来源:中伦文德网络安全与数据合规 ,作者徐云飞律师团队
转自:最高人民法院司法案例研究院
特别提示:凡本号注明“来源”或“转自”的作品均转载自媒体,版权归原作者及原出处所有。所分享内容为作者个人观点,仅供读者学习参考,不代表本号观点
《中华人民共和国个人信息保护法》(下称《个人信息保护法》)历经三次审议及两次公开征求意见后,于2021年8月20日由第十三届全国人民代表大会常务委员会第三十次会议通过,将于2021年11月1日起施行。《个人信息保护法》作为个人信息保护领域的基础性法律,其出台解决了个人信息层面法律法规散乱不成体系的问题,与《数据安全法》《网络安全法》《密码法》共同构建了我国的数据治理立法框架。
《个人信息保护法》厘清了个人信息、敏感个人信息、个人信息处理者、自动化决策、去标识化、匿名化的基本概念,从适用范围、个人信息处理的基本原则、个人信息及敏感个人信息处理规则、个人信息跨境传输规则、个人信息保护领域各参与主体的职责与权力以及法律责任等方面对个人信息保护进行了全面规定,建立起个人信息保护领域的基本制度体系。
《个人信息保护法》堪称中国首部个人信息保护单独立法,翻开了我国个人信息保护法治事业的新篇章。本文将结合我们对《个人信息保护法》的理解,对《个人信息保护法》的主要内容进行要点解读,供各方参考。
一、适用范围及核心概念
(一)明确适用范围,设定域外适用效力
在《个人信息保护法》颁布以前,关于个人信息保护的规定散落于《电信和互联网用户个人信息保护规定》《网络安全法》《刑法》等法律法规中。其中,2013年生效的《电信和互联网用户个人信息保护规定》的适用范围为“在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动”,即该规定仅适用于在境内提供服务的主体,不产生域外效力。2017年6月生效的《网络安全法》沿用了《电信和互联网用户个人信息保护规定》的适用范围,即在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理的,适用《网络安全法》。因此,《网络安全法》也没有域外效力。
《个人信息保护法》破旧立新,在一定程度上借鉴了《通用数据保护条例》(下称GDPR)及多数国家与地区相关法律的立法思路,以属地原则、属人原则为基础,首次将适用范围扩展至域外,产生了“长臂管辖”的效果。根据《个人信息保护法》第三条规定,在境内处理自然人个人信息的活动应适用本法,在境外处理境内自然人个人信息的活动,有下列情形之一的,也适用本法:(1)以向境内自然人提供产品或服务为目的 (2)为分析、评估境内自然人的行为(3)法律、行政法规规定的其他情形。根据该规定,适用范围不仅包括在中国境内处理自然人个人信息的活动,还包括特定情形下在境外处理境内自然人个人信息的活动,此处特定情形既包括个人信息处理者因提供产品或服务而产生的直接信息处理活动,也包括行为分析和评估等企业常见的间接信息处理行为。为与域外管辖相呼应,《个人信息保护法》第五十三条进一步要求境外的个人信息处理者在境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关信息报送履行个人信息保护职责的部门。
但上述关于域外适用效力的条款也存在待进一步明确之处,如《个人信息保护法》第三条关于“在中华人民共和国境内处理自然人个人信息”的判断标准仍不明确。同时,《个人信息保护法》并未针对境外个人信息处理者在境内所设的专门机构或指定代表未履行相关义务的情形制定相应的法律责任。因此,域外管辖效力能否在实践中得到有效实施还需相关部门后续出台实施细则进一步明确。
(二)明确核心概念,扩大敏感信息范围
《个人信息保护法》中个人信息的定义采用准“识别+关联”的认定标准,并将经匿名化处理后的信息排除在外。同时,参考了《个人信息安全规范》相关规定,将不满十四周岁未成年人的个人信息列入敏感个人信息。
二、个人信息处理的基本原则
(一)合法、正当、必要、诚信原则
《个人信息保护法》第五条规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。《个人信息保护法》在沿用《民法典》《网络安全法》和《个人信息安全规范》关于合法、正当、必要原则规定的基础上,增加了诚信原则,并禁止采取“误导、欺诈、胁迫”等方式处理个人信息。
(二)目的明确和最小必要原则
《个人信息保护法》第六条规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。该条沿用了《个人信息安全规范》关于目的明确原则(即具有明确、清晰、具体的个人信息处理目的)和最小必要原则(即只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量)的规定,并首次在法律层面提出了直接相关、最小影响、最小范围的要求。
(三)公开透明原则
《个人信息保护法》第七条规定,处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。该条沿用了《个人信息安全规范》关于公开透明原则(即以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督)的规定,保障了个人信息主体的知情权,与第十七条第二款规定的“个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存”相呼应。
(四)质量及安全保障原则
除上述原则外,《个人信息保护法》第八条、第九条还规定了处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响;个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。《个人信息保护法》第五十一条、第五十二条进一步细化了个人信息处理者在该等原则下的义务,如制定内部管理制度、实行分类管理、采取安全技术措施、确定个人信息处理的操作权限、定期进行安全教育和培训、制定并组织实施个人信息安全事件应急预案以及指定个人信息保护负责人等法律、行政法规规定的措施,确保个人信息处理活动符合法律、行政法规的规定,并防止个人信息的泄漏、篡改或丢失。
三、个人信息处理的规则
(一)扩大合法性基础
《网络安全法》将个人信息主体的“同意”视为个人信息处理的唯一合法性基础,这一规定虽然体现了对个人信息主体权利的尊重和保障,但是忽略了实务中大量存在的涉及订立或履行合同所必需、自然人的重大利益、公共利益等多种个人信息处理场景。《民法典》虽然在法律层级规定了“同意的例外”,但仅限于处理已公开信息的情形以及维护公共利益或者自然人合法权益的情形。《个人信息保护法》在延续《民法典》立法思路并借鉴GDPR相关规则的基础上,增加了处理个人信息的其他合法情形,将订立或履行合同所必需、保护自然人的重大利益以及公共利益等情形作为例外情况纳入合法性基础场景,并结合我国新冠疫情防控的现状,增加了突发公共卫生事件的例外情形,为疫情防控时期基础电信企业、地图平台等企业收集疫情信息提供法律依据。具体如下:
第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
值得注意的是,《个人信息保护法》在二审稿的基础上,新增了“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”的情形,为用人单位处理员工个人信息提供了相应的法律依据。此外,虽然个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息,但根据《个人信息保护法》第二十七条规定,如个人明确拒绝则不得处理其公开个人信息,并且个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,还应当取得个人同意。
(二)明确撤回同意权
《个人信息保护法》第十五条规定了个人信息主体的撤回同意权,即基于个人同意处理个人信息的,个人有权撤回其同意,个人信息处理者应当提供便捷的撤回同意的方式;个人撤回同意的,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。此外,《个人信息保护法》对个人信息处理者响应个人信息主体关于撤回同意的要求也进行了规定,即除处理个人信息属于提供产品或者服务所必需的以外,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务。此前,《个人信息安全规范》虽然就撤回同意权进行规定,但该规范在法律上并无强制执行力。《个人信息保护法》的出台,不仅完善了撤回同意权的规定,还将该权利上升至法律高度,有利于保障个人信息主体的相关权益。
(三)共同处理和委托处理
《个人信息保护法》第二十条规定了共同处理个人信息的规则,“两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。”在实务中,数据处理过程可能涉及多方主体,要求共同处理者承担连带责任有利于多个个人信息处理者相互监督、督促对方及时整改违规行为。
《个人信息保护法》第二十一条第一款就个人信息处理者与受委托处理个人信息主体(受托人)之间的委托合同的内容进行规定,即合同应包括委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等。同时,还进一步规定了受托人的义务,详细如下:
(1)受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;
(2)委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留;
(3)未经个人信息处理者同意,受托人不得转委托他人处理个人信息。
此外,《个人信息保护法》第五十九条规定了受托人的个人信息保护义务,“接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。”根据该规定,受托人应同样遵循《个人信息保护法》第五章关于个人信息处理者的义务的规定。
(四)明确采用自动化决策情形下的处理规则
《个人信息保护法》吸纳了《电子商务法》第十八条和《个人信息安全规范》第7.5条关于定向推送和个性化展示的规定,在第二十五条新增了对自动化决策的规定,一定程度上保障了个人信息主体的选择权、知情权和决定权,并针对公众热议的“大数据杀熟”问题进行回应。即个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。此外,《个人信息保护法》进一步规定,通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
(五)明确公共场所监控设备的使用规则和限制性规定
《个人信息保护法》第二十六条规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。本条明确了公共场所的视频监控和个人身份识别设备的安装规则,所收集个人信息的使用目的的限制性规定。
(六)关于敏感个人信息处理规则
根据《个人信息保护法》第二十九条和第三十条规定,处理敏感个人信息应当取得个人的单独同意,并向个人告知处理敏感个人信息的必要性以及对个人权益的影响。此外,根据上文可知,不满十四周岁未成人年的个人信息被列入敏感个人信息范围,《个人信息保护法》第三十一条进一步规定,对于不满十四周岁未成年人的个人信息处理活动,个人信息处理者应取得其父母或其他监护人的同意,并制定专门的个人信息处理规则。
(七)单独同意的情形
《个人信息安全规范》仅对“授权同意”进行定义,即授权同意包括明示同意和通过消极的不作为而作出的授权,而《个人信息保护法》首次提出了“单独同意”的概念,并规定了许多个人信息处理者需要取得单独同意的情形。我们总结了需要单独同意的具体情形,具体如下。
上述情形下《个人信息保护法》对个人信息处理者提出更高的合规要求,其中,“向第三方提供其处理的个人信息”和“处理敏感个人信息”的应用场景较多。关于“单独同意”的含义,《个人信息保护法》未进行进一步解释,根据《个人信息安全规范》第5.4条c)关于收集个人生物识别信息时应单独向个人信息主体告知收集规则的规定,我们理解,《个人信息保护法》项下“单独同意”指单独向个人告知上述具体情形的个人信息处理目的,处理方式,处理个人信息的种类、保存期限,个人信息处理者的名称或者姓名和联系方式等,并单独取得个人的同意。
三、澄清个人信息跨境传输规则
《网络安全法》就关键信息基础设施运营者的个人信息出境问题进行了明确,即原则上应当存储在境内,确需向境外提供的,应进行安全评估,但该法提出的合规要求仅适用于关键信息基础设施运营者。需注意的是,2017年发布的部门规章《个人信息和重要数据出境安全评估办法(征求意见稿)》(下称17年征求意见稿)将个人信息出境安全评估义务主体从关键信息基础设施运营者扩大至所有网络运营者。2019年6月发布的《个人信息出境安全评估办法(征求意见稿)》(下称19年征求意见稿)维持了此项规定,即主要义务主体仍为网络运营者,并且由于19年征求意见稿要求境外网络运营者收集境内用户个人信息也应履行网络运营者的责任和义务,因此相当于进一步扩大了17年征求意见稿项下的义务主体。
《个人信息保护法》作为个人信息保护领域的基础性法律,在沿用《网络安全法》监管思路的基础上,扩大了个人信息本地化存储的义务主体范围。即关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
同时,《个人信息保护法》第三十八条建立了分类分级制的个人信息跨境传输规则,即除上述情形外,对于按照国家网信部门规定、需经专业机构进行个人信息保护认证的情形,应当通过专业机构的个人信息保护认证;对于其他个人信息出境的情形,个人信息处理者可以通过与境外接收方订立合同的方式或在符合法律、行政法规、国家网信部门规定的其他条件的情形下向境外传输个人信息。该规定为其他类型的个人信息跨境提供更多的裁量空间和合法场景。
但是,关于处理个人信息达到国家网信部门规定数量的个人信息处理者的概念、具体的数量标准(如根据个人信息的性质、个人信息处理者所处行业的不同的数量标准)、具体的出境安全评估办法等问题还有待相关部门、行业出台相应文件进一步明确。
四、个人信息主体的权利
《个人信息保护法》从法律层面赋予了个人信息主体关于个人信息保护的相关权利,如个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理,有权查阅、复制其个人信息,有权请求将个人信息转移至其指定的个人信息处理者(可携带权),有权要求个人信息主体更正、补充、删除其个人信息。
其中,《个人信息保护法》第四十七条在沿用《网络安全法》第四十三条的基础上,对个人信息的删除权进行了补充和完善,即个人信息处理者应当主动删除个人信息,个人信息处理者未删除的,个人有权在本条规定的五种情形下请求删除。同时,考虑到实践中可能存在无法完全、彻底删除特定个人信息主体的个人信息的技术障碍,《个人信息保护法》增加了个人信息处理者停止处理时的除外情形,即法律法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。上述规定在完善删除权的同时,也增强了对个人信息的安全保障,具有一定的可操作性。
此外,就自然人死亡的情形,《个人信息保护法》第四十九条规定保障了其近亲属的权利,即其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利。
五、个人信息处理者的义务
(一)安全保障义务
根据《个人信息保护法》第五十一条规定,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列安全保障措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
(二)合规审计义务
根据《个人信息保护法》第五十四条规定,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
(三)个人信息保护影响评估义务
《个人信息保护法》第五十五条、第五十六条规定了个人信息处理者在特定情形下的个人信息保护影响评估义务以及具体评估内容,并明确个人信息保护影响评估报告和处理情况记录应当至少保存三年。
需要评估的特定情形:
• 处理敏感个人信息;
• 利用个人信息进行自动化决策;
• 委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
• 向境外提供个人信息;
• 其他对个人权益有重大影响的个人信息处理活动。
影响评估应包含的内容:
• 个人信息的处理目的、处理方式等是否合法、正当、必要;
• 对个人权益的影响及安全风险;
• 所采取的保护措施是否合法、有效并与风险程度相适应。
(四)安全事件通知义务
根据《个人信息保护法》第五十七条规定,如发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应立即采取补救措施,并通知履行个人信息保护职责的部门和个人。但是,个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。
(五)平台特殊义务
根据《个人信息保护法》第五十八条规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应建立健全个人信息保护合规制度体系,制定平台规则、明确产品或者服务提供者义务,停止向严重违法产品或者服务提供者提供平台服务,定期发布个人信息保护社会责任报告等。需要关注的是,相较于二审稿采用的“基础性互联网平台服务”的表述,终稿采用了“重要互联网平台服务”的概念,但该概念的具体含义有待有关部门进一步明确。
六、履行个人信息保护职责的部门
根据《个人信息保护法》第六十条规定,履行个人信息保护职责的部门为国家网信部门、国务院有关部门以及县级以上地方人民政府有关部门。上述部门的职责如下:
• 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。
• 国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
• 县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。
履行个人信息保护职责的部门可以采取的执法措施包括询问调查与个人信息处理活动有关的情况,查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料,实施现场检查、对涉嫌违法的活动进行调查,检查与个人信息处理活动有关的设备、物品,并向本部门主要负责人书面报告并经其批准后,对有证据证明用于违法个人信息处理活动的设备、物品进行查封或者扣押。
此外,履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。
七、法律责任
《个人信息保护法》第六十六条就违反本法规定处理个人信息或者处理个人信息未履行本法规定的个人信息保护义务时的法律责任进行了规定,即由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。同时,进一步补充了对情节严重行为的处罚,即由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
本条在延续《网络安全法》第六十四条关于个人信息违法行为的行政处罚规定(即处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款)的基础上,借鉴了GDPR第八十三条的监管思路,大幅提高了罚款上限金额和个人信息违法成本,即对于情节严重的个人信息违法行为,规定了五千万元以下或上一年度营业额百分之五以下罚款的罚款上限,并可以采取责令暂停相关业务、停业整顿等措施,且可对直接负责的主管人员和其他直接责任人员处以罚款。此外,《个人信息保护法》在二审稿基础上,增加了“禁止直接负责的主管人员和其他责任人员在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”的规定。
结语
《个人信息保护法》的出台是我国个人信息保护立法史的重要里程碑,为监管机关的执法活动和企业的合规体系建设提供了重要指引。
注:
[i]根据欧盟数据保护委员会的指南, 判断《通用数据保护条例》的适用范围主要有两个标准:设立地标准以及“目标”标准。就“目标”标准而言, 如果非欧盟实体的个人信息处理与“向欧盟境内的主体提供商品或服务”或“监控欧盟境内主体以及行为”相关的, 则该非欧盟实体的个人信息处理活动应适用《通用数据保护条例》。
[ii]《信息安全技术 数据出境安全评估指南(征求意见稿)》第3.2条 境内运营 注1:判断网络运营者是否在中华人民共和国境内开展业务,或向中华人民共和境内提供产品或服务的参考因素包括但不限于:使用中文;以人民币作为结算货币;向中国境内配送物流等。
注:对原文已作删改。