随着信息技术的快速发展,在大数据时代,个人信息的安全也变得越来越重要。近年来,不同法域的法律法规均根据其实际情况制定了个人数据信息保护制度,其中均包含了涉及个人信息泄露的相关规定。
2018年5月,被称为“史上最严”的欧盟《通用信息保护条例》(“GDPR”)生效。相比欧盟,美国在联邦层面的保护个人信息的立法分散在诸多不同领域的法律法规中[1]。在州层面,《2018加利福尼亚州消费者隐私法案》(“CCPA”)成为了美国保护消费者个人数据的标志性法案之一。[2]中国于2021年11月1日起实施《个人信息保护法》(“《个保法》”),成为中国第一部专门规范个人信息保护的法律。
个人信息保护制度基本的框架为:就受保护的个人信息予以定义、就数据处理者处理个人信息时需要遵守的规则及受保护的主体所拥有的权利予以明确、就个人信息泄露和跨境转移设定法定程序和要求并建立相关罚则等。其中,就个人信息泄露事件发生后,除如何采取相应的补救措施外,有关企业是否还应承担相应的通知义务,是企业关心的一大话题。本文试从比较《个保法》、GDPR、CCPA的角度,对就不同法域内各类企业在个人信息泄露事件发生后的通知义务进行简要比较,以期帮助企业更好地理解在当前大环境下个人数据保护的合规要求。
在详述相关内容前,我们就前述三个法域的主要立法整理下表,将个人信息泄露事件涉及到的通知义务主体及其定义、保护对象、保护标的、通知义务、通知对象以及监管机构做了初步梳理:
一、个人信息处理者/数据控制者应对个人信息泄露履行通知义务
(一)泄露的信息是否属于个人信息?
在发生个人信息/个人数据(本文以下统称为“个人信息”)泄露事件时,个人信息处理者/数据控制者首先需要明确的是该事件泄露的信息是否属于法律规定的个人信息。我们就个人信息的定义制作了以下的表格供读者参考:
《个保法》与GDPR在个人信息的定义中都强调了已识别的或者可识别的自然人。GDPR对于可识别的自然人通过列举进行了解释,即一个可识别的自然人是一个能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别的个体。[5]
《个保法》对于可识别的自然人及其有关信息并未作出具体解释,但《中华人民共和国民法典》第1034条中对个人信息的定义列举出了自然人姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子信箱、健康信息、行踪信息等不同类型的个人信息[6]。此外,中国已有推荐性国家标准对个人信息进行了列举性的说明。[7]
相较而言,CCPA中对“个人信息”的定义则比《个保法》及GDPR更为宽泛,但同时其也以列举的方式列出了有代表性的个人信息[8],并将家庭、身份关联和设备的信息纳入了个人信息的范畴。
同时,如上表所示,《个保法》与GDPR均指出,对个人信息的保护不适用于匿名化信息[9]。而在CCPA中,其未明确采用“匿名化”的概念,而是采用了去标识化的概念,即CCPA不限制企业收集、使用、保留、出售或披露已去标识化的或综合消费者中的消费者信息。《个保法》就此有所借鉴,对“去标识化”作出了上表所述的定义,但并未将“去标识化”的个人信息排除在其保护范围外。
此外,CCPA明确定义个人信息不应包括:(a)公开可得的信息;(b)合法获得的、真实的、引起公众关注的信息;及(c)已汇总的信息。这一规定未在《个保法》中体现。
综上,企业在判断泄露的个人信息是否属于中国法律体系上受保护的个人信息时,应综合中国法律中对个人信息的定义进行研判,结合泄露事件的具体情况进行分析。
(二)个人信息泄露如何定义?
在GDPR中,个人信息泄露(personal data breach)是指由于“违反安全保障措施”(breach of security)而导致传输、储存、处理中的个人数据被意外或非法损毁、丢失、更改或未经同意而被公开或访问。[10]
与GDPR不同的是,CCPA并未对个人信息泄露进行明确定义。相较而言,加州民法典中则将违反安全保障措施(security breach)定义为:“未经授权获取计算机化信息,损害了个人信息的安全性、保密性或完整性,但不包括某些善意取得。”[11]
我国《个保法》中也未就个人信息泄露这一事件做直接定义,仅规定了在发生或可能发生个人信息泄露、篡改、丢失时,个人信息处理者应履行相应的通知义务。
(三)个人信息泄露事件中的通知义务是什么?
GDPR要求,在个人信息泄露的情形中,数据控制者对监管机构及数据主体均承担通知义务。根据GDPR规定,除非数据控制者可以证明数据泄露对于相关自然人的权利或自由不太可能会带来风险,否则数据控制者应当及时通知监管机构[12]。当数据泄露可能给相关自然人的权利与自由带来高风险时,数据控制者应当及时通知数据主体[13]。
《个保法》针对个人信息泄露事件的通知义务的规定与GDPR类似,规定在发生或可能发生个人信息泄露、篡改、丢失,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。此外,《个保法》也设置了免于通知个人的情形,本文第二部分第(一)节将予以详述。
而在CCPA中,仅规定了企业在收集个人信息前应通知消费者特定事项,并未对个人信息泄露后的通知义务作出专门规定。然而,监管机构或个人可充分利用加州民法典中规定的该州信息泄露的一般通知义务规定要求所有在加州开展业务的企业、机构和个人在发生个人信息泄露事件时履行其通知义务[14]。
(四)如何判断企业是否属于应履行通知义务的实体?
如前所述,CCPA并未明确应履行个人信息泄露后通知义务的实体。根据加州民法典下规定的信息泄露的一般通知义务,我们可推断,满足CCPA中定义的企业应为需履行该等通知义务的实体之一。
而在GDPR中规定,履行个人信息泄露事件通知义务的实体是数据控制者。GDPR中的数据控制者是指决定个人数据处理目的与方式的自然人或法人、公共机关、规制机构或其他实体[15]。
《个保法》中履行通知义务的“个人信息处理者”的定义与GDPR中的“数据控制者”类似,强调了该等实体对个人信息处理的自主决定。如前所述,个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。需要注意的是,《个保法》也规定,共同处理个人信息的个人信息处理者对侵害个人信息权益的行为也依法承担连带责任[16]。据此,我们理解,共同参与处理个人信息的个人信息处理者在出现个人信息泄露风险时也应履行相应的通知义务。
二、企业应就泄露事件具体情况评估如何履行个人信息泄露通知义务
(一)个人信息泄露事件的危害程度决定如何履行通知义务
在GDPR中,若个人信息泄露并不会对自然人的权利或自由产生风险,则数据控制者无需履行其向监管部门的通知义务。[17]。当个人信息泄露很可能给自然人的权利与自由带来高风险时,数据控制者应当及时通知数据主体。同时,数据控制者若符合GDPR罗列的情形的,其可以不向数据主体履行通知义务[18]。此外,GDPR下的监管机构基于对数据泄露风险的考虑,可以依职权要求数据控制者履行向数据主体的通知义务[19]。
与GDPR相似的是,《个保法》规定在发生个人信息泄露事件时,若个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人[20]。但若监管部门认为可能造成危害的,则个人信息处理者仍应向个人履行通知义务。与GDPR不同的是,《个保法》并未规定可以不向监管部门履行通知义务的情形。
《个保法》上述规定排除了凡有个人信息泄露事件都必须通知相关个人的情况,但是对于个人信息处理者该如何判断“可以避免”个人信息泄露的危害,《个保法》尚未给出具体的判断标准。此外,个人信息处理者向监管部门的通知义务并没有除外情形。由于《个保法》生效的时间距今较短,中国的监管部门尚未对这一规定作出具体的解释,这仍有待未来相关配套实施细则的出台予以完善。
(二)通知内容需包含特定信息,企业对监管部门通知义务的履行有具体的时间限制
GDPR详细规定了数据控制者履行通知义务时应包括的通知内容以及个人信息泄露事件发生后数据控制者履行监管部门通知义务的时限,但并未规定通知数据主体的时限(仅指出不得无故拖延)。与GDPR规定相似,《个保法》中亦详细规定了个人信息处理者履行通知义务时应包括的通知内容[21]。不过,《个保法》中未就个人信息处理者履行通知义务的时限做具体规定。我们同样也梳理了加州民法典中企业履行通知义务时应包括的通知内容及时限。
下表对数据控制者/个人信息处理者/企业履行通知义务的时限及通知内容进行了梳理:
我们注意到,除上述信息外,就触发履行通知义务的“门槛”、通知的监管机构的具体部门和具体级别等问题,《个保法》及我国现有生效法规尚未作出具体解释。
目前中国正在逐渐构建个人信息保护的法律体系,这包括进一步细化个人信息处理者履行个人信息数据泄露事件的通知义务的相关规定。国家互联网信息办公室于2021年11月14日发布了《网络数据安全管理条例(征求意见稿)》,其中指出:在发生数据安全事件时,数据处理者应在三个工作日内通知利害关系人。发生重要数据或者十万人以上个人信息泄露、毁损、丢失等安全事件时,数据处理者还应在发生安全事件的八小时内向市级网信部门和有关主管部门报告事件基本信息,并在事件处理完毕后五个工作日内向市级网信部门和有关主管部门提供调查评估报告[27]。尽管上述规定目前仍处于征求意见阶段,但其已表现出了就这一问题的监管姿态。我们期待,相关制度的正式实施将有助于作为个人信息处理者的企业更好地据此建立自己的个人信息保护合规体系。
(三)境外企业可能也须履行其在《个保法》下的通知义务
除均可管辖境内个人信息处理行为之外,各国个人信息保护法律在管辖范围上存在一定不同。GDPR的管辖范围体现为“属地+属人”原则,即GDPR可管辖境外实体对其境内数据主体的个人信息处理行为[28]。CCPA和加州民法典作为加利福尼亚州立法,其管辖主要体现在“属地”原则,仅管辖在加利福尼亚州内进行的商业活动。
与GDPR和CCPA不同的是,《个保法》对境外个人信息处理者的管辖主要体现的是“属地+例外”的原则,即《个保法》对境外企业(非中国境内实体)在其罗列的例外情形下亦有管辖权。这些例外情形主要包括:向境内自然人提供产品或者服务为目的或分析、评估境内自然人的行为以及法律、行政法规规定的其他情形[29]。
对于未通过在中国境内设立的实体开展相关业务的境外企业来说,其亦应据此履行《个保法》规定的通知义务。根据《个保法》的规定,境外企业作为个人信息处理者,还需要在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门[30]。如前一节所述,通知的监管机构的具体部门、级别及相关流程,有待中国相关实施细则的进一步明确。
(四)违反通知义务的罚则
根据GDPR,除需要接受监管部门依职权做出的相关指令外[31],如企业违反信息泄露通知义务,其有可能被处以至多1千万欧元或者至多上一财年全球营业额2%的罚款,以孰高者为准;出现违反监管部门对信息泄露事件的相关指令等严重情况的,其将被处以至多2千万欧元或者至多上一财年全球营业额4%的罚款,以孰高者为准。[32]
《个保法》对于企业违反信息泄露通知义务的罚则有所不同。根据《个保法》,除对企业处以罚款外,监管部门还可以对企业直接负责的主管人员和其他直接责任人员(以下称“企业负责人员”)处以罚款,且也可对企业及企业负责人员处以其他行政处罚。
基于《个保法》第66条的规定,违反信息泄露通知义务的企业可被处以1百万元以下罚款。情节严重的,将被处以5千万元以下或上一年度营业额5%以下的罚款。对企业负责人员,其也可能被处以1万元以上10万元以下罚款,情节严重的,处以10万元以上1百万元以下罚款。
此外,根据情节严重程度,未能履行信息泄露通知义务的个人信息处理者有可能被处以责令改正、给予警告、没收违法所得、责令暂停相关业务、停业整顿、吊销相关业务许可或者吊销营业执照等处罚。企业负责人员可被禁止在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
三、结语
鉴于世界各主要经济体正陆续完善其个人信息保护法律体系,跨国企业可以提早制定针对各司法管辖区内的个人信息保护合规措施。中国的个人信息保护法律体系也在日渐完善。在出现个人信息泄露风险时,企业可以根据其已相应建立的合规体系精确判断其是否承担具体的通知义务,并根据法律要求完成其应履行的通知义务。
注释:
[1] 2022年6月3日,一项美国跨党起草的联邦数据隐私法案草案,即《美国数据隐私和保护法》(ADPPA)对外发布。ADPPA是一项旨在提议在美国建立强有力的个人数据保护联邦制度的法律草案。
[2] 2020年,加州通过了《加利福尼亚州隐私权法案》(CPRA)。CPRA修订了CCPA的某些规定。此外,加州民法典也对信息泄露后企业应履行的一般通知义务做了相应规定。
[3] “消费者”是指Section 17014 of Title 18 of the California Code of Regulations定义的加州居民;该法规定义“居民”包括“以非临时目的居住在加州境内的自然人”以及“以临时目的居住在加州境外的加州居民”。
[4] Cal. Civ. Code §§ 1798.140(h)
[5] GDPR Article 4 (1)
[6] 《民法典》第1034条规定:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
[7] GB/T 35273-2020《信息安全技术个人信息安全规范》3.1
[8] Cal. Civ. Code §§ 1798.140 (o)
[9] 《个保法》第4条,GDPR Recital 26
[10] GDPR Article 4 (12)
[11] Cal. Civ. Code §§ 1798.82 (g)
[12] GDPR Article 33 (1)
[13] GDPR Article 34 (1)
[14] Cal. Civ. Code §§ 1798.29, Cal. Civ. Code §§ 1798.82
[15] GDPR Article 4 (7)
[16] 《个保法》第20条
[17] GDPR Article 34 (1)
[18] GDPR Article 34 (3):(a)控制者已就泄露数据采取合适保证措施的;(b)控制者的后续措施可保证给数据主体的权利与自由带来的高风险不再有实现可能的;及(c)履行通知义务需要付出不相称的努力
[19] GDPR Article 34 (4)
[20] 《个保法》第57条
[21] 《个保法》第57条
[22] Cal. Civ. Code §§ 1798.82 (d)
[23] GDPR Article 33 (3) (a):描述个人数据泄露的性质,包括在可能的情况下,描述所涉数据主体的类别和大致数量以及所涉个人数据记录的类别和大致数量; Article 33 (3) (c)
[24] GDPR Article 33 (3) (d):描述控制人已经采取或拟采取的处理个人数据泄露的措施,包括在适当情况下减轻其可能的不利影响的措施
[25] GDPR Article 33 (3) (b)
[26] GDPR Article 33 (1)
[27] 《网络数据安全管理条例(征求意见稿)》第11条
[28] GDPR Article 2, Article 3
[29] 《个保法》第3条第2款
[30] 《个保法》第53条
[31] GDPR Article 58
[32] GDPR Article 83 (4), Article 83 (5), Article 83 (6)