您的位置 : 环球研究 / 环球评论 / 新闻详情
个人信息保护及其实务问题——《个人信息保护法》评析
2021年09月08日赵德铭 | 许鑫鑫

个人信息可界定为“可赖以识别或者归属于已识别的特定自然人的各种信息”。

——题记

 

引言

在互联网时代,互联网已然成为个人赖以生活和工作的社区。个人消费偏好以及个人交游踪迹在互联网各种平台上大量留痕,形成电子数据。个人电子数据经过集合,形成大数据,成为数据处理各方为经济、政治或者战略目的而追踪、研究和挖掘的对象。个人的隐私与安全、社会公众利益以及国家安全,将受到影响。

 

对于个人信息,欧盟率先于2016年4月14日通过《通用数据保护条例(General Data Protection Regulations)》(下称“GDPR”), GDPR于2018年5月25日生效实施。该条例的战略考虑,可能有两点:第一,在英国脱欧背景下,增强欧盟公民的向心力与凝聚力,防止各国仿效英国进行全民公投的不利后果;第二,保护欧盟的数据边界,防范数据大国的数据侵蚀,保障欧盟的数据安全。

 

我国的《个人信息保护法》于2021年8月20日通过,自2021年11月1日起施行,似也有凝聚民心、以策国家安全的考量。该法作为国家数据战略组成部分,属于在个人信息保护方面的基本法,法律层级很高,意味着个人信息保护问题,上升为国家战略高度,国家将予以严加监管与惩戒。企业处理个人信息,必须做好数据合规,已是大势所趋。

 

本文就《个人信息保护法》做整体上扼要的评析,后续将有专题分析。本文蓝色加粗部分,属于我们的合规提示,企业可重点关注。

 

一、《个人信息保护法》处于何种法律地位

 

《个人信息保护法》第一条规定,该法是根据宪法所制定的。这表明该法已经成为个人信息保护之基本法,而《网络安全法》以及《数据安全法》均没有获得根据宪法所制定的法律地位。

 

在该法颁布以前,就个人信息问题,已有《民法典》、《网络安全法》、《数据安全法》、《信息安全技术 个人信息安全规范》(GB/T 35273—2020)(下称“《个人信息安全规范》”)、《电信和互联网用户个人信息保护规定》、最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法律、法规、标准以及司法解释,做出了一些赋权性或者保护性规定。但是就个人信息保护而言,《个人信息保护法》处于基本法地位,企业需要确保全面履行该法所规定的义务,而不仅仅限于遵守该法出台之前的上述规定

 

个人信息保护的法律框架如下图:

 

图片

 

二、 哪些信息处理活动、哪些个人信息将触发合规义务?

 

(一)信息处理活动

 

《个人信息保护法》第四条规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除(新增)等。

 

(二)个人信息的范围

 

1.  “可识别性”与“可归属性”

 

《个人信息保护法》第四条关于个人信息的界定(条文内容参见下表)语焉未详,将“与已识别或者可识别的自然人有关的各种信息”作为个人信息的定义,似乎并未将个人信息局限于赖以识别特定自然人的信息,与之前的其他法律规定区别很大(参见下表)。从信息处理方的角度,该法所规定的个人信息可以大别为下述两类信息:

 

(1)可识别性信息

 

可识别性信息,指信息处理方赖以识别特定自然人的信息。这类信息可以是足以识别特定自然人的信息(如身份证信息),也可以有助于识别特定自然人的信息,包括教育背景、经历等。

 

(2)可归属性信息

 

可归属性信息,指信息处理方已经根据获得了可识别性信息、并且“已识别”特定自然人的情况下,获知属于该特定自然人的其他信息。

 

如果上述两大类别符合该法的立法目的,则个人信息可界定为“可赖以识别或者归属于已识别的特定自然人的各种信息”。

 

在本文中,信息所归属或者所识别的个人,称为“个人信息主体”,或者“信息主体”,或者“个人”。

 

在《个人信息保护法》之外,对于个人信息,亦有其他定义,略有区别,参见下表。

 

有关规定

《个人信息保护法》

《民法典》

《网络安全法》

《个人信息安全规范》

《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

定义

 

第四条

 

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

 

第一千零三十四条

 

个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息

 

第七十六条

 

个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。

3.1

 

以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

第一条

 

“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

备注

包括可识别性及可归属为已识别的特定自然人的信息,范围最广,个人信息处理企业必须首先予以遵守。

限于可识别性信息。

限于识别个人身份的信息,范围最窄。

包括可识别个人身份及活动情况,范围较窄。

包括可识别个人身份及活动情况,范围较窄。

   

2. 《个人信息安全规范》表A.1

 

《个人信息安全规范》表A.1罗列了个人信息的种类,对于企业确定个人信息的范围,仅有参考意义。

 

图片

 

3. 司法实践——可识别性问题

 

以近期司法实践为例,某软件有限公司诉安徽美景信息科技有限公司案[1]的判决,确立了以数据接收方的识别能力作为判断可识别性(即有关信息是否藉以识别为特定自然人的信息)的标准。网络用户网上浏览、搜索、收藏、加购、交易等行为痕迹信息与标签信息,并不具备能够单独或者与其他信息结合识别自然人个人身份的可能性,故不属于个人信息。

 

成都九正科技实业有限公司诉璧合科技股份有限公司等买卖合同纠纷案[2]的判决显示,手机MAC地址信息因能够与其他信息结合获取手机用户的电话号码,被法院认定为个人信息。

 

在另一案件[3]中,法院认为,昵称、头像、OPEN_ID、以及多个OPEN_ID之间的好友关系链等信息的组合,并未达到匿名化和去标识化的程度,特别是OPEN_ID与用户主体身份具有强对应关系,在特定场景下结合其他数据仍可还原、对应用户的具体身份信息。从个人信息处理者对上述信息组合的实际使用场景来看,个人信息处理者准确向用户展示了共同使用应用的微信好友的昵称、头像,实际上达到了识别性标准,故而,个人信息处理者获取的好友列表,包含了可以指向信息主体的网络身份标识信息,即“从信息到个人”,而自然人的微信好友列表,体现了该自然人在微信上的联系人信息,属于“从个人到信息”,应认定为用户的个人信息。

 

随着技术迭代,个人信息/标签信息多渠道、多维度融合汇聚,数据接收方的数据来源、数据量、识别能力日益加强,个人信息的范围也相应扩大。

 

三、哪些中外企业需要遵守《个人信息保护法》?

第三条  在中华人民共和国境内处理自然人个人信息的活动,适用本法。

 

在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:

 

(一)以向境内自然人提供产品或者服务为目的;

(二)分析、评估境内自然人的行为;

(三)法律、行政法规规定的其他情形。

 

(一)《网络安全法》

 

2013年生效的《电信和互联网用户个人信息保护规定》,其适用范围为“在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动”,即该规定仅适用于在境内提供服务的主体,没有域外效力。2017年6月生效的《网络安全法》沿用了《电信和互联网用户个人信息保护规定》的适用范围,即在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用《网络安全法》。因此,《网络安全法》对于在境外提供服务的企业不做监管。

 

(二)《个人信息保护法》

 

《个人信息保护法》一定程度上借鉴了欧盟GDPR的立法思路,着眼于境内外的信息处理行为,管辖不仅及于境内的“个人信息处理行为”,并且扩展至境外“处理境内自然人信息”的基于特定目的的行为。

 

《个人信息保护法》

GDPR

(1)以处理行为“发生地”为标准(属地原则):无论处理者是否在境内设立,或者处理的是否为境内自然人信息,只要处理行为发生在境内,即受制约;

 

(2)以“保护对象”为标准(属人原则):只要符合以“向境内自然人提供产品或者服务为目的”、“分析、评估境内自然人的行为”及其他所规定的情形,也适用该法。

(1)以“营业地/设立地”为标准:调整在欧盟境内设立的数据控制者或处理者对个人数据的处理行为(不论其实际数据处理行为在何处);

 

(2)以“保护对象”为标准:即使有关个人数据处理活动的控制者或处理者不在欧盟设立,但若其:(a)为欧盟境内的数据主体提供商品或服务;(b)对发生在欧盟境内的数据主体的活动进行监控,则该类控制者或处理者也同样适用GDPR。

 

四、对于信息处理的法定限制

 

(一)目的之正当性与处理的必要性

 

《个人信息保护法》延续了《民法典》及《网络安全法》相关规定,在第五条明确企业处理个人信息应当遵循合法、正当、必要原则。在该原则之下,第六条和第十九条具体规定了企业在处理、收集和保存个人信息时,与处理目的相对应的“最小影响、最小范围、最短时间”规则。

 

最小影响

第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。

最小范围

第六条 收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。

最短时间

第十九条 除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。

 

处理个人信息应当具有明确、合理的目的,体现合法性、正当性原则要求;上述最小影响、最小范围、最短时间,是必要性原则的具体化。

 

1. 最小影响与最小范围

 

《个人信息安全规范》第5.2条规定如下:

 

i. 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现;

 

ii. 自动采集个人信息的频率应是实现产品或服务的业务功能所必须的最低频率;

 

iii. 间接获取个人信息的数量应是实现产品或服务的业务功能所必须的最少数量。

 

结合近期执法实践来看,监管部门自2019年以来在全国范围内组织开展了多次App违规收集使用个人信息专项治理行动,并发现大量APP存在违反必要性原则,收集与所提供的服务无关的个人信息。2021年3月12日,针对专项治理行动中发现的问题,中央网信办、工业和信息化部、公安部、市场监管总局联合发布了《常见类型移动互联网应用程序必要个人信息范围规定》[4],列举了“常见类型App的必要个人信息范围”。

 

《个人信息保护法》生效后,监管部门将更加严格监管个人信息处理方处理数据是否符合上述“最小影响、最小范围”要求。App运营企业还应当结合《App违法违规收集使用个人信息行为认定方法》《信息安全技术 移动智能终端个人信息保护技术要求》,以及《信息安全技术移动互联网应用APP收集个人信息基本规范(征求意见稿)》,进行合规自查。

 

2. 最短保存时间

 

(1)法定保存期限

 

如果存在法定的硬性的保存期限要求,最短保存时间,不应少于该法定保存期限。关于法定保存期限,举例如下:

 

  • 《反洗钱法》第十九条第三款:客户身份资料在业务关系结束后、客户交易信息在交易结束后,应当至少保存五年。

  • 《电子商务法》第三十一条:商品和服务信息、交易信息保存时间自交易完成之日起不少于三年……

  • 《互联网信息服务管理办法》第十四条:互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60日……

  • 《网络预约出租汽车经营服务管理暂行办法》第二十七条:网约车平台公司应当遵守国家网络和信息安全有关规定,所采集的个人信息和生成的业务数据,应当在中国内地存储和使用,保存期限不少于2年,除法律法规另有规定外,上述信息和数据不得外流。

 

(2)正当性、必要性原则

 

如果没有法定保存期限要求的,则需要根据《个人信息保护法》第十九条的规定,为实现处理目的(正当性)所必要的(必要性)的最短时间。“最短时间”需要根据特定业务场景下处理个人信息的目的,合理确定。

 

(3)隐私政策

 

对于个人信息保存的最短期限,连同业务场景下收集、存储个人信息的目的、方式、范围等内容,应以显著方式、清晰易懂的语言写入隐私政策,并将隐私政策向个人告知,并获得其授权同意,方可处理个人信息。

 

(4)保存期限届满

 

此时,信息处理方应主动删除个人信息,删除个人信息从技术上难以实现的,只能进行存储以及采取必要的安全保护措施。

 

(二)“告知、同意、撤回”规则

 

1. 处理个人信息需要个人同意

 

《网络安全法》将个人信息主体的“同意”视为个人信息处理的唯一合法性基础,没有例外。《民法典》规定无需同意的例外情况,也仅仅限于处理已公开信息以及维护公共利益或者该个人合法权益的情形。《个人信息安全规范》则规定了较多的例外情况。

 

《个人信息保护法》采用了与GDPR一致的立法逻辑,将个人在被告知后的同意,作为处理个人信息的合法理由之一。告知不准确、充分的,同意可能无效,处理个人信息仍属违法。处理个人信息的其他合法理由包括合同必需、人力资源管理必需、履行法定责任、紧急情况、合理处理已公开信息、基于公共利益的报道与监督等六种情况。在这六种情况下,无需取得个人同意,即可处理个人信息。

 

 

_

《个人信息保护法》

《民法典》

《网络安全法》

《个人信息安全规范》

同意原则

第十三条:

符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意

 

第一千零三十五条:

处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;

第四十一条:

网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意

 

5.4 收集个人信息时的授权同意:

a) 收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则,并获得个人信息主体的授权同意

例外情形

(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

(三)为履行法定职责或者法定义务所必需;

(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;……

依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意

第一千零三十六条:

处理个人信息,有下列情形之一的,行为人不承担民事责任:

(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外

(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为

/

5.6 征得授权同意的例外

a) 与个人信息控制者履行法律法规规定的义务相关的;

b) 与国家安全、国防安全直接相关的;

c) 与公共安全、公共卫生、重大公共利益直接相关的;

d) 与刑事侦查、起诉、审判和判决执行等直接相关的;

e) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;

f) 所涉及的个人信息是个人信息主体自行向社会公众公开的

g) 根据个人信息主体要求签订和履行合同所必需的;

注:个人信息保护政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不宜将其视为合同。

h) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道

i) 维护所提供产品或服务的安全稳定运行所必需的,如发现、处置产品或服务的故障;

j) 个人信息控制者为新闻单位,且其开展合法的新闻报道所必需的;

k) 个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的。

 

鉴于《个人信息保护法》在个人信息保护方面的基本法地位,对于上述不同的个人同意规则,企业需要首先遵守《个人信息保护法》的同意规则,否则,将构成违法行为。企业在符合《个人信息保护法》的基础上,再遵守其他法律规定。换言之,其他法律规定,不得成为违反《个人信息保护法》的借口。

 

另外,针对敏感个人信息[5]保护,《个人信息保护法》在告知与同意两方面均作了特别的规定(参见下文)。

 

2. 处理个人信息需要事先告知

 

事先告知,是个人同意处理个人信息的前提。

 

(1) 对于事先告知的要求

 

处理个人信息前,向信息主体的告知应该符合如下要求:其一,外观上具有显著性;其二,表述上需要清晰易懂;其二,实质上需要真实、准确、完整;其三,内容上包括个人信息处理者的名称或者姓名和联系方式;个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;个人行使本法规定权利的方式和程序;法律、行政法规规定应当告知的其他事项。

 

就显著性而言,实践中,相较于采用用户协议和隐私政策的方式,弹窗方式更具备显著性,但是由于弹窗小,在弹窗中放入大量信息,将增加个人的阅读难度。《个人信息保护法》允许企业在用户协议和隐私政策之外,另行制定个人信息处理规则,以此方式进行事先告知。企业可以考虑在弹窗中说明要获取的信息范围、处理方式和处理目的,其他内容均在个人信息处理规则中予以展示。个人信息处理规则需要另行与《用户协议》《隐私政策》分开设置,予以公开。

 

(2)特殊告知

 

特殊告知,包括上述已告知的事项发生变更的,需要告知变更;因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式等;处理敏感个人信息的,还应当告知处理的必要性以及对个人权益的影响。

 

(3)无需告知的情况

 

对于法律、行政法规规定应当保密或者不需要告知的情况,可以不予事先告知。例如《反恐怖主义法》第51条规定,公安机关调查恐怖活动,有权向有关单位和个人收集、调取相关信息和材料。有关单位和个人应当如实提供。

 

另外,在紧急情况下,可以事后告知。

 

3. 个人事先同意的类别

 

(1)“明确作出”的同意

 

参考《个人信息安全规范》第3.6条关于“明示同意”的规定,“明确作出”为肯定性的动作,包括主动勾选、主动点击“同意”“注册”“发送”“拨打”按钮(即点击按钮通话),或者主动填写或提供等方式表示明确“作出”的意思表示。

 

(2)另行同意

 

对于影响个人利益的重大事项,例如向第三方提供个人信息、个人信息出境等,《个人信息保护法》要求需要取得该个人的“单独同意”。“单独同意”的措辞,并不规范,易生误解,可以理解为不是“共同同意”,而是一个人同意的意思。实际上,就“单独同意”而言,立法者的意图可能是表达需要该信息主体“另行同意”的意思。“另行同意”,即另行予以特别同意,在形式上必须与其他同意分开做出。

 

根据《信息安全技术个人信息告知同意指南(征求意见稿)》,“单独同意”是指通过“增强式告知”或“即时提示”等方式,单独向个人信息主体告知处理个人信息的目的、方式和范围、以及存储时间、安全措施等规则,并由个人信息主体明示同意(主动作出确认性动作)。“增强式告知”,指采用个人信息主体不可绕过的方式(如弹窗等)向个人信息主体展示相关信息,以协助其作出是否授权同意的决定。该规定的“单独”,就是“需要与其他同意分开,另行作出”之意。

 

在《个人信息保护法》项下,个人信息处理企业需要征得个人另行同意的情况如下:

 

具体情形

相关规定

向第三方提供个人信息

第二十三条:个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意

公开个人信息

第二十五条:个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。

公共场所采集图像、身份信息

第二十六条:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。

处理敏感个人信息

第二十九条:处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

未成年人个人信息

第三十一条:个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意

 

个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。

向境外提供个人信息

第三十九条:个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意

 

2021年7月28日,最高人民法院针对频频发生的非法采集、利用人脸信息的情况发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,亦规定收集人脸信息,需另行取得用户的同意。由此,可以预见“公共场所采集图像、身份信息”合规,可能是《个人信息保护法》落地后执法的重点之一。

 

(3)重新取得同意

 

企业在处理个人信息中遇如下情形,需重新取得个人同意:其一,事先所告知的内容和所处理的个人信息种类发生变更的;其二,个人信息转移时,接收方处理信息与提供方原先所告知的内容不符的;其三,向第三方提供个人信息时,接收方变更原先所告知的事项的。

 

4. 为个人撤回同意提供便利

 

《个人信息保护法》要求个人信息处理者提供便捷的撤回同意的方式。通常认为,“撤回同意”的难度,不应大于“同意”的难度。因此,“撤回”按钮应该位于页面的醒目处,或者与个人信息保护政策处于同样醒目的位置,就同意的选项,逐项同时给出“撤回同意”的选项

 

所撤回的个人同意,对于已经发生的个人信息处理行为,没有溯及力,但是数据处理者应从此主动删除内部所存储的个人信息;如删除个人信息确实从技术上难以实现,就该信息,仅仅可以存储和采取必要的安全保护措施。

 

由于数据存在极强的可复制性,个人信息主体在给出首次授权同意后,即便是信息处理者,由于可能存在向第三方共享、委托处理等情形,对于姓名、身份证号、手机号、地址等相对静态的信息很容易失去控制权,而个人信息处理者需要确保在个人信息主体撤回同意后,相关数据被终止收集且必要时还需要删除,因此建议企业设计用户数据获取环节时,获得个人信息后,立即将数据匿名化然后另行存储,以便用户撤回同意时,仅需删除非匿名化数据,并且在共享、转让环节设置相应联动机制或关于相应联动的合同约定。

 

(三)对于自动化决策的限制

 

自动化决策规则涉及个人信息处理者及精准广告从业者的业务模型的合规问题。《个人信息保护法》在吸纳《电子商务法》和《个人信息安全规范》关于定向推送和个性化展示的规定基础上,对“自动化决策”作出专门限制,旨在规范“大数据杀熟”行为。

 

《个人信息保护法》

《电子商务法》

《个人信息安全规范》

第二十四条:

利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。

通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式

通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

 

第十八条:

电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。

 

7.5 个性化展示的使用

对个人信息控制者的要求包括:

a) 在向个人信息主体提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容;

注:显著区分的方式包括但不限于:标明“定推”等字样,或通过不同的栏目、版块、页面分别展示等

b) 在向个人信息主体提供电子商务服务的过程中,根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项

注:基于个人信息主体所选择的特定地理位置进行展示、搜索结果排序,且不因个人信息主体身份不同展示不一样的内容和搜索结果排序,则属于不针对其个人特征的选项。

c) 在向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应:

1) 为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项;

2) 当个人信息主体选择退出或关闭个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项

d) 在向个人信息主体提供业务功能的过程中使用个性化展示的,宜建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关性程度的能力。

第五十五条:

有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:

(二)利用个人信息进行自动化决策。

 

 

_

7.7 信息系统自动决策机制的使用

个人信息控制者业务运营所使用的信息系统,具备自动决策机制且能对个人信息主体权益造成显著影响的(例如,自动决定个人征信及贷款额度,或用于面试人员的自动化筛选等),应:

a) 在规划设计阶段或首次使用前开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;

b) 在使用过程中定期(至少每年一次)开展个人信息安全影响评估,并依评估结果改进保护个人信息主体的措施;

c) 向个人信息主体提供针对自动决策结果的投诉渠道,并支持对自动决策结果的人工复核

   

根据《个人信息保护法》,自动化决策应当遵守如下限制性规定:

 

  1. 事先进行个人信息保护影响评估,具体的内容包括自动化决策系统在准确性、公平性、歧视、隐私和安全方面的影响(包括对于训练用数据的影响),并对影响评估中的问题予以纠正;

  2. 《个人信息保护法》要求保证决策的透明度和结果公平、公正,因此企业需在用户协议等文件中,向用户披露或介绍算法及其权重逻辑及其对用户权益的影响;

  3.  “同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式”,则要求企业为用户提供退出或关闭个性化展示模式的选项及另一套与其个人信息无关、单纯依据点击量(成交量)、发布时间、价格等统计结果的选项;

  4. “个人有权要求个人信息处理者予以说明”,则对处理信息的企业提出了披露算法及权重逻辑的要求。

  5. 最后,为避免仅仅通过自动化决策作出对个人权益有重大影响的决定,考虑在产品设计之初引入人工复核决策机制。

 

五、对于个人信息处理者的合规要求

 

在《个人信息保护法》项下,除上文具体场景中的具体要求外,个人信息处理者的合规义务还有以下几个方面:

 

(一)合规制度

 

合规制度包括以下几个方面:

 

1. 制定合规内控制度和操作规程

 

鉴于在实务中,个人信息保护系网络安全以及数据合规中的一个环节,企业可以在已有网络安全及数据合规内控制度和操作规程的基础上,结合《个人信息保护法》以及关联性法规、国家标准、指南的规定,进行补充、调整。

 

2. 对个人信息实行分类分级保护

 

《数据安全法》明确要求企业对数据进行分类分级保护,《个人信息保护法》也要求企业对个人信息实行分类管理,尤其对敏感个人信息、出境个人信息、未成年个人信息等应当采取更加严格的保护措施。

 

企业应当根据自身的行业特性,基于企业自身需求,参考如下法律法规要求与行业监管要求,开展企业层面的个人信息分类分级工作,确保个人信息安全,防止未经授权的访问以及个人信息泄露、篡改、丢失。

 

  • 《工业数据分类分级指南(试行)》

  • 《证券期货业数据分类分级指引》(JR/T 0158—2018)

  • 《金融数据安全数据安全分级指南》(JR/T 0197—2020)

  • 《个人金融信息保护技术规范》(JR/T 0171-2020)

  • 《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020)

 

3. 采取相应的加密、去标识化等安全技术措施

 

加密,指对数据进行密码变换以产生密文的过程,可参照《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)(即将实施)具体实施。

 

去标识化,指建立在个体基础之上,保留个体颗粒度,采用假名、加密、哈希函数等替代对个人信息的标识,可参照《信息安全技术 个人信息去标识化指南》(GB/T 37964-2019)具体实施。

 

4. 界定个人信息处理的不同操作权限

 

在对个人信息进行分类、分级的前提和基础之上,企业应当根据部门及岗位职责,设计不同的个人信息访问和处理权限,并制定完整的权限分配管理、权限认证、权限访问控制等制度。

 

5. 制定并组织实施个人信息安全事件应急预案

 

若企业已建立网络安全整体应急预案,则在其基础上进行细化、补充和调整;若无,则可参照《国家网络安全事件应急预案》建立相关预案。

 

(二)组织建设

 

指定个人信息保护负责人,具体要求如下:

 

图片

*依据:《个人信息安全规范》11.1 明确责任部门与人员。

 

(三)落实强制性个人信息保护影响评估

 

高风险处理活动进行“个人信息保护影响评估”(“DPIA”),是个人信息处理者合规经营、持续自主运转以及满足自证要求的保障。此前,我国DPIA的规定限于《个人信息安全规范》,属于非强制性标准,大多数企业并未将评估作为必备内控手段。《个人信息保护法》此次将DPIA提升为强制性要求,企业需要切实予以落实

 

DPIA的具体要求如下:

 

图片

 

六、企业在个人信息保护领域面临多头监管的局面

 

个人信息保护领域部门、地方监管以及职责如下:

 

部门

职责

备注

国家网信部门

(1)统筹协调;

(2)监督管理。

监管统筹

国务院有关部门

在各自职责范围内负责个人信息保护和监督管理工作

(1)宣导和监督;(2)受理投诉和举报;(3)组织个人信息保护情况测评和公布;(4)调查处理违法个人信息处理活动和(5)其他兜底。

部门监管

县级以上地方人民政府有关部门

按照国家有关规定确定

地方监管

 

七、违法责任

 

(一)严苛的民事责任

 

1. 过错推定

 

《个人信息保护法》第六十九条,确立了在侵害个人信息纠纷中的“过错推定责任规则”。当个人信息权益因个人信息处理活动受到侵害,需由信息处理者证明其没有过错,通过举证责任的转移实现对个人信息的保护目的。

 

对于企业来说,只有进行“合规留痕”,方可能证明无过错。在“方月明诉北京金色世纪商旅网络科技股份有限公司、某航空股份有限公司合同纠纷案”[6]中,被告之一提交的一系列证明其“充分履行了对旅客个人信息的保护义务”,得到了法院的认可。对该被告方提交的系列证据,可以称之为企业的个人信息保护“护身符”,兹予以归纳如下,以资借鉴:

 

(1)对企业内的主要业务系统,按照网络安全等级保护制度的要求定期进行等级保护测评,留存《网络安全等级保护测评报告》;

(2)聘请第三方信息安全机构为企业提供包年的专业的网络安全服务,留存《网络安全服务协议》;

(3)在公司组织架构方面,按照法律的要求建立专业化的数据保护合规协同工作机制,如任命数据保护官等;

(4)通过信息安全管理体系标准的认证。

 

2. “公益诉讼”被诉风险

 

《个人信息保护法》赋予了人民检察院、法律规定的消费者组织和由国家网信部门确定的组织向法院提起公益诉讼的职权,以解决个人信息侵权案件波及范围广、个体举证难等问题。

 

公益诉讼制度此前在食品安全、环境污染、未成年人保护等领域已有相关规定。2021年8月6日,北京市海淀区人民检察院以某即时通讯产品“青少年模式”不符合《未成年人保护法》相关规定,侵犯未成年人合法权益,涉及公共利益为由,发出拟起诉公告。

 

2021年8月26日,最高人民检察院下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》,明确各级检察机关在履行公益诉讼检察职责时应当突出重点,从严把握以下方面:生物识别、宗教信仰、特殊身份、医疗健康、金融账号、行踪轨迹等敏感个人信息应当严格保护;儿童、妇女、残疾人、老年人、军人等特殊群体的个人信息需要特别保护;教育、医疗、就业、养老、消费等重点领域处理的个人信息,以及处理100万人以上的大规模个人信息应当重点保护;对因时间、空间等联结形成的特定对象的个人信息加强精准保护。

 

对上述立法、司法动态及工作重点,意味着企业如果没有做好合规建设,将面临很大的被诉风险。

 

(二)严厉的行政处罚后果

 

《个人信息保护法》的罚则,借鉴了GDPR中2,000万欧元或者企业上一年度全球营收的4%(两者取其高)罚款的严厉处罚思路,规定了“责令暂停或者终止提供服务”、“并处五千万元以下或者上一年度营业额百分之五以下罚款”、“吊销相关业务许可或者吊销营业执照”等严厉的处罚措施。对于企业而言,在个人信息处理方面违反该法,行政处罚将危及企业的核心利益。

 

(三)刑事责任

 

违反《个人信息保护法》而构成犯罪的,将被依法追究刑事责任。根据《中华人民共和国刑法》第二百五十三条的规定,违反国家有关规定,向他人出售或者提供公民个人信息情节严重的,以及窃取或者以其他方法非法获取公民个人信息的,构成侵犯公民个人信息罪。而根据最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第二条的规定,《个人信息保护法》属于刑法第二百五十三条之的“国家有关规定”。司法实践中,某知名大数据服务公司因未经授权非法保存2,100万条用户账号、密码,构成侵害公民个人信息罪,被判处罚金三千万元,其公司法人、技术总监也被判刑[7]。对于个人信息处理领域的刑事风险,企业不可不察。

 

图片

 

八、结语

 

作为我国个人信息保护的基本法,《个人信息保护法》根据《宪法》制定,比照《网络安全法》、《数据安全法》以及《电子商务法》等法律,以及网信办、工信部、公安部等出台的一系列规范性文件及国家标准,具有优先适用的效力,因此,就个人信息保护而言,企业必须首先遵守《个人信息保护法》,然后再遵守其他法律规定。

 

鉴于违反《个人信息保护法》的严重法律后果,个人信息处理企业需要在该法2021年11月1日实施前,预先做好合规内控制度与内控流程。

 

注释:

[1] (2018)浙01民终7312号。

[2] (2020)津01民终3291号。

[3] (2019)京0491民初16142号。

[4] 规定详见:

http://www.cac.gov.cn/2021-03/22/c_1617990997054277.htm。

[5] 《个人信息保护法》第二十八条:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

[6] (2018)粤0306民初23342号。

[7] (2020)浙0106刑初437号。