承接本文上篇对《个人信息保护法》(下称“《个保法》”)中“合法性基础条款”“单独同意规则”以及“个人信息主体权利条款”的回顾(可参见【环球合规与风控 | 个人信息保护重点条款回顾——《个人信息保护法》实施一周年观察(上篇)】),本文下篇将重点关注《个保法》中有关个人信息处理者的义务集群,即“个人信息处理者的一般合规义务”“针对特殊主体与特殊对象的个人信息保护义务”以及“特殊场景下的个人信息处理者义务”三部分内容,并尝试对个人信息保护的趋势与挑战进行简要论述,以求抛砖引玉。
据我们观察,在过往的一年中,《个保法》与2017年施行的《网络安全法》和2021年9月1日正式实施的《数据安全法》共同构建了我国网络安全、数据安全与个人信息保护的整体框架,且“三部大法”在实质内容层面也是互相耦合的。因此,我们不能抛弃《网络安全法》和《数据安全法》的背景与实施开展来单独论赏《个保法》下的义务的全面落地。这也同时意味着我们必须避免将个人信息保护同数据要素的流通利用、企业的数字化转型发展以及网络安全与国家安全保护等重要价值割裂评价,而应当坚持以整体的视野看待《个保法》及其重点规则。
以下,我们将从此视角出发,建议个人信息处理者一方面须持续关注“三部大法”及其配套法律法规与规范性文件的细化要求;另一方面也应避免生硬刻板地理解法律条文或生搬硬套他人实践。企业应当结合自身业务发展水平、行业特性、执行风格与行业普遍实施标准,尽本企业在人财物方面的最大能力,开展有效的合规管理与数据治理。并且,在落实个人信息保护责任的基础上有效发挥数据要素的利用价值,在个人信息的保护与利用之间达成效益的最大化。
一、个人信息处理者的一般合规义务
(一)内部制度的流程设计
制定与完善内部个人信息管理制度与流程,是企业数据合规体系建设的基础性工作。具体而言,个人信息处理者应当在内部管理制度或政策中明确内部管理组织与相应职责、管理方式、考核问责、合规审计等合规运作和保障机制,对内部数据安全管理、数据分类分级管理、个人信息保护影响评估、个人信息主体权利请求与响应、第三方合作伙伴管理、员工个人信息保护、个人信息安全事件应急处置、个人信息操作权限、个人信息安全培训等方面提出明确的落地要求和操作指引。
《个保法》实施一年过程中,许多企业已从面向用户的产品侧合规转向企业内部制度的搭建、落实与执行。例如,部分企业结合公司主营业务,自行或邀请外部律师按照多层级文件体系结构,梳理并设计整体数据合规与安全管理制度规范,并由公司内部相关负责机构组织公司各部门落实相关制度规范,组织宣贯、考核与内部审计执行状况。又如,针对数据分类分级这一难点问题,企业一方面制定分类分级策略、分类分级标准等内部制度指引,另一方面结合技术手段和支撑工具推行个人信息的分类分级管理,如利用数据资产梳理盘点及自动化分类分级工具开展敏感数据发现、排查、打标和数据分类分级工作,切实落地个人信息处理者的分类分级管理义务。
(二)个人信息保护负责人
《个保法》第五十二条规定处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。实施一年以来,企业普遍采取的措施为在《隐私政策》中告知用户已设立专门的个人信息保护团队与负责人,并告知了相应的联系方式(如图1)。个人信息保护负责人的设立旨在实现对个人信息处理者履行个人信息保护义务的指导、鞭策与协助,驱动企业选任具有专业背景与管理经验的人选负责个人信息保护工作,同时《个保法》从责任压实的角度对个人信息保护负责人的监督活动进行规制,从而真正提高企业的个人信息保护水平。从这个角度看,部分个人信息处理者还应在实践中进一步提升对个人信息保护负责人披露的透明度,例如在《隐私政策》中告知个人信息保护负责人的身份及职务等。
图1
除《个保法》第五十二条规定个人信息保护负责人外,《网络安全法》《数据安全法》及《信息安全技术 个人信息安全规范》(下称“《个人信息安全规范》”)均要求企业设置相关负责人。我们对其适用对象与职责简单总结为下表,建议尚未履行该义务的企业结合自身情况尽快选聘胜任的人选,并且合理设计不同法下相关责任人的配置以及与原岗位工作的兼顾比例。
(三)个人信息保护影响评估
个人信息保护影响评估是基于风险防范理念的一项制度,关键在于检查个人信息处理行为的合法合规性,事前评估对个人信息合法权益的影响及保护措施的有效性。《个保法》将个人信息保护影响评估作为一项法定的强制性义务,明确了企业应当事前进行个人信息保护影响评估的下述场景以及评估报告和记录至少保存三年的要求:(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;(四)向境外提供个人信息;(五)其他对个人权益有重大影响的个人信息处理活动。评估的内容应当包括:(一)个人信息的处理目的、处理方式等是否合法、正当、必要;(二)对个人权益的影响及安全风险;(三)所采取的保护措施是否合法、有效并与风险程度相适应。
自《个保法》实施以来,已经有越来越多的个人信息处理者将个人信息保护影响评估纳入了日常合规环节,体现隐私与产品设计相融合的理念,并将用户体验作为个人信息保护的重要衡量尺标之一。此外,目前实践中,也已有不少企业借助线上工具方式开展个人信息保护影响评估,通过创建评估问卷清单、部署风险识别库、设计风险评估表,以及跟踪风险降级流程等实现系统自动化的线上评估工作,在满足业务场景全覆盖的同时,大力提升企业各部门间沟通及管理效率。
(四)审计、记录与应急处置
个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计,以满足《个保法》对各项义务实施的检视要求。区别于事前开展的个人信息保护影响评估,企业合规审计主要体现为对个人信息处理事中及事后的风险得以监测与把控,并敦促防范企业发生个人信息安全事件。一周年的实践中,面对处理庞大数量、繁多场景下的个人信息,部分个人信息处理者已经将个人信息合规审计嵌入到各业务场景和企业年度规划中,如建立并开展专项的个人信息合规审计、年度个人信息审计、上市后个人信息保护合规审计等,但仍有大部分企业对此项工作的落实仍处于真空状态,亟待进一步改善。
同时,个人信息处理者应当建立、维护和更新其所处理的个人信息处理活动记录,记录内容可参照《个人信息安全规范》的相关规定。根据《个保法》的规定,履行个人信息保护职责的部门有权查阅、复制与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;而在发生个人信息侵权事件时,个人信息处理者应当承担无过错证明责任,而这种证明责任的实现在很大程度上依赖于对日常个人信息处理活动的记录与保存。因此,我们建议个人信息处理者完善日常记录与维护,当外部监管检查或个人信息侵权事件发生需要举证时,能够有的放矢。
此外,若企业发生了个人信息泄露、篡改、丢失等个人信息安全事件,应当根据《个保法》规定立即采取补救措施,并通知履行个人信息保护职责的部门和个人。一周年的实践中,大部分企业已经在内部建立了个人信息安全事件的管理制度,并从技术上采取加密、访问控制、防泄漏监控、渗透测试等措施防止安全事件的发生。同时,部分企业会开展个人信息的应急演练或攻防演练,并在公司层面上开展个人信息安全培训,以提升公司整体的事前预防与事后处置能力。
二、特殊主体与特殊对象的个人信息保护义务
(一)特殊主体——作为“守门人”的特殊个人信息处理者
1. 条款回顾
《个保法》第五十八条规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行比较一般个人信息处理者更为严格的法律义务。域外的相关法规、指引或标准等将此类型主体称为“守门人”(gatekeeper),要求其履行建立健全个人信息保护合规制度体系、制定平台规则、管理规范平台内经营者和接受社会监督的义务。针对此类特殊个人信息处理者(下称“守门人处理者”)的认定与法定义务的详细解读,可参见【环球合规与风控 | 刍议《个保法》第五十八条“守门人处理者”的理解与适用】。
2. 落地情况
针对守门人处理者的合规义务可以分为三大层次,即对平台建设的义务、对平台内经营者的管理义务以及接受外部第三方监督的义务。在目前实践中,各守门人处理者均较为重视平台建设的落实,例如搭建完善且系统化的内部制度与外部政策、从顶层架构上设立专职组织及负责人、落实与第三方的信息传输及审查评估义务、发布算法规则及备案制度等。同时,在对平台内经营者进行管理的维度,截至目前,各守门人处理者也基本上做到了制定并公开平台规则,明确了平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。
除上述较为完善的落地情况外,从个人信息保护的角度出发,守门人处理者作为具有较大社会影响力与控制力的个人信息处理者,应当进一步完善并落实其法律义务。例如,根据《个保法》第五十八条的规定,守门人处理者应成立主要由外部成员组成的独立机构对个人信息保护情况进行监督,但目前实践中较少有企业对此进行公开披露。又如,对于定期发布个人信息保护社会责任报告的履行,各守门人处理者较多采取了在社会责任报告中专题披露的形式,但披露内容的质量则参差不齐。对此,南方财经全媒体集团与中国社会科学院法学研究所共同研发的“守门人”社会责任指标体系值得关注,该项目根据公开的可查询渠道,严格依据指标,对18家大型平台企业的代表性App做出测评,并判断平台的社会责任履行情况。[1]
3. 合规展望
守门人处理者作为特殊类型的个人信息处理者,相较于一般的个人信息处理者,因其复杂的业务类型和多变的应用场景而涉及更多维度的数据处理关系,包括个人信息在守门人处理者控制的各平台实体间互联互通、汇聚融合等多方面的个人信息保护义务。此外,守门人处理者还面临着诸如数据垄断、消费者权益保护及国家安全保护等多元的治理要求。例如,2022年度国家有关部门对平台经济规范健康持续发展的系列意见,8月1日《反垄断法》的正式实施等,均应当引起守门人处理者的高度重视。又如,“滴滴事件”中触发《个保法》第66条的高额处罚结果也为守门人处理者的合规运营敲响了警钟。因此,对于守门人处理者而言,如何在其业务与技术高速发展的同时平衡好包括个人信息保护、国家安全稳定、竞争秩序健康在内的多元价值,是其在未来所面临的挑战。
(二)特殊对象——对儿童个人信息的保护
1. 规范要求
随着未成年人网络产品和服务的逐渐普及,未成年人个人信息泄露、未成年人个人权益缺乏保障等诸多问题也逐渐浮现。我国已相继出台了《儿童个人信息网络保护规定》《中华人民共和国未成年人保护法(2020修订)》(以下简称《未成年人保护法》)《未成年人网络保护条例(征求意见稿)》等法律法规,逐步健全未成年人个人信息保护法律法规体系,加强未成年人网络环境治理。
在与《个保法》同年修订的《未成年人保护法》增设“网络保护”专章,首次在法律中明确规定未成年人的网络保护义务,要求信息处理者通过网络处理未成年人个人信息的,应当遵循合法、正当和必要的原则[2],具有里程碑意义。《个保法》出台后,首次明确不满十四周岁未成年人(下称“儿童”)的个人信息为敏感个人信息,除了获取父母或者其他监护人的同意外,还要求个人信息处理者对此制定专门的个人信息处理规则以加强保护。此外,《儿童个人信息网络保护规定》第9条[3]、《未成年人网络保护条例(征求意见稿)》第35条[4]以及《个人信息安全规范》第5.4条d项[5]均明文规定了处理儿童个人信息须监护人同意的规则。根据《个保法》对敏感个人信息的定义及获得同意的方式可知,此处儿童监护人的“同意”,应为明示的、单独的同意。
然而,如何在网络虚拟空间中有效检验儿童用户的真实身份以及其监护人的有效同意,在技术实现与合规落地方面均面临着考验。目前,国内尚未有生效的法律法规、政策、标准等对监护人同意机制的验证方式及单独同意的交互问题进行明确规定。2021年发布的《信息安全技术 个人信息告知同意指南(征求意见稿)》(以下简称《告知同意指南(征求意见稿)》),尝试对收集14周岁以下未成年人个人信息的告知同意机制进行设计,在儿童监护人同意机制上,《告知同意指南(征求意见稿)》主要从儿童及监护人的身份验证方式、告知及同意方式进行规定。
2. 落地情况
App产品侧合规是儿童个人信息保护执法的重点目标之一。我们关注到,自《个保法》及相关法律法规实施以来,大多面向儿童的App均主动落实合规义务,专门制定或更新了其《儿童个人信息保护指引》,以及完善其用户协议、隐私政策中儿童个人信息保护的章节(如图2)。
图2
对于不以儿童用户为受众群体的网站/App产品来说,采用强制的年龄验证机制来防止儿童用户进行注册使用的方式尚未普及,且基于用户流量及开发成本的考虑,目前企业采用的最普遍的做法是在用户协议及隐私政策中推定使用其产品的用户为成年人,若为儿童用户则不允许注册使用或者要求在其监护人的指导和同意的前提下进行使用。而实际上,是否为成年人使用,企业一般不实行监测机制,在用户注册界面基本为手机号码或电子邮箱注册、以及使用第三方账号注册登录使用,无额外的用户年龄的验证措施。
对于受众群体包括儿童的网站/App,个人信息处理者在实践中较多则通过设置青少年模式落实身份验证机制(如图3)。但此种模式主要为未成年人防沉迷而设,辅以落实未成年人个人信息的保护,主要合规策略是通过调整优化展示内容来实现的,对用户的准入暂无验真机制。
图3
针对以儿童为全部受众群体的网站/App,企业在实践中使用的仍然是基于知识问答等较低层级的身份验证方法作为验证监护人的首选方案[6],例如在App中设置了基于成语排序、数学题等方式的验证家长身份的方式(如图4)。
图4
3. 合规展望
从一周年的行业实践来看,不论相关网站/App产品的目标对象是否面向儿童用户,国内企业大多会在隐私政策中设置未成年人个人信息保护专章,阐明是否会收集儿童个人信息以及要求儿童获得其家长或监护人的同意。如果相关网站/App产品的目标用户包含儿童,根据《个保法》《未成年人保护法》及《儿童个人信息网络保护规定》等规定,个人信息处理者也会制定单独的儿童个人信息保护规则。我们建议App运营者在考虑验证用户主体年龄的机制时,应遵循最小必要原则收集个人信息以完成验证;针对未成年人提供的产品或服务,企业在可能的情况下履行年龄识别的合理注意义务,在业务流程中增设未成年人识别机制。
三、特殊场景下的个人信息处理者义务
(一)与第三方的个人信息交互
本节所称的与第三方个人信息交互场景,既包括同一企业内部不同关联公司或不同产品线、业务部门之间所存储的个人信息交互,也包括企业与外部第三方之间的个人信息交互。
1. 企业内部的个人信息交互
区别于向外部第三方个人信息处理者进行数据共享或委托外部第三方处理,作为个人信息处理者的各集团内部关联公司或公司内部产品线、业务部门,对落实统一的个人信息安全保护管理措施有较大优势。在《个保法》实施一周年的实践中,相较于外部的个人信息交互,企业对其内部不同实体和不同业务部门之间的数据融合、转让或共享规则的关注度相对较低。从履行《个保法》的视角出发,我们建议企业内部的个人信息交互仍应关注以下合规要点:
(1)区分个人信息融合与共享
个人信息的融合主要关注不同数据源的个人信息汇聚,其中包括了以共享方式的汇聚,以及不同数据源的个人信息使用目的的变化。而个人信息共享则是指决定个人信息处理的目的与方式发生变化。实践中,掌握一定数量个人信息的企业通过建立数据中台或管理平台对各业务部门或二三级子公司收集产生的个人信息进行统一管理。在此过程中,各业务部门或子公司向数据中台传输个人信息的行为,通常为个人信息的共享;而数据中台为进一步的加工使用而对不同来源个人信息的汇聚,则可理解为个人信息的融合。在此,个人信息汇聚融合后的权属确认,以及对该等数据进一步开发利用的保护问题,是企业合规面临的难点。
(2)用户授权
若企业内部的个人信息交互是基于个人信息处理者的委托处理,也即受托方不决定个人信息的处理与目的,则无需取得个人信息主体的授权同意。若集团内部发生用户个人信息共享,也即作为独立的个人信息处理者的法律实体向另一集团内实体提供个人信息的,则根据《个保法》的规定,提供个人信息的处理者应当取得个人的单独同意。目前,掌握较大体量个人信息(包括用户、客户、供应商、员工个人信息)的集团企业通常拥有处理不同业务板块的子公司,这些子公司之间的个人信息共享仍应当向个人履行告知义务并取得个人的单独同意。而在实践中,部分头部互联网公司在集团内不同实体发生数据共享时,如果是App产品,则会在发生个人信息共享时采用弹窗的形式告知用户并取得用户的单独同意(详见本系列上篇“单独同意”章节),但在其他场景以及传统企业在这方面的实施表现上则稍逊一筹。
(3)符合用户的合理期待
无论是个人信息的集团内部共享和/或融合,该处理行为的目的以及方式,不应超出用户的合理预期。对于企业内部个人信息的交互而言,若汇聚或共享后的个人信息使用目的超出与收集个人信息时所声称目的具有直接或合理关联的范围,则应再次征得个人信息主体的明示同意。根据《个人信息安全规范》的规定,将所收集的个人信息用于学术研究或得出对自然、科学、社会、经济等现象总体状态的描述,属于与收集目的具有合理关联的范围之内。在《个保法》实施一周年以来,较难看到个人信息处理者内部数据交互后向个人信息主体重新取得同意。是重来没有发生过融合/共享后的处理目的变化,还是企业都在观望或等待由第一个敢“吃螃蟹”的处理者就“重新获取授权”进行引领,还有待观察。
(4)开展个人信息保护影响评估
根据《个保法》的规定,企业内部若出现委托处理个人信息或向其他个人信息处理者提供个人信息情形的,均应按法定要求事先开展个人信息保护影响评估并记录。此外,根据《个人信息安全规范》的规定,个人信息处理者也应当根据汇聚融合后的个人信息的使用目的,开展个人信息保护影响评估,采取有效的个人信息保护措施。关于个人信息保护影响评估方面的具体要求,请参考上文。
(5)加强个人信息审计与保护措施
对于企业内部的个人信息交互而言,应当加强个人信息审计、评估以及保护措施,一方面落实《个保法》所要求的法定合规审计义务,另一方面也可控制个人信息共享和融合后带来的安全风险。例如,可采取将个人信息进行匿名化后再进行共享与融合的措施以降低个人信息处理者的安全风险。关于个人信息审计与保护措施的具体要求,亦请参考上文。
2. 企业与外部第三方的个人信息交互
根据《个保法》,目前个人信息处理者与外部第三方的个人信息交互场景同样分为两类:其一,个人信息处理者委托处理个人信息;其二,个人信息处理者向其他个人信息处理者提供个人信息以及个人信息处理者转移个人信息。本部分将重点就委托第三方处理个人信息与向第三方提供个人信息展开。
(1)委托处理
对于个人信息处理者而言,委托第三方处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。受托人不应超出约定的处理目的、处理方式等处理个人信息,因而作为委托人的个人信息处理者仍对其处理的个人信息拥有控制权,且无需因委托行为额外取得用户的同意。在目前的实践中,企业普遍仅在《隐私政策》中对委托处理的情形向用户进行告知(如图5),但并未像个人信息共享场景披露共享的第三方那样详尽。
图5
在此,我们建议企业一方面在《隐私政策》中对委托处理的情形进行告知,另一方面也应当与受托方签订数据处理协议约定处理的目的、期限、处理方式、个人信息的种类、保护措施、双方的权利和义务以及转委托情形等,并真正落实对受托人个人信息处理活动的持续监督。
在委托第三方处理个人信息的场景中,一个当前普遍存在的实践是企业将内部员工个人信息委托外部第三方处理的情形。例如委托外部人力资源管理公司处理用人单位的员工个人信息等场景。根据《个保法》的规定, 该等处理所依据的合法性基础为“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”。实践中,已有越来越多的企业重视规范《员工隐私保护政策》或《员工手册》,并在劳动合同与相关劳动规章中明示委托处理员工个人信息的范围、数量、受托方等事宜,同时采取显著方式告知员工其所处理的敏感个人信息,以及处理的必要性与对个人权益的影响。这体现出企业普遍提高了对员工个人信息保护的重视程度,并将对员工个人信息与用户/客户个人信息采取同等力度的保护措施。此外,另一个普遍存在的实践为IT外包场景,在该场景下企业通常会委托外部第三方IT服务商处理企业的个人信息,包括员工个人信息以及用户个人信息。我们建议在此情形下,企业作为个人信息处理者,应当注意与作为受托方的IT服务商签订数据处理协议并切实落实对个人信息保护的管理义务,以及对外部第三方的评估与监督义务。
(2)向第三方提供个人信息
个人信息处理者向第三方提供个人信息的情形,主要表现为个人信息的共享。根据《个保法》的规定,向第三方提供个人信息的,个人信息处理者一方面应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,另一方面也应当取得个人信息主体的单独同意。我们已在本系列上篇文章中对该内容有所讨论,此处不再赘述。
对于在与外部第三方的个人信息共享场景中,较为常见的一类是第三方SDK的个人信息共享。在一周年的实践中,App运营者普遍已在隐私政策和界面设计中落实了“第三方信息共享清单”的告知披露义务,其中包括了对第三方SDK的披露,以满足服务感知提升的监管要求。但同时,对于第三方SDK的个人信息共享仍存在如下几点难题有待解决:第一,目前App运营者大多在用户首次使用时,通过弹窗告知第三方合作清单,但较少有企业会满足用户对某一具体第三方SDK的同意或拒绝,同时也缺少对第三方SDK撤回同意的机制,这意味着用户无法完全实现对第三方SDK处理个人信息的自主决定权。第二,若第三方 SDK 提供者为独立的个人信息处理者,则此时采用三重授权原则(即“【用户-App运营者】+【App运营者-第三方SDK提供者】+【用户-第三方SDK提供者】”)可以解决SDK获取App用户个人信息的正当性问题。但在实践中,App运营者通常较难与行业内有较大影响力的头部第三方SDK开方者达成线下的数据处理协议,也无法与之约定双方的数据处理关系及保护责任,因而在第三方SDK处理用户个人信息的合法性基础上亦存在问题。第三,对于第三方SDK,App运营者应当开展集成前的来源安全性评估、代码安全性评估与行为安全性评估[7],同时对集成的SDK开展持续的审核以确保其未超出用户同意范围处理个人信息。在实践中,App运营者如何在事前评估与事中审核方面均存在合规挑战。
此外,自《个保法》实施以来,实践中另外一个较为复杂的发生个人信息共享的业务场景为数字广告营销。目前,广告发布者通常直接收集用户个人信息并取得个人信息主体的授权同意。而广告发布者的众多第三方合作伙伴则通过发布者实现对个人信息的间接收集。在此情况下,广告发布者向第三方合作伙伴提供其收集的个人信息时,应当满足告知用户第三方合作伙伴的基本情况、共享的个人信息种类、使用目的与共享方式等,并取得用户的单独同意。但在实践中,广告发布者通常不区分不同第三方合作伙伴的处理目的,仅通过一揽子的隐私政策获取用户同意,并且也不具体写明向哪些具体的第三方共享,基本笼统处理为广告主或者代理方平台,无法实质性地约束第三方合作伙伴可能存在的超出授权范围的违法处理行为。而从第三方合作伙伴角度出发,其也无法保证广告发布者获取了用户合法有效的单独同意,从而亦面临着处理用户个人信息时合法性基础存在缺陷的风险。
(二)个人信息的跨境提供
在全球化背景下,数据跨境流动已成为趋势。个人信息处理者在国际合作和海外市场拓展等业务活动中对数据跨境传输的需求激增,业务场景更是纷繁复杂。譬如,国内企业与其境外子公司进行数据共享和传输、与境外合作方开展业务合作与谈判、赴境外IPO、派遣员工到海外出差、应对涉外司法执法事件等场景,均可能涉及个人信息的跨境提供。此外,较多在华的外资企业均存在个人信息向其境外母公司或者关联公司传输出境,并进而需要开展数据出境安全评估的情形,其涉及较多的场景为员工个人信息的出境、办公系统处理个人信息,以及在提供产品/服务场景下终端用户或消费者个人信息的出境。对于向境外提供个人信息的个人信息处理者,需至少履行以下义务:
第一,告知并取得个人信息主体的单独同意,包括向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式等;第二,事先进行个人信息保护影响评估并对处理情况进行记录与保存,通过全面排查摸底确定出境的个人信息量级、敏感程度等;第三,根据自身实际情况选择数据出境安全评估(下称“安全评估”)、专业机构的个人信息保护认证、签订标准合同等不同出境路径(详见图6);第四,针对拟传输的数据采取加密或者其他形式的安全处理措施(例如采用去标识化等脱敏处理),并落实相关管理制度以及技术保障手段和能力。同时保障境外接收方处理个人信息的活动达到《个保法》规定的保护标准;第五,记录出境情况并进行保存,包括向境外提供个人信息的日期时间,境外接收方的身份(包括但不限于接收者的名称、地址、联系方式等),向境外提供的个人信息的类型及数量、敏感程度等。
图6
根据简要梳理,我们发现个人信息的跨境提供在实践落地过程中往往存在以下重点问题:
1. 关于境外个人信息处理者是否需申报安全评估的问题
对于个人信息处理者于境外直接处理境内自然人个人信息的活动,因其行为满足《个保法》第三条第二款的规定而在是否属于并应当适用数据出境规则上存在较大争议。经向有关网信部门咨询,我们理解目前该场景构成数据出境,达到申报条件的,应进行数据出境安全评估申报。同时,鉴于境外个人信息处理者应根据《个保法》第五十三条[8]在境内设立专门机构或者指定代表,具体申报部门的选择应根据该专门机构或者指定代表所在地确定。我们认为,对数据出境安全评估的违规,其性质与中概股企业未经网络安全审查赴国外上市相类似,其共同点均指向因数据出境而未申报所产生的国家安全风险。这一点上,我国与GDPR项下境外实体直接采集的规制思路有所不同,企业应尤其关注。
2. 关于去标识化与匿名化的个人信息跨境传输的问题
首先,个人信息处理者应当注意去标识化与匿名化的实质区别。从法律性质上看,个人信息匿名化处理后不再属于个人信息,而去标识化处理后仍属于个人信息。从效果上看,匿名化的技术手段更彻底,经过匿名化后的个人信息因无法再识别到个人,因此不再是个人信息;而去标识化是个人信息处理者内部针对个人信息安全的一种保护手段,去标识化后的个人信息在借助额外信息的情况下仍可再次识别到个人,因此个人信息虽去标识化但仍属于个人信息。
在个人信息跨境传输的语境下,去标识化后究竟是否可能再次识别个人则取决于境外接收方是否可以通过技术手段并结合其他信息来识别具体个人。例如企业曾向境外接收方传输用户的手机号码、地址、姓名等完整字段,境外接收方也在其数据库中进行了保留,那么即使本次传输出境方企业使用了去标识化措施,境外接收方仍可以通过撞库或者用户ID映射的方式识别到具体个人,因此,离岸后的数据在此场景下依然保留个人信息的属性,应被认为属于个人信息出境。
3. 关于哪些情形属于“法律、行政法规或者国家网信部门规定的其他条件”
除《网络安全法》《数据安全法》和《个保法》确立的数据和网络安全整体体系外,企业还应当考虑其他相关法律法规的要求。例如,根据《中华人民共和国保守国家秘密法》第三十条,机关、单位对外交往与合作中需要提供国家秘密事项,或者任用、聘用的境外人员因工作需要知悉国家秘密的,应当报国务院有关主管部门或者省、自治区、直辖市人民政府有关主管部门批准,并与对方签订保密协议。如涉及健康医疗大数据,则根据《国家健康医疗大数据标准、安全和服务管理办法(试行)》第三十条,应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。如涉及测绘成果,则根据《中华人民共和国测绘法》第三十四条,属于国家秘密的,适用保密法律、行政法规的规定;需要对外提供的,按照国务院和中央军事委员会规定的审批程序执行。如涉及人类遗传资源信息,则根据《中华人民共和国生物安全法》第五十七条,向境外组织、个人及其设立或者实际控制的机构提供或者开放使用的,应当向国务院科学技术主管部门事先报告并提交信息备份。
4. 关于境外接收方向境外第三方再次提供所接收的个人信息是否应再次签署“个人信息出境标准合同”(下称“标准合同”)的问题
如果在部分业务场景中境外接收方确需将所接收的个人信息提供给境外第三方,在满足向个人告知并取得单独同意等《个保法》中所列明的条件以外,还建议境内个人信息处理者在与境外数据接收方所签订的标准合同中,以排他性列举的方式明确境内个人信息处理者所认可的境外第三方(即分处理者或次处理者)情况;以及如果未经境内个人信息处理者同意,境外数据接收方不得再向境外第三方提供个人信息。同时境内个人信息处理者也应当要求境外数据接收方对第三方的过错承担连带责任。
若存在境外接收方向境外第三方再次提供所接收的个人信息的情况,境内个人信息处理者可以直接在与境外接收方所签的标准合同中约定关于境外第三方的相关条款,比如在《个人信息出境标准合同规定(征求意见稿)》(下称“《标准合同规定(征求意见稿)》”)附录一的第(六)项中阐明境外接收方可能再向哪些第三方主体提供个人信息,避免重复签订标准合同或补充协议以及进行多次备案。
而若境内个人信息处理者需通过安全评估方可跨境传输个人信息的,则根据《数据出境安全评估办法》(下称“《评估办法》”)的规定,其应当事先在与境外接收方订立的法律文件中对接收方将出境数据再转移给其他组织、个人的约束性要求作出明确约定。此外,企业在起草与境外接收方拟订立的相关法律文件(如“数据跨境传输协议”)时,一方面可参考《标准合同规定(征求意见稿)》中“个人信息出境标准合同”模板,另一方面也应当参考《评估办法》补充相关重点内容(具体请参见【环球合规与风控 | 数据出境合规指引之二——依规开展数据出境安全评估】)。
四、个人信息保护的挑战与趋势
通过本文上下篇中的观察与阐释,在《个保法》正式实施一周年之际,我国个人信息保护工作取得了积极的成效,有关个人信息保护的配套法律法规日趋完善,保护工作机制进一步健全,个人信息保护的执法持续深入开展,个人信息处理者的保护意识显著提高、保护能力也显著增强。但从客观上看,综合本文上下两篇的分析,个人信息保护合规工作依然面临着不少难点与挑战。从各项合规义务细化落实层面看,至少包括如下难点问题:如何进一步明确规范个人信息转移权的实践落地措施?如何在儿童个人信息保护中实现监护人认证与验真机制?在B端长链条的个人信息流通中,如何解决个人信息主体授权的不真实不客观?在复杂的多方个人信息交互共享场景中,如何有效落实个人信息主体的单独同意?而从更为宏观的层面看,面临的难点与挑战主要为:如何进一步打通不同立法之间的概念衔接?(如《网络数据安全管理条例(征求意见稿)》中对“重要数据”与“100万个人信息”的关系[9])如何实现“守门人处理者”在汇聚融合大量个人信息后的垄断标准判断及相关市场的界定?以及对于各领域各行业(包括正在经历数字化转型的传统行业)的个人信息处理者而言,如何更好地平衡个人信息的利用与保护的边界以最大化发挥数据要素价值?等等。
同时,结合过往实践经验与观察,我们尝试提出我国个人信息保护工作的可能趋势:首先,个人信息保护将进一步同数据价值利用、竞争秩序维护、国家安全保护等一系列重要领域相结合,呈现出更为一体自洽的完整合规体系;第二,我国的个人信息保护立法将进一步借鉴国外优秀的数据立法实践经验,同时《个保法》的国际化及影响力也将进一步提升;第三,个人信息保护监管的多元化与针对性将进一步提高,面对不同业务领域(如金融、生物医疗、智能网联汽车、传统制造业、电商与消费品、社交生活平台等等),各领域监管部门将开展更贴合行业本身的执法与规制;而面对不同体量与发展阶段的个人信息处理者,则将结合其社会影响力及控制力施行更符合企业状况的监督与管理;最后,从个人信息处理者的合规管理角度看,个人信息保护工作将与技术手段进一步结合,传统信息安全技术与合规保护工作的分立状态将逐步向制度策略、安全架构和工具支撑的紧密结合过渡。
注释:
[1] 详情可参见https://m.21jingji.com/article/20221101/herald/6be1656c89b1ad830ab0073ff1fd9000.html。
[2] 《未成年人保护法》第七十二条明确规定“信息处理者通过网络处理未成年人个人信息的,应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外。未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除,但法律、行政法规另有规定的除外。”
[3] 《儿童个人信息网络保护规定》第9条规定:“网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式知儿童监护人,并应当征得儿童监护人的同意。”
[4] 2022年3月14日《未成年人网络保护条例(征求意见稿)》第35条第1款规定:“个人信息处理者基于个人同意处理不满十四周岁未成年人个人信息的,应当取得未成年人的监护人同意。”
[5] 《信息安全技术 个人信息安全规范》第5.4条“收集个人信时的授权同意”规则:“收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监人的明示同意”。
[6] 该验证方法由Imperium公司提出,于2013年12月被FTC正式审查通过并纳入。参见方巧娟:《儿童监护人同意机制国内外立法、实践及合规路径》,https://mp.weixin.qq.com/s/xyTzj0auCUQBXiC5XxhBFw
[7] 详见《网络安全实践指南——App使用软件开发工具包(SDK)安全指引》5.2 b)。
[8] 《个人信息保护法》第五十三条:“本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。”
[9] 《网络数据安全管理条例(征求意见稿)》第二十六条:数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。