吴丹君律师团队 2020-10-26 原载于 大数据法律
2020年10月13日,十三届全国人大常委会第二十二次会议首次审议了《个人信息保护法(草案)》。2020年10月21日,中国人大网公布《个人信息保护法(草案)》(以下简称“《草案》”),向社会公开征求意见,意见反馈时间截至2020年11月19日。
《草案》吸收了《网络安全法》《消费者权益保护法》《广告法》《电子商务法》《关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《信息技术安全个人信息安全规范》等法律文件对个人信息保护的相关规定,并结合实践经验,同时吸收GDPR等国际经验,形成了一部相对完善的立法草案。总体而言,《草案》主要有六大亮点。
一、适用范围:明确域外适用效力
《草案》第三条指出,该法适用于组织、个人在中国境内处理自然人个人信息的活动。该条明确域外适用效力,当中国境外处理中国境内自然人个人信息的活动,具备下列情形之一的,也适用《草案》:
“(一)以向境内自然人提供产品或者服务为目的;
(二)为分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。”
上述规定与欧盟的GDPR有着相似之处,GDPR第三条规定:
“2.本条例适用于在欧盟领域内没有设立机构的数据控制者或数据处理者对欧盟内的数据主体的个人数据进行的与以下事项相关的处理活动。
(a)向欧盟内的数据主体提供商品或服务,无论是否需要该数据主体支付对价;或
(b)监控数据主体的行为,只要其行为发生在欧盟领域内。”
同时,《草案》借鉴GDPR第二条排除了自然人因个人或家庭事务而处理个人信息的法律适用。当法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定时,应当优先适用该特殊规定。
二、激发活力:增加个人信息处理合法性基础
“告知-同意”仍是个人信息处理的重要规则,《草案》第二章“个人信息处理规则”的大部分规定可以说都是“告知-同意”规则的细化或延伸。“告知-同意”规则要求处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。《草案》延续了《信息安全技术个人信息安全规范》(GB/T35273-2020)(以下简称“《个人信息安全规范》”)的很多要求,具体可参考下列对比表格,在此不再赘述。
| | 《草案》 | 《个人信息安全规范》 |
| 获取监护人同意 | 第十五条 | 5.4d) |
| 撤回同意 | 第十六条 | 8.4 |
| 业务功能的自主选择 | 第十七条 | 5.3 |
| 告知内容 | 第十八条 | 5.5 |
| 转委托 | 第二十二条 | 9.1c) |
| 个人信息处理者合并、分立 | 第二十三条 | 9.3 |
| 向第三方提供 | 第二十四条 | 9.2 |
| 自动化决策 | 第二十五条 | 7.7 |
| 个人信息的公开披露 | 第二十六条 | 9.4 |
但《草案》对已公开的个人信息的处理规则,相较《个人信息保护规范》将个人信息已公开视为获取同意的豁免条件不同,其第二十八条规定,个人信息处理者处理已公开的个人信息,应当符合该个人信息被公开时的用途;超出与该用途相关的合理范围的,应当依照本法规定向个人告知并取得其同意。个人信息被公开时的用途不明确的,个人信息处理者应当合理、谨慎地处理已公开的个人信息;利用已公开的个人信息从事对个人有重大影响的活动,应当依照本法规定向个人告知并取得其同意。
立法者亦已逐渐意识到“告知-同意”规则的不足,《民法典》第一千零三十六条在“自然人或者其监护人同意”上增加了“合理处理该自然人自行公开的或者其他已经合法公开的信息”与“为维护公共利益或者该自然人合法权益”两种个人信息处理合法性基础,首次在法律层面上对未经同意合法处理个人信息的情形作出规定。
《草案》在此基础上,吸收《个人信息安全规范》等规范内容,对“告知-同意”规则进行一定程度的弱化,其第十三条增加了数项合法性基础,一定程度上放宽了个人信息的处理限制,有利于平衡个人信息保护和利用间的利益冲突,激发数字经济创新活力。
| 《草案》 | 《民法典》 |
| 第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立或者履行个人作为一方当事人的合同所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息;(六)法律、行政法规规定的其他情形。 | 第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外; 第一千零三十六条 处理个人信息,有下列情形之一的,行为人不承担民事责任:(一)在该自然人或者其监护人同意的范围内合理实施的行为;(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。 |
三、有序流动:构建个人信息跨境流动制度
《草案》首次在法律层面构建了相对全面的个人信息跨境流动制度。与国家互联网信息办公室2019年发布的《个人信息出境安全评估办法(征求意见稿)》不同,《草案》没有要求所有个人信息跨境流动活动均需经过安全评估。《草案》以分级分类管理思想设计了一个相对宽松的个人信息跨境流动制度。
《草案》原则上要求国家机关处理的个人信息以及关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者在中国境内收集和产生的个人信息存储在境内。但在确需向境外提供的情况下,国家机关处理的个人信息应当进行风险评估;而关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者在中国境内收集和产生的个人信息则需先通过国家网信部门组织的安全评估。此处的“风险评估”应与《草案》第五十四条的“风险评估”涵义相同。但“风险评估”和“安全评估”的具体操作流程和标准如何,两者是否需一并进行还有待后续规定的进一步明确。
其他个人信息处理者在至少满足以下一项条件的情况下,可向中国境外提供个人信息:
(一)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(二)与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准;
(三)符合中国缔结或者参加的国际条约、协定中对向中国境外提供个人信息规定的;
(四)因国际司法协助或者行政执法协助,需要向中国境外提供个人信息,经有关主管部门批准的;
(五)法律、行政法规或者国家网信部门规定的其他条件。
此外,《草案》明确了个人信息跨境数据流动的限制情形:
(一)境外的组织、个人从事损害中国公民的个人信息权益,或者危害中国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施;
(二)任何国家和地区在个人信息保护方面对中国采取歧视性的禁止、限制或者其他类似措施的,中国可以根据实际情况对该国家或者该地区采取相应措施。
四、保障权利:明确个人信息主体权利
| 具体权利 | 具体条文 |
| 知情权、决定权 | 第四十四条 |
| 查阅、复制权 | 第四十五条 |
| 更正、补充权 | 第四十六条 |
| 删除权 | 第四十七条 |
| 要求解释说明权 | 第四十八条 |
上述权利在《民法典》《电子商务法》《网络安全法》等法律中均有部分体现,《草案》在前述规定基础上,进一步构筑更为全面的个人信息主体权利体系,有利于个人信息主体主张权利,并在遭受侵害时捍卫自身权益。《草案》第六十五条规定,因个人信息处理活动侵害个人信息权益的,按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。
个人信息处理者应当针对个人信息主体的各项权利,建立相应的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。
五、促进合规:增强个人信息处理者责任
《草案》增加了数项个人信息处理的合法性基础,其中,“为订立或者履行个人作为一方当事人的合同所必需”一项提高了个人信息处理者处理个人信息的自由度,与之相对地,个人信息处理者亦需承担更为严格的个人信息保护责任。
| 个人信息处理者类型 | 具体义务 |
| 所有个人信息处理者 | (一)制定内部管理制度和操作规程;(二)对个人信息实行分级分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(五)制定并组织实施个人信息安全事件应急预案;(六)建立个人行使权利的申请受理和处理机制;(七)定期对其个人信息处理活动、采取的保护措施等是否符合法律、行政法规的规定进行审计;(八)法律、行政法规规定的其他措施。 |
| 处理个人信息达到国家网信部门规定数量的个人信息处理者 | 指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。公开个人信息保护负责人的姓名、联系方式等,并报送履行个人信息保护职责的部门。 |
| 《草案》第三条第二款规定的中国境外的个人信息处理者 | 在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。 |
| 从事下列个人信息处理活动之一的个人信息处理者:(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向第三方提供个人信息、公开个人信息;(四)向境外提供个人信息;(五)其他对个人有重大影响的个人信息处理活动。 | (一)对该个人信息处理活动在事前进行风险评估,并对处理情况进行记录;(二)风险评估报告和处理情况记录应当至少保存三年。 |
| 发现个人信息泄露的个人信息处理者 | 立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:(一)个人信息泄露的原因;(二)泄露的个人信息种类和可能造成的危害;(三)已采取的补救措施;(四)个人可以采取的减轻危害的措施;(五)个人信息处理者的联系方式。个人信息处理者采取措施能够有效避免信息泄露造成损害的,个人信息处理者可以不通知个人;但是,履行个人信息保护职责的部门认为个人信息泄露可能对个人造成损害的,有权要求个人信息处理者通知个人。 |
| 共同决定个人信息的处理目的和处理方式的两个或者两个以上的个人信息处理者 | (一)约定各自的权利和义务。但该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利;(二)个人信息处理者共同处理个人信息,侵害个人信息权益的,依法承担连带责任。 |
| 委托处理个人信息的个人信息处理者 | (一)与受托方约定委托处理的目的、处理方式、个人信息的种类、保护措施以及双方的权利和义务等;(二)对受托方的个人信息处理活动进行监督。 |
| 受托处理个人信息的个人信息处理者 | (一)按照与委托方的约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;(二)在合同履行完毕或者委托关系解除后,将个人信息返还个人信息处理者或者予以删除;(三)未经个人信息处理者同意,受托方不得转委托他人处理个人信息。 |
六、加强监管:国家机关的权力与义务
不同行业的个人信息保护有着不同的特点和需求,《草案》没有一刀切地将个人信息保护职责单独赋予某一部门,而是由国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。同时,按照国家有关规定,确定县级以上地方人民政府有关部门的个人信息保护和监督管理职责,从而形成了一个以行业为横轴的,从中央到地方的个人信息保护监管体系。在要求个人信息处理者加强内部个人信息保护制度建设的基础上,从外部施加监管压力,促进个人信息处理者落实个人信息保护要求。
《草案》也设置了较为严格的法律责任条款。根据《草案》第六十二条,违反规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。而情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。有前述违法行为的,将依照有关法律、行政法规的规定记入信用档案,并予以公示。
《草案》还明确了可以提起公益诉讼的主体,个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼。个人信息保护公益诉讼在实践中已有案例,比如2020年3月12日,虹口检察院针对两起教育培训行业从业人员侵犯公民个人信息案件提起刑事附带民事公益诉讼,为个人信息保护的公益诉讼作出有益探索。[i]在信息主体和企业的场景中,个人信息主体往往作为消费者使用企业提供的产品或服务,在此过程中也面临着个人信息侵害风险。将各级消费者权益保护协会亦可成为消费者集体的代言人,针对企业在个人信息保护方面存在的不当行为提起公益诉讼,弥补个人信息主体的弱势地位。[ii]
结语
《个人信息保护法(草案)》从源头上赋予了自然人各项个人信息权利,明确个人信息处理者义务,并加强国家机关监管,我国个人信息保护立法已经走出了重要一步。
我们建议个人信息处理者不仅应密切关注《草案》制定的后续动态,还应积极投入到《草案》的意见征求环节之中。同时早作准备,参照《草案》目前的要求对本个人信息处理者内部的个人信息保护情况进行摸底和前期评估,以有效应对《个人信息保护法》及各项配套措施的出台及实施。
[i]参见林中明、王晓阳:《上海虹口:两起刑事附带民事公益诉讼案获判》,载《检察日报》2020年3月24日第4版。[ii]参见丁晓东:《个人信息私法保护的困境与出路》,载《法学研究》2018年第6期。
作者简介:吴丹君律师,观韬中茂上海办公室合伙人,律商联讯LexisNexis网络安全合规专家、首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。主要执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等,吴律师曾为众多跨国公司和外国公司的在华投资、并购以及日常运营提供法律服务。近年来,吴律师专注于互联网、数据信息合规领域,就网络安全和数据信息的合规事项为客户提供咨询及全流程合规整改服务。她服务的行业众多,包括金融、科技、教育、酒店、大数据产品、征信、精准营销、在线支付、互联网医疗等。
吴律师的工作语言为中文和英文。