引言:
2020年10月21日,全国人大法工委公布了《中华人民共和国个人信息保护法(草案)》(下称“个信法草案”)全文和说明,并向公众公开征求意见。该草案一经公布,立即引起了社会各界的高度关注。泰和泰律师事务所也第一时间对个信法草案全文进行了学习,并与部分业内同仁进行了交流。
个信法草案共八章七十条,主要内容包括规定该法的适用范围、健全个人信息处理规则、完善个人信息跨境提供规则、明确个人信息处理活动中个人的权利和处理者义务、明确履行个人信息保护职责的部门以及违反该法有关规定的法律责任。
总体而言,个信法草案是一部回应了现实需要和平衡了各方利益,有利于规范个人信息处理活动和促进个人信息保护的,具有较高立法水平的法律草案,值得广大涉数据企业和相关从业者深入研究。作为数据合规领域的法律从业者,泰和泰律师事务所结合自身实务工作经验,从企业数据合规的角度,对个信法草案规定的几个重要问题进行简要评析,供读者参考。
一、个人信息和个人信息处理活动
1.个人信息的概念
个信法草案同时采用“识别性”和“关联性”标准,将个人信息定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”,该定义较之即将生效的《民法典》定义的个人信息范围明显有所扩大(后者主要采用“识别性”标准),与现行国家推荐性标准《信息安全技术-个人信息安全规范》(下称“《个人信息安全规范》”)中所使用的个人信息定义也不尽相同。具体如下表所示:
作为开展各种个人信息保护活动的前提,企业首先需要弄清楚到底哪些信息属于个人信息。在定义不统一的情况下,按照特别法优于一般法的原则,在个人信息保护活动中,个信法中对于个人信息的定义将优先于民法典中的定义。另从效力位阶的角度而言,个信法的效力位阶明显高于国家推荐性标准,故倘若最终通过的个信法保持个信法草案中对于个人信息的定义不变,那么毫无疑问,企业需要遵从个信法中的定义。
按照个信法草案的定义,个人信息的内涵将非常丰富,一言一概之,凡与特定自然人相关的所有信息,都有可能成为个人信息,只不过不同个人信息的敏感程度不同而已。从合规角度讲,企业在梳理个人信息或者数据资产时,宜采取更为宽泛的标准,尽量将与特定自然人相关的所有信息均纳入个人信息范畴。
此外,个信法草案特意明文将“匿名化处理后的信息”直接排除在个人信息之外(这意味着为个人信息保护设置的种种规则可能均无需适用),似乎有意将个人信息的外延进行适当限缩,给特定的信息处理活动预留一定的空间,但从该草案对匿名化的定义(指个人信息经过处理无法识别特定自然人且不能复原的过程)来看,真正实现匿名化后的信息(当然,有技术专家提出真正的匿名化其实无法实现)是否还有价值或者还有多大价值,将成为一个有待广大涉数据企业进行深入探索的问题。
2.个人信息处理活动的范围
个信法草案将“规范个人信息处理活动”列为主要立法目的之一,并规定个人信息的处理“包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动”,其实相当于将与个人信息有关的所有活动均纳入规制范围,这与目前各类监管政策文件所强调的“全生命周期管理”的思路是一致的。
实际上,“全生命周期管理”也是企业开展数据合规工作的重要指导原则之一,涉及个人信息的各类处理活动均需遵守相应的法律规定,确保个人信息安全,而不应狭隘地认为数据合规仅仅或者主要是指收集阶段的合规。
二、个人信息处理活动的权利来源
个信法草案第十三条规定,符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立或者履行个人作为一方当事人的合同所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产所必需;(五)为公共利益实施新闻报道、舆论监督等行为在合理范围内处理个人信息;(六)法律、行政法规规定的其他情形。
在应对新冠肺炎疫情中,各类大数据应用为联防联控和复工复产提供了有力的支持。在此背景下,个信法草案将应对突发公共卫生事件,或者紧急情况下保护自然人的生命健康和财产作为个人信息处理活动的合法情形之一,是个信法草案的一大亮点。但对于绝大部分企业而言,其处理个人信息的合法性来源主要还是前三项,并且大部分的个人信息处理活动可能仍将建立在“取得个人的同意”基础上。
我们注意到,个信法草案对于同意规则着墨甚多,“同意”二字在全文中总共出现了26次,并首次提出了“单独同意”这一表述。就具体内容而言,有关同意规则的大部分内容与现行的《个人信息安全规范》及相关监管政策较为一致,但考虑到个信法的效力层级较高,故相当于将原来的很多推荐性操作升格为了法律强制性要求,需要更严格的遵从。
三、个人信息处理者的法定义务
个信法草案使用专章对个人信息处理者的义务进行了规定,具体包括指定和公开个人信息保护负责人、制定内部管理制度和操作规程、对个人信息实行分级分类管理、采取相应的加密、去标识化等安全技术措施、合理确定个人信息处理的操作权限并定期对从业人员进行安全教育和培训、制定并组织实施个人信息安全事件应急预案、对特定个人信息处理活动进行风险评估和记录、发生个人信息泄露时采取补救措施并通知监管部门等。
实际上,个信法草案所规定的个人信息处理者的各项义务在此之前已散见于《民法典》《网络安全法》《电信和互联网用户个人信息保护规定》《个人信息安全规范》《个人金融信息保护技术规范》等法律、法规、规章、规范性文件和国家及行业标准当中,与同意规则的有关规定一样,个信法草案通过后,将把原来的部分行业性、推荐性的规则升格为普遍性、强制性的法律义务,所有涉及个人信息处理活动的企业均应严格履行。
完整履行上述义务并非易事,这是一项系统且复杂的工程,企业如果想做到实质合规,除了得到领导层的大力支持和各个部门的密切配合外,最好适当借助第三方专业机构(比如律师、安全技术专家)的力量。
四、个人信息跨境提供规则
在现有的数据跨境传输相关规则的基础上,个信法草案专章对个人信息的跨境提供提出了要求,主要内容包括在何种情况下可以向境外提供个人信息、向境外提供个人信息的告知同意要求、重要个人信息境内存储和出境安全评估、因国际司法协助提供个人信息、限制或者禁止个人信息提供清单和措施等。
根据个信法草案第三十八条的规定,个人信息处理者因业务等需要,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估,或者按照国家网信部门的规定经专业机构进行个人信息保护认证,或者与境外接收方订立合同,约定双方权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准,或者符合法律、行政法规或者国家网信部门规定的其他条件。
根据个信法草案第三十八条的规定,个人信息处理者因业务等需要,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估,或者按照国家网信部门的规定经专业机构进行个人信息保护认证,或者与境外接收方订立合同,约定双方权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准,或者符合法律、行政法规或者国家网信部门规定的其他条件。
从上述规定来看,与境外接收方订立合同与通过网信部门组织的安全评估或者专业机构的认证是并列的,意味着国家网信部门不再要求对所有的个人信息出境活动进行安全评估,仅要求对关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者的个人信息跨境活动进行安全评估,这与国家网信办于2019年6月发布的《个人信息出境安全评估办法(征求意见稿)》中的规定不一致。除此之外,对于通过签订合同跨境提供个人信息的情形,个信法草案目前未规定国家网信部门会对个人信息跨境提供的合同进行实质性审查。
对于“关键信息基础设施运营者”,《网络安全法》及有关法律法规已有定义和列举,但对于何谓“达到国家网信部门规定数量的个人信息处理者”,目前还有待国家网信部门出台进一步的政策文件进行明确。涉及个人信息出境的企业,应当密切关注有关政策的出台,并根据具体要求采取安全评估、认证或者与境外接收方签订合同等措施,以满足合规要求。
对于“关键信息基础设施运营者”,《网络安全法》及有关法律法规已有定义和列举,但对于何谓“达到国家网信部门规定数量的个人信息处理者”,目前还有待国家网信部门出台进一步的政策文件进行明确。涉及个人信息出境的企业,应当密切关注有关政策的出台,并根据具体要求采取安全评估、认证或者与境外接收方签订合同等措施,以满足合规要求。
五、个人信息保护的监管主体
个信法草案第六章规定,国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作,县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。前述部门统称为“履行个人信息保护职责的部门”。
从个信法草案的规定来看,我国短期内应该不会就个人信息保护设置专门的监管机构,对个人信息保护的监管仍将维持目前的“九龙治水”模式。考虑到各个行业、领域均有各自的特点,且部分行业、领域(比如医疗、金融)具有一定的执法门槛,以国家网信办统筹协调,各部门在职责范围内各自负责的模式较为现实。
但与此同时,相关立法机构和部门应当尽快明确各个职能部门关于个人信息保护的监管职责,划分好各自的执法边界,否则,可能会导致双重甚至多重执法,或者出现执法空挡的情况,并可能导致个人信息处理者无所适从。对于企业而言,除了《民法典》《刑法》《网络安全法》和个信法这类一般性法律规定外,建议重点关注网信办、公安、工信部门以及所属行业主管部门的相关监管政策,并按照该等部门的监管要求采取相应的合规措施。
六、违反个人信息保护义务的法律责任
作为最大的亮点,个信法草案参照欧盟GDPR等制度规定,对违反个信法相关规定的行为设定了非常严苛的法律责任,将违反规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的罚款金额规定为五千万元以下或者上一年度营业额百分之五,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照,且有关处罚将计入信用档案并予以公示,大大提高了个人信息处理者的违法成本。
除行政责任外,个信法草案还规定了因个人信息处理活动侵害个人信息权益时民事赔偿责任的确定标准,即按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任,均难以确定的,由人民法院根据实际情况确定。考虑到一般个体的举证能力有限,个信法草案还规定,个人信息处理者违法处理个人信息,侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以就此提起公益诉讼。
如前所述,个信法草案将现行的很多推荐性做法升格为强制性法定义务,再加上严苛的法律责任,在该法通过后,为避免因个人信息保护不合规而遭受巨额行政处罚或者对业务持续、正常开展带来重大不良影响,所有涉及个人信息处理活动的企业都应根据规定,合法合规处理个人信息,并采取相应的管理和技术措施保护个人信息。
七、小结与展望
个信法草案的公布标志着针对我国个人信息保护的专门立法已迈出坚实的一步,连同《网络安全法》、制定中的《数据安全法》以及其他相关法律法规,我国将构建起相对完整的网络空间安全治理体系和数据、个人信息保护体系,社会整体的个人信息(尤其是个人隐私)保护水平有望得到大幅度提升。与此同时,广大涉数据企业应当密切关注立法进展和执法动态,逐步建立健全符合自身情况的个人信息/数据保护合规体系,防范相应的合规风险,并切实保障广大用户的个人信息。
京公网安备 11010802033237号
