数字时代个人信息的“保护神”——《个人信息保护法》解读
2021-08-28
来源:关键基础设施安全应急响应中心
《中华人民共和国个人信息保护法法》(“本法”)于2021年8月20日经十三届全国人大常委会第三十次会议通过,自2021年11月1日起施行。全文共八章七十四条,除了总则、附则及法律责任,主要包括“两个规则”(处理规则和跨境提供规则)和“三个主体”(个人权利、处理者义务和监管职责)。下文将对其进行全面解读。
一、立法背景
随着全球网络基础设施的不断完善,移动互联网、物联网、云计算等服务的普及,世界已步入数字化时代。在数字时代下,数据成为了关键的生产要素,其中个人信息占有重要比重。数字诊疗、人脸识别、人工智能等领域的技术发展给人们生活带来便捷的同时也使得个人信息遭受侵害的风险成几何量级增大,导致泄露事件层出不穷、愈演愈烈。
因此,个人信息保护逐渐成为各国立法机构关注的重要议题。至今,全球已经有140多个国家和地区制定了个人信息保护有关的法律。2018年实施的欧盟《通用数据保护条例》(General Data Protection Regulation “GDPR”)独树一帜,成为很多国家立法的重要参考。
近年来,我国作为数字经济的大国也在搭建个人信息保护方面的法律体系。其中,《民法典》设立专章规范隐私权和个人信息保护,《刑法修正案》增加侵犯公民个人信息罪等罪名,《网络安全法》确立个人信息保护的原则,《数据安全法》(“数安法”)从数据作为信息底层载体的角度提出数据安全措施要求,《电子商务法》对电子商务经营者提出个人信息保护要求等等。而该领域的专门法律一直缺位,社会各界呼吁制定《个人信息保护法》的声音越来越高。《个保法》自2020年10月13日首个草案提出以来,历经三次审议、多次修订,终于正式出台。
二、健全个人信息处理原则和规则
( 一 ) 六大处理原则
本法确立了处理个人信息应遵循六个主要原则:合法正当必要诚信(第5条)、目的明确合理(第6条)、最小必要(第6条)、处理公开透明(第7条)、准确完整(第8条)、安全保障(第9条)。上述原则与世界趋同的个人信息保护原则以及《民法典》、《网络安全法》的规定基本一致,其适用精神贯穿全文。
( 二 ) “告知+同意”处理规则
在处理规则方面,本法确立“告知+同意”为核心,体现了对个人权益的尊重,也与上文的合法正当和公开透明两个原则相呼应。
1.“告知”义务
本法第14条就将“充分知情”作为“同意”的前提条件。本法第17条具体列举个人信息处理者(“处理者”)应当告知的事项,主要包括其处理者基本信息、信息处理的目的和方式等、行使本法权利的方式和程序。本法第18条规定了告知的例外情形,在法律、行政法规规定应当保密或不需要告知的情况下,可以免除告知义务,但是该义务在紧急情况下无法及时履行时并不免除,而是将前置改为后置,体现告知义务的重要性。
在以上普遍适用原则的基础上,本法还规定了如下五类需要履行告知义务的情况:
1) 承继转移和向第三方传输(第22、23条)- 前者是处理者在合并、分立、解散、破产等情况下转移,而后者是向第三方提供。这两种情况虽然均需履行告知义务,但内容略有不同。前者仅需告知接收方的基本信息,而后者还需包括处理目的、方式、信息种类。其差别在于前者的接收方承继了处理者的原有业务,其处理目的和方式等在一般情况下不会有变化;而后者的接收方是独立的第三方,其处理目的和方式等很可能会发生变化,需要额外告知。
2) 处理敏感个人信息(第30条) - 需告知处理的必要性及对个人的影响。
3) 履行法定职责(第35条)
4) 信息出境(第39条)
2.“同意”义务
除了本法第13条(2)-(7)列举的情形之外,取得个人同意是处理个人信息的前提,包括第(5)项下涉及对个人权益有重大影响的处理行为(第27条)。本法第14条明确了同意需基于个人“充分知情”、“自愿”、“明确”的前提。第15、16条则赋予个人撤回权,并禁止处理者以不同意或撤回同意为由拒绝提供非必需的产品或者服务。
在以上普遍适用原则的基础上,本法还规定了如下五类需要取得“单独同意”的情况:
1) 向第三方提供(第23条)
2) 公开(第25条)
3) 收集个人图像、身份特征信息用于公共安全之外目的(第26条)
4) 处理敏感个人信息(第29条)
5) 向境外提供(第39条)
三、涉及的跨境问题
( 一 ) 域外适用
本法第3条赋予了一定的域外适用效力。虽然《数安法》第2条也类似规定,但本法的适用范围更加明确,即“向境内自然人提供产品或者服务为目的”和“分析、评估境内自然人的行为”,与GDPR第3条第2款的“提供产品或者服务”以及“行为监控”相对应。这意味着境外机构或个人即使在中国没有任何商业存在,只要符合所列情况,便受本法的管辖。
( 二 ) 个人信息的跨境提供
关于个人信息出境的安全评估要求,首见于《网络安全法》第37条,不过仅适用于关键信息基础设施运营者。而《个人信息出境安全评估办法(征求意见稿)》(“出境办法”)将适用范围扩大至所有网络运营者,给业界带来一定震动和压力。本法第40条试图在以上两者之间找到一个平衡,将安全评估的适用范围局限于“关键信息基础设施运营者”和“处理个人信息达到国家网信部门规定数量的处理者”。至于处理个人信息的具体数量多少将触发安全评估,待国家网信部门在配套规定予以明确。
此外,鉴于安全评估在某些情况下可能无法满足跨境流动对时效性的要求,本法第38条为处理者还提供了另外两个明确的出境途径:(1)经专业机构认证;(2)与境外接收方订立标准合同。这体现了在安全有序的前提下,促进个人信息跨境自由流动的立法态度。
( 三 ) 向外国司法或者执法机构提供个人信息
本法第41条明确在应外国司法或者执法机构要求向境外提供个人信息的情况下,需要取得主管部门事先批准。《数安法》第36条也有相同规定。这与《民事诉讼法》第277条关于司法协助情况下外国机关或者个人在国内调查取证的立法精神一致,体现我国司法主权。而此次将“执法机构”加入规范之列是回应了近年来很多国家,包括美国出台的《澄清境外数据合法使用法案》、《外国公司问责法》在内,不断扩大跨境数据调取权利的立法趋势。
( 四 ) 反制和限制措施
依据国际法的对等原则,本法第43条就国外采取个人信息保护方面的歧视性措施时,赋予我国采取反制措施的权利。这与《数安法》第26条就国外采取与数据投资、贸易相关的歧视性措施时我国有权反制的规定一脉相承。
相较于《数安法》,本法第42条增设了一个“黑名单”制度,即对于从事侵害我国权益的境外主体,将被列入限制或禁止提供个人信息的清单,并采取限制或禁止措施。在表述上,第42条适用的范围比第3条的域外适用范围更加广泛。
近年来,有些国家以国家安全、个人信息保护为由对我国科技企业(例如Tiktok和华为事件)采取“围追堵截”的措施。本法设立的反制和限制措施恰逢其时,丰富了我国在国际政治博弈斗争中的“工具箱”。
四、个人权利与处理者的义务
( 一 ) 个人的权利
本法第四章专门明确个人在信息处理中的各项权利,包括:知情和决定权(第44条)、查阅和复制权(第45条)、可携带权(第45条)、更正和补充权(第46条)、删除权(第47条)、请求解释说明权(第48条)、逝者近亲属的行使权(第49条)。这与《民法典》第1037条规定的查阅权、复制权、更正权、删除权等相衔接,并予以丰富和细化。同时本法也要求处理者建立个人权利的申请受理和处理机制(第50条)。
( 二 ) 处理者的义务
个人在个人信息保护方面的权利实现,很大程度上依赖于处理者对其义务的履行。本法第五章主要从“明确措施、落实人头、平台责任”三个方面强化处理者的责任。
1.明确措施
本法对处理者提出了事前、事中、事后全流程的保障义务要求:
1) 事前影响评估(第55、56条)——要求在对个人有重大影响的个人信息处理活动之前进行个人信息保护影响评估。其列举的适用情况与上文需取得“单独同意”的情况类似,背后的共同逻辑是法律对处理者的义务要求需与处理活动本身的风险程度相匹配。该设计借鉴了GDPR规定的“数据保护影响评估”(Data Protection Impact Assessment,DPIA)制度。
2) 事中保护措施和合规审计(第51、54条)——详细列举了处理者在日常运营过程中应采取安全保护措施,包括制度制定、分级管理、技术措施、权限确定、定期培训、应急预案等。而且要求处理者定期进行合规审计。
3) 事后补救和通知义务(第57条)——要求处理者在发生个人信息泄露等情况下采取补救措施并通知监管部门和个人。这与《民法典》第1038条补救措施和报告制度相衔接。
2.落实人头
本法第52条规定处理个人信息达到网信部门规定数量的处理者应当指定“个人信息保护负责人”,对内负责对处理活动和保护措施等进行监督,对外担任联系人和与监管沟通人的角色。可以看出,本条借鉴了GDPR数据保护官(Data Protection Officer,DPO)制度。与GDPR仅概括性地规定适用从事“大规模”数据处理业务的公司一样,本条也未明确“达到网信部门规定数量”的具体标准,待网信部门后续出台相关指引予以明确。
本法第53条要求境外处理者在分析、评估境内自然人行为的情况下在境内设立“专门机构或者指定代表”。该要求与《出境办法》第20条中要求收集境内用户个人信息的境外机构在境内设立“法定代表人或者机构”的内在逻辑一致,不过其表述比后者更加清晰明了,避免了与公司法项下概念混淆。
3.平台责任
本法第58条创造性地引入了个人信息保护“守门人”的概念,即要求超大型平台(提供重要互联网平台服务、用户数量巨大、业务类型复杂的处理者)承担起个人信息保护“闸门”作用,具体义务包括:成立外部独立机构、制定平台规则、停止违规者服务、定期发布社会责任报告等。可见这些超大型平台企业,不仅应尽到一般处理者的义务,还应承担更高意义上的平台治理责任。
五、监管部门
本法第六章明确了个人信息保护的监管部门及分工。其具体内容整理如下表:
履行个人信息保护职责的部门
六、带“牙齿”的法律
为了确保规定的各项要求落到实处,切实保护个人的权益,本法对个人信息保护的违法行为构建了从信用公示到刑事惩处一个全方位、多维度的法律责任体系,具体包括:行政处罚(第66条)、信用公示(第67条)、私益诉讼(第69)、公益诉讼(70条)、治安处罚和刑事责任(第71条)。
其中两个“亮点”值得关注:高额的处罚金额和公益诉讼制度的引入。其直指实践中个人信息保护工作的两大痛点:(1) 因违法成本低造成社会普遍对个人信息保护重视不足;(2)因侵犯个人信息的违法行为隐蔽性强、调查取证难、个人防范意识差、维权成本高等因素,导致鲜有个人通过私益民事诉讼的方式维护自身权益。具体规定及分析如下:
1) 本法第66条规定违法行为最高面临“五千万元以下或者上一年度营业额百分之五以下罚款”。这相较于《网络安全法》的一百万罚款上限,大幅提高惩戒力度,与GDPR项下罚款最高达全球年度营业额的百分之四的标准接轨,彰显国家在个人信息保护方面的决心。
2) 本法第70条规定对于侵害众多个人权益的违法行为,人民检察院、消费者组织和网信部门确定的组织均享有诉讼权利。这是继生态环境和资源保护、食品药品安全等领域之后,公益诉讼首次在个人信息保护领域的适用。
七、结语
本法在借鉴国际成熟的保护原则和立法经验基础上,结合我国国情,将之前相关法律、法规、标准中的实施经验和成熟措施上升为法律规范,在制度设计、维权途径、处罚力度等方面具有诸多创新和突破之处,完善了我国个人信息保护法律保护体系,提升了我国个人信息保护标准。其作用不仅在于促进我国数字经济的良性发展,还有利于我国参与国际规则的制定,促进个人信息保护领域的国际交流与合作。
本法的很多内容带有鲜明的数字时代烙印,如自动化决策(第24条)。虽然个人信息不仅限于以电子方式记录,但随着网络对人们生活的深度渗透,以电子方式记录的个人信息无论从数量级还是面临侵害的风险程度来说,都无疑占据主要地位。因此,网络空间必将成为个人信息保护工作的“主战场”。
作为中国首部个人信息保护方面的专门法律,本法在正式颁布实施后,将肩负起数字时代下个人信息“保护神”的使命,引导我国个人信息保护的法制建设步入一个新的篇章。