理目的、處理方式和個人信息的種類,並取得個人的單獨同意。這一點將對於目前不少行業的實踐會帶來相對比較大的影響。當然這個問題在GDPR和CCPA的實施過程之中也同樣面臨,似乎暫時也並沒有形成一套完美有效的解決方案。
另外,對於個人信息處理者因合併、分立等原因需要轉移個人信息的情形,《草案》允許通過告知的方式由接收方繼續履行義務,這一點和《公司法》之中對於合併、分立相關債權債務的承繼問題的規定相呼應。當然,是否仍需要評估由於分立、合併數據的轉移而對於個人的隱私保護的影響,以及對於業務資產併購重組而引起的數據轉移是否能夠適用,仍然值得進一步思考。
第四,處理敏感個人信息需要遵守什麼特殊規則。
敏感個人信息的定義終於納入到法律層面並進行單獨的規制,要求具有「特定目的」、「充分的必要性」方可進行處理,需要向個人說明必要性和對個人的影響,以及若處理是基於個人同意的,應當取得個人的單獨同意。上述規定旨在加強對目前實踐之中於敏感個人信息收集和處理的監管,但上述規定如何理解、擬達到如何的監管效果,還希望進一步的釐清。
第五,個人信息跨境應當遵守什麼的規則。
《草案》第一條即提出本法制定的目的之一即為「保障個人信息依法有序自由流動」,因此在第三章之中關於個人信息跨境的規則體現了相應的靈活性。對於大家關注的本地化的要求,第四十條在重述《網絡安全法》對於關鍵信息基礎設施運營者的要求,而增加了對處理個人信息達到國家網信部門規定數量的個人信息處理者的本地化和安全評估的要求。這樣一來,對於處理個人信息數量較大的企業,可能不會僅因為其處理的信息數量較大而需遵守關健信息基礎設施保護全面的要求,但仍需要進行數據本地化和出境的安全評估。若按照上述規定,則信息數量門檻的規定相當關鍵,在實務之中也會存在如何確定是否達到該等門檻的問題。另外,除需按照第四十條進行評估的情形外,提出了專業機構的保護認證、通過與境外接收方訂立合同、以及按照其他規定的方式可以視為具備條件。對於國際司法協助或者行政執法協助,提出專門批准的要求。也提出對境外組織、個人限制或者禁止個人信息提供清單的措施,以及對於其他國家和地區的反歧視措施。
第六,個人信息主體的權利如何實現。
基於現有的規定,《草案》明確規定的複製權、限制或拒絕處理權以及對於可以請求刪除權規定情形的擴展值得關注。這些條款的理解將直接影響後續產品和業務流程的設計。
第七,個人信息處理者應進行哪些內部治理安排。
《草案》第五十條的要求與現有《網絡安全法》規定比較類似亦有重合,如制定內部管理制度和操作規定、分級分類管理、採取安全技術措施、設置內部權限和培訓、制定安全應急預案等。新的要求包括對於處理個人信息達到國家網信部門規定數量的信息處理者設立個人信息保護負責人,境外機構應在境內設立專門機構或代表,定期審計,進行個人信息處理活動的風險評估。這幾條新增的要求將對企業的機構崗位設置、內部信息管理流程均產生直接的影響。
第八,發生數據洩露事件時應如何處理。
《草案》之中規定了個人信息處理者發現個人信息洩露的,應當立即採取補救措施,並通知履行個人信息保護職責的部門和個人,對個人的通知可以在「個人信息處理者採取措施能夠有效避免信息洩露造成損害」的情形下豁免。對應到目前實踐之中較為多發的信息洩露事件和處理的情況,有幾點仍值得思考。第一是如何定義「發現個人信息洩露的」情形,以及如果與《網絡安全法》及目前配套規則之中的網絡安全事件對接;第二是該條之中對於履行個人信息職責的部門亦採用了「通知」的表述,雖然該表述在一些法域採用,但在我國的法律語境下如何理解。另外,由於第六章之中規定國務院有關部門將在各自的職責範圍內負責個人信息保護和監督工作,則屆時出現相關事件時具體通知的政府部門將如何界定。
以上為對《草案》中可能對實踐操作影響較大的條款的一些思考。草案之中不少新的變化和要求,例如履行個人信息保護職責的部門的規定、嚴格的法律責任規定、對國家機關的特殊規定等也非常值得關注。我們也會持續關注草案的後續進展。28日我們也會通過線上會議的方式與大家一起進一步的探討這些問題。
董 瀟 合伙人
業務領域:
公司與併購 電信與網際網路
隱私保護、網絡安全與信息法
END
/走進企業/
2015
百度/ 阿里巴巴
2016
京東/ GE
2017
微軟/ 騰訊 / 吉利
2018
聯想/ 蒙牛 / 碧桂園 / 美的
2019
方太/ 海爾 / 滴滴出行 / 邁瑞醫療 / TCL集團 / 阿里巴巴
/大型活動/
2016
同律同樂 · 上海
同律同樂 · 江南
全球法商領袖論壇 · 北京
2017
同律同樂 · 江南
全球法商領袖論壇 · 春季峰會
總法律顧問峰會 · 深圳
全球法商領袖論壇
2018
同律同樂 · 北京
反壟斷法十周年研討會
全球法商領袖論壇 · 夏季峰會
2019
同律同樂 · 北京
電話:010-8531-5368 18513598975
郵箱:lgc@falaohui.com
地址:北京市建外外交公寓15號樓2單元1層
官網:www.falaohui.com
Hi 這裡有個在看
需要你點點點!