亚搏全站手机客户端

當前位置: 首頁 >> 中文版 >> 業務研究 >> 研究動態
數字時代下個人信息的“保護神” ——《個人信息保護法(草案)》解讀
日期:2020-11-16    閱讀:139次

一、出臺背景

亚搏全站手机客户端 隨著全球網絡基礎設施的不斷完善,移動互聯網、物聯網、云計算等服務的普及,世界已步入數字化時代。在數字時代下,數據成為了關鍵的生產要素,而其中個人信息占有重要比重。數字診療、人臉識別、人工智能等領域的技術發展給人們生活帶來便捷的同時,也使得個人信息遭受侵害的風險成幾何量級增大,導致泄露事件層出不窮、愈演愈烈。

因此,個人信息保護逐漸成為各國立法機構關注的重要議題。至今,全球已經有140多個國家和地區制定了個人信息保護有關的法律。2018年5月25日實施的歐盟《通用數據保護條例》(“GDPR”,General Data Protection Regulation)獨樹一幟,成為眾多國家立法的重要參考。一方面是因為GDPR設計了一整套較完備的個人信息保護制度,其中很多保護原則和理念得到國際認同;另一方面是因為歐盟是一個重要市場,很多國家(例如,印度)為了促進該國與歐盟之間的數字貿易發展,不斷提高本國的個人信息保護水平,向GDPR的標準看齊。

近年來,我國作為數字經濟的大國也在搭建個人信息保護方面的基本法律框架,其中,《民法典》設立專章規范隱私權和個人信息保護,《刑法修正案》增加“侵犯公民個人信息罪”等罪名,《網絡安全法》確立個人信息保護的原則,《數據安全法(草案)》(“數安法”)從數據作為信息的底層載體的角度提出數據安全措施要求,《消費者權益保護法》明確“商品和服務提供者”對消費者個人信息的保護義務,《電子商務法》對電子商務經營者提出個人信息保護要求,《個人信息出境安全評估辦法(征求意見稿)》詳細規定個人信息出境的安全評估要求等等。不過,個人信息保護的專門法律一直缺位,社會各界呼吁制定《個人信息保護法》的聲音越來越高。

亚搏全站手机客户端 2020年10月21日,“中國版GDPR”,即《個人信息保護法(草案)》(“本法”),經全國亚搏全站手机客户端代表大會常委會審議后的正式“亮相”,全文八章七十條。下文將就本法的重點章節進行解讀。

二、健全個人信息處理原則

(一)六大處理原則

本法確立了處理個人信息應遵循六個主要原則:方式合法正當(第5條)、目的明確合理(第6條)、最小必要(第6、20條)、處理公開透明(第7條)、準確性(第8條)、安全保護(第9條)。上述原則與世界趨同的個人信息保護原則以及《網絡安全法》《民法典》的規定基本一致,其適用精神貫穿本法全文。

(二)“告知+同意”處理規則

在處理規則方面,本法確立“告知+同意”為核心,體現了對個人權益的尊重,也與上文中的合法正當和公開透明兩個原則相呼應。

1.“告知”義務 

亚搏全站手机客户端 本法第14條就將“充分知情”作為“同意”的前提條件。本法第18條具體列舉個人信息處理者(“處理者”)應當告知的事項,主要包括其基本信息、信息處理的目的和方式、個人行使本法權利的方式和程序等。本法第19條規定了告知的例外情形,即在法律、行政法規規定應當保密或不需要告知的情況下,可以免除告知義務,但是該義務在緊急情況下無法及時告知時并不免除,而是將前置改為后置,凸顯告知義務的重要性。

亚搏全站手机客户端 在以上基本適用原則的基礎上,本法還規定了如下幾類需要履行告知義務的情況:

亚搏全站手机客户端 個人信息轉移和傳輸情況下的告知義務(第23、24條)。前者是在處理者“合并、分立”等情況下,而后者是向第三方提供的情況下。雖然兩種情況下均需履行告知義務,但告知的內容略有不同。前者僅需告知接收方的身份和聯系方式,而后者還需包括處理目的和方式以及個人信息的種類。其差別在于前者信息接收方基于收購等原因承繼了處理者原來的業務,所以處理目的和方式以及個人信息的種類在大多數情況下沒有變化;而后者作為獨立于處理者的第三方,其處理目的和方式以及個人信息的種類的變化是其應有之義。

處理已公開的個人信息時,如果超出被公開時的用途的合理范圍或者對個人有重大影響,需要履行告知義務(第28條)。

亚搏全站手机客户端 在處理敏感個人信息時,除第18條規定的事項外,還應當告知處理敏感個人信息的必要性以及對個人的影響(第31條)。

在國家機關履行法定職責處理個人信息時和個人信息出境時,均需履行告知義務(第35、39條)。

2.“同意”義務

除了本法第28條(2)-(6)列舉的情形之外,取得個人的同意是處理者處理個人信息的前提。本法第14條明確了同意需基于“充分知情”、“自愿”、“明確”,且在處理目的、方式和種類發生變更時,需重新取得同意。第16條和第17條則賦予個人撤回權,并禁止處理者以不同意或撤回同意為由拒絕提供非必需的產品或者服務。

在以上基本適用原則的基礎上,本法還規定了如下幾類需要取得“單獨同意”的情況:

亚搏全站手机客户端 向第三方提供處理的個人信息(第24條)

亚搏全站手机客户端 公開處理的個人信息(第26條)

亚搏全站手机客户端 公開或提供個人圖像、個人身份特征信息(第27條)

處理敏感個人信息(第30條)

向境外提供個人信息(第39條)

三、個人信息涉及跨境問題

(一)域外適用

亚搏全站手机客户端 本法第3條賦予了一定的域外適用效力。雖然《數安法》第2條也類似規定,但本法的適用范圍更加明確,即“向境內自然人提供產品或者服務為目的”和“分析、評估境內自然人的行為”。這與GDPR第3條第2款的提供產品或者服務(offering of goods or services)以及行為監控(monitoring of their behavior)一一對應。這意味著境外機構或個人即使在中國沒有任何商業存在,只要符合本法第3條所列情況,便受本法的管轄。

(二)個人信息的跨境提供

亚搏全站手机客户端 關于個人信息出境的安全評估要求,首見于《網絡安全法》第37條,不過僅適用于關鍵信息基礎設施運營者。而《個信出境辦法》將適用范圍擴大至所有網絡運營者,給業界帶來一定震動和壓力。而本法第40條試圖在以上兩者之間找到一個平衡,將安全評估的適用范圍局限于“關鍵信息基礎設施運營者”和“處理個人信息達到國家網信部門規定數量的處理者”,而“處理個人信息數量”在本法中未作明確,為監管部門預留裁量空間,保持一定靈活性。

亚搏全站手机客户端 此外,鑒于安全評估工作耗時費力,在某些情況下可能無法滿足跨境流動對時效性的要求,本法第38條為處理者提供了另外兩個信息出境的途徑:(1)經專業機構認證;(2)與境外接收方訂立合同并監督其處理活動達到本法規定的個人信息保護標準。值得注意的是,雖然第二種訂立合同的方式最為簡便易行,但是對于國內的處理者來說其履行監督義務,即確保(境外信息接收方)處理活動達到“本法規定的個人信息保護標準”的難度不容忽視。

(三)國際司法和執法協助下的個人信息出境

亚搏全站手机客户端 本法第41條明確要求在國際司法或行政執法協助情況下向境外提供個人信息,需要取得主管部門事先批準。這與《民事訴訟法》第277條對司法協助情況下外國機關或者個人在國內調查取證的要求保持一致,體現我國司法主權。《數安法》第33條也有類似規定,即要求境外執法機構調取存儲于國內數據需要主管部門事前批準。這也是回應了近年來很多國家,包括美國《澄清境外數據合法使用法案》(the Cloud Act)在內,不斷擴大跨境數據調取權利的立法趨勢。 

(四)反制和限制措施

依據國際法的對等原則,本法第43條就國外采取個人信息保護方面的歧視性措施時,賦予我國采取反制措施的權利。這與《數安法》第24條就國外采取與數據投資、貿易相關的歧視性措施時我國有權反制的規定一脈相承。

亚搏全站手机客户端 相較于《數安法》,本法第42條創造性地增設了一個“黑名單”制度,即對于從事損害我國公民權益、危害我國國家安全、公共利益個人信息處理活動的境外主體,網信部門有權將其列入限制或禁止提供個人信息的清單,并采取限制或禁止措施。在表述上,第42條所適用的范圍應該比第3條的域外適用中所列范圍更加廣泛。

近年來,有些國家以國家安全、個人信息保護為由對我國科技企業(例如Tiktok和華為)采取“圍追堵截”的措施。本法設立的反制和限制措施恰逢其時,豐富了我國在國際政治博弈斗爭中“工具箱”。

四、個人權利與處理者的義務

(一)個人的權利

亚搏全站手机客户端 本法第四章專門明確個人在信息處理中的各項權利,包括:知情和決定權(第44條)、查閱和復制權(第45條)、更正和補充權(第46條)、刪除權(第47條)、請求解釋說明權(第48條)、請求處理者建立權利申請的受理和處理機制權(第49條)。這與《民法典》第1037條規定的查閱權、復制權、更正權、刪除權等相銜接,并予以豐富和細化。

(二)處理者的義務

個人在個人信息保護方面的權利實現,很大程度上依賴于處理者對其義務的履行。本法第五章主要從“明確措施、落實人頭”兩個方面強化處理者的責任。

1.明確措施

亚搏全站手机客户端 本法對處理者提出了事前、事中、事后、事發全流程的保障義務要求:

事前風險評估(第54條)——要求在對個人有重大影響的個人信息處理活動之前進行風險評估。其列舉的適用情況與上文需取得“單獨同意”的情況類似,背后的共同邏輯是法律對處理者的義務要求需與處理活動本身的風險程度相匹配。該設計借鑒了GDPR規定的“數據保護影響評估”(DPIA, Data Protection Impact Assessment)制度。

亚搏全站手机客户端 事中合規和安保措施(第50條)——詳細列舉了處理者應采取的合規和安全保護措施,包括制度制定、分級管理、技術措施、員工要求、應急預案等。這將是處理者在日常合規工作中需要重點關注和落實的工作。

事后定期審計(第53條)——要求處理者定期進行合規審計。其監管思路與《網絡借貸信息中介機構業務活動管理暫行辦法》第31條要求的定期評估、審計類似。 

事發補救和通知義務(第55條)——要求處理者在發生個人信息泄露情況下采取補救措施并通知監管部門和個人。這與《民法典》第1038條補救措施和報告制度相銜接。

2.落實人頭

本法第51條規定處理個人信息達到網信部門規定數量的處理者應當指定“個人信息保護負責人”,對內負責對處理活動和保護措施等進行監督,對外擔任聯系人和與監管溝通人的角色。可以看出,本條借鑒了GDPR數據保護官(DPO, Data Protection Officer)制度。值得注意的是,GDPR非常重視該制度,對于違反該規定(即應設而未設數據保護官)的企業,單獨設立一個嚴格的處罰標準:最高1000萬歐元或企業全球年營業額2%(兩者取高值)。與GDPR僅概括性地規定適用從事“大規模”數據處理業務的公司一樣,本條也未明確“達到網信部門規定數量”的具體標準。我們相信網信部門會后續出臺相關指引予以明確。

亚搏全站手机客户端 本法第52條要求境外的處理者在境內設立“專門機構或者指定代表”負責處理個人信息保護相關事務。該要求與《個信出境辦法》第20條中要求收集境內用戶個人信息的境外機構在境內設立“法定代表人或者機構”的內在邏輯一致,不過其表述比“法定代表人或者機構”更加清晰明了,避免了與公司法項下概念混淆。

五、監管部門

亚搏全站手机客户端 本法第六章明確了個人信息保護的監管部門及分工。其具體內容整理如下表:

履行個人信息保護職責的部門

image.png

六、帶“牙齒”的法律

為了確保本法規定的各項要求落到實處,切實保護個人的權益,本法對個人信息保護的違法行為構建了從信用公示到刑事懲處一個全方位、多維度的法律責任體系,具體包括:信用公示(第63條)、行政處罰(第62條)、私益訴訟(第65)、公益訴訟(66條)、治安處罰(第67條)、刑事懲處(第67條)。

亚搏全站手机客户端 其中兩個“亮點”值得關注:高額的處罰金額和公益訴訟制度的引入。其主要針對實踐中個人信息保護工作的兩大“痛點”:(1)因違法成本低造成社會普遍對個人信息保護重視不足;(2)因侵犯個人信息的違法行為隱蔽性強、調查取證難、個人防范意識差、維權成本高等因素,導致鮮有個人通過私益民事訴訟的方式維護自身權益。具體規定及分析如下:

本法第62條規定違法行為最高面臨“五千萬元以下或者上一年度營業額百分之五以下罰款”。這相較于《網絡安全法》和《數安法》的一百萬罰款上限,大幅提高懲戒力度,逐漸與GDPR項下罰款最高達全球年度營業額的百分之四的標準接軌,彰顯國家在個人相信保護方面的決心。

本法第66條規定對于侵害眾多個人權益的違法行為,亚搏全站手机客户端亚搏全站手机客户端、個人信息保護職責部門、網信部門等主體均享有訴訟權利。這是繼生態環境和資源保護、食品藥品安全等領域之后,公益訴訟首次在個人信息保護領域的適用。

七、結語

本法在借鑒國際成熟的保護原則和立法經驗基礎上,結合我國國情,將之前相關法律、法規、標準中的實施經驗和成熟措施上升為法律規范,在制度設計、維權途徑、處罰力度等方面具有諸多創新和突破之處,完善了我國個人信息保護法律保護體系,提升了我國個人信息保護標準。其作用不僅在于促進我國數字經濟的良性發展,還有利于我國參與國際規則的制定,促進個人信息保護領域的國際交流與合作,推動我國與國際間個人信息保護規則、標準的互認。

本法的很多內容帶有鮮明的數字時代烙印,例如,自動化決策(第25條)、數據公開利用(第28條)、網信部門的主導地位(第38、40、42、51、56、58、66條)等。雖然個人信息不僅限于以電子方式記錄,但隨著網絡對人們生活的深度滲透,以電子方式記錄的個人信息無論從數量級還是面臨侵害的風險程度來說,都無疑占據主要地位。因此,網絡空間必將成為個人信息保護工作的“主戰場”。

亚搏全站手机客户端 作為中國首部個人信息保護方面的專門法律,本法在正式頒布實施后,將肩負起數字時代下個人信息“保護神”的使命,引導我國個人信息保護的法制建設步入一個新的篇章。

(作者:王一楠,德恒律師事務所。實習生謝雪倩對本文亦有貢獻。



責任編輯:李軍委