《個人信息保護法(草案)》焦點解讀
作者:潘燁桐 鄧勇 2020-10-242020年10月13日,十三屆全國人大常委會第二十二次會議首次審議了《個人信息保護法(草案)》(以下簡稱“《草案》”)。2020年10月21日,中國人大網公布《草案》,向社會公開征求意見,意見反饋時間截至2020年11月19日。
縱觀過去兩年,在全球個人信息保護浪潮發展下,我國也在吸收、借鑒及探索的過程中進行了一系列個人信息安全保護的嘗試。2019年5月,國家互聯網信息辦公室發布關于《數據安全管理辦法(征求意見稿)》公開征求意見的通知;6月,發布關于《個人信息出境安全評估辦法(征求意見稿)》公開征求意見的通知;8月,發布《兒童個人信息網絡保護規定》;2020年3月,國家標準化管理委員會發布《信息安全技術 個人信息安全規范》(以下簡稱),替代2017年版本的規范標準,該《規范》于2020年10月1日實施。
《草案》的推出更像是自2012年《全國人民代表大會常務委員會關于加強網絡信息保護的決定》以來,對過去我國個人信息保護探索的一個階段性成果,有較完整的個人信息保護框架,部分內容突破了過往成規,融合時代特點,使得該《草案》具有更強的實踐性。在此淺析《草案》幾大關注點。
一、明確個人信息處理范圍 在《電信和互聯網用戶個人信息保護規定》中,僅對個人信息的收集、使用進行規定,但并未明確“使用”的范圍,同時亦未區分敏感信息及未成年人信息。在《草案》中,則以個人信息的“處理”作為替代,明確個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動,相比《電信和互聯網用戶個人信息保護規定》擴大了范圍。 在過去《電信和互聯網用戶個人信息保護規定》中,并未細分敏感個人信息與一般個人信息。而本次《草案》中則明確“敏感信息”定義,并設置專章進行規范。在個人信息處理的基礎上,更進一步規定具有特定目的和充分的必要性,方可處理敏感個人信息,新增告知處理必要性及對個人的影響,要求根據情況取得個人單獨的同意或書面同意。 「《草案》第二十九條第二項,敏感信息指一旦泄露或者非法使用,可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息,包括種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等信息。」 二、域外適用效力 在過往已生效的法律法規中,并未有過多涉及對域外主體的規制。僅有《網絡安全法》第七十五條規定,境外的機構、組織、個人從事攻擊、侵入、干擾、破壞等危害中華人民共和國的關鍵信息基礎設施的活動,造成嚴重后果的,依法追究法律責任。但對于境外網絡運營者在處理涉及中國境內個人信息的情況,是否需要受有關法律法規的約束,并未規定。 而《草案》第三條則明確,在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動,符合《草案》中列舉的情況之一,也適用該法,包括:(一)以向境內自然人提供產品或者服務為目的;(二)為分析、評估境內自然人的行為;及(三)法律、行政法規規定的其他情形。 我們認為,該條款實際上是借鑒了GDPR的域外管轄的規定,也迎合全球化大環境下越來越多境外主體將接觸、處理境內個人信息的發展趨勢。 三、個人信息處理原則、規則及個人的權利 1)個人信息處理原則——強調誠信原則,明確最小范圍及公開透明原則 草案中除了誠信原則與《網絡安全法》、《電信和互聯網用戶個人信息保護規定》一脈相承外,還明確了最小范圍原則、公開透明原則,這兩項原則在今年10月1日生效的《信息安全技術 個人信息安全規范》亦有體現,《草案》則是將這兩項原則從無強制約束力的規范文件中納入到法律層面。 除前述原則外,還要求處理的個人信息應當準確、及時更新,個人信息處理者應當采取必要措施保障所處理的個人信息的安全。 原則 具體內容 誠信原則 第五條 處理個人信息應當采用合法、正當的方式,不得通過欺詐、誤導等方式處理個人信息。 最小范圍原則 第六條 處理個人信息應當具有明確、合理的目的,并應當限于實現處理目的的最小范圍,不得進行與處理目的無關的個人信息處理。 第二十條 個人信息的保存期限應當為實現處理目的所必要的最短時間。法律、行政法規對個人信息的保存期限另有規定的,從其規定。 公開透明原則 第七條 處理個人信息應當遵循公開、透明的原則,明示個人信息處理規則。 2)個人信息處理規則——擴大可處理個人信息情形,細化處理規范 《電信和互聯網用戶個人信息保護規定》關于信息收集和使用規范的規定大致上包括:規則公示、征得同意以及設置投訴機制。而《草案》則是對前述約定之內容進行進一步的細化、調整。其中最顯著修改部分為“征得同意”,不僅將征得同意的方式細分為單獨同意及書面同意,同時擴大個人信息處理者可處理個人信息的情形。 依據《電信和互聯網用戶個人信息保護規定》,個人信息處理者必須獲得用戶同意,方可使用、收集個人信息。而根據《草案》,符合下列情形之一均可處理個人信息: (一)取得個人的同意; (二)為訂立或者履行個人作為一方當事人的合同所必需; (三)為履行法定職責或者法定義務所必需; (四)為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需; (五)為公共利益實施新聞報道、輿論監督等行為在合理的范圍內處理個人信息; (六)法律、行政法規規定的其他情形。 《草案》的這一設計,擴大許可個人信息處理的情況,而不再要求必須取得個人的同意,放松對個人信息處理者的限制,一定程度上將有利于依賴個人信息處理提供服務的行業。 3)個人信息主體權利 《草案》設置專章明確個人信息主體權利,而在《草案》之前,這些個人信息主體的權利散見在《網絡安全法》、《電子商務法》等法規中,具體包括: 個人信息主體權利 具體內容 知情權、決定權 第四十四條 個人對其個人信息的處理享有知情權、決定權,有權限制或者拒絕他人對其個人信息進行處理;法律、行政法規另有規定的除外。 查閱、復制權 第四十五條 個人有權向個人信息處理者查閱、復制其個人信息;有本法第十九條第一款規定情形的除外。 個人請求查閱、復制其個人信息的,個人信息處理者應當及時提供。 更正、補正權 第四十六條 個人發現其個人信息不準確或者不完整的,有權請求個人信息處理者更正、補充。 個人請求更正、補充其個人信息的,個人信息處理者應當對其個人信息予以核實,并及時更正、補充。 刪除權 第四十七條 有下列情形之一的,個人信息處理者應當主動或者根據個人的請求,刪除個人信息: (一)約定的保存期限已屆滿或者處理目的已實現; (二)個人信息處理者停止提供產品或者服務; (三)個人撤回同意; (四)個人信息處理者違反法律、行政法規或者違反約定處理個人信息; (五)法律、行政法規規定的其他情形。 法律、行政法規規定的保存期限未屆滿,或者刪除個人信息從技術上難以實現的,個人信息處理者應當停止處理個人信息。 解釋說明權 第四十八條 個人信息處理者應當建立個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的,應當說明理由。 四、圖像采集及個人身份識別 隨著人臉識別技術、高清攝像頭的發展,圖像采集、個人身份識別設備在各大公共場所的應用越來越普及。但就圖像采集、個人身份識別設備一直未有相關法律進行約束。2019年初,國內人臉識別公司深圳市深網視界科技有限公司被曝發生大規模數據泄露事件,數百萬人的跟蹤數據可供任何人訪問。在此背景下,《草案》亦首次將公共場所圖像采集、個人身份識別設備內容法律約束框架中。 根據《草案》第二十七條規定,在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,并設置顯著的提示標識;所收集的個人圖像、個人身份特征信息只能用于維護公共安全的目的,不得公開或者向他人提供。但維護公共安全的目的這一判斷標準相對模糊,《草案》未進一步對前述設備安裝是否需要進行事前審查或報批手續進行明確,亦未對安裝主體條件進行要求、約束。就個人信息主體的圖像資料的保護仍有待加強。 五、個人信息跨境流動 隨著全球化的發展,國際貿易、企業國際化布局等越來越常態化,個人信息跨境流動亦越來越普遍。《草案》亦在法律層面上設置個人信息跨境提供的規則。與國家互聯網信于2019年6月發布的《個人信息出境安全評估辦法(征求意見稿)》相比,《草案》對個人信息跨境提供設置相對較寬松的條件。 根據《個人信息出境安全評估辦法(征求意見稿)》,個人信息出境前應當向所在地省級網信部門申報個人信息出境安全評估,且向不同的接受者提供個人信息應當分別申報安全評估。而《草案》中則并未將網信部門的安全評估作為信息出境的必要條件,而是作為可選條件之一,其中包括: (一)通過國家網信部門組織的安全評估; (二)按照國家網信部門的規定經專業機構進行個人信息保護認證; (三)與境外接收方訂立合同,約定雙方的權利和義務,并監督其個人信息處理活動達到本法規定的個人信息保護標準; (四)法律、行政法規或者國家網信部門規定的其他條件。 在目前《草案》的規定下,個人信息處理者只要與境外接收方訂立合同,即能滿足個人信息傳輸出境要求,相較于《個人信息出境安全評估辦法(征求意見稿)》,其條件達成難度大大降低,亦將有利于個人信息向境外傳輸。若《草案》獲得通過,在無其他約束條件的情況下,個人信息出境難度不高,只需注意與個人信息接收方訂立合同即可。但需注意,針對關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,其收集和產生的個人信息需存儲在境內,若需向境外提供,仍應當通過國家網信部門組織的安全評估。 六、行政管理及處罰力度 1)明確管理部門及管理職責 相較于《電信和互聯網用戶個人信息保護規定》,《草案》中明確了國家網信部門負責統籌協調個人信息保護和相關監督工作,國務院有關部門及縣級以上地方人民政府有關部門則按照有關規定履行職責。同時,明確的履職部門的職責包括:(一)開展個人信息保護宣傳教育,指導、監督個人信息處理者開展個人信息保護工作;(二)接受、處理與個人信息保護有關的投訴、舉報;(三)調查、處理違法個人信息處理活動;(四)法律、行政法規規定的其他職責。 另,根據《草案》第三十二條規定,“法律、行政法規規定處理敏感個人信息應當取得相關行政許可或者作出更嚴格限制的,從其規定”。可以預測將來國家對敏感個人信息的保護將逐步加強,不排除將來就個人信息的處理設置許可制度。 2)處罰力度加大 對侵害個人信息權利的處罰,除延續《網絡安全法》中第六十四條處罰外,另進一步規定情節嚴重情況下,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務、停業整頓、至吊銷相關業務許可或營業執照;對直接負責相關人員處以罰款。同時,對于違法行為將計入信用檔案并予以公示。 該處罰相較于《電信和互聯網用戶個人信息保護規定》中最高三萬元以下的處罰,其處罰力度明顯增大,亦見國家對個人信息保護之決心之大。 3)境外個人信息處理者制裁措施 針對境外的個人信息處理者可能難以操作處罰的問題,《草案》中也相應設置了限制或禁止提供個人信息的措施。對于境外的組織、個人從事損害公民的個人信息權益,或者危害國家安全、公共利益的個人信息處理活動的,國家網信部門可以將其列入限制或者禁止個人信息提供清單,予以公告,并采取限制或者禁止向其提供個人信息等措施。 結語:《草案》的出臺彰顯著我國個人信息保護到了新的階段,在法律的逐步完善下,個人信息主體權利逐漸明晰、得到重視及保護。而信息時代下,企業亦將面臨越來越嚴格的合規考驗。
