˙
新闻与出版物
火速围观《个人信息保护法(草案)》十大要点
2020年10月20日 发布人:华诚小编

火速围观《个人信息保护法(草案)》十大要点

张丹律师  华诚律师事务所合伙人


千呼万唤的《个人信息保护法(草案)》于今日公布草案征求意见,随着前不久《数据安全法(草案)》的公布,两部数据领域的基本法律已具雏形,这两部法律将为数据合规领域构建重要的法律框架,开启数据合规领域法律法规日趋完善的进程。

草案一共八章七十条,通观全篇,个人信息保护领域的重点基本已经囊括,对之前各部门出台的文件、标准以及实践经验等都有很好的借鉴和总结,甚至在某些条文上更加落地。比如第十五条,在个人信息处理者处理不满十四周岁未成年人个人信息应取得其监护人同意的情形下,增加了“知道或者应当知道”。又比如第二十七条,增加了“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需”的规定。


草案以“告知-同意”作为核心脉络,围绕不同场景下的告知-同意要求做出了详细的规定,明确了企业应当遵守的个人信息处理原则以及敏感个人信息的处理规则;同时,还增加了国家机关处理个人信息的特别规定。草案的体例清晰,对于个人信息跨境提供规则、个人在个人信息处理活动中的权利、个人信息处理者的义务以及法律责任都进行了专章规定。


本文将从以下十个方面探讨草案的重点内容。


一. 法律适用

根据草案第三条,不仅仅在中国境内的组织和个人适用本法,在满足一定条件下,境外的组织和个人也适用于本法,这与GDPR的法律适用类似,体现了域外法则以及对等性。同时,草案第五十二条要求境外的个人信息处理者,应当在境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。该条可视为第三条的具体落地。


二. 个人信息的概念

草案第四条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。


对于“个人信息”的概念需要注意四点,一是个人信息是以电子或其他方式记录的各种信息,顾名思义,非电子方式的记录也包含在内,这与《数据安全法(草案)》中关于“数据”的概念呼应;二是与已识别的或者可识别的自然人有关的,可以理解为即使某一类信息不能识别到某个人,但是和其他信息结合可以识别到自然人也属于个人信息;三是个人信息不包括匿名化处理后的信息,但是包括去标识化处理后的个人信息,去标识化的个人信息不能实现完全无法识别。四是这里的“处理”是一个大概念,包括了个人信息的全生命周期的活动,而不单单指某一项处理行为。


三. 个人信息处理原则

总则一章的条文中基本囊括了个人信息处理原则,包括合法正当原则、诚信原则、目的明确原则、最小必要原则、公开透明原则、权责一致原则、确保安全原则以及告知同意原则等。这些原则与《个人信息安全规范》中的原则基本对应,体现了个人信息处理者所应当遵循的指导性标准。


四. 个人信息处理的前置条件

草案第十三条规定了个人信息处理的前置条件,“取得个人的同意”成为处理者有权处理个人信息的情形之一,与其他情形成为并列关系。这与其他文件的体例有所不同,在其他文件中,取得个人授权同意是常规,无需征得个人授权同意的情形是例外,如《个人信息安全规范》中的5.6条“征得授权同意的例外”。同时,《个人信息安全规范》列举多条不必征得个人同意的例外情形,在本条中并未体现,如“与国家安全、国防安全直接相关的;与刑事侦查、起诉、审判和判决执行等直接相关的;所涉及的个人信息是个人信息主体自行向社会公众公开的;维护所提供产品或服务的安全稳定运行所必需的”等。我们认为草案十三条明确的处理情形外的其他个人信息处理情形可依据本条“为履行法定职责或者法定义务所必需”或者依据本条“法律、行政法规规定的其他情形”从其他法律法规中寻找依据。相较《个人信息安全规范》,本条明显限制了例外情形的范围,我们建议企业应慎用《个人信息安全规范》中授权同意的例外情形。


五. 告知-同意原则

通观草案全文,知情同意原则在个人信息处理规则上体现得淋漓尽致,“告知”多达十九处,“同意”多达二十五处,很明显,告知-同意是个人信息处理所需遵循的核心规则。


比如第十四条规定“处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示”。该条款强调了“充分”二字,何为“充分”,我们认为,处理者应严格依据相关法律法规政策性文件的规定,且考虑个人信息的处理原则,尽可能达到“充分”的标准,如果处理者通过误导、欺诈、诱骗、故意隐瞒等方式告知显然不能视为“充分”,且处理者获得“同意”也不能视为“自愿、明确作出意思表示”。


第十八条明确了处理者应向个人告知的事项,与《个人信息安全规范》等文件相比,告知内容没有包括个人信息安全保护策略、投诉举报渠道和安全负责人的姓名和联系方式(本法第五十一条要求处理者予以公布)等事项,但是我们认为,企业应当就多不就少,履行全面的告知义务。另外,在委托处理、对外提供、公开披露、跨境传输等场景下,处理者也应当履行全面告知义务。


草案还规定了告知的例外情形,即“法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条规定的事项”。但是处理者应注意,有些情形是延迟告知而不是豁免告知,比如“紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后予以告知”。


对于“同意”,草案没有区分“授权同意”和“明示同意”,也未区分不同的适用场景,而是规定了“单独同意”的五种具体场景,包括“第二十四条个人信息处理者向第三方提供其处理的个人信息的应取得个人的单独同意;第二十六条个人信息处理者不得公开其处理的个人信息;取得个人单独同意或者法律、行政法规另有规定的除外;第二十七条在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外;第三十条基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定;以及第三十九条个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式等事项,并取得个人的单独同意”。


草案未使用《个人信息安全规范》中的“授权同意”和“明示同意”的概念,而是创设了“单独同意”,何为“单独同意”?我们认为,应是处理者就某一单独处理行为向个人充分告知后获得个人对该处理行为的同意,不是概括同意也不是默认同意,当然,处理者不能仅在隐私政策或个人信息处理规则中对处理行为进行告知,而是应在场景触发下通过单独展示的方式告知并获得个人的明示同意。


另外在第二十四条中,“个人信息处理者向第三方提供匿名化信息的,第三方不得利用技术等手段重新识别个人身份”。我们认为该条内容与“匿名化”的概念有所冲突,既然“匿名化”的概念是指个人信息经过处理无法识别特定自然人且不能复原的过程,又何来重新识别之说?我们理解,由于匿名化与去标识化所采取的技术手段类似,且匿名化并没有确定统一的标准,某些场景下所认定的匿名化结果在足够多的辅助信息以及特定技术手段下可能会实现重新识别,或者此时认定的匿名化在技术手段不断发展的未来可能重新识别。但是我们仍认为第二十四条的表述与匿名化的概念有所冲突,应予以调整。


六. 敏感个人信息的处理

草案专节规定了敏感个人信息的处理规则,特别强调目的明确和必要性原则,意即,只有在充分必要的情形下,才能处理敏感个人信息。这也与实践中民众争议的热点充分呼应,越来越多的场景涉及处理敏感个人信息,如自动售卖机收集人脸信息,小区物业收集人脸信息,这些场景是否有充分的必必要性处理敏感个人信息,恐怕要打问号,大部分场景完全有可行的其他替代性方式。另外,与一般个人信息处理告知内容不同的是,处理者处理敏感个人信息的,还需要向个人告知处理敏感个人信息的必要性以及对个人的影响。


七. 国家机关处理个人信息

草案专节规定了国家机构处理个人信息的规则,国家机关也需遵守目的限制、告知同意以及本地存储等规定,告知同意同样是国家机关处理个人信息的基本规则。



八. 个人信息的跨境传输

根据《个人信息出境安全评估办法(征求意见稿)》,处理者向境外提供个人信息前应向省级网信部门申报个人信息出境安全评估,评估内容包括合同条款是否能够充分保障个人信息主体合法权益以及合同能否得到有效执行。意即,处理者须起码具备草案第三十八条第一款和第三款方可向境外提供个人信息。而草案第三十八条规定处理者应“至少具备下列一项条件”,到底是需要全部满足还是满足部分,我们认为不同类型的处理者需满足的条件应不同,不排除部分处理者需要满足全部条件的情形。条件中还增加了“按照国家网信部门的规定经专业机构进行个人信息保护认证”的要求,对此我们拭目以待。


另外,根据草案第四十条,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。这与以往文件有所不同。《网络安全法》第三十七条要求关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储;《互联网个人信息保护指南》6.2条要求个人信息持有者在境内运营中收集和产生的个人信息应在境内存储;《数据安全管理办法(征求意见稿)》第二十九条规定,境内用户访问境内互联网的,其流量不得被路由到境外。本草案进一步明确了需要境内存储的主体类型,但是主体范围仍需等待具体的实施办法。


九. 个人在个人信息处理活动中的权利

草案第四章明确了个人在个人信息处理活动中的权利,包括知情权、决定权、查阅权、复制权、更正权、删除权及获得解释权等。这里有两个问题可探讨,一是个人可查阅复制的个人信息范围是怎样的。从《个人信息安全规范》,个人可以复制的个人信息类型包括基本资料、身份信息、健康生理信息和教育工作信息。那么是否还将包含其他个人信息,《个人信息安全规范》建议的范围是否合理,恐怕还需要进一步的明确。二是个人的删除权没有体现基于个人注销账户的“删除”,个人注销账户是否可以理解为包含在“约定的保存期限已届满或者处理目的已实现”或“个人撤回同意”中不得而知。但是账户的注销所引起的“删除”是常见且重要的处理场景之一。


十. 个人信息处理者的义务和法律责任

第五章明确了处理者的具体义务,该等义务在《个人信息安全规范》《数据安全管理办法(征求意见稿)》等文件中均有所体现。我们认为,企业应重视个人信息保护企业内部制度的建立,将法律规定的企业义务和合规要求经内化体现在公司制度中并予以落地执行。制度是企业实施合规的展示,是企业落地执行的依据,同时也是内部奖惩的证明。


除此之外,草案第七章所规定的的行政责任成为本次立法的一大亮点,草案充分借鉴了国外相关立法内容,在行政处罚上设置了较高的上限,为未来该领域可能的行政处罚力度留下了充分的空间。同时,第六十五条规定了处理者的侵权赔偿责任,目前已经发生的一些个人信息维权案例,个人信息侵权人多承担的是赔礼道歉,删除信息等责任,如此责任强度难以让企业真正重视个人信息处理的合法合规,同时也难以形成良好的群众监督的氛围,处理者赔偿责任以及公益诉讼的设置有利于个人信息保护法的贯彻和实施。


结尾,从草案全文七十条来看,我们认为,在个人信息保护领域所关注的重点和热点在草案中基本都有体现,该法的发布必然会对数字经济的发展以及网络空间良好生态的建立有着深远的意义,同时也对个人信息处理者提出了更加严格的要求。我们期待该法的发布以及相关规定、标准的完善可以搭建更健康的个人信息保护治理体系。




本网站之内容旨在提供有关华诚的一般信息。本网站之内容不得被视为与访问者建立律师-客户关系,也不视为是为任何具体事宜提供法律意见。网站访问者应向律师咨询以获得专业法律意见。 对于任何争议的特定事实和情况,在没有获得恰当的法律或其他专业意见之前,本所客户和其他网站访问者不能将华诚网站上的任何信息作为采取行动与否的依据。

© Copyright 2000-2015 All Rights Reserved | 沪ICP备15028801号 隐私保护 | 用户反馈

沪公网安备 31010402001317号

Lin