重磅解讀!萬(wàn)字干貨讀懂《個(gè)人信息保護(hù)法》要點(diǎn)與實(shí)務(wù)

2 評(píng)論 3693 瀏覽 2 收藏 43 分鐘

編輯導(dǎo)語(yǔ):《個(gè)人信息保護(hù)法》的出臺(tái)意味著未來信息安全、數(shù)據(jù)安全將愈發(fā)受到重視,而企業(yè)在收集個(gè)人信息時(shí),也將有更加明確的界限。具體應(yīng)該如何理解《個(gè)人信息保護(hù)法》的內(nèi)容?本文作者做了詳細(xì)解讀,一起來看一下。

2020年10月21日,《中華人民共和國(guó)個(gè)人信息保護(hù)法(草案)》正式公開,向全社會(huì)公開征求意見。

2021年4月26日,第十三屆全國(guó)人大常委會(huì)第二十八次會(huì)議對(duì)《中華人民共和國(guó)個(gè)人信息保護(hù)法(草案二次審議稿)》進(jìn)行了審議。

2021年8月20日,第十三屆全國(guó)人大常委會(huì)第三十次會(huì)議審議通過《中華人民共和國(guó)個(gè)人信息保護(hù)法》,并將于2021年11月1日起施行。

《中華人民共和國(guó)個(gè)人信息保護(hù)法》厘清了個(gè)人信息、敏感個(gè)人信息、自動(dòng)化決策、去標(biāo)識(shí)化、匿名化的基本概念,從適用范圍、個(gè)人信息處理的基本原則、處理規(guī)則、跨境傳輸規(guī)則等多個(gè)方面對(duì)個(gè)人信息保護(hù)進(jìn)行了全面規(guī)定,個(gè)人信息保護(hù)領(lǐng)域各主體的行為從此也有了更明確的法律依據(jù)。

本文將淺析《中華人民共和國(guó)個(gè)人信息保護(hù)法》,以期為各方提供些許參考。

目錄

  1. 《個(gè)人信息保護(hù)法》處于何種法律地位
  2. 《個(gè)人信息保護(hù)法》的“個(gè)人信息”指什么
  3. 《個(gè)人信息保護(hù)法》需要哪些企業(yè)遵守
  4. 一般場(chǎng)景下處理個(gè)人信息的法定限制
  5. 特殊場(chǎng)景下的增強(qiáng)義務(wù)
  6. 對(duì)于個(gè)人信息處理者的其他合規(guī)要求
  7. 企業(yè)可能承擔(dān)的違法后果

一、《個(gè)人信息保護(hù)法》處于何種法律地位?

《中華人民共和國(guó)個(gè)人信息保護(hù)法》是我國(guó)首部完整規(guī)定個(gè)人信息處理規(guī)則的法律。作為我國(guó)個(gè)人信息保護(hù)框架中重要的組成部分,《個(gè)人信息保護(hù)法》從立法開始就一直備受矚目。

《個(gè)人信息保護(hù)法》一共分為8章74條,在有關(guān)法律的基礎(chǔ)上,進(jìn)一步明確了個(gè)人信息處理活動(dòng)中的權(quán)利義務(wù)邊界,細(xì)化、完善了個(gè)人信息保護(hù)應(yīng)遵循的原則和個(gè)人信息處理規(guī)則?!秱€(gè)人信息保護(hù)法》第一條規(guī)定“為了保護(hù)個(gè)人信息權(quán)益,規(guī)范個(gè)人信息處理活動(dòng),促進(jìn)個(gè)人信息合理利用,根據(jù)憲法,制定本法?!痹摬糠伞案鶕?jù)憲法”制定,意味著《個(gè)人信息保護(hù)法》已經(jīng)成為了信息保護(hù)的基本法,也意味著個(gè)人信息保護(hù)權(quán)上升為公民的一項(xiàng)基本權(quán)利。

二、《個(gè)人信息保護(hù)法》的“個(gè)人信息”指什么?

1. 個(gè)人信息的定義

何謂“個(gè)人信息”?我國(guó)《個(gè)人信息保護(hù)法》第四條給出了如下定義:“個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。”

其實(shí)關(guān)于“個(gè)人信息”的定義,各部法律在具體的界定方法、概念的內(nèi)涵均存在區(qū)別。從國(guó)際角度橫向比較,中國(guó)的《個(gè)人信息保護(hù)法》與GDPR(General Data Protection Regulation,即通用數(shù)據(jù)保護(hù)條例)在定義上更加類似,二者都將所有可識(shí)別和已識(shí)別的自然人有關(guān)的個(gè)人信息都納入了調(diào)整范圍,保護(hù)范圍更廣,且都將匿名化信息排除在了個(gè)人信息范圍之外。

而CCPA(California Consumer Privacy Act,即美國(guó)加州隱私保護(hù)法)則采用定義、列舉、排除并行的方式對(duì)個(gè)人信息進(jìn)行界定,強(qiáng)調(diào)“合理性”,進(jìn)一步限制了個(gè)人信息的范圍,CCPA排除適用的信息類型也遠(yuǎn)遠(yuǎn)多于GDPR與《個(gè)人信息保護(hù)法》。三者具體比較可參見下表。

從國(guó)內(nèi)角度縱向?qū)Ρ龋秱€(gè)人信息保護(hù)法》的定義與《中華人民共和國(guó)民法典》(以下簡(jiǎn)稱“民法典”)、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱“網(wǎng)絡(luò)安全法”)、《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(以下簡(jiǎn)稱“個(gè)人信息安全規(guī)范”)中對(duì)個(gè)人信息的定義近似,但略有區(qū)別,具體可參見下表。

通過比較可以看到,《個(gè)人信息保護(hù)法》通過內(nèi)涵和外延較為寬泛的定義方式,最大程度上保證了本法的廣泛適用,也最大限度保障了個(gè)人信息的保護(hù),維護(hù)了個(gè)人信息主體的權(quán)益。

2. 個(gè)人信息與相關(guān)概念的區(qū)分

1)個(gè)人信息與隱私

個(gè)人信息與個(gè)人隱私呈交叉關(guān)系,即有的個(gè)人隱私屬于個(gè)人信息,而有的個(gè)人隱私則不屬于個(gè)人信息。

隱私無(wú)法包含公開的個(gè)人信息,個(gè)人信息亦無(wú)法包含生活安寧和沒有形成記錄的隱私。

具體來說,隱私重在隱匿,而個(gè)人信息重在識(shí)別,隱私具有當(dāng)事人不愿公開的主觀因素,而個(gè)人信息不涉及當(dāng)事人的主觀因素,只關(guān)注客觀上是否能識(shí)別特定自然人。

“隱私”的定義可以參見《民法典》第一千零三十二條之規(guī)定:“隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動(dòng)、私密信息。”“私人”與“不愿為他人知曉”是《民法典》關(guān)于“隱私”定義的核心字眼。

《民法典》在第一千零三十四條中對(duì)“個(gè)人信息”進(jìn)行了如下界定:“個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱、健康信息、行蹤信息等?!?/p>

《民法典》還將“個(gè)人信息”進(jìn)一步劃分為了私密信息和非私密信息:“個(gè)人信息中的私密信息,適用有關(guān)隱私權(quán)的規(guī)定;沒有規(guī)定的,適用有關(guān)個(gè)人信息保護(hù)的規(guī)定?!?/p>

2)個(gè)人信息與敏感個(gè)人信息

個(gè)人信息和敏感個(gè)人信息呈包含關(guān)系,敏感個(gè)人信息首先是個(gè)人信息。

敏感個(gè)人信息與個(gè)人信息劃分的標(biāo)準(zhǔn)是信息的敏感度,強(qiáng)調(diào)的是對(duì)信息主體造成不良影響的可能性,因此立法對(duì)敏感個(gè)人信息的保護(hù)標(biāo)準(zhǔn)更為嚴(yán)格,保護(hù)程度更高。

具體來說,《個(gè)人信息保護(hù)法》第二十八條將敏感個(gè)人信息定義為一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息,包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個(gè)人信息。個(gè)人信息處理者只有在具有特定的目的和充分的必要性,并且采取嚴(yán)格保護(hù)措施的情形下,才可以處理敏感個(gè)人信息。

3)去標(biāo)識(shí)化與匿名化

在確定個(gè)人信息定義和范圍時(shí),“去標(biāo)識(shí)化”和“匿名化”是非常重要的概念,兩者都是為了保護(hù)個(gè)人隱私安全的技術(shù)防護(hù)手段,具備一定的共通性,但是二者也存在著顯著區(qū)別。

《個(gè)人信息保護(hù)法》第七十三條分別對(duì)“去標(biāo)識(shí)化”與“匿名化”進(jìn)行了定義:“去標(biāo)識(shí)化,是指?jìng)€(gè)人信息經(jīng)過處理,使其在不借助額外信息的情況下無(wú)法識(shí)別特定自然人的過程?!?/strong>“匿名化,是指?jìng)€(gè)人信息經(jīng)過處理無(wú)法識(shí)別特定自然人且不能復(fù)原的過程?!?/strong>

由此可見,去標(biāo)識(shí)化后的信息,在滿足一定條件下,仍可以識(shí)別到特定自然人,即去標(biāo)識(shí)化后的信息仍可進(jìn)行復(fù)原。而匿名化后的信息,在任何情況下都無(wú)法識(shí)別到特定自然人,且無(wú)法復(fù)原。

兩者從內(nèi)涵上類似于GDPR語(yǔ)境下的匿名化與假名化(GDPR 將匿名化信息定義為“已識(shí)別或可識(shí)別的自然人無(wú)關(guān)的信息或者以數(shù)據(jù)主體不可識(shí)別或不再可識(shí)別的方式匿名呈現(xiàn)的數(shù)據(jù)”,將假名化定義為“在采取某種方式對(duì)個(gè)人數(shù)據(jù)進(jìn)行處理后,如果沒有額外的信息就不能識(shí)別數(shù)據(jù)主體的處理?!?/p>

前者不再適用 GDPR,后者仍作為個(gè)人信息,依舊適用 GDPR),兩種不同的技術(shù)區(qū)別在于數(shù)據(jù)是否可以被重新識(shí)別,匿名化要求該信息無(wú)法再識(shí)別到特定自然人。即使是在歐盟,判斷企業(yè)在實(shí)操過程中是否實(shí)現(xiàn)了匿名化,也是一項(xiàng)較為困難的事情,就如歐盟第29條工作組在其意見中指出一樣:“真正的數(shù)據(jù)匿名化是一個(gè)極高的標(biāo)準(zhǔn),數(shù)據(jù)控制者往往無(wú)法真正實(shí)現(xiàn)數(shù)據(jù)的匿名化?!?/p>

根據(jù)個(gè)保法的定義判斷二者的關(guān)鍵在于,經(jīng)過處理后的信息是否能夠復(fù)原且識(shí)別到特定自然人。去標(biāo)識(shí)化后的信息因?yàn)槿杂锌赡茏R(shí)別到特定自然人,故屬于個(gè)人信息;而匿名化處理之后的信息,因無(wú)法識(shí)別特定自然人且不能復(fù)原,故匿名化后的信息不屬于個(gè)人信息,處理這類匿名化信息,不受《個(gè)人信息保護(hù)法》的保護(hù)。

三、《個(gè)人信息保護(hù)法》需要哪些企業(yè)遵守?

《個(gè)人信息保護(hù)法》第三條規(guī)定:在中華人民共和國(guó)境內(nèi)處理自然人個(gè)人信息的活動(dòng),適用本法。在中華人民共和國(guó)境外處理中華人民共和國(guó)境內(nèi)自然人個(gè)人信息的活動(dòng),有下列情形之一的,也適用本法:(一)以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的;(二)分析、評(píng)估境內(nèi)自然人的行為;(三)法律、行政法規(guī)規(guī)定的其他情形。

由此可見,《個(gè)人信息保護(hù)法》采取了類似于 GDPR 的綜合立法模式,管轄范圍不僅包括境內(nèi)的個(gè)人信息處理行為,還包括了境外部分特定行為,將使用范圍擴(kuò)展至了域外,產(chǎn)生了“長(zhǎng)臂管轄”的效果,同時(shí),也與《數(shù)據(jù)安全法》在法律適用上進(jìn)行了銜接。

但《個(gè)人信息保護(hù)法》與GDPR也存在區(qū)別:一、《個(gè)人信息保護(hù)法》強(qiáng)調(diào)“屬地原則”,而GDPR以“營(yíng)業(yè)地/設(shè)立地”為標(biāo)準(zhǔn)。二、GDPR以“保護(hù)主體”為標(biāo)準(zhǔn):即使有關(guān)個(gè)人數(shù)據(jù)處理活動(dòng)的控制者或處理者不在歐盟設(shè)立,但若其為歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)、或?qū)Πl(fā)生在歐盟境內(nèi)的數(shù)據(jù)主體的活動(dòng)進(jìn)行監(jiān)控,也將同樣適用GDPR。

對(duì)標(biāo)GDPR“保護(hù)主體”規(guī)則,《個(gè)人信息保護(hù)法》對(duì)域外適用也進(jìn)行了規(guī)定,當(dāng)有關(guān)個(gè)人數(shù)據(jù)處理活動(dòng)的控制者或處理者以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的、為分析、評(píng)估境內(nèi)自然人的行為而進(jìn)行數(shù)據(jù)處理行為時(shí),也應(yīng)當(dāng)適用《個(gè)人信息保護(hù)法》。從域外適用的范圍看,GDPR的范圍更寬泛,中國(guó)《個(gè)人信息保護(hù)法》在地域范圍上做了適當(dāng)延伸,但相較GDPR而言更為克制,也體現(xiàn)了個(gè)保法的謙抑性。

四、一般場(chǎng)景下,處理個(gè)人信息的法定限制

1. 目的正當(dāng)性與處理必要性

《個(gè)人信息保護(hù)法》與《民法典》、《網(wǎng)絡(luò)安全法》一脈相承,保持和延續(xù)了個(gè)人信息處理的原則和規(guī)定。“最小影響、最小范圍、最短時(shí)間”規(guī)則是個(gè)保法必要原則與誠(chéng)信原則的具體化。而個(gè)保法要求個(gè)人信息處理者處理個(gè)人信息必須具有明確、合理的目的,否則不能進(jìn)行處理活動(dòng),也充分體現(xiàn)了個(gè)保法中的合法、正當(dāng)原則。

《個(gè)人信息保護(hù)法》在第五條中明確了個(gè)人信息處理者需要遵循的處理原則:合法、正當(dāng)、必要和誠(chéng)信,個(gè)人信息處理者不得通過誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息。在該原則的指引下,《個(gè)人信息保護(hù)法》又進(jìn)行了進(jìn)一步細(xì)化,明確了個(gè)人信息處理者在進(jìn)行個(gè)人信息處理活動(dòng)時(shí)需要遵守的,與處理目的相對(duì)應(yīng)的“最小影響、最小范圍、最短時(shí)間”規(guī)則,具體可參見《個(gè)人信息保護(hù)法》第六條與第十九條之規(guī)定。

個(gè)保法第六條明確個(gè)人信息處理者“處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的,并應(yīng)當(dāng)與處理目的直接相關(guān),采取對(duì)個(gè)人權(quán)益影響最小的方式。收集個(gè)人信息,應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍,不得過度收集個(gè)人信息。”

個(gè)保法對(duì)個(gè)人信息處理者處理活動(dòng)的嚴(yán)格限定體現(xiàn)了“最小影響”與“最小范圍”的要求;而《個(gè)人信息保護(hù)法》第十九條規(guī)定“除法律、行政法規(guī)另有規(guī)定外,個(gè)人信息的保存期限應(yīng)當(dāng)為實(shí)現(xiàn)處理目的所必要的最短時(shí)間?!斌w現(xiàn)了“最短時(shí)間”的要求。

而在實(shí)踐中,大量APP存在收集過量信息的行為。2021年3月12日,中央網(wǎng)信辦、工業(yè)和信息化部、市場(chǎng)監(jiān)管總局、公安部等有關(guān)部門聯(lián)合發(fā)布了《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》,列舉了“常見類型APP的必要個(gè)人信息范圍”。對(duì)APP采集個(gè)人信息的范圍進(jìn)行了一定的限制,而在《個(gè)人信息保護(hù)法》生效以后,有關(guān)監(jiān)管部門將會(huì)對(duì)有關(guān)個(gè)人信息處理進(jìn)行更嚴(yán)格的監(jiān)管。

作為個(gè)人信息處理者的企業(yè),應(yīng)當(dāng)充分結(jié)合《個(gè)人信息保護(hù)法》的合法、正當(dāng)、必要和誠(chéng)信原則與“最小影響、最小范圍、最短時(shí)間”規(guī)則,積極進(jìn)行自查自糾,對(duì)自身信息處理行為的目的正當(dāng)性與處理必要性進(jìn)行充分說明,明確提供基本功能服務(wù)所必須收集的個(gè)人信息范圍,并與業(yè)務(wù)部門及時(shí)溝通調(diào)整實(shí)際收集個(gè)人信息的范圍,以確保符合《個(gè)人信息保護(hù)法》的要求。

2. “告知-同意”原則與例外情形

“告知-同意”原則,是指信息處理者在收集個(gè)人信息前,應(yīng)當(dāng)對(duì)信息主體就有關(guān)個(gè)人信息處理有關(guān)事宜進(jìn)行充分告知,征得信息主體明確同意后方能進(jìn)行收集的原則。這也是本次個(gè)保法中最為核心的處理規(guī)則。

近年來,隨著《網(wǎng)絡(luò)安全法》、《民法典》等相關(guān)法律法規(guī)的出臺(tái),“告知-同意”原則已儼然成為了我國(guó)個(gè)人信息處理活動(dòng)的合法性基礎(chǔ)。其中,《網(wǎng)絡(luò)安全法》更是將個(gè)人信息主體的“同意”視為個(gè)人信息處理的唯一合法性基礎(chǔ),這一規(guī)定雖然體現(xiàn)了對(duì)個(gè)人信息主體權(quán)利的尊重和保障,但是忽略了實(shí)務(wù)中大量存在的涉及訂立或履行合同所必需、履行法定職責(zé)或法定義務(wù)、公共利益等多種個(gè)人信息處理場(chǎng)景。

《民法典》雖規(guī)定了同意的例外情形,但也僅限于處理自然人自行公開或其他已公開信息的情形以及維護(hù)公共利益或者自然人合法權(quán)益的情形。

相較于《網(wǎng)絡(luò)安全法》和《民法典》,《個(gè)人信息保護(hù)法》采用了與GDPR一致的立法邏輯,將“告知-同意”確立為個(gè)人信息處理規(guī)則的核心,但《個(gè)人信息保護(hù)法》規(guī)定了更多無(wú)需征得個(gè)人同意的例外情形,在這些例外情形下,無(wú)需取得個(gè)人同意,即可處理個(gè)人信息。

但是無(wú)論是何種合法性事由,個(gè)人信息處理者都需要履行事先告知的義務(wù)。相比于《網(wǎng)絡(luò)安全法》、《民法典》,《個(gè)人信息保護(hù)法》對(duì)于告知義務(wù)規(guī)定的較為詳細(xì),給企業(yè)在法律層面做出了明確的指引,但企業(yè)在不同場(chǎng)景下如何具體落實(shí)告知同意原則,后續(xù)可參考《信息安全技術(shù) 個(gè)人信息告知同意指南(征求意見稿)》。

與同意規(guī)則一樣,告知規(guī)則也有不適用的情形,即在特定的情形下,處理者不負(fù)有告知的義務(wù)。個(gè)保法對(duì)告知的例外規(guī)定體現(xiàn)在第十八條和第三十五條,《個(gè)人信息保護(hù)法》第十八條規(guī)定:“個(gè)人信息處理者處理個(gè)人信息,有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的,可以不向個(gè)人告知前條第一款規(guī)定的事項(xiàng)。緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全無(wú)法及時(shí)向個(gè)人告知的,個(gè)人信息處理者應(yīng)當(dāng)在緊急情況消除后及時(shí)告知”;《個(gè)人信息保護(hù)法》第三十五條規(guī)定:“國(guó)家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息,應(yīng)當(dāng)依照本法規(guī)定履行告知義務(wù);有本法第十八條第一款規(guī)定的情形,或者告知將妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)的除外”。

可見,個(gè)保法對(duì)免于告知的情況主要體現(xiàn)在法律、行政法規(guī)另有規(guī)定、緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全、告知將妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)的情形。例如《反恐怖主義法》第51條規(guī)定,公安機(jī)關(guān)調(diào)查恐怖活動(dòng),有權(quán)向有關(guān)單位和個(gè)人收集、調(diào)取相關(guān)信息和材料。有關(guān)單位和個(gè)人應(yīng)當(dāng)如實(shí)提供。在一些緊急情況下,可以事后告知。

由于在現(xiàn)實(shí)生活中存在的利益眾多,公共利益、法定職責(zé)、國(guó)家利益、自然人的生命健康和財(cái)產(chǎn)安全等利益有時(shí)會(huì)存在沖突,所以,“同意+例外”規(guī)制方式,給予了個(gè)人信息處理更靈活的空間,也能夠更好地保護(hù)國(guó)家和公民的利益。

但是我們發(fā)現(xiàn),相較于《個(gè)人信息安全規(guī)范》第5.6條之規(guī)定,《個(gè)人信息保護(hù)法》大大壓縮了理論上可以具有合法性的情形,簡(jiǎn)化了處理個(gè)人信息處理的合法性基礎(chǔ),可能給后續(xù)落地帶來新的問題,使得一些具有正當(dāng)性的個(gè)人信息處理情形陷入于法無(wú)據(jù)的困境。

3. 自動(dòng)化決策

科技是把雙刃劍,《個(gè)人信息保護(hù)法》在吸納《電子商務(wù)法》和《個(gè)人信息安全規(guī)范》關(guān)于定向推送和個(gè)性化展示的規(guī)定基礎(chǔ)上,對(duì)“自動(dòng)化決策”作出專門限制,增加了“禁止大數(shù)據(jù)殺熟”條款,明確規(guī)定“自動(dòng)化決策應(yīng)保證透明度和結(jié)果公平、公正,不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇?!必S富了對(duì)歧視性定價(jià)、算法歧視問題的規(guī)制路徑。

《個(gè)人信息保護(hù)法》第二十四條中還明確“通過自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷,應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng),或者向個(gè)人提供便捷的拒絕方式?!眰€(gè)保法在賦予個(gè)人主體拒絕權(quán)的基礎(chǔ)上要求個(gè)人信息處理者提供“便捷”的拒絕方式,為用戶提供退出或關(guān)閉個(gè)性化展示模式的選項(xiàng),對(duì)信息處理者有較強(qiáng)的制約,信息處理者的責(zé)任進(jìn)一步加重。

4. 撤回同意

撤回同意,實(shí)質(zhì)為個(gè)人信息主體意思表示的撤銷,即個(gè)人信息主體基于“告知-同意”原則,取消自己已經(jīng)作出的“同意”的意思表示。個(gè)人信息主體行使撤回同意權(quán)利的時(shí)間不應(yīng)僅局限于信息的收集階段,因?yàn)樵谕馐占瘋€(gè)人信息的初始階段,個(gè)人信息主體往往很難理解、判斷做出該同意將面臨何種后果。

根據(jù)《個(gè)人信息保護(hù)法》規(guī)定可知,個(gè)人信息主體撤回同意的權(quán)利可以在個(gè)人信息的收集、使用、保存、共享等全生命周期內(nèi)行使,而個(gè)人信息主體一旦行使權(quán)利,即包含了對(duì)個(gè)人信息使用全過程中的處分。

個(gè)人信息主體所撤回的個(gè)人同意,對(duì)于已經(jīng)發(fā)生的個(gè)人信息處理行為,沒有溯及力,但是個(gè)人信息處理者應(yīng)主動(dòng)刪除內(nèi)部所存儲(chǔ)的個(gè)人信息。相較于《個(gè)人信息保護(hù)法》,GDPR中個(gè)人信息主體行使撤銷同意權(quán)的范圍更為廣泛。

在GDPR中,不論數(shù)據(jù)處理活動(dòng)是否是基于數(shù)據(jù)主體同意而進(jìn)行的,數(shù)據(jù)主體在任何情況下均可撤回其同意。而《個(gè)人信息保護(hù)法》規(guī)定,個(gè)人信息主體僅可對(duì)基于其個(gè)人同意的處理活動(dòng)撤回同意。個(gè)人信息主體撤回同意之后,個(gè)人信息處理的合法性基礎(chǔ)將不復(fù)存在。作為個(gè)人信息處理者,必須立即停止數(shù)據(jù)處理行為,并根據(jù)《個(gè)人信息保護(hù)法》中的相關(guān)規(guī)定對(duì)其留存的個(gè)人信息進(jìn)行處理,并且不得以撤回同意為由,拒絕提供產(chǎn)品或者服務(wù)。

根據(jù)《個(gè)人信息保護(hù)法》第十五條的規(guī)定,個(gè)人信息處理者應(yīng)當(dāng)提供“便捷”的撤回同意方式,我們理解便捷的方式,包括但不限于將撤回的按鈕置于醒目的位置,與“同意”的選項(xiàng)相對(duì)應(yīng),給與對(duì)應(yīng)撤回的選項(xiàng)等等,其困難程度不能高于“同意”的方式,企業(yè)在落地實(shí)施的過程中,可以參考《信息安全技術(shù)個(gè)人信息告知同意指南(征求意見稿)》第9.3條同意的撤回的規(guī)定。

另外,由于數(shù)據(jù)的可復(fù)制性,個(gè)人信息處理者在處理個(gè)人信息的過程中,可能將個(gè)人信息向其他第三方共享、提供、委托處理等等,在這些情況下,個(gè)人信息處理者還需要在共享、提供、委托處理等環(huán)節(jié)設(shè)置相應(yīng)的聯(lián)動(dòng)機(jī)制,保證在個(gè)人信息主體撤回同意后,這些第三方個(gè)人信息接收方能夠按照個(gè)保法的要求進(jìn)行刪除。

五、特殊場(chǎng)景下的增強(qiáng)義務(wù)

1. 必須獲取“單獨(dú)同意”的情形

對(duì)于影響個(gè)人利益的重大事項(xiàng),例如向第三方提供個(gè)人信息、個(gè)人信息出境等,《個(gè)人信息保護(hù)法》要求個(gè)人信息處理者需要取得該個(gè)人的“單獨(dú)同意”。

單獨(dú)同意區(qū)別于《個(gè)人信息保護(hù)法》下的一般同意規(guī)則,個(gè)人信息處理者需僅針對(duì)單一事項(xiàng)取得個(gè)人信息主體授權(quán)同意,而不得通過一攬子授權(quán)的方式。在《個(gè)人信息保護(hù)法》項(xiàng)下,個(gè)人信息處理者需要征得個(gè)人單獨(dú)同意的場(chǎng)景如下:

就“單獨(dú)同意”的適用頻率和行業(yè)普適性而言,《個(gè)人信息保護(hù)法》第二十三、二十九、三十九條相較于其他兩條更高,也是許多企業(yè)無(wú)法避免的。作為個(gè)人信息處理者的企業(yè)應(yīng)從個(gè)人信息的敏感度、場(chǎng)景進(jìn)行風(fēng)險(xiǎn)分析,基于處理行為的類型去區(qū)別實(shí)施不同的同意方式,并為實(shí)現(xiàn)不同的同意匹配新型的同意機(jī)制。

那么什么是“單獨(dú)同意”,如何取得“單獨(dú)同意”,根據(jù)《信息安全技術(shù)個(gè)人信息告知同意指南(征求意見稿)》第8條及9.2.2條的規(guī)定,“單獨(dú)同意”是指通過“增強(qiáng)式告知”或“即時(shí)提示”等方式,單獨(dú)向個(gè)人信息主體告知處理個(gè)人信息的目的、方式和范圍、以及存儲(chǔ)時(shí)間、安全措施等規(guī)則,并由個(gè)人信息主體明示同意(主動(dòng)作出確認(rèn)性動(dòng)作),不應(yīng)與其他不相關(guān)的目的或業(yè)務(wù)功能相捆綁或混同在其他同意事項(xiàng)中,不應(yīng)通過“同意個(gè)人信息保護(hù)政策”等方式一攬子獲得同意。

“增強(qiáng)式告知”,指采用個(gè)人信息主體不可繞過的方式(如設(shè)置專門頁(yè)面或單獨(dú)步驟)向個(gè)人信息主體告知相關(guān)信息,以協(xié)助其作出是否授權(quán)同意的決定。具體到企業(yè)的業(yè)務(wù)場(chǎng)景中,可以根據(jù)特定的業(yè)務(wù)功能,采用單獨(dú)的交互式界面或紙質(zhì)頁(yè)面向個(gè)人信息主體告知相關(guān)信息,并向其提供可分項(xiàng)選擇同意的機(jī)制,如勾選、點(diǎn)亮等方式。

目前大數(shù)據(jù)行業(yè)的快速發(fā)展依賴于數(shù)據(jù)的共享與流動(dòng),《個(gè)人信息保護(hù)法》對(duì)單獨(dú)同意的要求,意味著強(qiáng)監(jiān)管時(shí)代的到來,在后續(xù)落實(shí)階段,可能會(huì)給大數(shù)據(jù)行業(yè)個(gè)人信息的數(shù)據(jù)生態(tài)帶來巨大的改變,企業(yè)在個(gè)人信息保護(hù)領(lǐng)域都需要構(gòu)建全生命周期的數(shù)據(jù)合規(guī)管理體制,特別是數(shù)據(jù)的對(duì)外提供,此時(shí),如何在不對(duì)外提供數(shù)據(jù)的情況下實(shí)現(xiàn)數(shù)據(jù)的價(jià)值呢?

隱私計(jì)算或能在一定程度上實(shí)現(xiàn)“數(shù)據(jù)的可用不可見”。例如“聯(lián)邦學(xué)習(xí)”強(qiáng)調(diào)雙方原始數(shù)據(jù)皆無(wú)流轉(zhuǎn),不存在對(duì)外提供、共享數(shù)據(jù)的情況,雙方采用多方計(jì)算、同態(tài)加密等算法以及可信執(zhí)行環(huán)境等,使用高強(qiáng)度加密算法確保數(shù)據(jù)的安全,解決了數(shù)據(jù)合作方之間互不信任而又可釋放數(shù)據(jù)價(jià)值。

2. 敏感個(gè)人信息的處理

《個(gè)人信息保護(hù)法》對(duì)敏感個(gè)人信息處理者的特殊要求可以總結(jié)為三句話:目的限定更嚴(yán)、告知事項(xiàng)更多、同意機(jī)制更嚴(yán)。

根據(jù)《個(gè)人信息保護(hù)法》規(guī)定:“敏感個(gè)人信息是一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息,包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個(gè)人信息。只有在具有特定的目的和充分的必要性,并采取嚴(yán)格保護(hù)措施的情形下,個(gè)人信息處理者方可處理敏感個(gè)人信息。”

由此可見,除敏感個(gè)人信息原有定義外(詳見上文),《個(gè)人信息保護(hù)法》還將未成年個(gè)人信息明確列為敏感個(gè)人信息,加以重點(diǎn)保護(hù),此時(shí)還需要注意,《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》同樣將不滿十四周歲的未成年人定義為兒童,因此,企業(yè)在遵守《個(gè)人信息保護(hù)法》的同時(shí),還需要遵守《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》的規(guī)定。

《個(gè)人信息保護(hù)法》設(shè)專節(jié)對(duì)處理敏感個(gè)人信息作出更嚴(yán)格的限制,第二十九條至第三十條對(duì)敏感個(gè)人信息的處理規(guī)則上作出要求。其他章節(jié)中,第五十五條對(duì)敏感個(gè)人信息事前影響評(píng)估進(jìn)行規(guī)定,第六十二條提出監(jiān)管將制定專門的個(gè)人信息保護(hù)規(guī)則、標(biāo)準(zhǔn)。

3. 個(gè)人信息跨境流動(dòng)的要求

對(duì)于數(shù)據(jù)跨境的要求,我國(guó)已有多部法律法規(guī)以及國(guó)家標(biāo)準(zhǔn)進(jìn)行規(guī)制,例如《數(shù)據(jù)安全法》、《網(wǎng)絡(luò)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》及《網(wǎng)絡(luò)安全審查辦法》等,因此需要結(jié)合其他法律法規(guī)共同理解。

首先,《個(gè)人信息保護(hù)法》進(jìn)一步完善了個(gè)人信息跨境提供規(guī)則,相比《網(wǎng)絡(luò)安全法》,《個(gè)人信息保護(hù)法》擴(kuò)展了適用于數(shù)據(jù)本地化的適用主體范圍,除關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者以外,還增加了個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者,其中對(duì)于“規(guī)定數(shù)量”,還有待國(guó)家網(wǎng)信部門的細(xì)化規(guī)定出臺(tái)。

《個(gè)人信息保護(hù)法》第四十條規(guī)定:“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者,應(yīng)當(dāng)將在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)。確需向境外提供的,應(yīng)當(dāng)通過國(guó)家網(wǎng)信部門組織的安全評(píng)估;法律、行政法規(guī)和國(guó)家網(wǎng)信部門規(guī)定可以不進(jìn)行安全評(píng)估的,從其規(guī)定?!?/p>

這與《網(wǎng)絡(luò)安全法》第三十七條規(guī)定基本上保持一致。作為個(gè)人信息處理者,如需向境外傳輸數(shù)據(jù),首先應(yīng)當(dāng)判斷其擬出境的數(shù)據(jù)是否涉及數(shù)據(jù)本地化要求,只有在不涉及數(shù)據(jù)本地化要求的情況下,才能進(jìn)一步考慮個(gè)人信息出境需要滿足哪些具體條件。

需要特別注意的是,根據(jù)《數(shù)據(jù)安全法》第三十一條及《網(wǎng)絡(luò)安全法》第三十七條之規(guī)定,企業(yè)還需要判斷是否涉及重要數(shù)據(jù),否則即使是一般數(shù)據(jù)處理者,也同樣需要遵守主要數(shù)據(jù)境內(nèi)存儲(chǔ),境外提供需要單獨(dú)進(jìn)行安全評(píng)估的要求。

其次,當(dāng)不涉及數(shù)據(jù)本地化要求的情況下,例如個(gè)人信息主體需要向境外提供個(gè)人信息的情況,《個(gè)人信息保護(hù)法》第三十八條規(guī)定了四項(xiàng)數(shù)據(jù)出境的合規(guī)路徑:

  1. 通過國(guó)家網(wǎng)信部門組織的安全評(píng)估;
  2. 接受專業(yè)機(jī)構(gòu)進(jìn)行的個(gè)人信息保護(hù)認(rèn)證;
  3. 與境外接收方簽訂根據(jù)國(guó)家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同(類似于GDPR下的SCC條款),約定雙方的權(quán)利義務(wù);
  4. 提供了符合法律規(guī)定的兜底條件。

再者,《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息跨境流動(dòng)需要滿足的必要條件進(jìn)行了充分整合,并將向個(gè)人主體的告知和獲取個(gè)人主體的單獨(dú)同意作為另一必要前提條件。

《個(gè)人信息保護(hù)法》第三十九條規(guī)定:“個(gè)人信息處理者向中華人民共和國(guó)境外提供個(gè)人信息的,應(yīng)當(dāng)向個(gè)人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項(xiàng),并取得個(gè)人的單獨(dú)同意?!眰€(gè)保法要求個(gè)人信息處理者提前告知并獲取個(gè)人信息主體同意的義務(wù)可以被視為數(shù)據(jù)出境行為的前置條件。

最后,《個(gè)人信息保護(hù)法》對(duì)境外的個(gè)人信息處理者也作出了更嚴(yán)格的規(guī)定。根據(jù)《個(gè)人信息保護(hù)法》第五十三條之規(guī)定,中國(guó)境外的個(gè)人信息處理者,需設(shè)立境內(nèi)專門機(jī)構(gòu)或指定境內(nèi)代表,并要求履行溝通渠道的報(bào)送義務(wù),這也彌補(bǔ)了一直以來針對(duì)境外機(jī)構(gòu)監(jiān)管的敞口。

六、對(duì)于個(gè)人信息,處理者的其他合規(guī)要求

個(gè)人信息處理者負(fù)有配合個(gè)人信息主體行使權(quán)利的義務(wù)。個(gè)保法明確了個(gè)人信息主體享有的一系列權(quán)利,實(shí)則也是對(duì)個(gè)人信息處理者的合規(guī)性也提出了更高的要求。個(gè)人信息處理者應(yīng)注意從以下幾方面加強(qiáng)自身內(nèi)部的合規(guī)建設(shè)。

1. 建立內(nèi)部合規(guī)制度

根據(jù)《個(gè)人信息保護(hù)法》第五十一條的規(guī)定,個(gè)人信息處理者應(yīng)建立內(nèi)部合規(guī)制度,企業(yè)可以結(jié)合《個(gè)人信息保護(hù)法》及其他關(guān)聯(lián)法律法規(guī)、國(guó)家標(biāo)準(zhǔn)、指南等的規(guī)定,結(jié)合自身業(yè)務(wù)特點(diǎn)進(jìn)行補(bǔ)充調(diào)整。

具體而言可以從以下幾方面著手落實(shí)。

首先,個(gè)人信息處理者應(yīng)制定關(guān)于個(gè)人信息保護(hù)的內(nèi)控合規(guī)管理制度與配套操作流程。

其次,個(gè)人信息處理者應(yīng)對(duì)個(gè)人信息分類分級(jí)管理、分別保護(hù),尤其應(yīng)對(duì)敏感個(gè)人信息、出境個(gè)人信息、未成年個(gè)人信息等采取更嚴(yán)格的保護(hù)措施。

再者,個(gè)人信息處理者應(yīng)對(duì)其所處理的個(gè)人信息采用相應(yīng)的加密(可參考《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》GB/T 39786-2021)、去標(biāo)識(shí)化(可參考《信息安全技術(shù) 個(gè)人信息去標(biāo)識(shí)化指南》GB/T 35273—2020)等安全技術(shù)措施,最大程度保護(hù)個(gè)人信息安全。

最后,個(gè)人信息處理者應(yīng)合理確定個(gè)人信息處理的操作權(quán)限并參考《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》的規(guī)定制定相關(guān)預(yù)案。

2. 加強(qiáng)內(nèi)部組織建設(shè)

根據(jù)《個(gè)人信息保護(hù)法》第五十二條規(guī)定,對(duì)于處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者,應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人,負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督。

《個(gè)人信息保護(hù)法》中尚未對(duì)“國(guó)家網(wǎng)信部門規(guī)定數(shù)量”進(jìn)行明確規(guī)定,可參考《個(gè)人信息安全規(guī)范》第十一條:滿足以下條件之一的組織,都應(yīng)當(dāng)設(shè)立專職的個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu):(1)主要業(yè)務(wù)涉及個(gè)人信息處理,且從業(yè)人員規(guī)模大于200人;(2)處理超過100萬(wàn)人的個(gè)人信息,或預(yù)計(jì)在12個(gè)月內(nèi)處理超過100萬(wàn)人的個(gè)人信息;(3)處理超過10萬(wàn)人的個(gè)人敏感信息的。

3. 落實(shí)強(qiáng)制性個(gè)人信息保護(hù)影響評(píng)估

對(duì)高風(fēng)險(xiǎn)信息處理活動(dòng)進(jìn)行個(gè)人信息保護(hù)影響評(píng)估,是個(gè)人信息處理者合規(guī)經(jīng)營(yíng)、持續(xù)自主運(yùn)轉(zhuǎn)的要求,也是個(gè)人信息處理者滿足自證要求的保障。

在個(gè)保法出臺(tái)之前,《個(gè)人信息安全規(guī)范》等有關(guān)文件雖對(duì)個(gè)人信息保護(hù)影響評(píng)估也有所規(guī)定,但并非強(qiáng)制性,故大多數(shù)企業(yè)也并未將此作為一項(xiàng)必備的內(nèi)控手段。

此次《個(gè)人信息保護(hù)法》第五十五、五十六條對(duì)需要進(jìn)行個(gè)人信息保護(hù)影響評(píng)估的情形與個(gè)人信息保護(hù)影響評(píng)估應(yīng)包括的內(nèi)容進(jìn)行了詳實(shí)規(guī)定,從基本法的高度將個(gè)人信息保護(hù)影響評(píng)估提升為了一項(xiàng)對(duì)個(gè)人信息處理者的強(qiáng)制性要求,作為個(gè)人信息處理者的企業(yè)需要更加注意,并且予以貫徹落實(shí)。

七、企業(yè)可能承擔(dān)的違法后果

《個(gè)人信息保護(hù)法》在處罰的措施的多樣性與處罰力度方面較之前的立法有了大幅度提升。特別是第六十六條中規(guī)定的大額罰款,不僅借鑒了GDPR中2,000萬(wàn)歐元或者企業(yè)上一年度全球營(yíng)收的百分之四(兩者取其高)罰款的嚴(yán)厲處罰思路,更將罰款力度增加到上一年度營(yíng)業(yè)額的百分之五。

總體而言,《個(gè)人信息保護(hù)法》的責(zé)任追究體系十分完整,涵蓋了民事、行政與刑事領(lǐng)域,且十分嚴(yán)厲,具體可參見下表。

八、結(jié)語(yǔ)

如何平衡個(gè)人信息權(quán)益的保護(hù)和數(shù)字經(jīng)濟(jì)發(fā)展兩者之間的關(guān)系,是當(dāng)代社會(huì)必須要面對(duì)的命題?!秱€(gè)人信息保護(hù)法》根據(jù)憲法制定,是我國(guó)個(gè)人信息保護(hù)的基本法,具有優(yōu)先適用的效力。個(gè)保法為監(jiān)管機(jī)關(guān)的執(zhí)法活動(dòng)和企業(yè)的合規(guī)體系建設(shè)提供了重要指引,也是中國(guó)對(duì)當(dāng)前全球數(shù)字治理的制度貢獻(xiàn)。

 

本文由 @個(gè)推 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理,未經(jīng)許可,禁止轉(zhuǎn)載。

題圖來自?Unsplash,基于 CC0 協(xié)議

更多精彩內(nèi)容,請(qǐng)關(guān)注人人都是產(chǎn)品經(jīng)理微信公眾號(hào)或下載App
個(gè)推
個(gè)推,專業(yè)的數(shù)據(jù)智能服務(wù)商。
22篇作品 289028總閱讀量
05-067542 瀏覽
美女幼師“挖呀挖呀”走紅的背后
08-112290 瀏覽
硅谷大佬們都在追的“e/acc”,是個(gè)什么新玩意?
10-232422 瀏覽
想了想,還是決定卸載了抖音??!
08-184741 瀏覽
助力初創(chuàng)企業(yè)成功的10大數(shù)字營(yíng)銷策略
09-263492 瀏覽
新品上線如何快速拉升銷量?4個(gè)典型案例背后不同推爆品的玩法!
評(píng)論
評(píng)論請(qǐng)登錄

  1. 與其說并沒有什么用,不如說根本沒有任何用

    來自湖南 回復(fù)

  2. 看不懂啊,有沒有淺顯點(diǎn)的描述?

    來自北京 回復(fù)