《個人信息保護法》草案二次審議稿若干問題解讀
作者:吳衛明 2021-05-102021年4月26日,第十三屆全國人大常委會第二十八次會議對《中華人民共和國個人信息保護法(草案二次審議稿)》(簡稱“《二次審議稿》”)進行了審議。《個人信息保護法》是我國個人信息保護立法中的重大事件,因此,備受社會關注。二次審議稿相比第一次審議稿,有部分內容的更新,筆者匯總并解讀如下:
一、個人信息流動問題更加審慎 個人信息的價值能否合法有序流動,一直是大數據運用過程中的關鍵問題。特別是在十四五規劃將數據列入生產要素的背景下,如何促進數據要素的價值,對于數據行業以及傳統行業的數字化轉型均有重要的意義。 值得關注的是,《二次審議稿》對于個人信息流動問題,采取了更為審慎的態度。《二次審議稿》第一條的規定為:“為了保護個人信息權益,規范個人信息處理活動,促進個人信息合理利用,制定本法。”與第一次審議稿相比,刪除了“保障個人信息依法有序自由流動”的表述。 對于《二次審議稿》的這一修改,是否意味著數據要素流動的收緊呢?筆者認為,刪除“保障個人信息依法有序自由流動”的表述,并不意味著數據要素流動的收緊,而是立法對于數據要素流動內涵更加深深的表述,但也體現了更為精準的把握。理由如下: 其一,數據作為生產要素,并不等同于個人信息可以自由流動。 雖然按照十四五規劃及新的生產要素理論,數據可以作為生產要素,但數據本身具有雙重性的特征。一方面,數據是相關信息的記錄,可以是企業的商業秘密、個人信息,也可以是作品信息和其他公開信息。數據利用價值的背后,往往包含著其他主體的相應權利。另一方面,數據對于其占有者、處理者而言,又具有一定的商業價值。雙重性特征決定了,在發揮數據要素價值的同時,必須考慮其他主體的民事權利。 對于個人信息而言,這種雙重性突出的表現是個人的信息權利(人格權范疇)如何不被濫用和侵害。個人信息是數據的重要組成部分,此類數據的直接流動,必然涉及對于個人隱私及安全利益的影響,除非個人明確知悉這種影響,并明示同意,否則,個人信息流動本身就是一個非常敏感的問題。 因此,在上述法律價值的基本框架內,將“保障個人信息有序自由流動”作為《個人信息保護法》的第一條立法宗旨,容易讓人產生對于個人信息保護的誤解。并且,在配套規則、技術措施不夠完善的情況下,這一規定的實施也會面臨很大的困難。《二次審議稿》對其進行刪除,具有現實性。 事實上,個人信息保護與個人信息作為數據價值的有效利用,兩者之間并不是截然對立的,而是可以在一定程度上統一。 如對于個人信息進行去標識化的處理后,可以用于大數據分析和群體畫像分析,從而為精準營銷、定制化的產品開發、市場拓展提供可行的參考依據。此外,在安全可控的前提下,使用現有的個人信息,也可以進行相關的模型訓練。 上述基于個人信息產生的模型、群體畫像、市場預測與分析、產品開發策略等數據產品,可以進入數據市場進行流通,從而產生數據流通價值。 二、個人信息保護的措施更加落地和細化 《二次審議稿》在保護個人信息的具體措施方面更加細化,具體表現在以下幾個方面: 1、個人信息處理的權益影響最小化原則(主體視角) 一次審議稿對于最小化的原則,采取的是客觀原則,即“處理個人信息應當具有明確、合理的目的,應當限于實現處理目的的最小范圍”,這一原則是從個人信息處理目的角度出發的,個人信息被作為客體,評價信息處理合理性的過程中,并不考慮處理行為對個人的影響,而主要考慮與處理目的相匹配。《二次審議稿》則在一次審議稿的基礎上,增加了“采取對個人權益影響最小的方式”這一表述,從而突出了自然人在個人信息處理過程中的主體地位,除了商業目的考量外,還應考量個人信息處理措施,是否符合對個人權益影響最小化的原則。 合理化評價維度中引入了個人權益,對于制約個人信息處理者擴大解釋商業目的,會形成制約。 2、對大數據歧視的制約 《二次審議稿》在第八條中規定了“處理個人信息應當保證個人信息的質量,避免因個人信息不準確、不完整對個人權益造成不利影響。” 這一規定,將對大數據運用質量不高而造成的數據歧視形成制約。在一些大數據運用的案例中,由于數據更新不及時或者數據的質量有瑕疵,可能導致數據分析的結論不準確,甚至會對相關自然人帶來負面評級,從而導致其合法、正當權利受到影響。比如信用數據的不準確,可能導致用戶的消費或其他經濟活動受到不利影響。對此,將個人信息質量作為法定義務,有助于督促個人信息處理者提升數據獲取的準確度。 3、撤回同意的便捷化 《二次審議稿》第十六條在第一次審議稿所規定的“ 基于個人同意而進行的個人信息處理活動,個人有權撤回其同意”的基礎上,增加了“個人信息處理者應當提供便捷的撤回同意的方式”的表述。 撤回同意,是個人信息主體處分自身權利的一種方式。然而在實際操作中,由于個人信息處理者提供的撤回方式、撤回渠道各不相同,其中有些措施缺乏便利性,導致撤回同意的權利行使成本較高。 《二次審議稿》規定了便捷原則,雖然對于何為便捷,并未進行展開,但是,按照通常的理解,“撤回同意”的難度不應大于“同意”的難度。也就是說,按照人們對于互聯網業務便利性的一般理解,“撤回”按鈕應該位于頁面的醒目處,或者與“個人信息保護政策”(或隱私政策)處于同樣便于閱讀的位置,且在許可范圍內逐項給出“撤回同意”的勾選項。 三、出境規則更加優化 1、設置標準合同 《二次審議稿》第三十八條第(三)條款與一次審議稿相比,增加了標準合同的表述。該條款的表述為:個人信息處理者因業務等需要,確需向中華人民共和國境外提供個人信息的,應當至少具備下列一項條件:…… “(三)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務,并監督其個人信息處理活動達到本法規定的個人信息保護標準。” 即增加了“按照國家網信部門制定的標準合同與境外接收方訂立合同”的表述。 這一規定的內涵在于,國家網信部門可以通過標準化合同條款來具體引導個人信息跨境提供的權利義務約定,從而更好地約束各方的行為。 另外,通過標準合同條款,也可以提高跨境個人信息提供的合同簽訂效率。 2、境外執法機構獲取境內個人信息的限制更加明確 《二次審議稿》第四十一條對于執法機構所涉及的個人信息跨境提供,將其適用范圍進行了縮小。 一次審議稿的表述為“因國際司法協助或者行政執法協助,需要向中華人民共和國境外提供個人信息的,應當依法申請有關主管部門批準。”而二次審議稿則將范圍限定為“中華人民共和國境外的司法或者執法機構要求提供存儲于中華人民共和國境內的個人信息的,非經中華人民共和國主管機關批準,不得提供。” 對比發現,主要的差異在于: 其一,將 “因國際司法協助或者行政執法協助,需要向中華人民共和國境外提供個人信息”,修改為“中華人民共和國境外的司法或者執法機構要求提供存儲于中華人民共和國境內的個人信息”。 對于這一差異,筆者認為,主要是考慮到,如果是國際司法協助,可能會涉及中國相關司法機關或執法機關因案件辦理需要,而將中國境內個人信息主動提供給境外執法機關并要求境外執法機關配合的情形,對于這種情況,我國相關的法律以及相關國際條約、協定已經有所約束,故無需進一步通過個人信息跨境提供規則進行約束。 而對于境外執法機構要求提供中國境內存儲的公民個人信息的,則需要判斷來自境外執法機構要求的合理性,以及這種要求是否影響中國的公民利益、社會公共利益或國家安全。 四、基礎性互聯網平臺的特定義務 《二次審議稿》第五十七條增設規定了提供基礎性互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者的特定義務。具體包括: 1、引入外部人員組成獨立機構 成立主要由外部成員組成的獨立機構,對個人信息處理活動進行監督。這一制度設定,強化了外部監督力量的介入。由于基礎性互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者,其所擁有的個人信息具有非常巨大的利用價值,企業自身的內部控制制度、數據合規制度,在執行過程中,是否能夠真正落到實處,需要引入外部力量進行必要的監督。 當然,這一制度具體如何執行,二次審議稿并未規定。比如,對于外部人員的資質,是否參考上市公司獨立董事制度,設置一定的準入門檻?以及對于外部人員不盡責履職,是否需要設定相應的法律責任?這些規則,仍需法律授權監管機構做出進一步的規定。 2、平臺監督職責 該條款規定:“對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者,停止提供服務。”這一規定,與電子商務法中所規定的電子商務平臺經營者對平臺內電子商務經營者相關產品質量、知識產權、消費者保護的監督責任類似。將嚴重違反法律、行政法規處理個人信息的情形,作為平臺停止提供服務的法定事項。 3、社會責任報告 該條款還規定,定期發布個人信息保護社會責任報告,接受社會監督。按照這一原則,個人信息處理不僅僅是平臺與個人信息主體之間的關系,更是平臺社會責任的體現。 當然,對于社會責任報告應如何撰寫,哪些是必備內容,《二次審議稿》未作規定,仍需法律授權監管機構做出進一步的規定。 五、突出社會第三方機構的治理作用 《二次審議稿》第六十三條規定, 履行個人信息保護職責的部門在履行職責中,發現個人信息處理活動存在較大風險或者發生個人信息安全事件的,可以按照規定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談,或者要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。個人信息處理者應當按照要求采取措施,進行整改,消除隱患。 按照這一規定,委托專業機構對個人信息處理活動進行合規審計,是企業或其他機構在面臨風險或發生信息安全事件時,可以采取的一種補救措施。對于合規審計所發現的問題,個人信息處理者應當按照要求采取措施,進行整改,消除隱患。 與第一次審議稿相比,專業機構審計的適用范圍有所減小,一次審議稿關于委托專業機構審計的場景是日常監管。而在《二次審議稿》中,將適用場景聚焦為“發現個人信息處理活動存在較大風險或者發生個人信息安全事件的”。 在發生風險事件時,引入專業機構進行合規審計,體現了專業機構在風險應對方面的重要作用。 當然,與一次審議稿一樣的是,對于什么樣的機構可以作為合規審計機構,《二次審議稿》并未規定。仍需相關規則進一步予以明確。
