编注:本文原文由北京市中伦律师事务所李瑞律师、贾申律师、钟俊鹏律师、李梦涵律师撰写,团队执业领域包括反垄断与竞争法、数据合规与网络安全、跨境投资并购等。少数派经授权在原文基础上修订并转载。
引言
2021 年 8 月 20 日,第十三届全国人大常委会第三十次会议第三次审议通过了《中华人民共和国个人信息保护法》(「个保法」),将于 2021 年 11 月 1 日起施行。
个保法是我国信息安全领域一项重要法律,也是我国首部针对个人信息保护的专门法;其与宪法、民法典中的原则性规定相衔接,既反映了时代趋势和国际实践,也考虑了我国的实际情况和需要。
因此,自去年 10 月个保法草案(「一审稿」)公开征求意见起,就引起了包括互联网平台在内的社会各界的高度关注,其中较为严格的处罚标准还引发了热烈讨论。
今年 4 月,在吸收各方意见的基础上,个保法草案二次审议稿(「二审稿」)公布并提请人大常委会审议。8 月通过的正式文本又在二审稿基础上做了细微但值得关注的修订。
可见,个保法从草案亮相到最终通过,历经三次审议、耗时近一年,而前期筹备和调研花费的时间还要更长,可谓「千淘万漉虽辛苦,吹尽狂沙始到金」。
正式通过的个保法共八章、七十四条,以个人信息保护为核心,通过设定个人信息处理者(「处理者」)的保护责任、信息处理规则和行为边界,形成了逻辑紧密的规范体系,也可称为有史以来个人信息保护领域最全、最准、最严的专门法律。
那么,从个人用户角度,个保法究竟明确或赋予了我们哪些权利,对于掌握着个人信息的互联网公司又提出了哪些具体要求?本文将为你一一解读。
点头不是一面之交,时时事事向你汇报
个人信息处理并不是一次性的事件。正如个保法明确规定,「处理」包括收集、存储、使用、加工、传输、提供、公开、删除等(第 4 条),即覆盖了个人信息处理的全生命周期。相应地,「知情—同意」的个人信息处理原则也贯穿于这些环节。
具体而言:
在处理个人信息之前,处理者应当显著地、清晰易懂地向个人告知相关事项,并在个人充分知情的前提下取得其自愿、明确作出的同意。
而在个人信息后续处理的各环节,个保法针对不同情形有针对性地建立了下列同意机制:
- 单独同意机制:处理者向他人提供其处理的个人信息、公开其处理的个人信息以及处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息的,应当取得个人的单独同意。
- 重新同意机制:个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。当处理者因合并、分立、解散、被宣告破产等原因而转移个人信息,或向他人提供其处理的个人信息时前述事项发生变更的,也应重新取得个人同意。
- 撤回同意机制:基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。
可是,如果遇到「耍无赖」的 app,不点击同意就无法使用怎么办呢?为了约束这种非必要的、捆绑性的信息获取行为,个保法明确规定「个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务」,仅「处理个人信息属于提供产品或者服务所必需的除外」(第 16 条)。
另一方面,为了给相关企业合法进行个人信息处理留下一定空间,个保法在知情同意作为基本原则的基础上,还明确了无需个人同意的例外情形,主要集中于个保法第 13 条(见下图)。
其中值得特别关注的包括:
将人力资源管理纳入可处理范围:相比二审稿,正式稿新增了一项例外情形——「按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需」的,处理个人信息无需同意。
个保法明确了处理者可以无需同意,在合理范围内处理已公开的个人信息(但个人明确拒绝的除外)。
可改、可删、可携带,从头到尾听你的
原则层面,个保法开篇即明确了个人信息处理的「三最」体系——处理个人信息应当采取对个人权益影响最小的方式、收集范围应当限于实现处理目的的最小的范围、保存期限应当为实现处理目的所必要的最短的时间。
在此之外,个保法专章规定了「个人在个人信息处理活动中的权利」,梳理了个人信息权利的多个方面,包括个人信息收集、维护和获取三个阶段中的各项权利,具体如下图所示:
其中,一些值得特别关注的亮点包括:
承继行使权:已故用户的信息如何处置,是国内外网络平台近年来普遍遇到的难题之一。对此,个保法在二审稿阶段即创设性地设置了死者个人信息权利承继行使权,当时的表述为「自然人死亡的,其在个人信息处理活动中的权利由其近亲属行使」。但考虑到如此规定过于粗略,可能难以实施,最终稿立足便利司法的导向,从行权目的、权利内容以及尊重死者意志三个角度,对该规则进行了修正,体现了衡平的立法思维。
个人信息可携带权:在个人信息保护的实践中,往往会遇到各 app 之间数据不互通、数据无法转移的困境。个人虽然享有对其个人信息的权利,但无法因个人意志而将信息「携带」至另一个 app。
对此,个保法第45条规定:「个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。」这是旨在规制数据领域的垄断行为、打破数据资源的封闭性,避免「数据孤岛」。
不过,上述规定并未说明个人行使可携带权时,处理者提供的数据应当达到什么标准。对此,或许可以参考欧盟《通用数据保护规定》(GDPR)的相关规定:
数据主体有权获取其提供给数据控制者的相关个人数据,其所获取的个人数据形态应当是结构化的(structured)、通用的(commonly used)和机器可读的(machine-readable),且数据主体有权将此类数据无障碍地从该控制者处传输至其他控制者处。
用我的数据给我下套?别高兴得太早
如今,各种算法和人工智能技术在互联网服务和 app 中的应用越来越广泛,如采集用户个人身份信息和消费信息并利用大数据进行用户画像,再结合算法技术,向用户定向、定点、定时地投放商业广告或为用户自动指向推荐选项。
这种利用个人信息进行用户画像、算法推荐等自动化决策行为带来了不少问题,包括过度收集个人信息、「大数据杀熟」等,也对消费者个人选择权以及个人信息权利人的信息安全构成了较大冲击。
为此,个保法设立了专门的自动化决策信息处理规则。其中,「自动化决策」是指利用个人信息对个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,通过计算机程序自动分析、评估并进行决策的活动,包括用户画像、算法推荐等具体情形。
如果互联网公司构成个保法定义的「自动化决策」行为,根据个保法要求,需要遵循下图所示基本原则和具体要求:
不仅如此,个保法对自动化决策的相关规定,也与现行或将出台的法律法规和配套指南相呼应,形成协同执法的强力监管体系:
- 反不正当竞争角度:近期发布的《禁止网络不正当竞争行为规定(公开征求意见稿)》规定不得利用数据、算法等技术手段开展不正当竞争行为。
- 反垄断角度:《关于平台经济领域的反垄断指南》禁止利用技术手段、平台规则、数据和算法等方式排除限制竞争,明确规定不得「利用数据、算法、平台规则等实现协调一致行为」,或「利用数据和算法对价格进行直接或者间接限定」,「利用技术手段、平台规则、数据和算法等方式限定其他交易条件,排除、限制市场竞争」,或「在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍,使交易相对人难以开展交易」。
敏感信息,值得多几道关卡
各类个人信息的重要程度并不是完全相同的;一些敏感信息被泄漏或滥用造成的损害会更严重,因此理应受到更高程度的保护。
对此,个保法首先通过「概括式 + 列举式相结合」的方式,对敏感个人信息进行了更为明确的界定,将其定义为:
- (概括)一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。
- (列举)包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
对于敏感个人信息,处理者必须遵守的义务:
- 基本原则上:只有在具有特定目的和充分必要性,并采取严格保护措施的情形下,方可处理敏感个人信息。
- 在「知情—同意」机制上:除了告知处理一般个人信息时应告知的事项,处理者还必须:
- 特别告知处理敏感个人信息的必要性以及对个人的影响;
- 就处理敏感个人信息取得个人的单独同意。
敏感个人信息的保护是个保法起草中的关注重点。二审稿阶段,对敏感个人信息的保护还比较薄弱,仅要求取得个人的单独同意并进行获取敏感个人信息必要性的告知。最终稿在二审稿的基础上,为处理敏感个人信息新增了「特定目的和充分必要性」以及「采取严格保护措施」的两大前提,显著地增大了保护力度。
此外,个保法将不满十四周岁未成年人的个人信息明确列为敏感个人信息,厘清了这两类特殊个人信息之间的逻辑关系,并要求应当制定专门的个人信息处理规则。这体现了个保法对于未成年人个人信息保护的特别关怀以及立法技术在协调性上的进步。
个人信息出境,也须「通关文牒」
随着互联网的发展、中外信息和商业交流的日益加深,个人信息的跨境问题也成为关注重点。
对此,个保法专章规定了「个人信息跨境提供的规则」,对个人信息跨境流通的合法性依据和相关审查机制进行了体系性的建构,既体现了对所有个人信息跨境情形的通用要求,也涵盖了涉及一些特殊处理者、接收方时的特殊要求。如下图所示:
这里,一个亮点是「个人信息跨境提供标准合同」机制的设立。
一审稿阶段,个保法仅要求双方签订合同,但没有对该合同的起草方、合同的具体条款进行详细规定,因此双方可自行设计个性化的商业安排;这可能为双方绕过法定义务提供空间。
到了正式稿中,则明确要求应当「按照国家网信部门制定的标准合同与境外接收方订立合同」,从而设立了个人信息跨境提供标准合同机制,体现了对信息跨境传输的从严监管趋势。
平台有担当,用户有保障
随着全球数字服务的蓬勃以及数字市场规则的发展,互联网平台日渐成为一种具有特殊地位的数据处理者;一些境外立法实践关注到了这一趋势,对大型互联网平台采取特殊规定。
例如,欧盟《数字服务法》就对数字服务平台要求高透明度并设置了严格的问责机制,用户达到4500万或以上的「超大型平台」必须履行风险管理义务、外部风险审计和公共问责等更严格法律义务。
类似地,个保法针对「重要互联网平台」这一特殊的处理者类型创设了特殊义务,通过三大主体特征划定适用范围,建构四大特殊义务设定合规框架,在此法律框架下,预计重要网络平台个人信息保护将面临新一波执法浪潮。具体的界定标准和特殊义务如下图所示:
值得注意的是,个保法第 62 条明确由国家网信部门针对小型处理者制定专门个人信息保护规则、标准的规定,留出了立法空间。因此,下一步国家网信部门可能在降低要求、责任豁免等方面对中小平台制定专门规则,从而增加相关规则的灵活性和可实施性。
重典治乱象,追责清沉疴
对于违法处理个人信息或处理个人信息未履行相关保护义务的行为,个保法明确了惩处措施、强化了惩处力度,包括:
- 对违法处理个人信息的应用程序:可责令暂停或者终止提供服务;
- 对情节严重的违法行为:由省级以上主管部门责令改正,没收违法所得,并处 5000 万元以下或者上一年度营业额 5% 以下罚款,并可以:
- 责令企业暂停业务或停业整顿、吊销业务许可或营业执照;
- 对直接负责人员处以 10 万元以上 100 万元以下罚款,禁止其在一定期限内担任相关企业的董事、监事、高管和个人信息保护负责人等。
相对于二审稿,正式稿新增了对高管的禁业处罚,通过强化惩处力度倒逼企业相关人员履行个人信息保护的责任。
小结
个保法贯彻了保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用三大立法目标,呈现出不少兼具理论高度和现实关怀的立法亮点。我们相信这部法律的颁行,对于用户和行业都将产生深远的影响。
不过,除了个保法本身的规定外,这部法律与我国近来其他信息安全相关法律——《网络安全法》《数据安全法》等——分别侧重于哪些方面,与国外类似的个人信息保护法规又有哪些异同,也都是值得探索的话题。对此,我们将在后续文章中陆续加以分析介绍,敬请关注。