十国/地区数据保护法十大合规要点对比 | #2 个人信息处理规则与特别注意事项
2021-09-28
来源:出海互联网法律观察
第二部分:个人信息处理规则与特别注意事项
个人信息处理原则以及个人信息处理的具体规则,是每个国家数据保护法案中最为关键和核心内容,通过在法案中明确处理个人信息的合法性基础,以及对应的具体规则,以帮助企业和个人在处理个人信息时候厘清权利义务的边界,企业、组织在处理个人信息活动时应当特别留意和关注关于个人信息处理的具体规则要求。
(一)我国个保法解读:
经过三审会议的我国个保法,在关于个人信息处理原则和处理规则上有了更进一步细化和完善,为企业、组织在处理个人信息时候划定了更清晰的红线。
01 个人信息保护原则
我国个保法第五条到第十一条确立了个人信息处理应遵循的原则,强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等。
归纳来看,可以理解为主要的七大原则:
图片
1.合法、正当、必要和诚信原则
是指处理个人信息时,一方面,应当具有合法性的基础(在下文分析)、具有正当的理由、并应满足必要性的要求(对个人信息的处理应当限定在为了实现处理目的所必要的范围内),另一方面,要遵守诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
图片
2.目的明确、合理原则
相比于《二审稿》,个保法新增了“采取对个人权益影响最小的方式”,即将个人权益的影响程度作为是否明确、合理的判断标准,再次特别强调了,信息的收集范围与处理目的应当直接关联,并应该限制在实现目的的最小范围内(最小必要原则,不得过度收集个人信息)。
图片
3.公开、透明原则
是指,处理个人信息,一方面应该对企业、组织是如何处理用户的个人信息进行公开;另一方面,还应通过这些公开的政策、规则来明确展示企业、组织在处理个人信息方面的具体目的、处理方式和处理范围。
图片
4.质量原则
相比于《二审稿》,个保法新增了“保证个人信息的质量”的要求,其具体内涵是指,为实现个人信息的处理目的,企业、组织应当对其所处理的个人信息保证准确,并在有变化时候进行及时的更新。
图片
5.安全保护原则
没有数据安全的保障,就没有对数据的有力保护,安全是保护的关键前提,企业、组织应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
图片
6.禁止非法处理原则
个保法明确列举了8大“禁止性行为”,给企业、个人划定了清晰的红线:任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
图片
7.共同治理原则
个人信息保护是一项需要个人、企业、行业组织、监管部门等各方面共同协作、参与的事项,一方面,国家通过建立、健全个人信息保护制度,对侵害个人信息权益的行为进行预防和惩治;另一方面,也需要通过加强个人信息保护宣传教育工作,推动形成政府、企业、相关行业组织、社会公众共同参与个人信息保护的良好环境。
02 “告知-同意”是核心规则
我国个保法明确了以“告知—同意”为我国个人信息保护的核心规则(核心的合法性基础),一方面,为个人对其个人信息处理的知情权和决定权提供了重要的保障;另一方面,以“同意”作为合法理由处理个人信息,必须赋予用户撤回同意的权利。这与GDPR的规则设置是非常类似的。
对于如何进行告知,个保法明确了,企业不仅要真实、准确、完整地向个人“充分告知”与处理个人信息的各类事项(包括处理者身份、联系方式、处理目的、处理方式、信息种类、保存期限、个人行使权力的方式和程序等等),还需要以显著方式、清晰易懂的方式进行,并且在重要事项发生变更时,还应重新取得个人的同意,而不能“一次了事”。
对于如何获得同意,则要求个人需要在“充分知情”的前提下,作出自愿的、明确的同意,而不能是被强迫的、不平等的,也不能是含糊的、不清晰的情况下作出。
值得一提的是,本次个保法在处理个人信息的合法理由中,新增了“实施人力资源管理所必需”作为处理个人信息的合法理由之一,但在使用这一合法理由时,应特别注意这是附条件的,只有是满足了“依法制定的劳动规章制度”和“依法签订的集体合同”才可以,而何为“依法制定”和“依法签订”,就为作为用人单位的企业在处理员工的个人信息时留下了非常值得研究的实操空间以及合规空间,也对企业在处理员工个人信息时,提出了更进一步的合规要求。
03 “单独同意”是特别规则
与此同时,我国个保法还针对“法律、行政法规等专门规定的特殊情况”,特别设置了特殊的单独同意规则。
图片
处理敏感个人信息情形:
例如,企业在处理个人敏感信息时,除了在隐私政策中,向用户告知处理敏感个人信息的具体种类、处理的必要性、对个人的影响,采取严格的保护措施外,还需要在该特定场景触发时,通过如单独弹窗、单独页面展示等方式向个人告知,并获得个人的单独的、明示有效的同意,而不能是“概括同意”,“一揽子同意/捆绑授权”,更不能是“默认同意”。
图片
处理儿童个人信息情形:
例如,在企业收集不满14周岁的未成年人个人信息的场景下,企业还应当取得未成年人的父母或者其他监护人的同意。
图片
向其他个人信息处理者提供个人信息情形:
例如,在企业向其他第三方合作伙伴(其他个人信息处理者)提供、转移个人信息的场景下,除了需要向个人履行告知义务(个保法规定了告知内容的法定要求),进行事前的风险评估外,还应当取得个人的单独同意。
而对于前述情况下作为数据接收方的第三方合作伙伴,除了应该在传输方告知个人的范围内处理个人信息,还应该在接收方企业变更原先的处理目的和方式时,重新取得个人的同意。
图片
在公共场所安装图像采集、个人身份识别设备的情形:
这是本次个保法新增的内容,与目前大量企业滥用摄像头收集个人信息、特别是人脸识别信息等情况有关,也与今年8月1日出台的最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》起到遥相呼应的效果。
与此相关的企业应特别关注和留意,在安装图像采集、个人身份识别设备时,应当:
01
是为了维护公共安全所必需——限制收集目的;
02
在遵守国家有关规定的同时,还应设置显著的提示标识——明确告知方式;
03
特别需要注意的是,企业因此而收集的个人图像、身份识别信息,只能用于维护公共安全的目的,不得用于其他目的;但取得个人单独同意的除外——限制处理用途。
图片
公开个人信息的情形:
个保法明确规定了,原则上不得公开,但取得个人单独同意的除外。
值得注意的是,在使用公开个人信息方面,我国个保法参考海外数据保护法规,也提供了“选择退出”的规定:
01
对于个人自行公开或者其他已经合法公开的个人信息,除非个人明确拒绝,个人信息处理者可以在合理范围内处理;
02
对于处理已公开的个人信息,而对个人权益有重大影响的,个人信息处理者应当取得个人同意。
04豁免告知作为例外规则
本次个保法不仅在告知的内容要求上和告知的形式上作出了进一步的细化要求,还确立了两种个人信息处理者可以进行豁免的告知情形:
图片
1.基于保密义务的豁免:
当有法律、行政法规规定应当保密或者不需要告知的情况下,可以不向个人告知个人信息处理者的名称或者姓名和联系方式。
图片
2.基于紧急情况的豁免:
为保护自然人的生命健康和财产安全而无法及时向个人告知的情况下,可以在紧急情况发生之时不进行告知,但是应当在紧急情况消除后及时告知。
05共同处理承担连带责任规则
本次个保法正式确定了共同处理者的概念(共同决定个人信息的处理目的和处理方式的),也是新增内容之一。
与欧盟GDPR以及先前出台的个人信息规范不同的是,个保法在概念上没有区分个人信息控制者和处理者,而是通过明确规定 “在共同处理个人信息时,在侵害个人信息权益造成损害的情况,应当一起依法承担连带责任”的方式,确立了由共同处理者一起面向个人数据主体去承担连带责任。
提醒企业注意的是,在发生共同处理的情况下,应该通过合同的方式与第三方明确约定双方的权利与义务,明确各自需要承担的责任,要求第三方共同满足个人信息安全的要求,同时亦需要向个人数据主体进行有效的告知。
06 自动化决策应确保透明公平
公正,并有权进行拒绝的规则
这可能是本次个保法最为关注也受到最大热议的亮点之一,明确了广大用户关注的自动化决策的规制,即应“保证决策的透明度和结果公平公正”且“不得对个人在交易价格等交易条件上实行不合理的差别待遇”。
要求企业在自动化决策最为普遍的应用场景“信息推送、商业营销”中,应当向个人提供“不针对其个人特征的选项”,或者“向个人提供便捷的拒绝方式”。
特别是,对于对用户的个人权益造成重大影响的情况,法律明确为个人主提供了要求解释清楚的权利以及进行明确拒绝的权利。
本条的出现,在实务中,引起了非常多与个性化推荐有关的企业的关注,特别是精准广告的行业企业,在接下来的实际应用中,相信会有更多的实务难题出现。但从最基本的合规注意事项而言,企业可以关注以下基本的合规逻辑:
01
以充分、全面、清晰告知用户,以及取得用户的个人同意为合法性基础,其确保该同意是自愿、明确的;
02
由政府设立的法律援助机构或者非政府设立的合法律所组织法律援助的律师。
03
当自动化决策是用于为了信息推送,或商业广告推广时,应为用户提供可以退出的途径,以及不进行个人特征推送的选项;
04
仅通过自动化决策作出对个人权益有重大影响的决定的,在用户要求解析说明,或用户明确提出拒绝时,应保障其权利机制的实现,并考虑增加人工决策的方式。
(二) 海外主要个人信息保护法律对比:
鉴于个人信息处理的规则是一个比较复杂的分析类事项,一方面,不同国家的数据保护法律会有不同的规定,不仅对于特殊类型个人信息有不同的概念与分类,而且也会对不同特殊类型的个人信息有特别的规则,另一方面,在大量的实务操作过程中,还需要结合具体的业务场景、前提和多方面的维度进行综合考虑。鉴于篇幅有限,以下表格,我们仅就个人敏感信息的定义以及处理要求和一些特殊点进行扼要对比。如有不完善之处,还请同行们多多指正。
总体来说
个人信息的处理的具体规则,是每个国家数据保护法案中非常值得关注的内容,大部分国家的数据保护法律法规中都会对特殊类型的数据提出了特殊的处理规则(例如会分别对一般个人信息、敏感个人信息、健康信息、生物特征信息进行概念上的分类,以及规定不同的处理规则),以更好地保护个人数据主体的权益,同时也成为企业、组织和个人在处理个人信息时候的指南针和区分合规红线的判断基础。