四大維度解讀《個人信息保護法(草案)》
作者:吳衛(wèi)明 劉昀東 2020-11-17《個人信息保護法》是與《網絡安全法》(2017年6月1日生效)、《數據安全法(草案)》(2020年7月3日公開征求意見,尚未生效)一起確立我國網絡與數據安全法律框架的重要組成部分,其立法進程一直備受矚目。2020年10月21日,《中華人民共和國個人信息保護法(草案)》(以下簡稱《草案》)正式公開,向全社會公開征求意見。
《草案》全文共計八章七十條,圍繞個人信息的處理,從處理規(guī)則、跨境提供、個人權利、處理者義務、保護職責部門以及法律責任等不同角度確立了相應規(guī)則,并且針對敏感個人信息和國家機關處理強調了特別規(guī)則。這種結構可以看出立法者是圍繞著某些重點問題鋪陳開的,但是想要更好地分析、適用法條,不宜被單項問題牽絆,導致只見樹木,不見森林。為了更體系化地理解《草案》,筆者將從重要概念辨析、國家戰(zhàn)略、個人權利、處理者責任四個維度進行解讀。
一、重要概念辨析 為了更好地理解條文規(guī)定,有必要深入辨析以下這些概念: (一)個人信息 針對個人信息的定義,《草案》在《網絡安全法》以及《民法典》(2021年1月1日生效,尚未生效)規(guī)定的“識別”的基礎上,將個人信息的識別區(qū)分為“已識別”及“可識別”表述(表1)。即,凡是與“已識別”的自然人或“可識別”的自然人有關的信息,均為個人信息。這一規(guī)定,與《網絡安全法》以及《民法典》最顯著的區(qū)別在于,前述法律均以主觀上的“識別”作為界定個人信息的基礎,而《草案》則以客觀上的“關聯(lián)”作為界定個人信息的基礎,“已識別”或“可識別”的自然人是進行相關行判斷的參照對象。但是,對于什么是“可識別”的自然人?草案并沒有進一步作出界定。筆者認為,對于可識別的判斷,可以結合《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《司法解釋》)和作為推薦性國家標準的《信息安全技術 個人信息安全規(guī)范》(以下簡稱《規(guī)范》)的規(guī)定(表1)進行判斷。在《司法解釋》與《規(guī)范》中,規(guī)定了“與其他信息結合識別特定自然人身份或者反映特定自然人個人活動情況的各種信息”,信息的組合認定是否成為“可識別”的內涵,尚有待立法的進一步完善。由此可見,本次《草案》在“識別”的基礎上作出了“已識別”與“可識別”的區(qū)分,并將“關聯(lián)”的要素融合了進來,將個人信息保護的外延進一步做了完善。 但是,也應看到,對于什么是“有關”,即如何認定關聯(lián)性的標準,《草案》的規(guī)定在操作性方面有所欠缺,這可能給具體的執(zhí)法與司法帶來較大的自有裁量空間。因此,建議在上述規(guī)定的基礎上,同時對個人信息進行必要的列舉,以降低對個人信息認定的不確定性。 (二)個人信息的處理 在《網絡安全法》第七十六條中,處理是與收集、存儲、傳輸、交換平行的概念,但在《草案》第四條中,處理成為了上位概念,而收集、存儲、使用、加工、傳輸、提供、公開則是信息處理的具體方式。這一表述形式與《民法典》一致,與《規(guī)范》類似。這種區(qū)別可能直接影響某項具體規(guī)定的適用范圍,因此需要注意不同語境中“處理”的范圍,以便精準理解不同法律法規(guī)之間的差別。 (三)個人信息處理者 這種表述方式既區(qū)別于《網絡安全法》中的運營者,又區(qū)別于《規(guī)范》中的個人信息控制者。暫且拋開出發(fā)角度不同的《網絡安全法》,仔細比對《草案》第六十九條關于“個人信息處理者”的定義與《規(guī)范》中“個人信息控制者”的定義(表2),可以發(fā)現兩者并沒有本質上的不同,只是在用詞上《草案》使用了更具主觀色彩“自主”,《規(guī)范》使用了更接近于陳述事實的“有能力”。考慮到《民法典》確定了“處理”的概念,以及對于受托處理這種情形的對待方式,之后的表述方式更可能會向《草案》中的定義去傾斜。 對于實踐而言,如果按《草案》目前的文本進行正式發(fā)布,可能需要社會各界放下已經形成的認識,重新理解控制者與處理者的關系。 二、國家戰(zhàn)略層面 (一)健全綜合的保護利用法律體系 通過名稱不難看出,《草案》的主要出發(fā)點是保護個人信息。這一點在第一條中予以明確,對應了我國信息技術高速發(fā)展過程中出現的許多損害個人信息權益的問題。此外,相對《網絡安全法》從網絡安全角度出發(fā),兼顧網絡信息安全中涉及個人信息的情況,《草案》更側重從個人信息處理活動的角度出發(fā)(圖1)。而且基于有益的執(zhí)法實踐活動,對于個人信息的保護,《草案》也更為細致。 與《網絡安全法》《數據安全法(草案)》一脈相承的是,在保護和規(guī)范的基礎上,也強調發(fā)展和利用。具體表現在,《草案》第一條明確規(guī)定“保障個人信息已發(fā)有序自由流動”和“促進個人信息合理利用”。 同時,相比于網絡中的其他數據,個人信息與個人權益具有高度相關性,屬于比較重要的數據類型,且大量互聯(lián)網業(yè)務需要基于個人開展;相比于非通過網絡開展的個人信息處理活動,通過網絡進行的處理活動具有快速、高頻、數據量大、輻射業(yè)務范圍廣的特征,容易對個人造成更嚴重的危害,而且大量的個人信息同樣可以反映一個國家經濟、文化等重要信息。所以從維護社會秩序的角度來說,不同維度的保護都至關重要。 而這些處理活動與網絡技術、信息技術,乃至“互聯(lián)網+”所有產業(yè)發(fā)展息息相關,從國家發(fā)展角度出發(fā)也必須保障圍繞個人信息的網絡技術、信息技術發(fā)展與利用的法律基礎。 正因如此,在信息技術產業(yè)與互聯(lián)網產業(yè)日益重要的今天,《草案》對于國家戰(zhàn)略的重要性不言而喻。 (二)域外管轄與反制手段 網絡空間安全是國家主權、國家安全在互聯(lián)網領域的延伸。基于以上邏輯,國家數據安全、個人信息安全的法律合規(guī)要求也逐漸成為某些國家達成特定國家利益目標的手段之一,這可以從華為芯片采購受限、抖音被強制要求出售等事件中窺見一二。 在對應的反制手段上,《網絡安全法》具有一定的局限性,因為其適用范圍是“在中華人民共和國境內建設、運營、維護和使用網絡,以及網絡安全的監(jiān)督管理”,這樣雖然也可以對跨國公司采取一定手段,但威懾力還是不能相提并論。而《草案》第三條則規(guī)定了可進行域外管轄的三種情形,包括(1)以向境內自然人提供產品或者服務為目的;(2)為分析、評估境內自然人的行為;(3)法律、行政法規(guī)規(guī)定的其他情形。從條文可以看出對GDPR的借鑒,這些規(guī)則為域外管轄提供了依據,也為境外實施危害我國公民個人信息保護制度的行為提供了更有力的反擊工具。 而且,在第三章“個人信息跨境提供的規(guī)則”中,《草案》第四十三條也明確了基于對等原則的反制手段——“任何國家和地區(qū)在個人信息保護方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者該地區(qū)采取相應措施。” 三、個人權利層面做了更加明確的界定 在《草案》發(fā)布前,《網絡安全法》《消費者權益保護法》《刑法》都對個人信息相關的個人權利作出過規(guī)定。主要是圍繞“告知-同意”原則,規(guī)定了個人信息主體的未經同意不被收集、使用個人信息的權利。但最為明確、易于操作的還是《規(guī)范》中的規(guī)定,明確了查詢、更正、補充、刪除、撤回授權同意、注銷賬戶、獲取個人信息副本、被響應等個人信息主體權利。 《草案》汲取了《規(guī)范》中有益經驗,并且在《規(guī)范》原有查詢、更正、補充、刪除、撤回授權同意、被響應的基礎上,通過第四十四條至第四十九條將獲取個人信息副本的權利進一步升級為復制的權利,將圍繞“告知-同意”原則表述的權利概括為知情、決定、限制或者拒絕的權利(保留了法律、行政法規(guī)另有規(guī)定的除外條款),并且保證了體例的統(tǒng)一,未沿用賬戶注銷的權利或同類的表述。 另外,根據第二十五條的規(guī)定,個人還擁有在對個人權益造成重大影響情形下,拒絕處理者僅通過自動化決策方式作出決定的權利,以及拒絕針對個人特征通過自動化決策方式進行商業(yè)營銷、 信息推送的權利。 這些規(guī)定同時構成了《民法典》的有益補充,在法律層面上,將個人信息相關的權利更為具體地予以體現。 四、處理者責任層面 為了維護國家利益、保障個人權利,《草案》通過處理規(guī)則和專門義務的方式列出了可以細分為數十項的處理者責任,以下將討論其中比較重要的變化。 (一)明確的保護義務 《草案》在第五章“個人信息處理者的義務”列明了與《網絡安全法》對于運營者要求有一定相似性的處理者義務,主要包括(1)采取必要保護措施;(2)大量個人信息處理者的專人負責;(3)境外處理者的專人負責;(4)定期審計;(5)風險評估與記錄;(6)泄露事件的補救措施與通知。 對于上述的單項義務,《草案》也有更明確的要求,比如針對保護措施,《草案》第五十條規(guī)定了(1)制定制度規(guī)程;(2)分類分級管理;(3)采取加密等技術措施;(4)定期教育培訓;(5)制定實施應急預案;(6)法律、行政法規(guī)規(guī)定的其他措施。 (二)告知同意與例外 在《草案》之前,告知同意原則已經體現在《消費者權益保護法》《網絡安全法》《民法典》中。其中,《民法典》明確列明了存在例外情形——“但是法律、行政法規(guī)另有規(guī)定的除外”,體現了處理者在處理前的告知義務以及取得同意的前提條件,也給予了一些例外的空間。但目前在法律、行政法規(guī)層面,例外情形散見在不同規(guī)定中,比如《傳染病防治法》中即有對發(fā)現傳染病人病人向疾病預防控制機構報告義務的規(guī)定。在這種情況下,報告義務與取得個人同意義務構成競合,可以理解為是一種例外情形,但是對于適用者來說仍然不夠明確。而《規(guī)范》雖然規(guī)定了十一種更為明確的例外情形,但其法律層級較低,作為法律依據來說仍不夠充分。 《草案》帶來的重大變化之一正是通過第十三條將合同必需、法定責任、緊急情況、公共利益的報道與監(jiān)督四種以及法律、行政法規(guī)例外的一種兜底條款共計五種例外情形在法律層級進行了列明。這種列明無疑為適用者帶來了便利,但對于個人主動公開這種情形并未在此予以列明,作為補充,第二十八條規(guī)定了相應的處理依據,而其中“合理”“謹慎”“重大影響”這樣的表述在進一步的細則出現前,如何適用也有待實踐的驗證。在《草案》之中還存在另外一種例外情形,即第二十七條關于公共場所安裝的圖像采集、個人身份識別設備采集的個人圖像、個人身份特征信息可以用于維護公共安全的目的,用于其他目的需用取得單獨的個人同意。 此外,在敏感個人信息的處理上,該項義務會更加嚴格,無論是第二十九條規(guī)定的“特定的目的和充分的必要性”的前提,還是第三十條規(guī)定的“單獨同意”,第三十一條規(guī)定的“必要性以及對個人的影響”的告知,都需要處理者設計恰當的流程予以實現。 (三)共同處理與委托處理 《草案》第二十一條涉及的“共同處理”與《規(guī)范》中的“共同個人信息控制者”的概念相對應。該條在規(guī)定對內明確權利義務要求的同時規(guī)定了對外侵權時處理者之間的連帶責任,與《侵權責任法》規(guī)定的共同侵權規(guī)則保持一致。 同時,對于《規(guī)范》提出的“委托處理”也在《草案》第二十二條有相對應條款。和《規(guī)范》一樣,對于委托處理是否屬于提供,委托處理情形下的告知同意規(guī)則如何適用問題在《草案》中未得到進一步明確。不過,委托處理可以被理解是處理方式的一種,因此,將委托處理的情形向個人告知并取得同意應當是委托處理方更為穩(wěn)妥的選擇。只不過對于受托處理方來說,其處理活動是否包含收集個人信息的環(huán)節(jié),對于個人信息的合法來源擁有怎樣的注意義務,在實踐中仍可能存在比較大的分歧。 (四)自動化決策 根據第二十五條的規(guī)定,對應前文提到的個人在自動化決策方面的權利,處理者也相應負有(1)保證決策的透明度和處理結果的公平合理的責任;(2)在對個人權益造成重大影響情形下,響應個人要求予以說明及增加其他方式作出決定的責任;(3)在通過自動化決策方式進行商業(yè)營銷、信息推送情形下,同時提供不針對其個人特征的選項的責任。 (五)跨境傳輸及安全評估 除了前文提到作為反制手段的規(guī)定外,處理者在跨境傳輸過程中也應當注意其他要求,比如第三十九條的告知同意要求,不過最為關鍵的仍然是關于安全評估的要求。 與《個人信息出境安全評估辦法(征求意見稿)》相比,《草案》不再將安全評估作為必要前提,而是在第三十八條規(guī)定了四種條件,應至少具備其中一種:(1)通過國家網信部門組織的安全評估;(2)通過專業(yè)機構的個人信息保護認證;(3)訂立合同明確雙方權利義務并監(jiān)督對方達到《草案》規(guī)定的保護標準;(4)法律、 行政法規(guī)或者國家網信部門規(guī)定的其他條件。上述第(3)種給予了處理者較大的空間,第(4)種則給予國家網信部門充分權力,可以設立其他條件。 應當注意的是,當處理者屬于關鍵信息基礎設施運營者或者處理的個人信息達到國家網信部門規(guī)定數量,安全評估將成為硬性要求。因此,涉外機構尤其需要關注國家網信部門對于這個數量門檻的規(guī)定。 除此之外,《草案》還存在國際司法協(xié)助或者行政執(zhí)法協(xié)助擁有前置批準條件,國家網信部門可以設置境外處理者黑名單等規(guī)定。 (六)國家機關的特別規(guī)定 在處理者中,國家機關屬于比較特殊的一種。通常理解中,國家機關執(zhí)行公務,他人負有配合義務,則對于執(zhí)行告知同意規(guī)則的要求可能會放寬。但這次在第三十五條中,《草案》明確規(guī)定,即使在履行法定職責的情形下,告知同意仍然為原則,需要遵照執(zhí)行,而將保密要求及妨礙情形作為例外。這個規(guī)定與第十三條的關系可能需要按照特殊規(guī)則優(yōu)于一般規(guī)則的方式來理解,具體是否會產生沖突也有待正式發(fā)布后的實踐檢驗。 在境外傳輸情形下,第三十七條有一個細節(jié)值得關注,即此處規(guī)定國家機關應當進行“風險評估”而不是“安全評估”,今后可能針對這一點區(qū)別出臺與安全評估區(qū)別的專門規(guī)定。 (七)處罰規(guī)則 《草案》在處罰力度上存在較大的提升,第六十二條針對情節(jié)嚴重的情形,規(guī)定了五千萬元以下或上一年度營業(yè)額百分之五的處罰上限。對比《網絡安全法》固定的上限一百萬元和浮動的上限十倍違法所得,且僅針對“竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個人信息”這一情形,《草案》在上限標準外,規(guī)定的打擊范圍是“違反本法規(guī)定處理個人信息,或者處理個人信息未按照規(guī)定采取必要的安全保護措施的,情節(jié)嚴重的”,顯然更容易適用,也更具威懾力。 《草案》罰款規(guī)則的設計,在我國法律中是罕見的,在吸取國際經驗的同時,也顯示了國家的重視程度,最終是否落地,值得重點關注。 小結 縱觀《草案》全文,明確了從個人信息保護的出發(fā)角度,以規(guī)范處理活動為核心,與《網絡安全法》《數據安全法(草案)》相互補充,將原來規(guī)定在《規(guī)范》中的許多內容提升至法律層級并適當調整。 如《草案》順利公布,無疑將深刻影響到互聯(lián)網及信息技術行業(yè)的個人信息處理行為。,在如今大多數個人已然離不開通信網絡的背景下,更可能輻射整個社會的方方面面。為個人權益帶來更有效的保護的同時,也將給企業(yè)帶來新的機遇與挑戰(zhàn),企業(yè)個人信息保護及治理能力將成為企業(yè)的重要競爭力。
