十三屆全國人大常委會第三十次會議于8月20日上午在第一項表決中批準了《中華人民共和國個人信息保護》(第91號主席令),在2021年11月1日起實施。個保法將與《數(shù)據(jù)安全法》(以下簡稱“數(shù)安法”)和《網(wǎng)絡安全法》(以下簡稱“網(wǎng)安法”)一起分別從各自的角度相輔相成構建中國的整體信息安全法律框架,再輔以剛剛頒布的《關鍵信息基礎設施保護條例》,和即將頒布的《網(wǎng)絡安全等級保護條例》,網(wǎng)信辦和國務院各部委根據(jù)數(shù)安法制定的數(shù)據(jù)安全分級保護制度及重要數(shù)據(jù)目錄 ,以及各種行業(yè)法規(guī)和國家標準,這些法規(guī)將形成一個全面的信息安全法律體系以全面規(guī)范各行業(yè)各領域的信息安全合規(guī)要求。整體框架:與網(wǎng)絡安全法及數(shù)據(jù)安全法的關系:• 網(wǎng)安法是從整體上規(guī)范了對網(wǎng)絡安全的要求,涵蓋“網(wǎng)絡運營安全”、“網(wǎng)絡信息安全”和“網(wǎng)絡安全應急響應”,提出了對個人信息和重要數(shù)據(jù)的保護和網(wǎng)絡安全等級保護制度;
• 數(shù)安法是聚焦于“數(shù)據(jù)安全”(任何形式的數(shù)據(jù)),提出了對數(shù)據(jù)的分類分級保護以及重要數(shù)據(jù)目錄的概念;
• 個保法是聚焦于個人信息,對“個人信息處理規(guī)則”、“個人信息主體權利”、“個人信息處理者義務”、“跨境傳輸”等和其他國際隱私保護法律法規(guī)都重點關注的主題提出了具體要求。以下就關鍵部分深入解讀:
一、定義
個保法第4條定義了“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息”,一是將個人信息的范圍擴大到非電子方式記錄,與數(shù)安法的第3條相對應。二是明確匿名化處理后的信息不屬于個人信息,以鼓勵企業(yè)采用匿名化的措施,并且在第73條也明確給出了匿名化及去標識化的定義:
去標識化:是指個人信息經(jīng)過處理,使其在不借助額外信息的情況下無法識別特定自然人的過程。匿名化:是指個人信息經(jīng)過處理無法識別特定自然人且不能復原的過程。
二、域外適用(“長臂管轄”)
網(wǎng)安法第2條規(guī)定了“在中華人民共和國境內(nèi)建設、運營、維護和使用網(wǎng)絡,以及網(wǎng)絡安全的監(jiān)督管理,適用本法”。數(shù)安法第2條賦予了必要的域外適用效力:“在中華人民共和國境外開展數(shù)據(jù)處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任”。個保法第3條則更加明確地規(guī)定了以下情形適用個保法,在境外處理境內(nèi)自然人個人信息的活動:
1. 以向境內(nèi)自然人提供產(chǎn)品或者服務為目的;
2. 分析、評估境內(nèi)自然人的行為。
而且個保法第53條還進一步規(guī)定了這類境外個人信息處理者應當在國境內(nèi)設立專門機構或者指定代表。
三、合法性基礎
關于收集處理個人信息的合法性基礎,個保法第13條規(guī)定:
(一)取得個人的同意;(二)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需;(三)為履行法定職責或者法定義務所必需;(四)為應對突發(fā)公共衛(wèi)生事件,或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需;(五)為公共利益實施新聞報道、輿論監(jiān)督等行為,在合理的范圍內(nèi)處理個人信息;(六)依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息;(七)法律、行政法規(guī)規(guī)定的其他情形。從二審稿開始增加了在合理范圍內(nèi)處理已公開的個人信息為合法性基礎,與《民法典》1036條將其作為免責事由的精神一致,批準稿增加了“個人自行公開或者其他已經(jīng)合法公開”進一步明確了“已公開”必須是合法的,但如何界定“合理范圍”依然需要結合具體場景具體分析。
批準稿還增加了“按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需”為合法性基礎,減輕了企業(yè)人力資源工作收集處理個人信息為了合法性基礎所需的工作量。
相對于GDPR,企業(yè)合法權益依然不是中國收集處理個人信息的合法性基礎,而企業(yè)合法權益是大多數(shù)企業(yè)在GDPR合規(guī)方面最常使用的合法性基礎之一。這就要求跨國企業(yè)尤其是已經(jīng)遵照GDPR建立了個人信息合規(guī)體系的跨國企業(yè)在中國境內(nèi)收集處理個人信息的時候必須更多的從個人信息主體同意、履行合同所必須、履行法定職責或義務以及法律、行政法規(guī)規(guī)定的其他情形中去尋找合適的合法性基礎。
四、個人信息主體同意
與網(wǎng)安法41條及《個人信息安全規(guī)范》5.4條對應,個保法同樣強調(diào)了“明示+同意”的合法性基礎。同時還規(guī)定了下列5種情形需要獲得個人信息主體的單獨同意:
1. 向第三方提供個人信息(第23條)2. 公開其處理的個人信息(第25條)3. 將公共場所收集的個人信息用于維護公共安全以外的目的(第26條)4. 收集處理敏感個人信息(第29條)5. 向境外提供個人信息(第39條)
個保法第15條還賦予了個人信息主體撤回同意的權力,同時要求處理者“提供便捷的撤回同意的方式”,防止實踐中企業(yè)將撤回方式隱藏過深,導致過于復雜以“誘使”用戶放棄撤回同意。
為了與《個人信息安全規(guī)范》8.4條對應,從二審稿開始也特別明確了“個人撤回同意,不影響撤回前基于個人同意已進行的個人信息處理活動的效力”。
個保法第31條規(guī)定了處理不滿14周歲未成年人個人信息應取得父母或監(jiān)護人同意,并制定專門的個人信息處理規(guī)則。
五、個人信息處理規(guī)則
個保法批準稿進一步完善個人信息處理規(guī)則,特別是對應用程序(APP)過度收集個人信息、大數(shù)據(jù)殺熟以及非法買賣、泄露個人信息等作出有針對性規(guī)范。
個保法第5條對比二審稿進一步強調(diào)了必要原則,是第6條的最小范圍的基礎。
個保法第6條對比二審稿就增加了“收集個人信息,應當限于實現(xiàn)處理目的的最小范圍,不得過度收集個人信息”,進一步明確了最小化原則從個人信息生命周期的第一步“收集”開始就必須遵循。個保法第10條對比二審稿進一步明確了在整個個人信息生命周期中(收集、使用、加工、傳輸)都必須合法,并強調(diào)不得“非法買賣、提供或公開”。
個保法第20條規(guī)定,“兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的,應當約定各自的權利和義務。但是,該約定不影響個人向其中任何一個個人信息處理者要求行使本法規(guī)定的權利”,這與GDPR共同控制者的概念相似。
個保法第73條對自動化決策進行了定義:“是指通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經(jīng)濟、健康、信用狀況等,并進行決策的活動”。
在第24條中作出了具體要求對大數(shù)據(jù)和算法劃出了紅線,尤其增加了“不得對個人在交易價格等交易條件上實行不合理的差別待遇”來杜絕“大數(shù)據(jù)殺熟”的現(xiàn)象,以及要求提供“便捷的拒絕方式”,與15條“便捷的撤回同意的方式”相一致。第55條還要求在“利用個人信息進行自動化決策”時“應當事前進行個人信息保護影響評估,并對處理情況進行記錄”。并在第61條中賦予了網(wǎng)信部門,國務院相關部門,地方政府相關部門“組織對應用程序等個人信息保護情況進行測評,并公布測評結果”的職責。
另外,《個人信息安全規(guī)范》7.4也對用戶畫像的使用作出了限制,要求進行商業(yè)推送時應使用間接用戶畫像。而剛審批通過將于明年1月1日生效的《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》第30條進一步限制了對未滿14周歲的未成年人通過用戶畫像推薦個性化產(chǎn)品或服務。對于在公共場所收集的個人信息,批準稿將二審稿的“不得公開或者向他人提供”改為“不得用于其他目的”,進一步限制了對于公共場所收集的個人信息的使用范圍。
對于公開信息的處理,第27條明確了其首先必須是合法公開的“自行公開或其他已合法公開”,其次確認了個人可以“明確拒絕”。
個保法第二章第二節(jié)(從28-32條)專門針對敏感個人信息的處理制定了規(guī)則。
• 個保法28條明確了生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息等一旦泄露或者非法使用,可能導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息為敏感個人信息。這比GDPR規(guī)定的敏感個人信息范圍更廣。
• 個保法30條還要求向個人告知處理敏感個人信息的必要性以及對個人的影響。
六、個人信息跨境
網(wǎng)安法37條規(guī)定了“關鍵信息基礎設施的運營者(CIIO)在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲。因業(yè)務需要,確需向境外提供的,應當按照國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估”。• 數(shù)安法定義了數(shù)據(jù)處理者的概念,并在31條規(guī)定了“其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,由國家網(wǎng)信部門會同國務院有關部門制定”。并在第26條賦予了對于中國采取歧視性的禁止、限制措施的國家或地區(qū)采取對等措施的權力。• 個保法第三章專門定義了個人信息跨境的規(guī)則。
• 第38條規(guī)定了個人信息的跨境提供必須符合的條件,其中按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同有助于統(tǒng)一規(guī)范合同內(nèi)容和雙方的責權,這也與GDPR要求的SCC相類似。
• 批準稿將二審稿“簽訂標準合同”條款中的“監(jiān)督其個人信息處理活動達到本法規(guī)定的個人信息保護標準”移到了外面并改成了“應當采取必要措施,保障境外接收方處理個人信息的活動達到本法規(guī)定的個人信息保護標準”,這進一步明確了境內(nèi)的個人信息處理者的職責以及要達到的目的。• 個保法39條要求向個人信息主體提供境外接收方的一系列信息,確保了第44條規(guī)定的個人信息主體的知情權,批準稿進一步要求提供“名稱或姓名”而不僅僅是“身份”。
• 個保法第40條要求“關鍵信息基礎設施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者,應當將在中華人民共和國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)。確需向境外提供的, 應當通過國家網(wǎng)信部門組織的安全評估”。這與網(wǎng)安法37條及數(shù)安法31條相呼應。網(wǎng)信部門規(guī)定數(shù)量目前還不明確,《數(shù)據(jù)出境安全評估指南-征求意見稿》第一版中提出了50萬條個人信息的規(guī)定數(shù)量,而第二版中將其改成了“主管部門規(guī)定的大量個人信息”,留下了給主管部門根據(jù)行業(yè)實際情況作出進一步規(guī)定的余地。不過參考因為滴滴事件新出臺的《網(wǎng)絡安全審查辦法-修訂草案征求意見稿》第6條“掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網(wǎng)絡安全審查辦公室申報網(wǎng)絡安全審查”,這個“網(wǎng)信部門規(guī)定數(shù)量”很可能是100萬。
• 個保法52條還規(guī)定了“處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應當指定個人信息保護負責人”,類似GDPR中的DPO角色。另外從行業(yè)的角度,金融、汽車及醫(yī)療健康等強監(jiān)管行業(yè)也都出臺了本地化和跨境相應的規(guī)范和要求。
• 一是五部委聯(lián)合發(fā)布的將于2021年10月1日生效的《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》,定義了汽車相關的個人信息和敏感個人信息:
個人信息:是指以電子或者其他方式記錄的與已識別或者可識別的車主、駕駛人、乘車人、車外人員等有關的各種信息,不包括匿名化處理后的信息。
敏感個人信息:是指一旦泄露或者非法使用,可能導致車主、駕駛人、乘車人、車外人員等受到歧視或者人身、財產(chǎn)安全受到嚴重危害的個人信息,包括車輛行蹤軌跡、音頻、視頻、圖像和生物識別特征等信息。
將“包含人臉信息、車牌信息等的車外視頻、圖像數(shù)據(jù)”以及“涉及個人信息主體超過10萬人的個人信息”定義為重要數(shù)據(jù)。
第11條規(guī)定了:“重要數(shù)據(jù)應當依法在境內(nèi)存儲,因業(yè)務需要確需向境外提供的,應當通過國家網(wǎng)信部門會同國務院有關部門組織的安全評估。未列入重要數(shù)據(jù)的涉及個人信息數(shù)據(jù)的出境安全管理,適用法律、行政法規(guī)的有關規(guī)定”。第13條還要求:“汽車數(shù)據(jù)處理者開展重要數(shù)據(jù)處理活動,應當在每年十二月十五日前向省、自治區(qū)、直轄市網(wǎng)信部門和有關部門報送以下年度汽車數(shù)據(jù)安全管理情況”。• 二是央行在2019年10月發(fā)布了《個人金融信息(數(shù)據(jù))保護試行辦法》,2020年2月13日發(fā)布了《個人金融信息保護技術規(guī)范》。定義了個人金融信息是:金融業(yè)機構通過提供金融產(chǎn)品和服務或者其他渠道獲取、加工和保存的個人信息,包括賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產(chǎn)信息、借貸信息及其他反映特定個人某些情況的信息。試行辦法第20條和規(guī)范7.1.3.d都規(guī)定了“在中華人民共和國境內(nèi)提供金融產(chǎn)品或服務過程中收集和產(chǎn)生的個人金融信息,應在境內(nèi)存儲、處理和分析”,這是比境內(nèi)存儲更嚴格的要求。
• 三是衛(wèi)健委2018年7月12日印發(fā)的《國家健康醫(yī)療大數(shù)據(jù)標準、安全和服務管理辦法(試行)》,其中第30條規(guī)定“健康醫(yī)療大數(shù)據(jù)應當存儲在境內(nèi)安全可信的服務器上,因業(yè)務需要確需向境外提供的,應當按照相關法律法規(guī)及有關要求進行安全評估審核”,在2021年7月1日開始生效的《健康醫(yī)療數(shù)據(jù)安全指南》中定義了“健康醫(yī)療數(shù)據(jù)包括個人健康醫(yī)療數(shù)據(jù)以及由個人健康醫(yī)療數(shù)據(jù)加工處理之后得到的健康醫(yī)療相關數(shù)據(jù)”“個人健康醫(yī)療數(shù)據(jù)涉及個人過去、現(xiàn)在或?qū)淼纳眢w或精神健康狀況、接受的醫(yī)療保健服務和支付的醫(yī)療保健服務費用等”。
• 個保法41條規(guī)定了企業(yè)必須通過中國主管機構批準才可向境外司法執(zhí)法機構提供個人信息,與數(shù)安法的36條相呼應。• 二審稿將條文變成禁止性規(guī)定,從“應當依法申請批準”變成了“非經(jīng)批準不得提供”,增強了監(jiān)管力度。而且適用范圍也從“國際司法協(xié)助或行政執(zhí)法協(xié)助”變成所有“境外司法或執(zhí)法機構要求”。
• 批準稿進一步修改為“中華人民共和國主管機關根據(jù)有關法律和中華人民共和國締結或者參加的國際條約、協(xié)定,或者按照平等互惠原則,處理外國司法或者執(zhí)法機構關于提供存儲于境內(nèi)個人信息的請求”,明確了“根據(jù)法律”、“締結或參加的國際條約、協(xié)定”、“平等互惠原則”三個處理外國司法或執(zhí)法機構的先決條件,并移除了一審稿的“從其規(guī)定”和二審稿的“可以按照其規(guī)定執(zhí)行”,更大程度保證了國家主管機構應對外國司法執(zhí)法機構“長臂管轄”時的靈活性。同時將“境外”改成了“外國”,把通常定義為境外但中華人民共和國對其擁有主權的港澳臺地區(qū)排除在外。• 個保法42條規(guī)定了黑名單機制,43條呼應了數(shù)安法26條針對歧視性國家地區(qū)采取對等措施的權力。• 網(wǎng)安法,數(shù)安法和個保法分別對CIIO,其他重要數(shù)據(jù)處理者,超過規(guī)定數(shù)量的個人信息處理者分別提出了本地化和跨境安全評估的要求,形成了全面的覆蓋。可以預見相應的條例和細則將相繼出臺,為數(shù)字化經(jīng)濟需要的數(shù)據(jù)確權,數(shù)據(jù)估值及數(shù)據(jù)貿(mào)易提供法律基石,各企業(yè)尤其是外資企業(yè)必須對這個即將成為監(jiān)管重點的領域充分認識準備。在實踐中,已經(jīng)有非常多的外資企業(yè)參照《數(shù)據(jù)出境安全評估指南-征求意見稿》進行安全評估并向行業(yè)監(jiān)管申請數(shù)據(jù)出境。
七、個人信息主體的權利個保法第四大章規(guī)定了個人信息主體有以下權利:• 第44條規(guī)定了知情權和決定權,明確了個人信息主體“有權限制或者拒絕他人對其個人信息進行處理”,與GDPR的知情權,限制處理權和拒絕權類似。
• 個保法第45條賦予了個人信息主體查閱、復制權。
批準稿將例外情況覆蓋到第35條的情形使其更加嚴密,并增加了“個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網(wǎng)信部門規(guī)定條件的,個人信息處理者應當提供轉移的途徑”,將原有的“復制權”進一步上升為了與GDPR相似的“攜帶權”。至此,中國個保法將要賦予個人信息主體的權利已經(jīng)和GDPR幾乎完全一致。
• 個保法第46條賦予了個人信息主體修改更正權,與GDPR的糾正權相似。
• 個保法第47條賦予了個人信息主體刪除權,與GDPR的刪除權(遺忘權)類似。批準稿增加了“無法實現(xiàn)”使得條款更加完整。同時也考慮到了個人信息在處理過程中可能被多次復制、轉換、聚合,技術上可能難以實現(xiàn)完整徹底的刪除,所以還是允許在此等情況下可以但僅可以進行存儲并落實必要的安全保護措施。
• 個保法第48條賦予了個人信息主體“要求個人信息處理者對其個人信息處理規(guī)則“進行解釋說明”的權利,與GDPR的訪問權中的一些內(nèi)容類似。• 個保法第49條賦予了個人信息主體近親屬“繼承權”。
國際上有關數(shù)字遺產(chǎn)繼承的法律屈指可數(shù),只有少部分國家有相關立法,大部分國家尚屬空白。GDPR目前沒有對應條款,美國特拉華州是美國第一個對網(wǎng)絡數(shù)字遺產(chǎn)進行全面立法的州,其《數(shù)字訪問與數(shù)字賬號委托訪問法》規(guī)定繼承人和遺囑執(zhí)行人有權接收立遺囑人的數(shù)字資產(chǎn)或設備,俄羅斯國家遺產(chǎn)繼承法規(guī)定,網(wǎng)絡數(shù)字遺產(chǎn)可以被視為可繼承遺產(chǎn)分類中的“其他財產(chǎn)部分”。而中國《民法典》,第一百二十七條規(guī)定,“法律對數(shù)據(jù)、網(wǎng)絡虛擬財產(chǎn)的保護,依照其規(guī)定。”這標志著《民法總則》承認了網(wǎng)絡虛擬財產(chǎn)的合法性。
• 個保法50條賦予了個人信息主體行使其權利的權力。
• 批準稿進一步賦予了個人信息主體“起訴權”來主張自己的權利。第62條也要求網(wǎng)信部門“完善個人信息保護投訴、舉報工作機制。”進一步完善保護個人信息主體權利的體系。第70條規(guī)定了“個人信息處理者違反本法規(guī)定處理個人信息,侵害眾多個人的權益的,人民檢察院、法律規(guī)定的消費者組織和由國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟”。
• 為了明確個人信息保護公益訴訟辦案的重點,最高檢8月22日下發(fā)《關于貫徹執(zhí)行個人信息保護法推進個人信息保護公益訴訟檢察工作的通知》,其中明確了“各級檢察機關在履行公益訴訟檢察職責時應該突出重點,從嚴把握以下方面:生物識別、宗教信仰、特殊身份、醫(yī)療健康、金融賬號、行蹤軌跡等敏感個人信息應當嚴格保護;兒童、婦女、殘疾人、老年人、軍人等特殊群體的個人信息需要特別保護;教育、醫(yī)療、就業(yè)、養(yǎng)老、消費等重點領域處理的個人信息,以及處理100萬人以上的大規(guī)模個人信息應當重點保護;對因時間、空間等聯(lián)接形成的特定對象的個人信息加強精準保護。
• 通知體現(xiàn)了對于敏感個人信息,特殊群體、重點領域、特定對象的關注,同時100萬人這個數(shù)量也和《網(wǎng)絡安全審查辦法-修訂草案征求意見稿》第6條相呼應。
八、個人信息處理者義務• 個保法第51條規(guī)定了個人信息處理者的基本義務,批準稿將“泄露、竊取、篡改、刪除”修改成更全面準確的“泄露、篡改、丟失”。同時對第57條也做了相應的修改。• 批準稿將二審稿的55條拆分成了55和56條,分別對什么時候要進行評估及評估的內(nèi)容進行了定義。尤其是將原來模糊的“風險評估”改成了“個人信息保護影響評估”,應該是指引企業(yè)遵照已經(jīng)生效的國標《個人信息安全影響評估指南》來進行評估。
• 個保法第57條規(guī)定了個人信息處理者在發(fā)生個人信息事件時的通知義務,批準稿將事件從“泄露”補充完整到了“泄露、篡改、丟失”,與第51條的修改相對應。
GDPR規(guī)定了數(shù)據(jù)控制者需在事件發(fā)生72小時內(nèi)通知,但個保法沒有規(guī)定相應的時限。
• 二審稿57條新增了對“提供基礎性互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者”的要求。
• 批準稿將“基礎性互聯(lián)網(wǎng)平臺服務”改成了“重要互聯(lián)網(wǎng)平臺服務”。
• “成立主要由外部成員組成的獨立機構,對個人信息處理活動進行監(jiān)督”,這是要求能公平公正履職的人員參加,增加對個人信息活動監(jiān)督的透明度,要求應該類似于審計公司對于執(zhí)業(yè)人員獨立性的要求。
• 批準稿增加了“遵循公開、公平、公正的原則,制定平臺規(guī)則,明確平臺內(nèi)產(chǎn)品或者服務提供者處理個人信息的規(guī)范和保護個人信息的義務”,進一步強調(diào)了對本法的遵從。
• “定期發(fā)布個人信息保護社會責任報告”,雖然報告的內(nèi)容可以參考其他社會責任報告或者不少企業(yè)已經(jīng)發(fā)布的《隱私保護白皮書》等,但具體內(nèi)容和要求還需進一步立法解釋。
九、受托方義務
不同于GDPR明確定義了數(shù)據(jù)控制者和數(shù)據(jù)處理者,個保法只定義了個人信息處理者,但通過第22條及59條對受托方提出了要求:• 22條規(guī)定了受托方應當按照約定處理個人信息,不得超出約定的處理目的、處理方式等處理個人信息;委托合同不生效、無效、被撤銷或者終止的,受托方應當將個人信息返還個人信息處理者或者予以刪除,不得保留。未經(jīng)個人信息處理者同意,受托方不得轉委托他人處理個人信息。
• 59條要求接受委托處理個人信息的受托方協(xié)助履行本章規(guī)定的相關義務, 采取必要措施保障所處理的個人信息的安全,批準稿強調(diào)了對本法及其他法律法規(guī)的遵從,并將二審稿的“應當履行本章規(guī)定的相關義務”修改成了“協(xié)助個人信息處理者履行本法規(guī)定的義務”,“應當”改成“協(xié)助”,一方面降低受托方的責任,另一方面強調(diào)了連帶責任,“本章”改成“本法”擴大了受托者的義務范圍。總體來說比GDPR對于數(shù)據(jù)處理者的要求更加嚴格。
十、履行個人信息保護職責的部門
• 個保法第6章規(guī)定了履行個人信息保護職責的部門的職責,首先定義了網(wǎng)信部門負責“統(tǒng)籌協(xié)調(diào)”及“監(jiān)督管理”;國務院相關部門及縣級以上政府有關部門負責“保護”及“監(jiān)督管理”。
• 對網(wǎng)信部門的授權與網(wǎng)安法第8條及數(shù)安法第6條相一致,“監(jiān)督管理”賦予了網(wǎng)信部門一定的“執(zhí)法權”。
• 個保法61條規(guī)定了履行個人信息保護職責的部門的具體職責,批準稿增加了“組織對應用程序等個人信息保護情況進行測評,并公布測評結果”,彰顯了國家對于治理應用程序(APP)過度收集、濫用個人信息亂象的決心。
• 個保法第62條定義了網(wǎng)信部門的部分職責,制定規(guī)則標準賦予了“立法權”,對人臉識別、人工智能專門的規(guī)則、標準表明了國家對于新技術的關注,并確保有相配套的規(guī)則、標準。批準稿還增加了對“小型個人信息處理者”的專門規(guī)則和標準的要求,這說明國家充分考慮到了小企業(yè)合規(guī)的成本。“完善個人信息保護投訴、舉報工作機制”與第50條結合保證了個人信息主體主張其權利的權力。• 個保法第63條賦予了網(wǎng)信辦、國務院相關部門、地方政府相關部門在執(zhí)法中調(diào)取信息的權力,與網(wǎng)安法第49條和數(shù)安法第35條賦予的權力相呼應。并進一步明確了具體的措施:
(一) 詢問有關當事人,調(diào)查與個人信息處理活動有關的情況;(二) 查閱、復制當事人與個人信息處理活動有關的合同、記錄、賬簿以及其他有關資料;(三) 實施現(xiàn)場檢查,對涉嫌違法的個人信息處理活動進行調(diào)查;(四) 檢查與個人信息處理活動有關的設備、物品; 對有證據(jù)證明是用于違法個人信息處理活動的設備、物品,向本部門主要負責人書面報告并經(jīng)批準,可以查封或者扣押。
十一、法律責任
• 個保法的最高罰款限額是5000萬人民幣或者5%的年營業(yè)額,數(shù)額大大高于網(wǎng)安法的100萬(新頒布的《關鍵信息基礎設施保護條例》罰款上限也只有100萬),也高于數(shù)安法的1000萬。這充分顯示了國家對于保護個人信息的重視程度。
• 與網(wǎng)安法和數(shù)安法一樣,個保法也規(guī)定了對于“直接負責的主管人員”和“其他直接責任人員”的罰則,金額最高100萬。
• 批準稿與網(wǎng)安法第63條呼應,增加了“并可以決定禁止其在一定期限內(nèi)擔任相關企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責人”。
• 個保法71條明確了一旦構成犯罪將追究刑事責任,與刑法第九修正案第253條的嚴厲罰則對應:“向他人出售或者提供公民個人信息,情節(jié)嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金; 情節(jié)特別嚴重的,處三年以上七年以下有期徒刑,并處罰金”。綜上所述,各企業(yè)應該遵照個保法,結合網(wǎng)安法,數(shù)安法以及各相關法律法規(guī),國家標準及行業(yè)規(guī)范充分規(guī)劃,積極應對。我們在此建議各企業(yè)采取以下十二大應對措施:
1. 建立個人信息分類分級管理制度2. 建立個人信息保護組織,在符合要求的情況下指定個人信息保護負責人3. 建立個人信息全生命周期管理體系4. 建立個人信息主體授權管理平臺并與企業(yè)訪問權限管理系統(tǒng)對接5. 建立個人信息安全影響評估體系6. 建立個人信息安全事件應急響應制度及配合監(jiān)管部門調(diào)查取證的流程7. 建立個人信息受托方管理制度8. 建立個人信息主體行使權利的申請受理和處理機制9. 建立個人信息保護合規(guī)審計制度10. 建立個人信息安全教育和培訓制度11. 建立個人信息跨境傳輸安全評估體系12. 建立隱私設計體系,針對應用程序(APP)對用戶畫像、大數(shù)據(jù)分析、人工智能等高新技術使用的審核機制,充分利用加密、去標識化等隱私計算技術。
