作者 | 王雨珂、王诗嘉、王靓
背景情况介绍:2020年10月,《中华人民共和国个人信息保护法(草案)》(以下简称“《一审稿》”)首次公布,向社会征求意见;2021年4月,《中华人民共和国个人信息保护法(草案二次审议稿)》(以下简称“《二审稿》”)公布,向社会征求意见;2021年8月20日,《个人信息保护法》经全国人大常委会会议表决通过,将于2021年11月1日起生效实施。
体系结构:《个人信息保护法》的第一条明确:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”,“根据宪法,制定本法”是本次正式稿中增加的内容(根据报道,是在这部法律的草案提交十三届全国人大常委会第三十次会议三审时新加入的),这对于我们正确地定位理解和适用这部《个人信息保护法》有着非常重要的意义。如果此前我们的理解还停留在《中华人民共和国民法典》中设置了“人格权”独立编章,《个人信息保护法》的制定是作为实施《民法典》中“个人信息受法律保护”之规定的具体法律。此时此刻,建议提升对于这部法律的认知,增加“依据宪法,制定本法”的规定,使得《个人信息保护法》成为宪法层面所规范的保护公民基本权利的法律,保护个人信息也不单单是对其在民事法律领域的权利定位和规则影响,而是一种对于公民基本权利的规范和保护。
下文我们将以问答形式提点《个人信息保护法》各章节之要点,帮助读者快速了解这部备受瞩目的新法。
一、总则
Q1:什么是法律所保护的“个人信息”?
表(1-A)
A1:由上表(1-A)可知,不论是《网络安全法》还是《民法典》,都将“识别”作为定义个人信息的关键因素。即通过某些信息能否据以推断出该信息所涉及的这个人,系该等信息可否属于“个人信息”的一大判断标准。而《个人信息保护法》,在前二者的基础上将“识别”具体到“已识别”或者“可识别”两种情形。由此可见,在对个人信息的定义方面,仍以“识别”为主要依据,但《个人信息保护法》较之前的规则增加了“识别”的状态程度,“已识别”可以理解为可直接判断出自然人有关情况的信息而“可识别”则是结合、组合或间接方式可推断出自然人有关情况的信息。建议尤其关注“可识别”的理解,其对于识别的程度而言留有较大的判断空间。
Q2:处理个人信息,具体包括哪些行为?
表(1-B)
A2:如表(1-B)所示,截至《二审稿》时,关于个人信息的处理范围仍保留了《民法典》中的相关表述。而最终定稿的《个人信息保护法》相较于前二者,增加了“删除”这一行为,这点特别值得关注的原因是,目前,很多对于个人信息的处理规则(包括大量的技术开发协议及各类涉及个人信息的协议安排)并没有将“信息的删除处理”个人信息作为一个重点内容予以关注。本次,《个人信息保护法》是将个人信息的处理从信息的收集“源头”到信息的删除“结束”,进行了更为完整的涵盖。同时,提醒大家,这一增加的处理行为也与《个人信息保护法》中关于个人在个人信息处理活动中的权利中的删除权相匹配。
二、个人信息处理规则
Q3:相对方着手处理公民个人信息时,基础的前提条件是什么?
表(2-A)
A3:《个人信息保护法》在第十三条列举了个人信息处理者可以处理个人信息的情形,其中第一款情形,便是“取得个人的同意”。从表(2-A)可以看出,《个人信息保护法》第十四条之于《二审稿》,加强了对于“个人同意”这一前提要件的强调,类似的改动同样出现在第十五条有关撤回同意的规定中。可见,取得信息所有人的同意,是大多数情况下相对方着手处理公民个人信息的基础前提。
而《个人信息保护法》中规定的信息处理者的告知义务,远比我们日常生活中理解的“告知”行为复杂。其需要遵从“使对方充分知情——自愿、明确地同意——若变更,重新取得同意”这一完整的逻辑链条。即,信息处理者首先应当告知信息所有人,其处理个人信息的目的、方式、个人信息的种类等内容,待对方对此充分知情并作出自愿、明确地表达同意后,方可着手处理。倘若在处理信息的各个过程中,发生任意要素的变更,信息处理者皆需重走前述步骤,再度取得授权。
Q4:相对方取得授权同意后,在处理个人信息的过程中能否有第三方介入?
表(2-B)
A4:是的,在日常生活的应用场景中,个人信息的处理往往不仅限于双方之间,常会存在与其他业务关联方共同处理信息,或委托第三方机构参与的情形。《个人信息保护法》对涉及第三方处理个人信息的规则亦作出明确规定,具体可划分为共同处理及委托处理两种模式。
图(2-C)
共同处理模式可参考图(2-C)。此情况下,两个或两个以上的信息处理者可以共同约定各自的权利义务,此时信息所有人可以向其中的任意一方处理者主张其权利。《个人信息保护法》第二十条(见表2-B)为此模式设置了连带责任的担责方式,一旦共同处理者中的任何一方出现了侵权行为,则共同处理者的各方需对此承担连带责任。
图(2-D)
委托处理模式可参考图(2-D)。此情况下,委托方与受托方应当约定处理的目的、方式、个人信息种类、保护措施及双方的权利义务,且委托方有义务对受托方所为的处理活动进行监督。受托方在完成合同约定的义务后,应当将相关个人信息返还或予以删除。《个人信息保护法》第二十一条(见表2-B)明确禁止了委托模式下的转委托行为。作为委托方,其有义务严格监管受托方,避免其未经同意的转委托行为;作为受托方,其应当严格审查委托人是否存在前手委托。
Q5:《个人信息保护法》针对“自动化决策”的规定有哪些?
A5:在运用数据运用的诸多场景中,自动化决策是如今最为常见的广告推送、商业营销机制。如,我们使用搜索软件查询了一个城市景点,之后便可能在多个其他程序上接收到该城市景点的广告与推送介绍。自动化决策的发展初衷可能是考虑为使用者提供了更为便利和具有兴趣针对性的需求投放,但将数据随意转移泄露给其他方,利用大数据的算法区别对待,也会影响个人的生活并且可能侵犯个人的隐私。对此,《个人信息保护法》第二十四条,对于利用个人信息进行自动化决策作出了明确规范。主要从:禁止差别对待、提供便捷拒绝渠道、充分说明,三个方面着手,目的在于维护个人在大数据算法面前的弱势地位。
禁止差别对待,即要求信息处理者保证自动化决策的公开透明,并且确保决策结果的公平公正。同样的资源、价格应当得以平等地传递给所有个人,不得通过算法地计算,对不同的受众实行不合理的差别待遇。
提供便捷渠道,即指信息处理者应当提供便利、易操作的,拒绝自动化决策的渠道。具体而言,即各类信息处理者应当为个人提供方便寻找并随时可以启用禁用与自动化决策服务相关的通道或选项,提供充分的选择自由。
充分说明,即个人有权要求信息处理者,就自动化决策所作出的对其个人权益有重大影响的决定作出明确说明,并有权拒绝处理者通过自动化决策作出类似决定。
Q6:什么是更为敏感的个人信息?对其处理是否有其他要求?
表(2-E)
A6:《个人信息保护法》第二章第二节,具体规定了敏感个人信息的处理规则。首先,《个人信息保护法》相比《二审稿》,对敏感信息的定义进行了措辞修改,并在列举时增加生物识别、特定身份及不满十四周岁的未成年人信息三类(如表2-E)。对于敏感信息的处理,信息处理者不但需要取得信息所有人单独的授权同意,且其告知同意的内容要求更高,在处理的各个过程也有更严格的加密要求。因此,不论是作为信息处理方还是作为信息所有方,在面对敏感信息时都应持更为谨慎的态度。
以生活中较为常见的人脸识别场景为例,最高人民法院于2021年7月28日发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,对人脸识别的适用规则、责任规定、应用场景等给出了具体的规范,并对人脸识别场景涉及的争议问题予以解答。包括:公共场所实施违法人脸识别的行为,应认定为侵害自然人人格权益;针对小区的门禁系统,物业应当提供其他合理验证方式给不同意采用人脸识别方式的业主;进一步加强对未成年人人脸信息的保护,严惩违法处理未成年人人脸信息的行为等内容。
三、个人信息的跨境提供规则
Q7:个人信息出境传输,有什么特别要求?
表(3-A)
A7:涉及数据的境外传输时,除《个人信息保护法》外,已经生效的《网络安全法》、2019年发布的《个人信息出境安全评估办法(征求意见稿)》、2017年发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》,构成数据跨境的法律规制框架。虽后两者尚未正式出台,但可以从草案法条规定的中推导立法方向。
首先,“应当境内存储”的原则确立,即:关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。本条规定也是与《网络安全法》(3-A)所示规定保持一致。
其次,《个人信息保护法》从全面规范角度,在安全评估前提外,同表(3-A)所示,列举了其他跨境传输的前提条件。
第三,《个人信息保护法》对信息跨境传输时的信息处理者的告知义务,提出了较高的要求。《个人信息保护法》第三十九条,明确要求提出信息处理者应当告知信息所有人包括:境外接收方的名称或姓名、联系方式、处理目的、处理方式、个人信息种类及信息所有人可向境外接收方行使权力的方式和程序等事项,并取得其单独同意。此规定可谓是在告知同意环节,对信息所有人最为详尽的保护。
四、个人在个人信息处理活动中的权利
Q8:信息所有人在信息处理的各个环节有哪些权利?
表(四-A)
A8:结合《个人信息保护法》第四十四至四十八条,信息所有人的基本权利包括:知情权、查阅复制权、更正补充权、解释说明权、决定权、删除权。除上述基本权利,《个人信息保护法》第四十五条较《二审稿》新设了信息所有人的可携带权(见表四-A)。简单而言,即指信息所有人有权要求处理者将其信息转移至符合规定条件的,其他指定信息处理者处。例如,信息所有人甲在结束其与A公司的服务合作关系后,其有权要求A公司将所有与甲有关的个人信息转移至甲指定的,符合网信部门规定要求的B公司,以便甲后续与B公司开展合作,对此要求A公司无权拒绝。
我们针对“可携带权”的实际运用和条款安排会继续予以关注,一方面,可携带权的创设给予了信息所有人自主处分自身权利的空间;另一方面,符合信息所有人意志的信息流动也有利于打破部分行业或主体对于大量信息的垄断,降低可能因此导致的信息泄露、违法处置等后果。
五、个人信息处理者的义务
Q9:除了告知同意,信息处理者在信息处理过程中还有哪些义务?
A9:较《二审稿》,《个人信息保护法》并未对信息者的义务规定作大幅修改或更新。其常规义务包括:(1)采取必要措施以确保个人信息处理合法合规;(2)处理信息的规模达规定数量时设立个人信息保护负责人;(3)处理特定事项前进行风险评估;(4)定期完成审计工作;(5)信息泄露时的补救措施与通知等。
以负责人制度为例,《个人信息保护法》第五十二条规定了,当处理个人信息达到国家网信部门规定的数量时,信息处理者应当指定个人信息保护负责人。负责人负责对个人信息的处理活动及采取的相应保护措施进行监督,同时其应当公开姓名、联系方式等,报送职责部门备案。
诸如此类信息处理者应尽的义务,在企业、机构等搭建个人信息保护处理体系时,都是值得关注,并在实践中不断摸索、完善的要点。
六、法律责任
Q10:处理个人信息过程中违反法律规定的,需要承担哪些责任?
A10:《个人信息保护法》将侵犯个人信息权的法律责任划分为了行政责任、民事责任与刑事责任三类。第六十六条,规定了履行个人信息保护职责的部门有权对违法者实施轻至责令整改、给予警告、没收违法所得,重至责令停止提供服务、并处高额罚款的行政责任。第六十七条,规定了存在违法信息处理行为时,予信息处理者以记入信用档案的行政处罚方式。第六十九条,规定了违法信息处理者对因其行为受到侵害的信息所有人的侵权责任赔偿义务,系民事责任。第七十一条,规定了对构成犯罪的违法行为,依法追究其刑事责任的责任承担情形。行政、民事、刑事三类担责方式的设立,对信息处理者的违法行为创设了极高的违法成本。
结 语
个人信息虽蕴含有巨大的价值,但同时我们也应当看到,对个人信息使用处理不当将产生更大的风险。故,立法者对于个人信息的种种皆持严谨的态度。这部《个人信息保护法》将于今年11月1日起正式生效实施,在未来这段时间内,于各大企业、金融机构而言,尽快了解个人信息处理的有关规定,更新或构建符合法律要求的个人信息处理体系,并制定相应处理机制;于公民个人,可以利用法律武器,审视生活中的各种应用场景,理解个人信息所蕴含的价值,谨慎处分并保护自身权益。
本期作者
版权声明:本站发布此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,请读者仅作参考,并请自行核实相关内容。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件举报,一经查实,本站将立刻删除。
