《个人信息保护法(草案)》焦点解读
作者:潘烨桐 邓勇 2020-10-242020年10月13日,十三届全国人大常委会第二十二次会议首次审议了《个人信息保护法(草案)》(以下简称“《草案》”)。2020年10月21日,中国人大网公布《草案》,向社会公开征求意见,意见反馈时间截至2020年11月19日。
纵观过去两年,在全球个人信息保护浪潮发展下,我国也在吸收、借鉴及探索的过程中进行了一系列个人信息安全保护的尝试。2019年5月,国家互联网信息办公室发布关于《数据安全管理办法(征求意见稿)》公开征求意见的通知;6月,发布关于《个人信息出境安全评估办法(征求意见稿)》公开征求意见的通知;8月,发布《儿童个人信息网络保护规定》;2020年3月,国家标准化管理委员会发布《信息安全技术 个人信息安全规范》(以下简称),替代2017年版本的规范标准,该《规范》于2020年10月1日实施。
《草案》的推出更像是自2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》以来,对过去我国个人信息保护探索的一个阶段性成果,有较完整的个人信息保护框架,部分内容突破了过往成规,融合时代特点,使得该《草案》具有更强的实践性。在此浅析《草案》几大关注点。
一、明确个人信息处理范围 在《电信和互联网用户个人信息保护规定》中,仅对个人信息的收集、使用进行规定,但并未明确“使用”的范围,同时亦未区分敏感信息及未成年人信息。在《草案》中,则以个人信息的“处理”作为替代,明确个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动,相比《电信和互联网用户个人信息保护规定》扩大了范围。 在过去《电信和互联网用户个人信息保护规定》中,并未细分敏感个人信息与一般个人信息。而本次《草案》中则明确“敏感信息”定义,并设置专章进行规范。在个人信息处理的基础上,更进一步规定具有特定目的和充分的必要性,方可处理敏感个人信息,新增告知处理必要性及对个人的影响,要求根据情况取得个人单独的同意或书面同意。 「《草案》第二十九条第二项,敏感信息指一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。」 二、域外适用效力 在过往已生效的法律法规中,并未有过多涉及对域外主体的规制。仅有《网络安全法》第七十五条规定,境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任。但对于境外网络运营者在处理涉及中国境内个人信息的情况,是否需要受有关法律法规的约束,并未规定。 而《草案》第三条则明确,在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,符合《草案》中列举的情况之一,也适用该法,包括:(一)以向境内自然人提供产品或者服务为目的;(二)为分析、评估境内自然人的行为;及(三)法律、行政法规规定的其他情形。 我们认为,该条款实际上是借鉴了GDPR的域外管辖的规定,也迎合全球化大环境下越来越多境外主体将接触、处理境内个人信息的发展趋势。 三、个人信息处理原则、规则及个人的权利 1)个人信息处理原则——强调诚信原则,明确最小范围及公开透明原则 草案中除了诚信原则与《网络安全法》、《电信和互联网用户个人信息保护规定》一脉相承外,还明确了最小范围原则、公开透明原则,这两项原则在今年10月1日生效的《信息安全技术 个人信息安全规范》亦有体现,《草案》则是将这两项原则从无强制约束力的规范文件中纳入到法律层面。 除前述原则外,还要求处理的个人信息应当准确、及时更新,个人信息处理者应当采取必要措施保障所处理的个人信息的安全。 原则 具体内容 诚信原则 第五条 处理个人信息应当采用合法、正当的方式,不得通过欺诈、误导等方式处理个人信息。 最小范围原则 第六条 处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理。 第二十条 个人信息的保存期限应当为实现处理目的所必要的最短时间。法律、行政法规对个人信息的保存期限另有规定的,从其规定。 公开透明原则 第七条 处理个人信息应当遵循公开、透明的原则,明示个人信息处理规则。 2)个人信息处理规则——扩大可处理个人信息情形,细化处理规范 《电信和互联网用户个人信息保护规定》关于信息收集和使用规范的规定大致上包括:规则公示、征得同意以及设置投诉机制。而《草案》则是对前述约定之内容进行进一步的细化、调整。其中最显著修改部分为“征得同意”,不仅将征得同意的方式细分为单独同意及书面同意,同时扩大个人信息处理者可处理个人信息的情形。 依据《电信和互联网用户个人信息保护规定》,个人信息处理者必须获得用户同意,方可使用、收集个人信息。而根据《草案》,符合下列情形之一均可处理个人信息: (一)取得个人的同意; (二)为订立或者履行个人作为一方当事人的合同所必需; (三)为履行法定职责或者法定义务所必需; (四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需; (五)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息; (六)法律、行政法规规定的其他情形。 《草案》的这一设计,扩大许可个人信息处理的情况,而不再要求必须取得个人的同意,放松对个人信息处理者的限制,一定程度上将有利于依赖个人信息处理提供服务的行业。 3)个人信息主体权利 《草案》设置专章明确个人信息主体权利,而在《草案》之前,这些个人信息主体的权利散见在《网络安全法》、《电子商务法》等法规中,具体包括: 个人信息主体权利 具体内容 知情权、决定权 第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。 查阅、复制权 第四十五条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十九条第一款规定情形的除外。 个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。 更正、补正权 第四十六条 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。 个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。 删除权 第四十七条 有下列情形之一的,个人信息处理者应当主动或者根据个人的请求,删除个人信息: (一)约定的保存期限已届满或者处理目的已实现; (二)个人信息处理者停止提供产品或者服务; (三)个人撤回同意; (四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息; (五)法律、行政法规规定的其他情形。 法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止处理个人信息。 解释说明权 第四十八条 个人信息处理者应当建立个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。 四、图像采集及个人身份识别 随着人脸识别技术、高清摄像头的发展,图像采集、个人身份识别设备在各大公共场所的应用越来越普及。但就图像采集、个人身份识别设备一直未有相关法律进行约束。2019年初,国内人脸识别公司深圳市深网视界科技有限公司被曝发生大规模数据泄露事件,数百万人的跟踪数据可供任何人访问。在此背景下,《草案》亦首次将公共场所图像采集、个人身份识别设备内容法律约束框架中。 根据《草案》第二十七条规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,并设置显著的提示标识;所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供。但维护公共安全的目的这一判断标准相对模糊,《草案》未进一步对前述设备安装是否需要进行事前审查或报批手续进行明确,亦未对安装主体条件进行要求、约束。就个人信息主体的图像资料的保护仍有待加强。 五、个人信息跨境流动 随着全球化的发展,国际贸易、企业国际化布局等越来越常态化,个人信息跨境流动亦越来越普遍。《草案》亦在法律层面上设置个人信息跨境提供的规则。与国家互联网信于2019年6月发布的《个人信息出境安全评估办法(征求意见稿)》相比,《草案》对个人信息跨境提供设置相对较宽松的条件。 根据《个人信息出境安全评估办法(征求意见稿)》,个人信息出境前应当向所在地省级网信部门申报个人信息出境安全评估,且向不同的接受者提供个人信息应当分别申报安全评估。而《草案》中则并未将网信部门的安全评估作为信息出境的必要条件,而是作为可选条件之一,其中包括: (一)通过国家网信部门组织的安全评估; (二)按照国家网信部门的规定经专业机构进行个人信息保护认证; (三)与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准; (四)法律、行政法规或者国家网信部门规定的其他条件。 在目前《草案》的规定下,个人信息处理者只要与境外接收方订立合同,即能满足个人信息传输出境要求,相较于《个人信息出境安全评估办法(征求意见稿)》,其条件达成难度大大降低,亦将有利于个人信息向境外传输。若《草案》获得通过,在无其他约束条件的情况下,个人信息出境难度不高,只需注意与个人信息接收方订立合同即可。但需注意,针对关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,其收集和产生的个人信息需存储在境内,若需向境外提供,仍应当通过国家网信部门组织的安全评估。 六、行政管理及处罚力度 1)明确管理部门及管理职责 相较于《电信和互联网用户个人信息保护规定》,《草案》中明确了国家网信部门负责统筹协调个人信息保护和相关监督工作,国务院有关部门及县级以上地方人民政府有关部门则按照有关规定履行职责。同时,明确的履职部门的职责包括:(一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;(二)接受、处理与个人信息保护有关的投诉、举报;(三)调查、处理违法个人信息处理活动;(四)法律、行政法规规定的其他职责。 另,根据《草案》第三十二条规定,“法律、行政法规规定处理敏感个人信息应当取得相关行政许可或者作出更严格限制的,从其规定”。可以预测将来国家对敏感个人信息的保护将逐步加强,不排除将来就个人信息的处理设置许可制度。 2)处罚力度加大 对侵害个人信息权利的处罚,除延续《网络安全法》中第六十四条处罚外,另进一步规定情节严重情况下,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、至吊销相关业务许可或营业执照;对直接负责相关人员处以罚款。同时,对于违法行为将计入信用档案并予以公示。 该处罚相较于《电信和互联网用户个人信息保护规定》中最高三万元以下的处罚,其处罚力度明显增大,亦见国家对个人信息保护之决心之大。 3)境外个人信息处理者制裁措施 针对境外的个人信息处理者可能难以操作处罚的问题,《草案》中也相应设置了限制或禁止提供个人信息的措施。对于境外的组织、个人从事损害公民的个人信息权益,或者危害国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。 结语:《草案》的出台彰显着我国个人信息保护到了新的阶段,在法律的逐步完善下,个人信息主体权利逐渐明晰、得到重视及保护。而信息时代下,企业亦将面临越来越严格的合规考验。