您的位置 : 环球研究 / 环球评论 / 新闻详情
《个人信息保护法》八步走落地路径与实务解读
2021年09月02日孟洁 | 薛颖 | 朱玲凤

2021年8月20日颁布并将于2021年11月1日生效的《中华人民共和国个人信息保护法》(以下简称“《个保法》”)构建出了一套完整的个人信息保护法律架构:

 

图片

 

本文旨在向企业提供实务中落地实施《个保法》的工作路径指引,并重点解读相应的条款。

 

第一步:识别业务活动中所处理的数据是不是《个保法》项下的“个人信息”。

 

第二步:识别所在企业是属于《个保法》项下的哪一类主体。主体身份不同,对应的义务和责任也不同。

 

第三步:判断企业处理个人信息的行为是否符合《个保法》的原则和一般规则,即是否遵守无场景差异的、普适性基本要求。

 

第四步:确保企业遵守《个保法》对于一般处理者的一般义务规定。本文所述的一般义务即无场景差异的义务要求。

 

第五步:如果企业属于用户数量巨大且复杂的基础性互联网平台(“守门人”),那么不但需要遵守一般处理者的通用义务与规则,还需满足与其自身地位相称的特殊增强性义务。

 

第六步:无论是一般处理者还是守门人处理者,除了遵守《个保法》下关于其自身的一般性义务规定以外,在某些特定场景或者高风险场景下,还需要履行增强性义务以达到合规。

 

第七步:确保企业能够实现数据主体对其个人信息处理活动所主张的权利。

 

第八步:识别企业可能承担的违法后果和举证责任。

 

一、识别所处理的数据

 

识别所处理的信息是否属于个人信息是判断《个保法》是否适用的前提要件。根据《个保法》第四条,个人信息是指是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。该定义与《信息安全技术 个人信息安全规范》(2020年版)(以下简称“《个人信息安全规范》”)、《中华人民共和国民法典》(以下简称“《民法典》”)中对个人信息的定义相近。但是其中不同之处是,《个保法》删除了《个人信息安全规范》规定的关联路径。

 

需要注意的是,《个保法》第七十二条规定,自然人因个人或者家庭事务处理个人信息不适用本法。此条与美国CCPA关于个人信息的定义有非常大的区别。在CCPA的语境下,个人信息既包括与个人相关的设备信息,也包括家庭信息。此外,《个保法》第七十二条还规定“法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定”,所以《个保法》也不适用对上述信息的处理。同时,《个保法》也不适用匿名化处理后的信息。根据《个保法》第七十三条的规定,“匿名化”是指个人信息经过处理无法识别特定自然人且不能复原的过程。

 

鉴于敏感个人信息属于个人信息类别中需要重点保护的类别,识别所处理的信息是否属于个人信息后,需要进一步了解有关于敏感个人信息的规定和识别所处理的数据是否属于敏感个人信息。根据《个保法》第二十八条规定,敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。《个保法》第二十八条规定,只有在具有特定的目的和充分必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。除《个保法》将不满十四周岁未成年人的个人信息定义为敏感信息外,《儿童个人信息网络保护规定》将不满十四周岁的未成年人定义为儿童。因此,处理儿童的个人信息既要满足敏感个人信息的规定,也要满足有关儿童个人信息保护的特殊规定。

 

企业在识别所处理数据涉及敏感信息后,还需进一步判断数据所属敏感个人信息项下的具体类别,例如是否涉及人脸数据等。《个保法》第二十六条对人脸信息进行了专门规定,即在公共场所安装采集人脸图像或用以识别个人身份的设备,只能用于维护公共安全的目的,不得用于其他目的,除非取得个人的单独同意。在2021年7月末最高人民法院制定并公布了《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称“《人脸识别规定》”),其中第二条第一款规定了“在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析的”属于侵害自然人人格权益的行为。对此,企业在宾馆、商场、车站等出于维护公共安全以外的目的使用人脸识别技术收集人脸信息时,应当以显著方式告知收集、使用人脸信息目的、方式、范围。例如,在摄像头安装显著处张贴告知进行提示,“此处摄像头用于人脸识别,以便实现某某目的,我们承诺会保护您的人脸等信息安全,详情可咨询前台或扫描二维码”。另一方面,企业应当单独征得个人信息主体的明示同意,且确保明示同意是其在完全知情的基础上自主作出的。

 

总而言之,做好合规第一步便是要识别不同的数据类型,然后根据不同的数据类型,严格遵守相应义务。同时《个保法》对个人信息 “处理”的概念进行了明确界定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。因此,数据处理已经包含整个数据生命周期,所以在实践过程中要避免“数据的收集及处理”等错误表达。与《中华人民共和国数据安全法》(以下简称《数安法》)比较,《个保法》的规定更加详细,其把数据的删除也涵盖在数据处理的定义中。

 

二、识别处理者的身份

 

《个保法》对于个人信息处理者进行定义,指的是个人信息处理活动中自主决定处理目的、处理方式的组织、个人。该个人信息处理者的概念可以与《欧盟通用数据保护法》(以下简称“GDPR”)中个人信息控制者的概念相对应。

 

《个保法》项下大致分为三类处理者,包括一般处理者、守门人处理者以及受托人处理者。

 

对于一般处理者,又可分为境内和境外的两个场景。“境内场景”是指在中华人民共和国境内处理自然人个人信息的活动。《个保法》和GDPR对境内一般处理者的规制思路有很大的区别。在境内部分,GDPR遵循属人原则,即欧盟的实体无论处理的是欧盟境内还是境外的个人信息,都要遵守GDPR的规定。《个保法》则遵循属地原则,焦点不在于数据处理者的实体是否是按照中国法律设立,更多关注数据处理者是否在中国境内处理数据。比如有一家在斯德哥尔摩设立的公司,其数据处理的行为发生在新加坡。根据GDPR的规定,无论其数据处理行为在新加坡还是斯德哥尔摩,均受到 GDPR的规制。然而,对于《个保法》的属地逻辑而言,因其数据处理行为发生在境外,则上述数据处理行为不受到《个保法》规制。鉴于此,《个保法》第三条第一款中的“自然人”既包括中华人民共和国境内的自然人也可以包括其他国家的自然人。

 

与之对应的“境外场景”是指在中华人民共和国境外处理中国境内自然人个人信息的活动,包括以向境内自然人提供产品或者服务为目的;为分析、评估境内自然人的行为以及法律、行政法规规定的其他情形。《个保法》对于境外数据处理行为的规定与GDPR“Target标准”规制思路相似。对于此条规定,首先需要明确的是,“以向境内自然人提供产品或服务为目的”,如上所述此条的“自然人”包括中国境内的任何自然人,而不仅限于中国公民。同时,“以向境内自然人提供产品或服务为目的”具体指是企业在主观意愿上是为了向境内的自然人提供服务。比如,某公司开发了一款App,其功能主要是为了与支付宝和微信支付相关联,那么可能会推断出该业务是以向中国境内自然人提供服务或产品为目的。其次,境外情景的第二类为“为分析、评估境内自然人的行为”。相比 GDPR用于“监控和追踪”的规定,《个保法》更直指问题本质,也与GDPR配套指南中对此条的解释一致。对于数据的监控和追踪只是第一步,法律关注点在于是否进而对上述监控和追责进行了评估与分析的行为。

 

第二类处理者指“守门人”处理者,即大型互联网平台。被认定为大型互联网平台需要满足三个条件,即提供重要的互联网平台服务、用户数量巨大以及业务类型复杂。

 

第三类处理者指接受委托处理个人信息的受托人。受托人处理者需要采取必要措施保障所处理的个人信息的安全,同时,受托人处理者也有义务协助个人信息处理者履行法定义务。

 

三、遵循个人信息处理行为基本原则与一般规则

 

与《中华人民共和国网络安全法》(以下简称《网安法》)相比,《个保法》的原则体系更为细化和完整。

 

首先是“合法、正当、必要、诚信”原则。根据《个保法》第五条的规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。该规定相比于《网安法》增加了“负面清单”,即不得通过误导、欺诈、胁迫等方式处理个人信息,这也是当前监管中遇到众多此类“不诚信”处理活动执法经验的体现。

 

《个保法》第六条规定了“最小必要”原则,即处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。对于App运营者而言,建议参考今年3月出台的《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《必要个人信息范围规定》)进行自查。企业在运营App过程中,应当根据上述规定,明确提供基本功能服务所必须收集的个人信息范围,并与业务部门及时沟通调整实际收集个人信息的范围,以确保符合《个保法》的要求。针对不在《必要个人信息范围规定》39类范围内的其他App以及其他形态的产品(例如网站、PC端等),在收集个人信息时,亦需进行严格评估,避免超出必要范围收集使用个人信息。

 

《个保法》第七条规定了“公开透明”原则,即处理个人信息应当遵循公开、透明的原则,公开个人信息处理规则,明示处理的目的、方式和范围。次条对产品端隐私政策和各种告知文案的内容提出了原则性要求。

 

第八条规定了“信息准确”原则,即处理个人信息应当遵循公开、透明的原则,公开个人信息处理规则,明示处理的目的、方式和范围。

 

第九条规定了“主体责任”原则,即个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。这一原则与后续不同场景下的责任主体识别、举证责任等都一脉相承。

 

值得注意的是,《个保法》的基本原则不仅为“宣誓性”条款,其规定体现了下位立法、执法和司法的价值导向。与《反不正当竞争法》的“原则条款”类似,《个保法》的基本原则条款还可能会在后续实践中不断适用,以便有效弥补法律在面对纷繁复杂的个人信息处理活动中出现的滞后性、规范的不完全性等问题。

 

除了“基本原则”外,《个保法》规定的个人信息处理活动一般规则对于所有处理活动场景都普遍适用。一般规则中包含了一些明星条款,也对之前社会各界、执法机构和专业学者关切的问题做出了回应,其中最为核心的处理规则就是“具备合法性事由”+“有效告知”。

 

《个保法》规定了处理个人信息的七类合法性事由,与《网安法》以及《民法典》相应规定的区别详见下述表格。

 

图片

 

无论是基于何种合法性事由,数据处理者都要履行告知义务。《个保法》对于告知义务的规定要求非常细致完备,企业要以显著并且清晰易懂的方式将详细信息告知信息主体。比如,《个保法》第三十条和第三十一条规定,处理未成年人个人信息时,既要告知处理敏感个人信息的必要性和对个人的影响,同时需告知未成年人个人信息的处理有专门的处理规则,例如《儿童个人信息保护声明》。在不同场景下,《个保法》还规定了各种细化的告知义务,详情请见下述表格:

 

图片

 

四、识别并遵守一般处理者的一般义务

 

首先,从顶层设计角度讲,当处理个人信息达到一定数量时,企业需要指定个人信息保护负责人(《个保法》第五十二条)。企业关注的第一个问题是《个保法》下的个人信息保护负责人与《数安法》以及《网安法》下的负责人能否为同一个负责人。第二个问题是,企业设立了数据保护负责人,是否还需要设立数据保护委员会或者专门的部门负责数据保护相关事宜。上述两个问题都没有固定的答案,需要根据企业的实际情况进行判断。同时,对于我国境外的数据处理者,须设立境内专门机构或指定代表(《个保法》第五十二条)。这条规定与GDPR项下当地代表DPO的规定比较类似。

 

其次,企业需要对于个人信息的全生命周期进行梳理,管理个人信息的流转过程。在此之后,企业应对外声明企业内部是如何实施针对个人信息处理行为的,比如通过发布《隐私政策》和《服务协议》等说明。在此过程中企业需要考虑其业务是否涉及境外部分,如涉及境外的数据处理业务,则企业需要考虑是否需要设计单独的、针对不同司法管辖区域的外部声明还是制定一份统一版本的声明进行集中管理。

 

第三部分是关于内部制度流程的设计。内部流程制度需要配合处罚措施一起考虑方能比较长效地落地。

 

第四部分须考虑与第三方的合作设计。根据与第三方合作的关系,需要签署不同类型的委托合同。特别值得注意的是,在采购网络安全产品和服务时,企业不仅要满足《个保法》的要求,也要考虑到《网络安全审查办法》以及《数安法》的相关规定。

 

第五部分是关于数据安全管控及保障落地的有关规定,特别是关于数据分类分级的规定。与之前《个保法(二审稿)》相比,《个保法》终审稿仅规定了个人信息分类的义务,删除了个人信息分级的义务。同时,《个保法》还规定了加密、去标识化等安全技术措施,明确了数据的保存期限应为实现处理目的所必要的最短时间。

 

第六部分为风险评估的有关规定(《个保法》第五十五条)。此外,企业内部也要尽到相应的合规审计、记录以及实施应急预案的义务(《个保法》第五十四条以及第五十七条)。《个保法》第五十一条还规定了企业要定期进行安全教育和培训。

 

此外,当一般处理者作出一些特定行为时,还需要履行的义务详情,请见下述表格:

 

图片

 

五、识别并遵守守门人处理者的特殊义务

 

《个保法》第五十八条对提供基础性互联网平台服务、用户数量巨大以及业务类型复杂的个人信息处理者规定了特殊的义务。但是对于上述三个条件的具体指引,还需要等待有关部门做进一步的规定。

 

针对个人信息处理者中的这类特殊主体,往往掌握大量的用户数据,其合规与否关系到社会公共利益,因此《个保法》提出了四项新的义务要求。守门人处理者的第一项特殊义务是建立健全个人信息保护合规制度体系,从法律义务提出到具体义务的落地,企业需要建构一个层层细化的规定。凡涉及上述处理个人信息环节的部门及员工,均应严格遵守企业内部有关个人信息保护方面的制度流程,提高企业的内部合规水平,同时注意留存记录,以便未来丛容应对监管。其次,成立由外部成员组成的独立机构,监督个人信息处理活动。考虑这类主体一般规模庞大,占据了非常大的市场份额,由外部机构,类似于独立董事或者独立审计、律师事务所,来监督个人信息的处理活动,可以更好地督促平台履行合规义务。在处理复杂的业务时,大型的互联网平台也需要外部专家的支持和帮助。

 

守门人第二个特殊义务是遵守公开、公平、公正原则,制定平台规则,如平台服务协议、交易规则等,明确平台内产品/服务提供者处理个人信息的规范和保护个人信息的义务。例如,网络交易平台内的经营者应当对收集的个人信息严格保密,除依法配合监管执法活动外,未经被收集者授权同意,不得向包括关联方在内的任何第三方提供。

 

如果发现平台内的经营者等有严重违法违规的情形,大型互联网平台应当停止向其提供服务。

 

同时,由于互联网平台承载了许多对内和对外的义务,因此其应当定期发布个人信息保护社会责任报告,接受社会监督。责任报告增加了企业的透明度,也增加了个人对企业的信任感。

 

反观,欧盟没有在2018年公布的GDPR中对守门人处理者进行相关规定,而是在今年另行制定《数字市场法(草案)》(Digital Markets Act),从市场竞争的角度去对超大型平台关于垄断和竞争秩序的问题提出一系列要求,从而进一步保护个人信息。首先,欧盟对守门人的概念进行了相对明确的界定,即公司有一个核心平台,且在欧盟多个国家拥有持久性、庞大用户基础。同时,欧盟也给出了三个推定标准[1],除非能证明不具备这三个守门人的门槛性条件,否则将被推定为守门人。我国如果未来把这条落地到实处,后续还是需要出一些可量化的指标,确认什么样的机构应该被纳入守门人的范围。

 

其次,从守门人义务的规定来看,《个保法》要求成立由外部成员组成独立的监督机构,这点类似于GDPR项下的DPO,因为DPO既可以由公司内部成员构成,也可以委任公司外部人员担任。DPO需要具有相对独立性,比如不能有利益冲突、不能因实施DPO的职责而降薪。但就实践而言,目前仍有不少裁决和判例显示DPO不具有相对的独立性,这也许就是为何《个保法》需要在超大平台的规则上,即使内部已经设立了个人信息保护负责人,还要求有一个外部成员组成的独立机构进行监督的缘由了。

 

另外就制定公平公开平台规则而言,欧盟《数字市场法(草案)》更多强调的是如何让平台上的相关方,无论是商户还是用户均享受到平台所带来的利益和公平公开的规则,同时强调对平台自身不能过度优待,这其实和国内立法设定的方向和原则是一致的,只是欧盟给出了更多更细致的条款。《个保法》中之所以没有在这个条款中展开细致的规定,而只是作出要求守门人处理者制定公开透明的平台规则,就笔者理解,可能是为了避免在个人信息保护立法里有太多竞争性的条款可能会与原有的立法目标产生一定的冲突。

 

作为个保法的“明星条款”,“守门人处理者”的相关规定目前还缺少在先立法的支撑,也没有丰富的案例和指引作为参考。因此,期待未来《个保法》细则的出台,特别是对“守门人处理者”的认定条件和标准的规定,将给予企业有针对性的合规参考。

 

六、识别并遵守特定场景的增强义务

 

《个保法》还对一些高风险、处理活动复杂、涉及重大权益处理活动的特定场景规定了增强义务。

 

(一)必须获取“单独同意”的五种场景

 

当且仅当处理数据的合法性事由是基于同意的时候,有五个场景是需要获得“单独同意”的。这五个场景都是《个保法》下的明星条款。区别于《个保法》项下一般同意规则,个人信息处理者需将以下五种场景下处理目的、行为等单独向个人告知并取得“单独同意”。单独同意仅针对单一事项,不得通过一揽子授权的方式取得数据主体授权同意。《个保法》第二十五条规定,将个人信息予以公开需要获得信息主体单独的同意。前述段落已有参引的《个保法》第二十六条规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,如果用于其他目的的就需要取得个人的“单独同意”。就公共场所安装图像采集和个人身份识别设备的行为,GDPR以及EDPB在《关于通过视频设备处理个人数据的指南》中分了两个层次进行规定。首先是图像类的数据,其次是包括可以识别到单独个人的生物识别数据。如果是存储生物识别类数据(脸、声音等),应当适用敏感个人数据收集使用的同意,即获得明确同意。但是欧盟也面临了在公共场合下获得明确同意的困境,因为个人无法清晰的获知是否进入可能产生信息采集的公共区域,这种情况下粘贴公共通知是无法被视为明确告知同意的。所以EDPB提出了一个建议,例如控制者希望使用视频监控的方式对大楼的访问进行管理,首先控制者需要给出人脸识别的替代方案,例如胸卡或者钥匙。其次,控制者需要采取有效的交互方式获得用户的明确同意,例如通过按下按钮触发人脸识别的方式等。

 

但是,就这两条“单独同意”的适用频率和行业普适性而言,还是比较低的。以下所提到的“单独同意”场景,则是绝大部分企业无法避开且会被经常适用到的场景。

 

首先,《个保法》第二十三条规定了个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。“向他人提供”的数据离岸行为有多种形式,包括共享、委托处理、转让、转移等。这个时候都需要获取信息主体的单独同意。

 

其次,《个保法》第三十九条规定了个人信息处理者向境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。

 

另外,《个保法》第二十九条规定处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。当然,某些针对敏感个人信息的处理活动不是基于同意而是基于履行法定义务,例如某些业务场景下需要基于法律法规要求对用户进行强身份认证、履行实名认证义务,在这种情况下的处理活动的合法性基础便不再是基于用户同意。

 

对比GDPR中同意的构成要件,《个保法》对同意的要求为:信息主体自愿作出的、知情的且明确作出的意思表示。但是没有提到关于“具体”的要求。GDPR中作为同意构成要件的“具体”,要求颗粒度更细,要求同意是基于某种特殊目的而作出的,必须跟一个或者多个特定目的相关,且用户可以对于目的进行选择,防止企业给出一个宽泛的目的范围去获取用户的同意,但实际的处理目的超出用户的预期,造成用户数据滥用。用欧盟目前对于Cookie合规的要求来举例,根据欧盟相关规定,Cookie根据使用目的可以划分为必要类/分析类/营销类等等,每种不同使用目的类型的Cookie都需要获得用户单独的同意。因为GDPR对每一个同意都要求是具体且单独,所以从立法技术上来说不需要对不同的场景做出类似《个保法》单独同意的特殊要求。但综合实践来看,GDPR上述规定无疑给企业以及用户均增加了负担。我国《个保法》在立法过程中考虑到了这个问题,没有将具体且单独的同意要求加至一般同意的规定中,而是对可能对个人产生较大影响的场景才设置了单独同意的要求,即通过一个“即时、单独、充分”的告知,不可捆绑的被授权,且该等同意需要个人主体明示做出。《个保法》与GDPR上述关于“同意”的区别需要我们在实践落地过程中进行关注和区分。

 

(二)处理敏感个人信息

 

《个保法》对处理敏感个人信息的特殊要求总结来讲为三句话,即目的限定更严、告知事项更多、同意机制强化(当合法性基础适用“同意”事由时)。

 

《个保法》规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。《个保法》第三十条规定,处理敏感个人信息的,除必须告知的一般事项外,还应当向个人增强告知:处理敏感个人信息的必要性以及对个人权益的影响,除非依法可以不向个人告知。《个保法》第二十九条规定处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

 

(三)必须进行保护评估的场景

 

《个保法》对先前审议稿中第五十五条和五十六条的内容做了修改,把“安全评估”的表述替换成了“风险评估”,使得评估范围更加完整和饱满。因为对于个人信息的保护不仅是安全侧的义务,也需要结合对个人信息主体权利行使的保护。对于风险评估事项,企业需要考虑在某项行动前对高风险的事项进行评估。其次,对拟计划出境的个人信息进行评估。

 

《个保法》对“高风险场景”进行了兜底性的描述,即对个人权益有重大影响的个人信息处理活动。《个保法》列举了几项属于高风险场景的数据处理活动。但是,需要强调的是,高风险场景并不仅限于《个保法》列举的示例,还应包括其他符合定义的场景。所以,企业首先需要判断自己的数据处理活动是否落入高风险场景范围内。“高风险场景”的适用条件包括敏感个人信息;自动化决策;委托处理、公开;境外提供;兜底以及对个人权益有重大影响的个人信息处理活动。

 

在确定适用条件之后,我们需了解要具体评估什么内容。首先,要评估处理目的、处理方式是否属于数据处理的一般原则,即合法、正当、必要原则。其次,要评估数据处理活动对个人权益的影响及风险程度。这要根据不同的处理行为做出一个针对性的分级。第三,要评估所采取的安全保护措施是否合法、有效并与风险程度相适应。

 

最后,即使经过相关决定和平衡后,风险已经被限制在对个人主体影响很小的范围内,企业还需要对整个的风险评估的过程进行报告和记录,并且该记录至少保存三年,这与企业违反法律规定时涉及的举证义务相关,而三年又与诉讼时效有联系。

 

GDPR有关于DPIA的规定,从适用范围上来讲,比《个保法》适用范围窄。且虽然规定企业有记录义务,却没有像《个保法》一样要求至少三年的保存期限。但GDPR相关规定的参考价值核心在于帮助我们理解个人信息保护影响评估的本质。就笔者个人观点,DPIA强调的是一个评估过程,属于程序性要求,而非要求达到一个固定标准的实体性要求。就企业而言,它给企业提供了一种合规路径和实现方式,通过DPIA去排查某行为是否符合合规要求,来确定产品或业务是否符合个人信息保护的要求,也是GDPR给予企业证明自身合规性的方法。

 

(四)自动化决策的场景(明星条款)

 

我们从两方面去解读《个保法》对自动化决策场景的相关规定。首先,自动化决策不一定直接关联对个人信息的展示或者对个人信息进行触达。企业在进行数据分析和自动化决策后,可能需要进一步开展对个人数据做个性化的推送或者展示,这个行为会对个人信息主体的权益造成影响。“保证处理的透明度和结果公正、公平”与“不得对个人在交易价格等交易条件上实行不合理的差别待遇”两项规定关注点在于处理者对个人信息进行自动化决策后,可能对个人信息主体的权益造成影响的场景。自动化决策的过程要符合对外公示的要求,企业要告知数据主体对其个人信息进行了处理,并保证所处理的结果公平公正,不会对信息主体造成歧视。《国务院反垄断委员会关于平台经济领域的反垄断指南》的相关规定中,也提到了针对“大数据杀熟”问题。部分互联网企业利用大数据分析对不同群体进行差别定价,实行“价格歧视”,对其他数据处理者的商业活动产生影响,从而导致不公平竞争的乱象出现,扰乱了市场秩序。而《个保法》遏制商家对大数据的滥用,主要是为建立健全大数据安全规范使用,提倡算法透明、公平,保护消费者的个人权益。

 

《个保法》还规定,利用个人信息进行自动化决策而进行信息推送、商业营销的,应同时提供不针对个人特征的选项,或者提供拒绝的方式。但是,仅为通知性的推送不属于该条规定的范围内。《电商法》以及《网络交易监督管理规定》中也对“提供不针对个人特征的选项”进行了规定。相比较而言,《个保法》对此并没有提出很多额外的特殊要求。对于“提供拒绝方式”的这项要求,《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》(以下简称“工信部164号文”)等也对类似的义务做出了规定。

 

GDPR项下的自动化决策有两种方式,一种是完全基于自动化技术且无人工干预的自动化决策,另外一种是基于用户画像的自动化决策。对于第一种基于自动化技术的决策,比如可以在没有人工干预的情况下,判断哪些人能够面试,哪些人能够简历过筛,哪些人能够享受社会福利。这种自动化决策的防御重点在于人工智能需要为人类服务,而不是因为一些技术而影响人本应该享有的福利,这也是为何起初欧盟禁止自动化决策的原因。

 

欧盟对于基于用户画像的自动化决策尺度就放松了,与我国的自动化决策保护的立法思路基本一致,强调公平和透明。比如对大数据杀熟的限制,此外是决策需要透明,如果个人对这个处理过程有疑虑,可以要求处理者予以说明。

 

我们可以从最近意大利数据保护机构对两个外卖软件作出的处罚决定中看出自动化决策对于算法公平性和可适用范围的要求。在这个案例中,意大利执法机关认为,首先,外卖软件可能会对骑手进行特征分析,进而给骑手分配配送订单,但是并未提供关于处理逻辑以及这种处理对骑手的重要性和后果,不满足透明性的要求。其次,在利用自动化决策以及特征分析进行订单分配时没有保障骑手的数据主体权利,至少未获得人为干预和监督的权利,未满足公平和保障用户权利的要求。目前,自动化决策与画像权已经成为了规制算法的主要条款,我们也期待在《个保法》落地过程中,反对自动化决策是否能成为算法规制的核心条款。

 

(五)数据跨境场景

 

《个保法》对数据跨境场景的相关规定,需要结合其他法条一起理解,例如《关键信息基础设施安全保护条例》《数安法》以及《网络安全审查办法》等。企业首先需要了解其本身所属的性质以及拟出境的数据是否涉及数据本地化要求。《个保法》第四十条规定关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当境内存储其处理的数据。对于“规定数量”的具体规定,还有待相关法规进一步给出具体的细化规定。企业还要判断拟出境的个人信息是否构成重要数据。如果构成重要数据,即使一般的网络运营者,也需要遵守重要数据境内存储、业务特需单独审批的要求。另外,根据《个保法》第四十一条规定,境外司法或者执法机构要求提供存储于境内的个人信息的,非经主管机关批准,不得提供。《数安法》有类似规定。

 

只有在不涉及数据本地化要求的情况下,企业才进一步考虑个人信息出境需要满足哪些具体条件。首先,《个保法》第三十九条规定,向境外提供个人信息的,应当向个人告知并取得个人的单独同意。提前告知并获取同意的义务可以被视为数据出境行为的前置条件。其次,《个保法》第三十八条对确实需要向境外提供个人信息的情况,规定了相应的条件:企业通过国家网信部门组织的安全评估;或者,接受专业机构进行的个人信息保护认证;或者,与境外接收方签订根据国家网信部门制定的标准合同(类似于GDPR下的SCC条款),约定双方的权利义务;以及,提供了符合法律规定的兜底条件以待日后补充。

 

即使《个保法》明确了个人信息出境的法定要求,但在出境前,企业还需要内部提前实施对拟出境个人信息的自评估,确认其个人信息出境行为具有合法性、正当性和必要性。同时,企业也需要对个人信息接收方的安全保护能力,包括安全措施和法律环境等进行评估。无论是采用网信部门组织的评估还是专业机构认证的模式,网络运营者提供数据接收方相关信息的义务无法避开,包括提供数据接收方对出境后处理个人信息的活动不低于《个保法》保护水平的证明等。另外,企业还有义务确定以及了解接收方是否会将拟出境的个人信息进一步转移,或者存在损毁、乱用、篡改的可能性。虽然《个保法》没有对自评估的具体内容进行规定,但强调了企业需进行履行评估义务的必要性。

 

最后,在某些特殊情况下,企业可能被考虑列入个人信息一定程度自由流通的范畴,而免受流通限制。如《个保法》第三十八条新增了“中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。”同时,接收方处理中华人民共和国公民个人信息,不得危害国家安全、公共利益。如果接收方确有上述危害国家安全、公共利益的行为,国家网信部门可将其列入限制、禁止提供清单或者采取反制裁的范围。

 

GDPR项下的跨境传输与《个保法》的跨境传输机制在核心内容上基本保持一致,核心条款是确保数据传输到境外之后,能得到和在境内一样的同等保护水平。除此之外,《个保法》还加上个人信息处理者应当采取必要措施保障同等个人信息保护标准的条款,其实可以视为对于EDPB在Schrems II案件后更新SCC和补充措施指南的回应。跨境传输规定的核心在于达到同等个人信息保护水平,因此《个保法》规定,无论企业选择哪种跨境方式,都需要提供必要的保障措施确保数据安全跨境到第三国家,被传输的数据都能达到跟在国内一样同等的保护水平。GDPR与《个保法》较大的区别在于告知同意的规则,GDPR将同意列为跨境传输的例外条件,如果个人数据主体被明确告知其数据传输无法得到充分保护且可能存在风险,仍明确表示同意这种预期的数据转移,那么企业也可以以此作为数据跨境转移的合法性基础。而在《个保法》中,企业除了满足前述提及的四选一的适用条件以及必要保障措施外,还需要获得信息主体的单独同意,这与境外大多数国家的跨境合法性基础规定不同,需要企业在实践过程中进行重点关注。

 

七、确保实现个人信息主体权利

 

个人信息主体拥有的权利一定程序上也对应了企业应当履行的义务。《个保法》第四十四条规定,个人拥有知情权、决定权、限制或拒绝他人对其个人信息进行处理等权利,上述权利对应了企业告知等义务。《个保法》第四十五条规定了个人有权查阅、复制个人信息。《个保法》第四十六条规定了个人享有更正权,即核实后更正和补充的权利。《个保法》第四十八条对自动化决策进行了规定,即个人有权要求企业进行说明实施自动化决策的情况(上文已作介绍)。同时,《个保法》第十六条和第四十五条还分别规定了个人享有撤回同意权和可携带权。可携带权不仅是给予个人信息主体自己查阅复制的权利,个人还可以请求将其个人信息转移至指定的个人信息处理者。同时,符合国家网信部门规定的个人信息处理者还需要提供转移的路径。对于可携带权需要重点考虑的是如何去指定个人信息处理者以及网信部门的规定条件。

 

《个保法》第四十七条还规定了五种企业应及时删除个人信息的情形:(一)处理目的已实现、无法实现或者为实现处理目的不再必要;(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(三)个人撤回同意;(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五)法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

 

《个保法》第四十九条还对近亲属的相关权利做了相关规定,即自然人死亡的,近亲属为了自身的合法、正当利益,可对死者的相关个人信息行使查阅、复制、更正、删除等权利(除非死者另有安排)。例如,近亲属可以查阅死者生前的银行账户等。《民法典》第九百九十四条也规定了死者的隐私受到侵犯时,其配偶、子女、父母或近亲属有权依法请求行为人承担民事责任。此外,《人脸识别规定》第十五条亦规定“自然人死亡后,信息处理者违反法律、行政法规的规定或者双方的约定处理人脸信息,死者的近亲属依据民法典第九百九十四条请求信息处理者承担民事责任的,适用本规定”,也为死者近亲属如何保护其自身权益提供了配套规定。即使有上述规定,个保法还特别提到“死者生前另有安排的除外”,所以个人信息主体在生前设立遗嘱时,也可以将个人信息,像房产、车辆、存款、股票、知识产权等一并列入遗嘱。

 

此外,《个保法》还完善了个人信息保护投诉举报机制,第五十九条要求个人信息处理者应当建立“便捷的”行权申请和处理机制,同时,个人信息处理者拒绝个人行使权利的,个人可以依法向人民法院提起诉讼。此外,根据第六十一条,履行个人信息保护职责的部门负责接受、处理与个人信息保护有关的投诉、举报。此外,第六十四条规定,履行个人信息保护职责的部门在履行职责中,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。这些措施形成了对于个人信息保护的强有力闭环。

 

GDPR项下的用户数据权利与《个保法》的规定十分类似,连权利项的规定都是相似的。GDPR分别规定了数据主体行权、访问权、更正权、限制处理权、数据可携带权、反对权、反对自动化决策与画像权以及权利的例外。

 

这里着重讨论一下数据可携带权的内容。《个保法》对数据可携带权的规定与GDPR项下对数据可携带权的规定有所区别。具体来讲,该权利在《个保法》的规定下应为“有限的数据可携带权。”首先,从结构上来讲,《个保法》对携带权的规定只是比复制和查阅权利多加了一款,而非单独一条。从内容上,《个保法》规定只有在符合网信部门的规定下,才可以实施数据可携带权。为什么《个保法》对数据可携带权的规定仅仅“迈出了一小步”呢?这可能是考虑到GDPR本身对于数据可携带权的规定从2018年产生到现在的实施困境。GDPR对权利的客体做了很明确的范围限定,即针对用户本人的数据。例如,在两个人聊天的过程中,个人只能对自己说的话行使可携带权。数据可携带权是针对数据主体自己提供的数据以及在自动化采集过程中的数据,也就是传统所说的Raw Data,即没有经过处理的数据。信息主体不可以要求企业把经过其智力创造和衍生加工之后的模型数据作为用户行使可携带权的内容。同时,GDPR仅要求提供数据的形式是电子形式的,所以主体不可以要求企业把电子形式的数据以纸质版分享给用户。

 

同时,GDPR中规定了要求履行可携带权的数据需要“结构化、普遍使用和机器可读”的格式,这产生的问题是什么叫做“普遍使用的”。EDPB解释到,“普遍使用”不是要求企业将数据转化成某一种格式使用,而是强调须具有“通用性”。但是现在对此没有明确的标准,即使在诉讼过程中,法院也只是强调了“通用性”和“互操作性”,没有具体解释应该怎么做。由此产生的实施困难是,除了少数大型互联网企业例如谷歌、微软和苹果可以给用户提供一个平台以结构化的方式提供数据,小平台根本没有办法实现该点要求,小平台没有良好的内部数据结构,无法快速地找到用户的数据,并以结构化的方式提供给客户或者第三方。《个保法》对于数据可携带权的规定初衷在于不希望大型平台通过锁定用户的方式影响竞争,但同时考虑到了这项权利如何落地实施存在极大的挑战,所以才对可携带权做了一定的限定,增加了符合国家网信部门规定的个人信息处理者还需要提供转移路径的规定。

 

“数据可携权”一直到终审稿才进入《个保法》,一经颁布就成为明星条款。虽然该条款是用户“权利”树条款中离实际落地最远的一个,但《个保法》下的“个人主体权利”体系却因此更为完善,在这一方面也得以在全球个人信息保护立法中保持了领先地位。

 

《个保法》下复杂全面的“个人权利”条款大大弥补了此前我国个人信息保护领域各层级规范性文件和执法中的薄弱环节,体现了《个保法》从既往的重视监管“数据处理者”走向兼顾“赋权个人”,立法角度更为全面,也意味着企业的数据合规工作会有更多来自个人信息主体层面的推动力。

 

八、识别违法后果和承担举证责任

 

与GDPR的最高处以上一年度营业额百分之四罚款的规定比较,《个保法》将罚款力度增加到上一年度营业额的百分之五。《个保法》对违法后果的规定看似十分严格,但是《个保法》的处罚规则并不是“一揽子”条款。实际上,对于违法行为以及对应的违法后果做了阶梯性的规定。

 

与《网安法》类似,《个保法》对违法后果的规定采用了“双罚制”的结构。第一,针对违法处理个人信息的数据处理者,除了罚款,还能责令暂停或终止提供服务。第二,对于情节严重的违法行为,除了罚款,还可以一并要求责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。针对直接负责的主管人员和其他直接负责人员,除了罚款以外,还可禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。值得注意的是,《个保法》并没有严格界定什么情况属于“情节严重”,但结合GDPR相关处罚案例来说,数据泄露、受影响的信息主体数量可能成为较大的考虑因素。同时,该条还使用了“拒不改正”这样的表达,因此笔者认为无论在何种情况下,展现出积极的改正态度始终是优解。

 

《个保法》第六十七条规定违法行为依照规定记入信用档案。对于侵害个人信息权益的处理活动,适用过错推定原则,即个人信息处理者不能证明自己没有过错的,其应当承担损害赔偿等侵权责任。赔偿额度根据个人受到的损失或者侵害人获取的利益来决定,法院也可能会对此进行调整。

 

值得注意的是,《最高人民法院关于适用<中华人民共和国民事诉讼法>的解释》第二百八十三条规定,环境保护法、消费者权益保护法等法律规定的机关和有关组织对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为,根据民事诉讼法第五十五条规定提起公益诉讼。《个保法》第七十条规定,对于受到侵害的对象是多人的情况,人民检察院、法律规定的消费者组织与国家网信部门确定的组织可以依法向人民法院提起诉讼。“国家网信部门确定的组织”具体包括哪些组织,还需要法规进一步进行解释和说明。《个保法》第七十一条还规定,违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

 

由此能看出,《个保法》对违法后果的规定体现了“多维”以及“阶梯形”的特点。

 

后记

 

《个保法》在高度关注下诞生,构建中国个人信息保护相关法律规定的顶层设计,完成了里程碑的一步。《个保法》在众多条款中吸收了之前国内个人信息保护的相关实践,给出了相应细致的解决路径,同时针对大数据杀熟、超级平台等给出了现实的回应,《个保法》值得数据合规领域人士细细研读。正如GDPR生效后,EDPB制定了大量的指南解释法律规定以及为企业提供实践指引,我们相信《个保法》未来也会有大量的配套规范性文件,为落地实践提供明确的方案以及解决多个前瞻性条款的具体适用。《个保法》的诞生不是数据合规行业的成熟定型,更应该说将引起新的繁荣发展,证明数据合规行业进入了稳步前进的阶段。

 

注释:

[1] 守门人推定标准:守门人可基于客户数量、累积活动能力、市场估值等综合标准进行推定,具体应考量如下三个累积条件:

第一,影响内部市场的规模:企业在过去三个财政年度在欧洲经济区(EEA)实现的年营业额等于或超过65亿欧元,或者在上一财政年度其平均市值或等值公平市价至少达650亿欧元,并在至少三个成员国提供核心平台服务;

第二,控制着企业用户通向终端用户的重要门户:如果公司运营的核心服务平台在上一财政年度在欧盟建立或位于欧盟的月活跃终端用户超过4500万,并且在欧盟建立的年活跃商业用户超过1万;

第三,享有或在不久的将来预期享有稳固而持久的地位:企业在过去三个财政年度中的每个年度都符合其他两个标准。

如果上述三个条件均得到满足,则推定该企业为守门人,除非企业提出确凿论据来证明相反的情况。