文章
《个人信息保护法》制度亮点解析
2021年8月20日,第十三届全国人民代表大会常务委员会第三十次会议通过《中华人民共和国个人信息保护法》(以下简称“个保法”),该法案将在2021年11月1日起实施。作为个人信息保护方面的专门立法,个保法包含了个人信息保护的基本原则、要求及相关制度。在前序文章中,我们分享了个保法原文(批准稿)以及与二审稿比较的异同,本次我们将与大家补充剖析个保法中亮点制度的立法本意及相关影响,包括数据保护立法体系内的冲突及兼容,与其他数据保护立法(如GDPR)之间的差异、立法原意及保留条款,并最终给出这些制度对企业隐私保护治理的影响及建议。
一、个人信息保护法立法定位
1 立法基本定位
首先,就效力层级而言,个人信息保护法是一部由全国人大常委会制定的、效力及于全国的法律规范。他位于我国法律层次体系顶端,其效力高于国务院部门规章、国务院制定的国家标准、地方性法律法规及行业相关自律规范,足见国家对公民个人信息保护的重视。
其次,就调整对象而言,个人信息保护法是一部专门的个人信息保护方面的法律。尽管我国的根本法律宪法、基本法律民法、刑法等法律中都有针对个人信息保护的规定,但条文大多零散分散,并未对个人信息保护进行完整、系统性规范描述,但这些零散规范奠定了专门个人信息保护立法的合法合理化基础。个人信息保护法在这些规范的基础上形成了具备系统系统性、针对性、可操作性的完备的专门规范体系。
因此,个人信息保护法是一部专门的、高效力层级的个人信息保护立法。解决了个人信息保护立法缺失、零散的沉疴,开启了我国公民个人信息保护的新篇章。
2 与其他数据、个人信息立法的衔接与协调
- 与《数据安全法》
《数据安全法》即将于2021年9月1日生效,其被认定为我国数据保护领域的一般法、基础法。就调整标的而言,根据该法第三条的规定“本法所称数据,是指任何以电子或者非电子形式对信息的记录”,该法项下“数据”的内涵包含了个人信息与其他所有类型的信息;就规范内容而言,其规定具有宏观性、基础性特征,确立了国家数据安全管理的多项基本制度。因此,从立法意图来看,数据安全法为我国数据领域的基础性法律。个人信息保护法作为专门调整个人信息保护的法律,实质上为数据安全法原则在个人信息保护领域的延申。 - 与《网络安全法》
根据网络安全法第七十六条的规定,“网络数据”为“通过网络收集、存储、传输、处理和产生的各种电子数据”,其调整对象限于网络空间内产生的所有的电子数据,未区分是否有个人信息属性。个人信息保护法突破了空间限制,将调整客体扩大到了所有载体下的数据,且将其属性限缩在个人信息范围内。两法调整对象不同,但相辅相成,从不同的角度对网络安全及信息保护提出了要求。
二、个人信息保护法立法价值
除了各国数据保护立法通行的原则外,个保法条款的字里行间体现了若干不同于通行原则的额外考量点。理解这些价值考量点,是充分理解个保法各条款的基础:
1 在国家数据安全保障和数字红利获取之间寻求精妙平衡
随着全球各国数字产业及大数据、云计算技术的迅猛发展,数据的有效利用将对全球经济产生更深远的影响,由此产生的数据红利与数据安全之间的矛盾也将深刻影响着未来数字经济的走向。为了平衡这两者之间的矛盾,抢占新一轮经济竞争制高点,各国纷纷建立、完善个人信息保护的相关国内规则,并积极推动、参与国际规则的制定。
个保法充分体现了我国对于两者的平衡,如将明确劳动雇佣场景中可选择的合法基础,大大减轻了企业内部个人信息保护合规管理的负担;又如针对跨境规则,个保法确立了根据不同的主体及数据的风险程度进行分级管理策略,保障安全性的同时也有利于推进企业发展。
2 紧扣我国国情进行差异化设计,并力求厘清国际隐私保护立法模糊地带
在当前大数据、云计算等信息深度整合技术高速发展的时代背景下,可以说,我国个人信息保护立法的推进时机恰到好处。根据德勤统计,截至2021年6月,国际上已有超过八成的国家已有或正在制定个人信息保护立法,这些立法一方面给我国立法者提供了一些基础性原则和思路,另一方面也暴露出一些尚未能清晰界定的问题。
基于此,一方面,我国可以基于现有思路的给养,结合国情进行差异化制度设计,例如多层次的监管机构体系、强监管的个人信息出境规则等;另一方面,就当前普遍存在的模糊地带,力求进行补充和优化,例如明确自动化决策的定义、明确控制者和处理者的连带责任等。
3 延续执法打击重点,直击业界热点话题
近年来我国数据及隐私保护相关立法及执法活动频繁,同时暴露出诸多高风险行业及场景,并对此类场景进行了持续性的打击。与执法活动重点相一致,个人信息保护法纳入了这些场景及热点话题,力求从事前杜绝高风险违规事件发生。例如,通过对敏感信息设置处理高门槛:仅在同时具备“特定目的性”、“充分必要性”及“采取严格保护措施”的条件下才可以处理,直接针对面部生物信息滥用的乱象;又如引入平台责任,对用户触达点较多,涉及主体众多,数据处理活动复杂的互联网平台提出了更高的合规要求等。
三、个人信息保护法十二大亮点
从个人信息处理的基本原则、到个人信息跨境提供规则、再到数据主体个人权利、最后落脚至监管机构职责及法律责任,个保法多项亮点制度:
1 明确域外效力及适用对象
主题 |
对应条款概括 |
效力范围 |
第三条 本法具有领域内及部分条件下的域外效力 |
调整对象 |
第四条 个人信息的定义+数据处理活动定义 |
突破传统法律的属地管辖原则,强化数据法的域外效力已经在国际范围内达成共识。个保法也采用了属地原则+属人原则相结合的适用范围,确立了该法在“向境内自然人提供产品或者服务目的、为分析、评估境内自然人的行为”及其兜底性条款条件下的域外效力。并且在第五十三条中要求境外处理者在中国境内设立专门机构或指定代表人作为对接人,负责处理个人信息保护相关事务要求,一方面便于落实法律相关要求,另一方面也便于基于司法主权向该境内主体追责,以切实实现对境外主体的监管。
关于调整对象,明确了个人信息及数据处理活动的定义。个保法采用了“已识别”与“可识别”的概念,并未做进一步的解释。结合网安法及民法典第一千零三十四条第二款的定义“能够单独或者与其他信息相结合识别特定自然人的各种信息”,可对上述两概念做对应解释,“已识别”对应“直接定位”,“可识别”对应“与其他信息相结合后可识别”。从这一点上看,个保法在这一核心概念上与通行做法一致。另外,本条明确将“匿名化”后的数据排除在调整范围之外,但要满足第七十三条第四款的定义,在无法识别且无法复原的情况下,匿名化信息才不属于个人信息,不受本法规制。
2 扩大了处理个人信息的合法基础并明确了告知、同意的有效标准
主题 |
对应条款概括 |
合法基础 |
第十三条 同意、履约(或劳动规章、集体合同实施等人力资源管理)、法定职责或义务、突发公共卫生事件、为公益进行新闻报道、合理范围内已公开信息、法律规定其他 |
同意的有效标准 |
第十四条 同意需自愿、明确作出。必要条件下应书面,要素变更应重新获取。 |
第十五条 处理未成年人信息应获取监护人同意。 |
|
第十六条 用户有权撤回同意。 |
|
第十七条 处理者须清晰、准确、易懂地告知规定事项。处理规则应当公开,并且便于查阅和保存。 |
|
例外情况 |
第十九条 有法律规定可不告知,紧急情况下可延后告知。 |
个人信息保护法个保法扩大了处理个人信息的合法性基础,将履约、法定职责等其他条件纳入合法基础范围,且保留了兜底性条款,打破了《网络安全法》确立的将同意作为收集使用个人信息的唯一合法性基础的局面,呼应了《民法典》第一千零三十五条规定的应“征得该自然人或者其监护人同意,但法律、行政法规另有规定的除外”。另外,个保法并未将“数据主体利益”及“控制者合法利益”这两个边界模糊的基础纳入条款范围,以避免被扩大解释;另一方面,通过兜底条款,又保留了灵活性。
另外,个保法中有两个颇具特色的合法基础:“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”、“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”。劳动雇佣场景中的合法基础的判断及对同意有效性的质疑一直是业界讨论的焦点,部分保守的企业在人力资源管理方面做了大量冗余工作,极大加重了内部管理负担。个保法首次确定了劳动雇佣场景中规章制度及集体合同作为合法基础,正是充分考量了劳动雇佣场景特殊性及争议问题、在效益和秩序中做出精准衡量的结果,具有极大的前瞻性;另外,明确将公开信息排除在本法的调整对象之外,也是上述衡量的体现。
同时,个保法对告知的内容做了明确规定,特别强调了应告知个人行使权利的方式和程序及公开处理规则的要求。另外,该条还规定了在法律规定或紧急情况下的告知豁免或延迟的具体条件。
3 明确了不同对外传输场景下的法律责任
主题 |
对应条款概括 |
共同处理者责任 |
第二十条 共同控制者应约定各自权利义务,侵害个人权益时承担连带责任。 |
委托处理责任 |
第二十一条 被委托处理方应依约进行数据处理并接受监督。 |
向第三方传输责任 |
第二十三条 个人数据处理者应向个人披露第三方处理相关信息并获取同意;第三方仅能在原有目的、方式及种类范围内进行处理,有变更需重新获取同意。 |
个人信息保护法将个人信息的共享分为三个场景——共同控制场景、委托处理场景、向第三方提供场景,并对不同的场景提出了不同的合规要求:
相较其他个人信息保护立法,个人信息保护法的一大创举是明确了共同处理者的连带责任,而在其他立法大多欠缺规定责任归属。个保法第二十条首先规定了共同处理者的定义,即“共同决定个人信息的处理目的和处理方式”;同时,立足于我国的实践需求及促进信息合法流通的基本立场,该条而后明确规定“个人信息处理者共同处理个人信息,侵害个人信息权益的,依法承担连带责任”,为普遍存在的共同处理场景中的权益侵害提供了求偿基础。
对于委托处理场景,即其他立法语境下的“数据处理者”代替“数据控制者”进行部分数据处理的场景,其合规要求与主流立法一致。但特别强调了受托方在转委托的情况下需事先获取委托方同意,即使将个人信息交由母公司、子公司等关联公司处理,也属于转委托,亦需履行获取授权义务。
对于向第三方提供场景,个保法明确规定了处理者需向个人披露第三方信息的范畴,该条的规定有极大的实践指导意义。在实务中,由于供应链的多维度和交叉性,第三方数据资产传输的梳理及披露存在极大的困难,因此在信息披露方面多有欠缺。此条要求将倒逼企业梳理数据资产第三方传输情况,对企业数据资产管理体系搭建而言有极大裨益。
4 确定了进行自动化决策的要求
主题 |
对应条款概括 |
自动化决策要求 |
第二十四条 应确保透明度及公平性;个人有拒绝权;营销时应提供不针对其个人特征的选项 |
如其他个人信息保护立法,个保法并未绝对禁止自动化决策,而是提出了透明、公平性、可拒绝的要求,并特别强调了"不得对个人在交易价格等交易条件上实行不合理的差别待遇"与重点打击的大数据杀熟现象直接关联。同时,在第七十三条中明确了自动化决策的定义。另外,针对营销和广告推送场景,个保法要求处理者提供“不针对其个人特征”的选项,即要求提供给用户拒绝定向广告推送的权利。落实到实务中,即要求产品开发者建立用户对个人标签、用户画像的自主化设置选择机制,保障个人对其信息使用的绝对控制权。
5 处理敏感信息需额外告知主体其必要性
主题 |
对应条款概括 |
敏感数据定义 |
第二十八条 种族、宗教、生物健康、金融、行踪、未成年人信息。 |
敏感数据处理原则 |
第二十九条 需单独同意,有规定时需书面。 |
第三十条 应告知处理的必要性及个人影响。 |
|
第三十一条 处理未成年人信息的应获得监护人同意。 |
|
第三十二条 应先行取得行政许可或更严格限制的从其规定。 |
个保法规定了可处理敏感个人信息的前提条件,仅在同时具备“特定目的性”、“充分必要性”及“采取严格保护措施”的条件下,才可以处理个人信息。在这一规定下,可处理敏感个人信息的主体将得到极大的限缩,实践中大量的人脸采集场景如人脸打卡,刷脸支付的行为将极可能失去合法性。
就个人敏感信息的概念,个保法采用了概括+开放式列举的定义方式,明确了概念边界又进行了兜底。另外,明确将“个人行踪“列入定义范围,使得个人地理位置的信息处理者需承担严苛的主体适格及处理必要性的举证责任。
就敏感数据处理要求而言,除一般的需告知事项外,对敏感数据的告知内容还需包括处理的必要性和可能造成的不利影响,并需要单独获取同意。这意味着,在实践中常出现的通过一个隐私弹窗进行“一揽子”授权的行为将不合法,针对敏感信息需设置单独的隐私弹窗进行单独授权,并且需要对其必要性和危害进行清晰、充分的论述。
6 国家机关处理个人信息应遵循本地化要求
主题 |
对应条款概括 |
国家机关处理个人数据的要求 |
第三十四条 需满足最小化要求,即履职所必须。 |
第三十五条 应履行法定告知义务,妨碍履职的除外。 |
|
第三十六条 境内储存,向境外提供需经评估。 |
国家机关处理个人信息的本地化及向境外提供的要求则与其他场景不同。个保法并未对一般情况下的本地化作要求,仅对两种特殊情况提出了本地化要求,一是本条规定的“国家机关”,二是第四十条规定的“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者”在处理个人信息时需境内存储,同时,对于必要情况下的出境,也提出了极高的要求,即“经安全性评估”。从立法解释的角度,体现了立法者“高风险主体及场景本地化+严格审批出境、一般主体及场景非本地化+灵活出境”的分层管理策略,是立法者在国家数据安全保障和数据资源利用两者之间所作的平衡性决策。为履行本地化存储,提供跨国服务的企业将需付出巨大的服务器改造、部署成本,鉴于此,需立法机关对本地化要求的执行主体涉及的相关概念提供进一步的明确解释及补充。
7 明确了个人信息跨境提供的规则
主题 |
对应条款概括 |
跨境提供规则 |
第三十八条 前提条件:通过安全评估、获得相关认证、订立满足同等保护标准之协议。 |
第三十九条 应告知个人相关要素并获取同意。 |
|
第四十条 关键信息基础设施运营者及达标的个人信息处理者,应境内存储;确需向境外提供的, 应评估。 |
|
第四十一条 司法协助需求应评估。 |
|
第四十三条 可对不利国家进行反制。 |
个保法中关于跨境传输的核心原则极具中国特色。在其他数据保护立法,如GDPR中,跨境传输的核心基础是“可提供同等保护”,无论是白名单、充分性决定、BCR等豁免机制,还是SCC等协议架构机制,都是为了确认或保证接收方有等同于传输方的个人信息安全保护机制,以防止泄露、滥用等事件的发生。而个保法确立的核心基础是“能通过安全性评估和认证”,无论是“通过国家网信部门组织的安全性评估”,还是“按照国家网信部门的规定经专业机构进行个人信息保护认证”,都是为了确保接收方本身的实质安全性。这一规定虽然源于中国强监管的合规环境,相对于对合规环境的同等要求,这种对接收方自身进行的实质性的评估更具备可靠性,更有利于保护用户信息安全。并且,为了弥补评估认证制的不足,兼顾企业经营需求,个保法补充签署标准协议作为条件之一,使得合法基础更为完善。
另外,“未规定克减条件”这一点在也与他国的跨境传输条款不同。其他数据保护立法大多将“同意”“履行合同所必须等”作为保障措施的克减条件,即若没有适当的安全措施,如有约束力的公司规则等,也可以在个人给予明确同意风险的情况下进行传输。而在个保法的语境下,无论基于何种合法基础进行跨境传输,均不存在克减条件,都必须满足相应的前提条件。体现了国家数据安全优先的立法思想。
8 个人在其信息处理活动中享有诸多权利
主题 |
对应条款概括 |
数据主体权利 |
第四十四条 知情权、决定权、限制/拒绝权 |
第四十五条 查阅、复制权 |
|
第四十六条 更正、补充权 |
|
第四十七条 目的实现、服务停止、撤回同意、违法违约情况下的删除权。 |
|
第四十八条 要求解释权。 |
|
第四十九条 已逝者权利。 |
|
第五十条 应当建立个人行使权利的申请受理和处理机制。 |
个保法明确规定了个人在其信息活动中所享有的权利,权利类型与其他国家的立法无大异。特别强调了:信息处理者在特定条件下的主动删除义务,及应建立个人权利申请受理和处理机制的义务,此部分内容明晰,暂无需进一步解释之处。需特别强调的是,个保法规定了死者权利,紧跟业界热点讨论话题。
9 数据处理者应履行诸多信息保护义务
主题 |
对应条款概括 |
制定内部制度 |
第五十一条 管理制度+操作流程+分级分类+加密/去标识化技术+合理权限+定期培训+应急预案 |
设立负责人 |
第五十二条 数量达标应指定负责人。 |
第五十三条 境外处理者应设立境内代表。 |
|
定期审计 |
第五十四条 应组织定期审计。 |
事先风险评估 |
第五十五条 敏感信息、自动化决策、委托处理/第三方提供、境外提供、重大影响条件下需评估。评估报告及处理记录需存三年。 |
数据泄露响应 |
第五十七条 应通知原因、危害、已采取措施、个人可采取之措施、联系方式。有效避免损害可豁免告知。 |
系统规定个人信息处理者应履行的多方面的义务是个保法的又一亮点。一方面,搭建了个人信息保护的基本框架,给处理个人信息的企业以赋能,这在我国个人信息保护意识较欠缺的现阶段,具有启蒙意义;另一方面,明确了具体的合法标准,法律责任的承担及处罚提供了相对清晰的衡量标准。
首先,该条明确规定了处理者应履行的安全保障义务。内部管理制度,要求处理者建立覆盖数据处理生命周期的操作管理流程;个人信息分级分类管理,要求处理者对所有个人信息处理领域进行梳理,依据其敏感程度,对照国标分级分类指南,制定符合企业内部业务生态的分级规范;合理安全措施,要求处理者根据分级结果确定不同的安全措施等。
其次,该条规定达到一定条件的个人信息处理者要制定责任人负责相关事务。具体的达标信息数量有待进一步解释或规定。
再次,该条明确了信息处理者的个人信息安全审计要求。
另外,该条规定了处理者应进行风险评估的条件及必要内容,并且特别规定了风险评估报告和处理情况的记录应该至少保存三年,为个人信息处理者开展个人信息事前风险评估指明了方向。
最后,该条明确了个人信息泄露时处理者的补救和通知义务。特别的是,亦规定了可以不通知个人的例外情况,即通过采取措施能有效避免造成损害,可以不另行通知。在保证不减损个人权利的前提下,减轻了处理者所付的通知义务。
10 明确了平台责任
主题 |
对应条款概括 |
主要义务 |
第五十八条 建立合规保护体系、独立机构监督、制定平台规则、停止对严重违规方提供服务、发布社会责任报告。 |
明确规定平台责任,也是个保法的“创举”之一。互联网平台服务提供者拥有巨大的用户数量及触达点较多且业务场景类型复杂,涉及多方主体,往往面临极高的个人信息保护风险,同时也肩负着对产品服务提供者的规范及引导作用,用专条规定平台方责任,对于风险控制及产品服务提供者教育大有裨益。同时,也需要进一步明确平台规则、隐私保护合规体系的相关标准,以便更好执行。
11 确定了多元化的个人信息保护履职体系
主题 |
对应条款概括 |
责任部门 |
第六十条 网信部门+国务院及地方政府有关部门。 |
履职方式 |
第六十三条 询问调查、查阅复制、现成勘查、设备检查。 |
第六十四条 较大风险情况下可约谈法定代表人或主要负责人。 |
个保法明确了个人信息保护的责任机关体系。与大部分国家的集权式监管不同,我国采用统筹协同制的个人信息保护监管体系。网信部门作为总统筹方的同时,国务院各有关部门各自职权范围内负责个人信息保护和监管工作,兼顾了行业差异性。在地方层面,县级以上地方人民政府有关部门作为具体实施监督方,履行个人信息保护和监督管理职责,兼顾了地区差异性,形成了行业监管为横轴、地方监管为纵轴的十字监督体系,有利于法令的彻底落实。
12 明确分级化的法律责任
主题 |
对应条款概括 |
法律责任 |
第六十六条 一般情况:责令改正,没收违法所得,给予警告;拒不改正,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款 情节严重:责令改正,并处罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处罚款。 |
第六十七条 可记入诚信档案并以公示。 |
|
第六十八条 国家相关机关责任。 |
|
责任的确定 |
第六十九条 个人信息处理者承担过错推定责任;个人赔偿责任以损失或收益为限;难以确定时法院认定。 |
公益诉讼 |
第七十条 检察院及相关部门可提公益诉讼。 |
行政、刑事责任 |
第七十一条构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 |
法律责任部分,个保法总体借鉴了GDPR的监管思路,规定了高额处罚,大幅提高了个人信息处理者的违法成本。此外,个保法的规定亦有其独特亮点。
首先,依据违法程度轻重不同,规定了多元化的处罚措施,包括警告、责令改正、没收违法所得、吊销营业执照、罚款等措施,既有助于处罚的合理精准匹配,又与我国现行的商法及行政法语境下的违法处罚方式相衔接。同时,针对一般违法和情节严重的违法进行了区分,符合法律责任与行为的危害程度相关联的基本原则;
其次,规定了个人责任。对直接负责的主管人员或其他直接责任人员处以罚款,责任具体到个人,从反面促进个保法的贯彻落实;
再次,明确了侵权行为民事责任确定的具体方式,并考虑到个人信息领域个人举证存在举证困难,确立了推定过错的损害赔偿责任,即信息处理者若不能举证自己无过错的,则需承担损害赔偿责任;
最后,明确将个人信息纳入可提起公益诉讼的范畴,处理者面临的诉讼风险极大程度提高。
历经近20年,个人信息保护法作为我国网络数据法规体中最重要的一环,最终颁布施行,为我国数字经济的发展奠定了最坚实的基础,确立了与数字大国相匹配的基本制度。同时,监管制度、公民认知、行业发展三者相成,协同发展,制度的确立,必将进一步带动行业发展,提升公民认知,从而为我国数字经济的发展提供良好的多维生态环境。另外,放眼全球,个保法的影响绝不仅在于此。其采纳了国际通行的个人信息保护原则及制度,将我国的个人信息保护规则极融入到全球数据跨境流动的规则体系中去,同时,条款中展现出的创新性制度、安全与发展的平衡之道,也为全球的数据跨境流动体系做出了“中国贡献”。我们期待我国的个人信息保护法在未来我国乃至全球数字经济发展的洪流中大放异彩。
作者信息:
肖腾飞
德勤中国风险咨询
网络安全合伙人
电话:+86 10 85125858
电邮:frankxiao@deloitte.com.cn
申燕茹
德勤中国风险咨询
数据保护与隐私合规专员
电话:+86 10 85125731
电邮:rubshen@deloitte.com.cn
相关阅读:
欲了解更多与网络安全相关的信息,敬请联系 CNRACyber@deloitte.com.cn
推荐阅读
保障个人信息,规范数字化经济
个人信息保护法深度解读