从个人信息保护法草案二审稿变化看立法趋势及合规要点
本文结合当前的数据发展情况,对个保法草案二审稿的主要变化进行解读,探析立法趋势,帮助企业抓准合规要点,提前做好相关合规准备。
前言
4月29日,全国人大通过其官网发布了《中华人民共和国个人信息保护法(草案二次审议稿)》(草案二审稿)并公开征求意见。草案二审稿在一审稿的基础上进行了多处修订。本文将结合当前的数据发展情况,对个保法草案二审稿的主要变化进行解读,探析立法趋势,帮助企业抓准合规要点,提前做好相关合规准备。
个保法草案二审稿的变化与当前数据保护领域的发展趋势密切相关。从持续已近两年的APP个人信息保护专项整治结果来看,APP违法违规收集使用个人信息的情况非常严重。个人信息侵权的案件和数据泄露事件越来越多。这促使了草案二审稿进一步完善和加强了对个人信息处理规则、数据主体权利行使和数据监管方面的规定。
从各国数据执法趋势来看,掌握大量个人信息的超大平台一直是监管关注的重点。强化大平台的自我规制,形成企业与政府的合作治理也是草案二审稿的一大亮点。
我们总结了草案二审稿的以下合规要点供企业参考,为便于高效阅读,本文将分为上、下两篇展开阐述。
合规要点一:增加数据处理的合法性基础
相关条文对比:
解析:
个保法草案审议期间,业界多次讨论和提议是否将欧盟《通用数据保护条例》(GDPR)项下的“合法利益”加入到数据处理的合法性基础中。草案二审稿中并未列入,只是增加了“依照本法规定在合理的范围内处理已公开的个人信息”作为新的合法依据。
对于已公开的个人信息的处理,草案一审稿第二十八条已有涉及,草案二审稿保留了相关规定(即处理已公开的个人信息应符合个人信息被公开时的用途,超出该用途相关的合理范围的,应当取得个人同意)。《民法典》第一千零三十六条1将合理处理自然人自行公开的或者其他已经合法公开的信息作为有条件的免责事项。但草案一审稿和《民法典》均并未明确将处理已公开的个人信息作为一项处理数据的合法性基础。
草案二审稿明确将合理的范围内处理已公开的个人信息作为处理个人数据的合法性基础。但该条款在实际执行时,仍然面临很大的挑战。一方面,如何界定“合理的范围”尚无明确的规定,需结合具体场景个案分析。另一方面,个人信息的保护与隐私保护不一样,隐私保护更强调私密性,公开隐私无疑会对个人产生不利影响。个人信息的公开并不一定在任何情况下都会对个人产生不利影响,个人信息保护的关键在于个人对信息的决定权,即其是否允许处理者使用。个人即使公开其个人信息,也不代表必然允许处理者使用。该条对于个人而言,意味着其对其个人信息的决定权受到了一定限制;对于企业而言相对友好,但企业在实际基于该合法基础处理数据时,仍应注意上述第二十八条的限制(即超出已公开的个人信息被公开时的用途相关合理范围使用该个人信息,仍应取得个人同意)。
合规要点二:大平台与政府的合作治理
二审稿增加的条文:
解析:
如前言所述,草案二审稿的主要修改之一是引入政府公权力监管和企业自我规制相结合的合作治理模式。新增了超大互联网平台特定的个人信息保护义务要求,着重监管大型互联网平台,要求平台在个人信息保护领域进行自我规制。该条参考了欧盟欧盟《数字市场法》(Digital Markets Act)及《数字服务法》(Digital Service Act)中的“守门人”概念。
根据该条规定,提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者(便于理解,下面简称“超大平台”),应当履行额外的个人信息保护义务。我们认为,构成超大平台应同时满足三要素
构成超大平台应同时满足三要素,即提供基础性互联网平台服务、用户数量巨大、业务类型复杂。但何为用户数量巨大,何为业务类型复杂,仍有待后续立法解释或配套规定的进一步明确。
关于超大平台需要履行的三项额外义务,我们理解如下。
成立外部独立监督机构:关于该外部独立监督机构,我们认为应当由外部人员组成,例如长期从事个人信息保护研究的法学专家、技术人员、管理人员、律师等,区别于企业内部的个人信息保护负责人或数据保护官(DPO)。
对严重违法者,停止提供服务:意味着如果某超大平台上的服务提供者(例如APP运营商)出现严重违反法律、行政法规处理个人信息的情况,该超大平台应当停止向其提供服务,例如强制要求APP下架。这是超大平台的一项义务,而非其可选择行使的权利。这意味着超大平台的运营企业未来可能需要进行平台结构化整治,制定全面的个人信息处理规则、平台入驻商户的个人信息保护规则、平台处罚规则等,并制定相关流程、体系,监管平台的服务/产品提供商的个人信息保护合规情况。
定期发部社会责任报告:对于“个人信息保护社会责任报告”的内容,我们预计可能包括个人信息保护的理念和宗旨、个人信息保护相关制度(例如隐私制度)及其重大更新、是否存在数据泄露及是否及时报告、对个人信息主体权利请求的响应情况、是否采用新型技术保护个人信息、独立监督机构的成员及履职情况等。准确的报告内容还需后续相关立法解释、配套规定加以明确。
合规要点三:以保护个人信息主体权益为核心原则
相关条文对比:
解析:
上述条款均为对个人信息处理原则的完善,进一步强化了对个人信息主体权益的保护。例如第五条的合法正当原则中增加了对“胁迫”禁止性规定,可以约束部分企业采用的“如果你不提供信息,我就不提供服务”的做法。第七条的公开透明原则要求“公开”个人信息处理规则,“明示处理的���的、方式和范围”,与《网络安全法》、《民法典》以及《消费者权益保护法》等现行法律保持一致。对此,企业应谨慎审查其隐私政策,确保符合相关要求。第八条细化了有关数据质量的要求,明确了准确原则的目的为避免对个人权益造成不利影响。
合规要点四:完善个人信息处理规则
相关条文对比:
解析:
草案二审稿进一步完善了个人信息处理规则。例如第十五条明确了收集未成年人个人信息应以获得父母同意为主,获得其他监护人同意为辅。第十六条明确同意可以随时撤回,且撤回方式应当便捷。尽管随时撤回同意并不是一个新的概念,例如GDPR对此就有明确规定。但现实情况是许多企业长久以来有意无意忽略甚至漠视个人撤回同意的权利,例如不提供撤回同意的方式、提供的方式不明显或不便捷(比如个人必须点击多个网页才能找到撤回的方法),甚至即便用户撤回同意企业仍然忽略其请求、继续处理其个人信息。本次修订对撤回同意做出了明确规定,对企业的用户界面设计有具体的指导意义。
第二十五条要求通过自动化决策方式进行商业营销、信息推送,应向个人提供拒绝的方式。相较于原来条文中仅有“应当同时提供不针对其个人特征的选型”而言,更清楚和容易执行。
此外,草案二审稿中也适当修正了一审稿中部分存在潜在矛盾的条款,例如第二十四条删除了“个人信息处理者向第三方提供匿名化信息的,第三方不得利用技术等手段重新识别个人身份”,原因是在草案的含义条款中(一审稿第六十九条、二审稿第七十二条)已经明确了匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。如果匿名化意味着无法识别且不能复原,那么第三方自然也不能重新识别个人身份。
合规要点五:死者个人信息权利的行使规则
二审稿增加的条文:
解析:
草案二审稿增加了死者个人信息权利的行使规则,明确死者的个人信息主体权利由其近亲属行使。该条与《民法典》有关规定2相衔接,完善了侵害个人信息权益的民事法律责任。
专门增加死者个人信息保护的相关规定在各国数据立法中都是较为罕见的。例如,GDPR 明确说明不适用于死者的个人数据保护。我们认为,首先,死者个人信息仍可能包含隐私属性,该等个人信息的公开、滥用仍可能对死者及其亲属带来不利影响。例如前几年发生的河南郑州空姐乘顺风车被害一案引起轰动,在办案过程中一张包含被害者个人信息的案件照片在全网流传,对其个人和家属均造成了伤害。 因此,有必要对死者个人信息进行相应保护。
其次,自然人死亡之后其社交媒体账号以及其中包含的信息应如何处理,也曾在业界引发广泛讨论甚至争议。2012年,一名15岁的德国少女在柏林被地铁列车意外撞死,由于死者行为疑似自杀,其家人希望查阅死者的Facebook账号以寻找线索,但遭到Facebook的拒绝,理由是保护死者及其联系人的隐私。该案经过法院三次审理,德国联邦最高法院于2018年作出终审判决,认为死者的家人有权查阅其生前账号,理由是在线数据与私人日记、信函等信息一样可被继承。目前,国内外的部分社交媒体会在用户去世后将其账号设置为锁定的纪念账号,还有部分平台则允许用户在生前预先设定可信联系人,该联系人将拥有死者账户的部分访问权限。如果草案二审稿第四十九条经审议通过,将为处理这一富有争议的问题提供法律依据。
合规要点六:委托处理场景下的个人信息保护
二审稿增加的条文:
解析:
该条款强调了受托方的个人信息保护义务。与GDPR不同,个保法草案一审稿及二审稿均未对数据控制者和数据处理者作出区分定义,而仅规定自主决定处理目的、方式等个人信息处理事项的组织、个人为个人信息处理者,即类似于GDPR项下的数据控制者,而接受委托处理个人信息的受托方,则类似于GDPR项下的数据处理者。
草案一审稿未明确受托方的个人信息保护义务,仅提出个人信息处理者需要与受托方约定相关事项、监督后者的个人信息处理活动,以及受托方应当按照约定处理信息、不得转委托等,留有较大的缺口。草案二审稿在“个人信息处理者的义务”一章补充了上述第五十八条,规定受托方应履行该章规定的相关义务,采取必要措施保障个人信息安全,旨在弥补前述缺口。
合规要点七:完善数据跨境转移的法律规制
相关条文对比:
解析:
草案二审稿第三十八条要求在数据出境情形下,与境外接收方订立的合同应当为“国家网信部门制定的标准合同”,类似于GDPR项下的标准合同条款(SCC)。该规定有助于统一、规范合同内容,便于企业在实践中执行。
第四十一条扩大了向境外监管机构提供个人信息的适用情形,由原来的限于司法协助或行政执法协助扩大到境外任何司法或执法机构的要求,并将条文调整为禁止性规定,即明确未获得相关批准而将数据提供至境外相关机构属于明显违反法律禁止性规定的情形。
第四十三条将“相应”改为“对等”,体现了国际法的基本原则,明确了我国的相关反制措施的限度。
合规要点八:明确国家网信部门统筹协调的权限
相关条文对比:
解析
草案一审稿规定网信部门与国务院其他部门一起推动个人数据保护,但主管部门不明确、多头管理在实践中往往会对监管和执法带来障碍。二审稿对此进行修改,明确了由国家网信部门统筹协调,有助于厘清监管部门的职责分工。此外,二审稿还细化了网信部门的具体责任,并提出将针对敏感个人信息及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则和标准,并支持研究开发安全、方便的电子身份认证技术。在草案一审稿征求意见之后,全国人大法工委曾公开披露其收集到的主要意见包括要求对个人信息保护面临的新情况、新问题加以研究并作出规范。二审稿将这些反馈意见上升为法律规定,有助于推动面向这类新技术的专门立法。
合规要点九:过错推定原则
相关条文对比:
解析:
大量的个人信息处理活动发生在企业运营的后台,当发生侵权争议时,个人信息主体通常缺乏针对疑似侵权活动进行举证的能力,不利于维护个人信息主体权益。对此,草案二审稿明确了个人信息侵权行为的归责原则为过错推定,即举证责任倒置,该修改将大大减轻个人信息主体的举证责任。
从企业角度而言,应当建立完善的内部合规体系,做好个人信息处理活动的相关记录,例如处理个人数据有相应合法依据的证明、获得个人信息主体的同意的证明、依照法律规定进行风险评估的报告、与受托方、数据接收方签订的合同等,以防止在争议发生时因无法提供证据而须承担赔偿责任。
结语
草案二审稿在总体框架上与一审稿保持一致,最终大概率也不会有改变。我们预计个保法很可能在不久的将来正式出台,建议企业以草案二审稿为基础,关注的其中的修订要点,提前做好合规安排,以备在个保法颁布实施后能及时部署好合规工作。
1《民法典》第一千零三十六条:处理个人信息,有下列情形之一的,行为人不承担民事责任:… (二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外…
2《民法典》第九百九十四条:死者的姓名、肖像、名誉、荣誉、隐私、遗体等受到侵害的,其配偶、子女、父母有权依法请求行为人承担民事责任;死者没有配偶、子女且父母已经死亡的,其他近亲属有权依法请求行为人承担民事责任。
_11zon.jpg?crop=300,495&format=webply&auto=webp)
