2020年10月21日,全國人大常委會正式全文發布經常委會一審審議的《個人信息保護法(草案)》[1](「草案」)。我國首部個人信息保護專項立法正式亮相。草案在順應加強個人信息保護趨勢的同時,在具體內容上體現了鮮明的特點,意圖全面系統地建設具有中國特色的個人信息保護基本制度。一方面,其繼承和發展了《民法典》、《網絡安全法》勾勒出的個人信息保護框架,豐富了相關內容,保持了立法的延續性。另一方面,其在個人信息定義、域外效力、處罰力度(罰金可能高達五千萬或年度營業額5%)以及個人信息處理的法律基礎等方面,又開放性地借鑑了包括GDPR在內的域外主流數據立法,在現有法律法規的基礎上實現了突破。此外,立法機關顯然聽取了網際網路、人工智慧、數位化營銷等大數據行業的具體需求,在諸如個人數據跨境制度設計、數據處理的合法基礎以及個人權利適用限制等方面較此前若干相關法規草案進行了更針對性且更具可操作性的設計,為促進數據的有效流轉和開發提供了保障。
一、識別+關聯:擴展的個人信息定義
草案第四條將個人信息界定為「個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理後的信息」。這一定義在《網絡安全法》《民法典》以「識別」為核心界定個人信息的基礎上,進一步加入了「關聯」標準。
「識別」強調「從信息到人」。這裡的「識別」並不要求可以確定某一個體的自然身份,而只要通過特定信息在特定群體中確定某一個體即可視為「識別」。例如企業僅掌握設備識別號碼,而不掌握手機號碼、姓名、身份證號等實名信息,無法確定用戶真實身份,但由於設備識別號碼具有唯一性,可在用戶群體中確定唯一個體,因此仍屬於個人信息。
與已識別或者可識別的自然人「有關」的各種信息,體現了新增的「關聯」標準。關聯強調「人到信息」,即與已知特定個體有關的信息。例如體現其活動或愛好等的信息,這些信息可能不具有唯一性或識別性,但仍應視為個人信息。
在比較法視野中,歐盟通用數據保護條例(GDPR)等域外立法[2]多採納「識別+關聯標準」界定個人信息,我國《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》、《個人信息安全規範》等在實踐中常用的操作性規範亦多納入「關聯」標準。草案吸取了這些有益經驗,將「關聯」標準正式納入法律層面,將有助於更為全面、充分地保護個人信息。
草案個人信息定義的另一亮點是將「匿名化」後的信息排除出個人信息的範疇。草案區分了「匿名化」,指「個人信息經過處理無法識別特定自然人且不能復原的過程」和「去標識化」,指「個人信息經過處理,使其在不藉助額外信息的情況下無法識別特定自然人的過程」。前者通常是統計意義上的信息,已經喪失了個體「顆粒度」;後者通常是對標識符進行刪除和變換。然而,具體某項經處理的信息是否能夠達到匿名化的程度,進而不再受到草案的保護,還是僅僅屬於去標識化信息,仍應遵守草案的要求,需結合相關國家標準在個案中進行判斷。
二、域外效力:跨境場景下的長臂管轄
此前,《網絡安全法》等法律法規主要將適用範圍限定在境內網絡運營者。但在實踐中,許多境外運營者未在境內設立運營主體,但通過跨境服務直接收集中國境內自然人的個人信息,在此情況下是否仍需遵守中國個人信息保護相關法律法規常存在爭議。
草案第三條則彌補了上述缺陷,第三條第二款規定「以向境內自然人提供產品或者服務為目的,或者為分析、評估境內自然人的行為等發生在我國境外的處理我國境內自然人個人信息的活動,也適用本法」。該條的規定與GDPR第3條第2款所規定的域外適用所確立的「指向(targeting)」與「監控(monitoring)」標準頗為類似。參考GDPR相關的解釋及我國發布的《信息安全技術數據出境安全評估指南(徵求意見稿)》,境外運營者如使用中文、以人民幣作為結算貨幣、向中國境內配送物流、向中國境內用戶開展定向營銷或推廣,或對中國境內自然人進行畫像分析均可能落入草案第三條第二款規定的適用範圍。
草案第五十二條進一步規定了境外個人信息處理者應在境內設立專門機構或者指定代表,專門負責個人信息保護相關事務,並將有關機構的名稱或者代表的姓名、聯繫方式等報送履行個人信息保護職責的部門。草案尚未明確機構或代表的具體要求或需要承擔的法律責任。此外,草案還規定,境外組織、個人損害中國公民個人信息權益或中國國家安全的,國家網信部門可以將其列入限制或者禁止個人信息提供清單,予以公告,並採取限制或者禁止向其提供個人信息等措施。
三、 個人信息處理者和受託方:委託處理關係下尚待明晰的邊界
與《民法典》相似,草案並未像歐盟GDPR一樣區分個人信息控制者和處理者,而是統一使用「個人信息處理者」這一概念,將其界定為「自主決定處理目的、處理方式等個人信息處理事項的組織、個人。」
草案儘管不存在「控制者與處理者」的區分,但仍然對個人信息的「委託處理關係」做出了專門的規定,主要包括:委託方應當與受託方約定委託處理的目的、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等,並對受託方的個人信息處理活動進行監督;受託方應當按照約定處理個人信息,不得超出約定的處理目的、處理方式等處理個人信息,並應當在合同履行完畢或者委託關係解除後,將個人信息返還個人信息處理者或者予以刪除;未經個人信息處理者同意,受託方不得轉委託他人處理個人信息。
從表面上看,草案中「個人信息處理者」的定義與GDPR項下的「控制者」的概念較為接近,而受託方與GDPR項下的「處理者」類似,但能否將這兩組概念等同仍存在疑問。例如第五十條規定的安全保證義務、第五十五條的個人信息洩露補救措施、第六十條的約談、第六十五條的損害賠償責任等規定,如將適用範圍單純限制在決定「處理目的、處理方式」的個人信息處理者(類似於GDPR項下的「控制者」),而不包含受託處理個人信息的「處理者」,似會導致保護不周之嫌。另外,在許多通常可以被理解為「委託處理」的關係中,受託一方在許多情況下也會對「處理目的、處理方式」具有較大的決定權,此時受託方應被視為共同處理者還是受託方可能仍需在個案中進行分析和判斷。
四、個人信息處理法律基礎:「同意」不再是唯一路徑
《網絡安全法》將信息主體「同意」作為個人信息處理的唯一合法性基礎。這一規定在當時的背景下無疑有助於彰顯個人的主體地位,限制對個人信息的竊取、販賣或隱秘收集等明顯侵犯個人信息的行為。但是,隨著國內個人信息保護實踐的發展,無差別地要求企業獲得用戶同意已經難以滿足日益複雜多樣的個人信息處理場景,容易導致「同意」在實踐中流於形式。《民法典》雖首次在立法層面規定了「同意的例外」,但範圍僅包括處理已經公開的信息以及維護公共利益或者自然人合法權益。《個人信息安全規範》等國家標準規定了更多的無需獲得同意的例外情形,並通過區分基本業務功能與擴展業務功能提出了差異化的同意要求,對破解「強迫同意」、「捆綁同意」提供了有益的指引。但由於標準的效力層級較低,無法突破上位法要求,因此企業在合規實踐中面臨著諸多不確定性。
為了解決上述現實問題,草案首次在信息主體同意之外增加了其他個人信息處理的合法基礎,包括:為訂立或者履行個人作為一方當事人的合同所必需;為履行法定職責或者法定義務所必需;為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;為公共利益實施新聞報導、輿論監督等行為在合理的範圍內處理個人信息;以及法律、行政法規規定的其他情形等。
我們認為,草案規定的更加豐富的個人信息處理法律基礎,能夠為個人信息處理者提供更加多樣的選擇,有助於解決同意僵化、濫用及在特定場景下不具有可操作性等問題,使同意更加真實、有效和有針對性,提升信息主體對其個人信息的控制力。
五、「告知-同意」:基於場景的差異化要求和信息主體的選擇權
增加其他個人信息處理的法律基礎並不意味著同意不再重要。相反,草案在汲取《App違法違規收集使用個人信息行為認定方法》、《個人信息安全規範》等法規規範和監管實踐經驗的基礎上,細化了「告知-同意」的要求,保障信息主體可以在充分知情的情況下對同意特定個人信息處理活動作出有效選擇。草案在「告知-同意」方面的主要規定如下:告知內容:告知內容主要包括個人信息處理者的身份和聯繫方式;個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;個人行使本法規定權利的方式和程序等;告知的例外:(1)法律、行政法規規定的保密情形,或者(2)緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的情形,可以不向個人進行告知。但在後一種情況下應當在緊急情況消除後予以告知;知情同意:處理個人信息應當在事先充分告知的前提下取得個人同意,如果法律、行政法規規定應當取得個人單獨同意或者書面同意的,從其規定;二次利用重新取得同意:處理目的、處理方式和處理的個人信息種類發生變更的,應當重新取得個人同意;不得強制同意:不得以個人不同意處理其個人信息或者撤回其對個人信息處理的同意為由,拒絕提供產品或者服務;撤回同意:基於個人同意而進行的個人信息處理活動,個人有權撤回同意;合併分立:因合併、分立等原因需要轉移個人信息的,需要向個人告知接收方的身份、聯繫方式。接收方變更原先的處理目的或處理方式,應當重新告知並獲得用戶同意;向第三方提供:向第三方提供個人信息的,應當向個人告知第三方的身份、聯繫方式、處理目的、處理方式和個人信息的種類,並取得個人的單獨同意;處理已經公開的信息:應當符合個人信息被公開時的用途,超出與該用途相關的合理範圍的,應當重新獲得同意。在公開用途的判斷上,個人信息處理者承擔合理、謹慎的處理義務。
六、敏感個人信息處理:非必要不可為
草案首次在法律層面提出了「個人敏感信息」的概念,即「一旦洩露或者非法使用,可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息,包括種族、民族、宗教信仰、個人生物特徵、醫療健康、金融帳戶、個人行蹤等信息」。草案設專節對敏感個人信息的處理活動提出了更高的保護要求:個人信息處理者處理敏感個人信息,應當具有特定的目的和充分的必要性;處理敏感個人信息,除一般告知事項外,還應當向個人告知處理敏感個人信息的特殊目的、必要性以及對個人的影響;基於個人同意處理敏感個人信息的,個人信息處理者應當取得個人的單獨同意;法律、行政法規規定處理敏感個人信息應當取得相關行政許可或者作出更嚴格限制的,從其規定;個人信息處理者應當在處理敏感個人信息前進行風險評估,並對處理情況進行記錄。
此外,針對公共場所圖像這類可能涉及個人行蹤、生物特徵信息等個人敏感信息,且在實踐中經常被濫用的信息,草案規定在公共場所安裝圖像採集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,並設置顯著的提示標識。收集的個人圖像、個人身份特徵信息只能用於維護公共安全的目的,不得公開或者向他人提供收集的個人信息。
七、個人權利:知情和控制
草案將信息主體權利單獨成章,以彰顯其重要性。草案規定,在個人信息處理活動中,個人享有知情權、決定權、限制權、拒絕權、查詢權、複製權、更正權、刪除權、解釋權、自動化決策反對權。這部分的亮點主要包括:草案首次提出限制權和拒絕權,有權限制或者拒絕他人對其個人信息進行處理,但法律、行政法規另有規定的除外;草案細化了刪除權的適用條件,包括:(1)約定的保存期限已屆滿或者處理目的已實現;(2)個人信息處理者停止提供產品或者服務;(3)個人撤回同意;(4)個人信息處理者違反法律、行政法規或者違反約定處理個人信息;(5)法律、行政法規規定的其他情形。但是,法律、行政法規規定的保存期限未屆滿,或者刪除個人信息從技術上難以實現的,個人信息處理者應當停止處理個人信息。
草案首次提出了解釋權,即個人有權要求個人信息處理者對其個人信息處理規則進行解釋說明。
針對實踐中爭議極大的個性化推薦、「大數據殺熟」等基於畫像的商業營銷,草案明確「自動化決策」是指利用個人信息對個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,通過電腦程式自動分析、評估並進行決策的活動。草案對「自動化決策」活動作出了如下規定:
利用個人信息進行自動化決策,應當保證決策的透明度和處理結果的公平合理;個人認為自動化決策對其權益造成重大影響的,有權要求個人信息處理者予以說明,並有權拒絕個人信息處理者僅通過自動化決策的方式作出決定;通過自動化決策方式進行商業營銷、信息推送,應當同時提供不針對個人特徵的選項。
當前實踐中,大多數企業尚未建立完備的個人信息權利實現機制,因此草案的相關規定如付諸實施無疑將對企業個人信息保護提出巨大挑戰。然而,草案對大多數個人信息權利的行使條件、時限、能否收費、實現方式等未作具體規定,仍有待監管機關在實踐中通過解釋和執法活動加以明確。
八、數據跨境合規:差異化考量下的多元路徑
草案中最受跨國企業關注的當屬個人信息的跨境流動制度。對此,草案依據個人信息出境對國家安全可能帶來的不同風險,作出了差異化的制度安排。
對於關鍵信息基礎設施運營者,草案沿用了《網絡安全法》的規定,要求關鍵信息基礎設施運營者確需向境外提供個人信息的,應當通過國家網信部門組織的安全評估。
處理個人信息達到國家網信部門規定數量的個人信息處理者,與關鍵信息基礎設施運營者等同處理,同樣需要在個人信息出境前通過國家網信部門組織的安全評估。類似要求此前公布的《個人信息和重要數據出境安全評估辦法》等法規徵求意見稿即有體現,應該說並不意外。
其他一般情況下,個人信息處理者因業務等需要而向境外提供個人信息的,可以選擇不同的出境機制,包括(1)通過國家網信部門組織的安全評估;(2)經專業機構進行個人信息保護認證;(3)與境外接收方訂立合同,約定雙方的權利和義務,並監督其個人信息處理活動達到本法規定的個人信息保護標準;或(4)法律、行政法規或者國家網信部門規定的其他條件。相比於《個人信息出境安全評估辦法(徵求意見稿)》等徵求意見稿要求所有運營者事先向監管部門申請安全評估的要求,草案的規定提供了更為便利和多樣的選擇。
草案明確,在「國際司法協助或行政執法協助」中需要向境外傳輸個人信息時,需要依法申請有關主管部門批准,對一些國家根據國內法強行調取域外數據做出了回應,彰顯了捍衛國家主權的立場。
總體而言,我們認為對於一般的個人信息出境,相較於統一要求事先評估,草案提出的多元化個人信息出境機制與國際主流更為接軌,有助於在保護國家安全和個人信息安全的前提下,降低個人信息出境成本,推動數據有序流轉與利用,預期將會得到業界的肯定與歡迎。
九、公權力適用:規範和節制
草案首次明確了國家機關處理個人信息的基本要求,設立專節對國家機關處理個人信息提出了如下要求:
職責必要性:國家機關為履行法定職責處理個人信息的,應當依照法律或者行政法規規定的權限、程序進行,不得超出履行法定職責所必需的範圍和限度;
告知同意及其例外:原則上,國家機關處理個人信息也應當履行告知同意的法律要求;但法律、行政法規規定應當保密,或者告知、取得同意將妨礙國家機關履行法定職責的除外。
禁止公開或對外提供:除法律、行政法規另有規定或者取得個人同意外,國家機關不得公開或者向他人提供其處理的個人信息。
數據本地化:針對國家機關處理的個人信息,草案明確要求國家機關應當將相關個人信息存儲在我國境內。確需向境外提供的,應當進行風險評估並可以要求有關部門提供支持與協助。
草案的上述規定有助於遏制公權力機關過度收集、濫用個人信息的行為,規範國家機關處理公民個人信息的權限和程序,在當前許多公權力機關以防疫名義過度收集個人信息的背景下尤顯重要。我們期待未來在更為具體的法律法規中,細化國家機關處理個人信息的具體規則,保障公民的合法權益。
十、 處罰和救濟:高額罰金和公益訴訟
草案大幅度提高了對違法行為的處罰力度,規定企業違反本法規定處理個人信息,或者處理個人信息未按照規定採取必要的安全保護措施的,履行個人信息保護職責的部門可能責令企業改正違法行為,沒收違法所得,給予警告。企業拒不改正的,可能被處以一百萬元以下的罰款,情節嚴重的,還有可能面臨五千萬元以下或者上一年度營業額百分之五以下罰款,並可以責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照。同時,直接負責的主管人員和其他直接責任人員也可能面臨一萬元以上一百萬元以下的罰款。
此外,針對實踐中個人在侵犯個人信息訴訟中獲賠過低,缺乏訴訟動力的情況,草案規定個人信息處理者違反本法規定處理個人信息,侵害眾多個人的權益的,人民檢察院、履行個人信息保護職責的部門和國家網信部門確定的組織可以依法向人民法院提起訴訟。這一規定為檢察機關、消費者權益保護組織等提起個人信息公益訴訟提供了明確的依據。
總結與展望
總體而言,我們認為草案充分地借鑑了當前各國各地區個人信息保護立法的先進經驗,吸收了近幾年來我國個人信息保護執法活動中的有益成果,有效回應了實踐中個人信息保護面臨的重點和難點問題,平衡了個人信息保護、個人信息的利用與流轉、國家安全和社會公眾利益等多方面利益。草案的出臺將為個人信息權益保護和數字經濟發展提供有力保障。
對於國內企業而言,雖然近年來不少國內企業個人信息保護合規水平顯著提高,但相較草案而言,企業在分場景落實告知同意要求、信息主體權利保護、個人信息保護風險評估、個人信息跨境流轉等方面仍普遍存在較大的差距。
對於跨國公司而言,雖然不少企業已建立了較為完備的GDPR等域外法合規機制,但這些機制在國內落地程度有限,且即使落地亦無法全面滿足草案在上述方面的特殊要求。對此,我們建議企業應抓住草案公布後至正式生效前的窗口期,藉此機會全面對照梳理既有的個人信息保護工作現狀,系統排查合規風險,及時調整合規方案,彌補差距和短板,儘快提升公司的個人信息保護水平,降低面臨行政處罰、民事賠償乃至刑事處罰的風險。
作者:漢坤律師事務所 段志超丨蔡克蒙丨胡敏喆