文章

《中华人民共和国个人信息保护法(草案)》解读

背景:

2020年10月12日,在全国人大常委会法工委发言人记者会上,发言人臧铁伟提到,《个人信息保护法(草案)》等议案将被首次提请全国人大常委会第二十二次会议审议。他认为,在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。近4年来,中国在隐私相关领域已经发布了五个法规和规范:

 

中国隐私相关法律法规发展路径

我们对比欧盟的一般数据保护条例和中国个人信息保护法,罗列出其中的相同点和不同点,深入法规条例分析差别及需要注意的雷区:

 

个人信息保护法(草案)和GDPR的相似点

适用范围: 属地管辖加域外适用

《草案》第三条规定组织、个人在中华人民共和国境内处理自然人个人信息的活动,适用本法。

在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:

(一)以向境内自然人提供产品或者服务为目的;

GDPR第三条也同样强调适用范围是针对发生在欧盟内的数据主体提供商品和服务的过程中。

注意要点:

  1. 法律适用的数据主体是中国境内的自然人个人,也就是说在中国境内的外国人也在此法保护范围内。
  2. 在境外处理同样适用

 

合法性原则:

  • GDPR第六条规定了六项个人数据处理行为的合法性原则,同意和基于合同处理是其中的两项;《草案》第十三条也同样规定了取得个人的同意和为订立或者履行个人作为一方当事人的合同所必为个人信息处理者处理个人信息行为的前提:

注意要点:

  1. 同意除其他五项法律规定的合法性原则外的必须,《草案》第十三至十九条确立了以“告知-同意”为核心个人信息处理规则

 

敏感个人信息的定义:

  • 敏感个人信息定义:敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息:

注意要点:

  1. 《草案》定义的敏感个人信息范围比GDPR更广,特别是金融账户及个人行踪等信息。结合《个人信息安全规范》,还包括通信记录,通讯录,网页浏览记录,住宿信息等。

 

同意:

  • 获取数据主体同意的方式相同,且当处理的目的、方式及种类发生变更时,需重新获得同意;处理儿童信息需获得监护人的同意;数据主体有撤回同意的权利;处理信息前需明确告知用户:处理者身份及联系方式、处理目的、方式、信息种类、保存期限等;
  • 个人信息处理者向第三方提供其处理的个人信息的,应当向个人告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意;若变更需要重新告知并获得同意;
  • 处理敏感个人信息需基于个人的单独同意,必要时需获取书面同意;需向个人告知处理敏感个人信息的必要性以及对个人的影响;
  • 跨境传输需告知个人境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类等,并取得个人的单独同意。

注意要点:

  1. 第三方提供,处理敏感个人信息及跨境传输都需要获得数据主体的单独同意
  2. 第十七条还规定了不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。也就是说必须的个人信息的收集的同意和其他附加的信息收集的同意要分开。

 

数据生命周期:

  • 保存期限应当为实现处理目的所必要的最短时间。
  • 个人信息处理者委托处理个人信息的,需对受托方的个人信息处理活动进行监督。

 

数据主体的权利

  • 知情权、访问权、纠正权、删除权等;

 

不同或者存在差异的部分

综合来看,个人信息保护草案在公共安全和数据跨境方面的要求更加的严苛。

适用范围:

  • 《草案》第三条规定组织、个人在中华人民共和国境内处理自然人个人信息的活动,适用本法。
    在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
    (二)为分析、评估境内自然人的行为; 
  • GDPR法规第三条则强调的是针对数据主体在欧盟境内的监控行为

注意要点:

  1. 《草案》的要求对于在海外进行对境内自然人的大数据分析提出了更高的要求

 

儿童年龄的定义:

  • 《草案》第十五条对儿童的定义为14岁;GDPR 规定为16岁。

 

数据生命周期:

  • 《草案》第二十四条规定“个人信息处理者向第三方提供匿名化信息的,第三方不得利用技术等手段重新识别个人身份”。

注意要点:

  1. 《草案》要求的“匿名化”是不可重新识别的,去标识化则可以在适当的条件下进行重新识别

 

公共安全与管辖权:

  • 《草案》第十三条(四)增加了“为应对突发公共卫生事件”,个人信息处理者可处理个人信息的前提条件。
  • 《草案》第二章第三节增加了对国家机关处理个人信息进行了规定,需注意第三十七条“国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行风险评估。风险评估可以要求有关部门提供支持与协助”;

 

数据跨境:

  • 《草案》第三章单独对数据跨境提出了要求:
  1. 第三十八条“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当至少具备下列一项条件: (一)依照本法第四十条的规定通过国家网信部门组织的安全评估; (二)按照国家网信部门的规定经专业机构进行个人信息保护认证; (三)与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准; (四)法律、行政法规或者国家网信部门规定的其他条件”;
  2. 第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式等事项,并取得个人的单独同意
  3. 第四十条“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定”;
  4. 第四十二条“境外的组织、个人从事损害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。”
     
  •  GDPR第五章要求:
  1. 第44条提出了数据跨境的一般原则,“任何正在处理或打算在转移给第三国或国际组织后处理的个人数据的转移,包括从第三国或国际组织向另一个第三国或另一国际组织转发个人数据,管理者和处理者都应遵守一定的条件,以保证自然人不受损害”;
  2. 第45条指出基于充分决定的数据传输,“对第三方或国际组织进行个人数据的传输,发生在如下情形时,不需要任何的授权:即当欧洲委员会已确定的要求信息的第三国或其中某一地区或一个或多个特定的地区、或国际组织,有足够级别的保护”;
  3. 第46条指出主体转移的保护措施,“当在控制者或处理者提供了适当的安全措施,以及在可强制执行的数据主体权利和对数据主体的有效法律补救措施时就绪的条件下,一个控制者或处理者可以将个人数据转移到第三个国家或国际组织”,如,控制者和处理者可以采取签订标准合同模板(SCC)、具有约束力的公司规则(BCR)等方式进行数据传输。

注意要点:

  • GDPR是强调保护自然人(数据主体),而《草案》包含国家安全因素的考虑。
  • GDPR提供了包括白名单、标准合同范本、约束性公司规则、专门同意等满足跨境要求。
  • 《草案》第三十八条规定了数据跨境的条件为:网信部门的安全评估、专业机构的保护认证和与接收方签订合同并监督个人信息处理活动满足草案要求。
  • 《草案》第四十条对于个人信息本地化提出了比网络安全法更广的要求,除了关键信息基础设施运营者之外,个人信息数量达到网信部门规定数量的个人信息处理者也需要本地化。第三十九条的“单独同意”也可能对本地化带来潜在的要求。

 

惩罚力度:

  •  罚则:《草案》第七章规定惩罚金额为五千万元以下或者上一年度营业额5%以下罚款;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款;
  • GDPR规定为2000万欧元的行政罚款或上一财政年度全球营业额的饿4%,两者以较高者为准;

 

其他

  • 《草案》第五十二条规定需在中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表
    GDPR第27条规定控制者或处理者应当以书面形式指定欧盟中的代理人,第37条规定数据控制者和处理者应指派数据保护专员。
  • 《草案》第五十四条要求个人信息处理者应当对个人信息处理活动在事前进行风险评估,并对处理情况进行记录,且风险评估报告和处理记录应至少保存三年;GDPR中同样规定了处理活动记录的要求,但没有三年的具体保存约束。

 

总结:

《个人信息保护法》的出台和发布,开启了中国隐私权及个人信息保护的新时代。针对个人信息野蛮掘金的时代已经结束,为了更好的满足合规要求、客户个人权利以及企业自身管理需求,企业进一步从全面的视角,加强个人信息安全和隐私保护的能力,将隐私保护要求嵌入设计阶段,建立隐私管理小组和领导成员,指导后续环节的执行,除此之外,隐私同意的获取和用户体验的平衡点将是企业产品设计考虑中不可或缺的一部分。

德勤团队根据不断变化的监管趋势、技术趋势和业务特性,积极探索,为企业提供优质的解决方案。

此内容是否提供了您需要的资讯?