十三届全国人大常委会第三十次会议于8月20日上午在第一项表决中批准了《中华人民共和国个人信息保护》(第91号主席令),在2021年11月1日起实施。个保法将与《数据安全法》(以下简称“数安法”)和《网络安全法》(以下简称“网安法”)一起分别从各自的角度相辅相成构建中国的整体信息安全法律框架,再辅以刚刚颁布的《关键信息基础设施保护条例》,和即将颁布的《网络安全等级保护条例》,网信办和国务院各部委根据数安法制定的数据安全分级保护制度及重要数据目录 ,以及各种行业法规和国家标准,这些法规将形成一个全面的信息安全法律体系以全面规范各行业各领域的信息安全合规要求。整体框架:与网络安全法及数据安全法的关系:? 网安法是从整体上规范了对网络安全的要求,涵盖“网络运营安全”、“网络信息安全”和“网络安全应急响应”,提出了对个人信息和重要数据的保护和网络安全等级保护制度;
? 数安法是聚焦于“数据安全”(任何形式的数据),提出了对数据的分类分级保护以及重要数据目录的概念;
? 个保法是聚焦于个人信息,对“个人信息处理规则”、“个人信息主体权利”、“个人信息处理者义务”、“跨境传输”等和其他国际隐私保护法律法规都重点关注的主题提出了具体要求。以下就关键部分深入解读:
一、定义
个保法第4条定义了“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”,一是将个人信息的范围扩大到非电子方式记录,与数安法的第3条相对应。二是明确匿名化处理后的信息不属于个人信息,以鼓励企业采用匿名化的措施,并且在第73条也明确给出了匿名化及去标识化的定义:
去标识化:是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。匿名化:是指个人信息经过处理无法识别特定自然人且不能复原的过程。
二、域外适用(“长臂管辖”)
网安法第2条规定了“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法”。数安法第2条赋予了必要的域外适用效力:“在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任”。个保法第3条则更加明确地规定了以下情形适用个保法,在境外处理境内自然人个人信息的活动:
1. 以向境内自然人提供产品或者服务为目的;
2. 分析、评估境内自然人的行为。
而且个保法第53条还进一步规定了这类境外个人信息处理者应当在国境内设立专门机构或者指定代表。
三、合法性基础
关于收集处理个人信息的合法性基础,个保法第13条规定:
(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。从二审稿开始增加了在合理范围内处理已公开的个人信息为合法性基础,与《民法典》1036条将其作为免责事由的精神一致,批准稿增加了“个人自行公开或者其他已经合法公开”进一步明确了“已公开”必须是合法的,但如何界定“合理范围”依然需要结合具体场景具体分析。
批准稿还增加了“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”为合法性基础,减轻了企业人力资源工作收集处理个人信息为了合法性基础所需的工作量。
相对于GDPR,企业合法权益依然不是中国收集处理个人信息的合法性基础,而企业合法权益是大多数企业在GDPR合规方面最常使用的合法性基础之一。这就要求跨国企业尤其是已经遵照GDPR建立了个人信息合规体系的跨国企业在中国境内收集处理个人信息的时候必须更多的从个人信息主体同意、履行合同所必须、履行法定职责或义务以及法律、行政法规规定的其他情形中去寻找合适的合法性基础。
四、个人信息主体同意
与网安法41条及《个人信息安全规范》5.4条对应,个保法同样强调了“明示+同意”的合法性基础。同时还规定了下列5种情形需要获得个人信息主体的单独同意:
1. 向第三方提供个人信息(第23条)2. 公开其处理的个人信息(第25条)3. 将公共场所收集的个人信息用于维护公共安全以外的目的(第26条)4. 收集处理敏感个人信息(第29条)5. 向境外提供个人信息(第39条)
个保法第15条还赋予了个人信息主体撤回同意的权力,同时要求处理者“提供便捷的撤回同意的方式”,防止实践中企业将撤回方式隐藏过深,导致过于复杂以“诱使”用户放弃撤回同意。
为了与《个人信息安全规范》8.4条对应,从二审稿开始也特别明确了“个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力”。
个保法第31条规定了处理不满14周岁未成年人个人信息应取得父母或监护人同意,并制定专门的个人信息处理规则。
五、个人信息处理规则
个保法批准稿进一步完善个人信息处理规则,特别是对应用程序(APP)过度收集个人信息、大数据杀熟以及非法买卖、泄露个人信息等作出有针对性规范。
个保法第5条对比二审稿进一步强调了必要原则,是第6条的最小范围的基础。
个保法第6条对比二审稿就增加了“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息”,进一步明确了最小化原则从个人信息生命周期的第一步“收集”开始就必须遵循。个保法第10条对比二审稿进一步明确了在整个个人信息生命周期中(收集、使用、加工、传输)都必须合法,并强调不得“非法买卖、提供或公开”。
个保法第20条规定,“两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利”,这与GDPR共同控制者的概念相似。
个保法第73条对自动化决策进行了定义:“是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动”。
在第24条中作出了具体要求对大数据和算法划出了红线,尤其增加了“不得对个人在交易价格等交易条件上实行不合理的差别待遇”来杜绝“大数据杀熟”的现象,以及要求提供“便捷的拒绝方式”,与15条“便捷的撤回同意的方式”相一致。第55条还要求在“利用个人信息进行自动化决策”时“应当事前进行个人信息保护影响评估,并对处理情况进行记录”。并在第61条中赋予了网信部门,国务院相关部门,地方政府相关部门“组织对应用程序等个人信息保护情况进行测评,并公布测评结果”的职责。
另外,《个人信息安全规范》7.4也对用户画像的使用作出了限制,要求进行商业推送时应使用间接用户画像。而刚审批通过将于明年1月1日生效的《深圳经济特区数据条例》第30条进一步限制了对未满14周岁的未成年人通过用户画像推荐个性化产品或服务。对于在公共场所收集的个人信息,批准稿将二审稿的“不得公开或者向他人提供”改为“不得用于其他目的”,进一步限制了对于公共场所收集的个人信息的使用范围。
对于公开信息的处理,第27条明确了其首先必须是合法公开的“自行公开或其他已合法公开”,其次确认了个人可以“明确拒绝”。
个保法第二章第二节(从28-32条)专门针对敏感个人信息的处理制定了规则。
? 个保法28条明确了生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息等一旦泄露或者非法使用,可能导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息为敏感个人信息。这比GDPR规定的敏感个人信息范围更广。
? 个保法30条还要求向个人告知处理敏感个人信息的必要性以及对个人的影响。
六、个人信息跨境
网安法37条规定了“关键信息基础设施的运营者(CIIO)在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。? 数安法定义了数据处理者的概念,并在31条规定了“其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定”。并在第26条赋予了对于中国采取歧视性的禁止、限制措施的国家或地区采取对等措施的权力。? 个保法第三章专门定义了个人信息跨境的规则。
? 第38条规定了个人信息的跨境提供必须符合的条件,其中按照国家网信部门制定的标准合同与境外接收方订立合同有助于统一规范合同内容和双方的责权,这也与GDPR要求的SCC相类似。
? 批准稿将二审稿“签订标准合同”条款中的“监督其个人信息处理活动达到本法规定的个人信息保护标准”移到了外面并改成了“应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”,这进一步明确了境内的个人信息处理者的职责以及要达到的目的。? 个保法39条要求向个人信息主体提供境外接收方的一系列信息,确保了第44条规定的个人信息主体的知情权,批准稿进一步要求提供“名称或姓名”而不仅仅是“身份”。
? 个保法第40条要求“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的, 应当通过国家网信部门组织的安全评估”。这与网安法37条及数安法31条相呼应。网信部门规定数量目前还不明确,《数据出境安全评估指南-征求意见稿》第一版中提出了50万条个人信息的规定数量,而第二版中将其改成了“主管部门规定的大量个人信息”,留下了给主管部门根据行业实际情况作出进一步规定的余地。不过参考因为滴滴事件新出台的《网络安全审查办法-修订草案征求意见稿》第6条“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”,这个“网信部门规定数量”很可能是100万。
? 个保法52条还规定了“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人”,类似GDPR中的DPO角色。另外从行业的角度,金融、汽车及医疗健康等强监管行业也都出台了本地化和跨境相应的规范和要求。
? 一是五部委联合发布的将于2021年10月1日生效的《汽车数据安全管理若干规定(试行)》,定义了汽车相关的个人信息和敏感个人信息:
个人信息:是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息。
敏感个人信息:是指一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。
将“包含人脸信息、车牌信息等的车外视频、图像数据”以及“涉及个人信息主体超过10万人的个人信息”定义为重要数据。
第11条规定了:“重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。未列入重要数据的涉及个人信息数据的出境安全管理,适用法律、行政法规的有关规定”。第13条还要求:“汽车数据处理者开展重要数据处理活动,应当在每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送以下年度汽车数据安全管理情况”。? 二是央行在2019年10月发布了《个人金融信息(数据)保护试行办法》,2020年2月13日发布了《个人金融信息保护技术规范》。定义了个人金融信息是:金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。试行办法第20条和规范7.1.3.d都规定了“在中华人民共和国境内提供金融产品或服务过程中收集和产生的个人金融信息,应在境内存储、处理和分析”,这是比境内存储更严格的要求。
? 三是卫健委2018年7月12日印发的《国家健康医疗大数据标准、安全和服务管理办法(试行)》,其中第30条规定“健康医疗大数据应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核”,在2021年7月1日开始生效的《健康医疗数据安全指南》中定义了“健康医疗数据包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关数据”“个人健康医疗数据涉及个人过去、现在或将来的身体或精神健康状况、接受的医疗保健服务和支付的医疗保健服务费用等”。
? 个保法41条规定了企业必须通过中国主管机构批准才可向境外司法执法机构提供个人信息,与数安法的36条相呼应。? 二审稿将条文变成禁止性规定,从“应当依法申请批准”变成了“非经批准不得提供”,增强了监管力度。而且适用范围也从“国际司法协助或行政执法协助”变成所有“境外司法或执法机构要求”。
? 批准稿进一步修改为“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求”,明确了“根据法律”、“缔结或参加的国际条约、协定”、“平等互惠原则”三个处理外国司法或执法机构的先决条件,并移除了一审稿的“从其规定”和二审稿的“可以按照其规定执行”,更大程度保证了国家主管机构应对外国司法执法机构“长臂管辖”时的灵活性。同时将“境外”改成了“外国”,把通常定义为境外但中华人民共和国对其拥有主权的港澳台地区排除在外。? 个保法42条规定了黑名单机制,43条呼应了数安法26条针对歧视性国家地区采取对等措施的权力。? 网安法,数安法和个保法分别对CIIO,其他重要数据处理者,超过规定数量的个人信息处理者分别提出了本地化和跨境安全评估的要求,形成了全面的覆盖。可以预见相应的条例和细则将相继出台,为数字化经济需要的数据确权,数据估值及数据贸易提供法律基石,各企业尤其是外资企业必须对这个即将成为监管重点的领域充分认识准备。在实践中,已经有非常多的外资企业参照《数据出境安全评估指南-征求意见稿》进行安全评估并向行业监管申请数据出境。
七、个人信息主体的权利个保法第四大章规定了个人信息主体有以下权利:? 第44条规定了知情权和决定权,明确了个人信息主体“有权限制或者拒绝他人对其个人信息进行处理”,与GDPR的知情权,限制处理权和拒绝权类似。
? 个保法第45条赋予了个人信息主体查阅、复制权。
批准稿将例外情况覆盖到第35条的情形使其更加严密,并增加了“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”,将原有的“复制权”进一步上升为了与GDPR相似的“携带权”。至此,中国个保法将要赋予个人信息主体的权利已经和GDPR几乎完全一致。
? 个保法第46条赋予了个人信息主体修改更正权,与GDPR的纠正权相似。
? 个保法第47条赋予了个人信息主体删除权,与GDPR的删除权(遗忘权)类似。批准稿增加了“无法实现”使得条款更加完整。同时也考虑到了个人信息在处理过程中可能被多次复制、转换、聚合,技术上可能难以实现完整彻底的删除,所以还是允许在此等情况下可以但仅可以进行存储并落实必要的安全保护措施。
? 个保法第48条赋予了个人信息主体“要求个人信息处理者对其个人信息处理规则“进行解释说明”的权利,与GDPR的访问权中的一些内容类似。? 个保法第49条赋予了个人信息主体近亲属“继承权”。
国际上有关数字遗产继承的法律屈指可数,只有少部分国家有相关立法,大部分国家尚属空白。GDPR目前没有对应条款,美国特拉华州是美国第一个对网络数字遗产进行全面立法的州,其《数字访问与数字账号委托访问法》规定继承人和遗嘱执行人有权接收立遗嘱人的数字资产或设备,俄罗斯国家遗产继承法规定,网络数字遗产可以被视为可继承遗产分类中的“其他财产部分”。而中国《民法典》,第一百二十七条规定,“法律对数据、网络虚拟财产的保护,依照其规定。”这标志着《民法总则》承认了网络虚拟财产的合法性。
? 个保法50条赋予了个人信息主体行使其权利的权力。
? 批准稿进一步赋予了个人信息主体“起诉权”来主张自己的权利。第62条也要求网信部门“完善个人信息保护投诉、举报工作机制。”进一步完善保护个人信息主体权利的体系。第70条规定了“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼”。
? 为了明确个人信息保护公益诉讼办案的重点,最高检8月22日下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》,其中明确了“各级检察机关在履行公益诉讼检察职责时应该突出重点,从严把握以下方面:生物识别、宗教信仰、特殊身份、医疗健康、金融账号、行踪轨迹等敏感个人信息应当严格保护;儿童、妇女、残疾人、老年人、军人等特殊群体的个人信息需要特别保护;教育、医疗、就业、养老、消费等重点领域处理的个人信息,以及处理100万人以上的大规模个人信息应当重点保护;对因时间、空间等联接形成的特定对象的个人信息加强精准保护。
? 通知体现了对于敏感个人信息,特殊群体、重点领域、特定对象的关注,同时100万人这个数量也和《网络安全审查办法-修订草案征求意见稿》第6条相呼应。
八、个人信息处理者义务? 个保法第51条规定了个人信息处理者的基本义务,批准稿将“泄露、窃取、篡改、删除”修改成更全面准确的“泄露、篡改、丢失”。同时对第57条也做了相应的修改。? 批准稿将二审稿的55条拆分成了55和56条,分别对什么时候要进行评估及评估的内容进行了定义。尤其是将原来模糊的“风险评估”改成了“个人信息保护影响评估”,应该是指引企业遵照已经生效的国标《个人信息安全影响评估指南》来进行评估。
? 个保法第57条规定了个人信息处理者在发生个人信息事件时的通知义务,批准稿将事件从“泄露”补充完整到了“泄露、篡改、丢失”,与第51条的修改相对应。
GDPR规定了数据控制者需在事件发生72小时内通知,但个保法没有规定相应的时限。
? 二审稿57条新增了对“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”的要求。
? 批准稿将“基础性互联网平台服务”改成了“重要互联网平台服务”。
? “成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督”,这是要求能公平公正履职的人员参加,增加对个人信息活动监督的透明度,要求应该类似于审计公司对于执业人员独立性的要求。
? 批准稿增加了“遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务”,进一步强调了对本法的遵从。
? “定期发布个人信息保护社会责任报告”,虽然报告的内容可以参考其他社会责任报告或者不少企业已经发布的《隐私保护白皮书》等,但具体内容和要求还需进一步立法解释。
九、受托方义务
不同于GDPR明确定义了数据控制者和数据处理者,个保法只定义了个人信息处理者,但通过第22条及59条对受托方提出了要求:? 22条规定了受托方应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托方应当将个人信息返还个人信息处理者或者予以删除,不得保留。未经个人信息处理者同意,受托方不得转委托他人处理个人信息。
? 59条要求接受委托处理个人信息的受托方协助履行本章规定的相关义务, 采取必要措施保障所处理的个人信息的安全,批准稿强调了对本法及其他法律法规的遵从,并将二审稿的“应当履行本章规定的相关义务”修改成了“协助个人信息处理者履行本法规定的义务”,“应当”改成“协助”,一方面降低受托方的责任,另一方面强调了连带责任,“本章”改成“本法”扩大了受托者的义务范围。总体来说比GDPR对于数据处理者的要求更加严格。
十、履行个人信息保护职责的部门
? 个保法第6章规定了履行个人信息保护职责的部门的职责,首先定义了网信部门负责“统筹协调”及“监督管理”;国务院相关部门及县级以上政府有关部门负责“保护”及“监督管理”。
? 对网信部门的授权与网安法第8条及数安法第6条相一致,“监督管理”赋予了网信部门一定的“执法权”。
? 个保法61条规定了履行个人信息保护职责的部门的具体职责,批准稿增加了“组织对应用程序等个人信息保护情况进行测评,并公布测评结果”,彰显了国家对于治理应用程序(APP)过度收集、滥用个人信息乱象的决心。
? 个保法第62条定义了网信部门的部分职责,制定规则标准赋予了“立法权”,对人脸识别、人工智能专门的规则、标准表明了国家对于新技术的关注,并确保有相配套的规则、标准。批准稿还增加了对“小型个人信息处理者”的专门规则和标准的要求,这说明国家充分考虑到了小企业合规的成本。“完善个人信息保护投诉、举报工作机制”与第50条结合保证了个人信息主体主张其权利的权力。? 个保法第63条赋予了网信办、国务院相关部门、地方政府相关部门在执法中调取信息的权力,与网安法第49条和数安法第35条赋予的权力相呼应。并进一步明确了具体的措施:
(一) 询问有关当事人,调查与个人信息处理活动有关的情况;(二) 查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;(三) 实施现场检查,对涉嫌违法的个人信息处理活动进行调查;(四) 检查与个人信息处理活动有关的设备、物品; 对有证据证明是用于违法个人信息处理活动的设备、物品,向本部门主要负责人书面报告并经批准,可以查封或者扣押。
十一、法律责任
? 个保法的最高罚款限额是5000万人民币或者5%的年营业额,数额大大高于网安法的100万(新颁布的《关键信息基础设施保护条例》罚款上限也只有100万),也高于数安法的1000万。这充分显示了国家对于保护个人信息的重视程度。
? 与网安法和数安法一样,个保法也规定了对于“直接负责的主管人员”和“其他直接责任人员”的罚则,金额最高100万。
? 批准稿与网安法第63条呼应,增加了“并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”。
? 个保法71条明确了一旦构成犯罪将追究刑事责任,与刑法第九修正案第253条的严厉罚则对应:“向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金; 情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。综上所述,各企业应该遵照个保法,结合网安法,数安法以及各相关法律法规,国家标准及行业规范充分规划,积极应对。我们在此建议各企业采取以下十二大应对措施:
1. 建立个人信息分类分级管理制度2. 建立个人信息保护组织,在符合要求的情况下指定个人信息保护负责人3. 建立个人信息全生命周期管理体系4. 建立个人信息主体授权管理平台并与企业访问权限管理系统对接5. 建立个人信息安全影响评估体系6. 建立个人信息安全事件应急响应制度及配合监管部门调查取证的流程7. 建立个人信息受托方管理制度8. 建立个人信息主体行使权利的申请受理和处理机制9. 建立个人信息保护合规审计制度10. 建立个人信息安全教育和培训制度11. 建立个人信息跨境传输安全评估体系12. 建立隐私设计体系,针对应用程序(APP)对用户画像、大数据分析、人工智能等高新技术使用的审核机制,充分利用加密、去标识化等隐私计算技术。
