2021年8月20日,第十三届全国人民代表大会常务委员会第三十次会议通过《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)。自2020年10月以来,《个人信息保护法》历经三次审议与修订后,将于2021年11月1日正式施行。
最新数据显示:2020年中国网民总体规模已占全球网民的五分之一,2020年中国网民规模为9.89亿人。而互联网网站443万个,手机应用程序数量302万款。2021年以来,国家网信办对地图导航、运动健身、短视频等十多种类型的手机应用程序进行了检测。351款APP因违法收集个人信息被通报,25款因严重违法违规收集使用个人信息被下架。
“为及时回应广大人民群众的呼声和期待,落实党中央部署要求,制定一部个人信息保护方面的专门法律,将广大人民群众的个人信息权益实现好、维护好、发展好,具有重要意义。”全国人大常委会法工委副主任刘俊臣表示,制定个人信息保护法是进一步加强个人信息保护法制保障的客观要求,是维护网络空间良好生态的现实需要,也是促进数字经济健康发展的重要举措。
从现有颁布的法律来看,虽有部分内容与个人信息保护的相关,但在社会实践中,这些法律的适用大多规定的较为原则,并不能满足公民对个人信息保护的各类迫切需求。此外,纵观其他法规及规范性文件,例如《关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《信息安全技术 个人信息安全规范》(GB/T 35273—2020)等规定,虽然在司法案例中起到着极强的合规参考价值,但其同时也存在着一定的滞后性,并不能够适应各类互联网企业的合规需要。近年来,对个人信息滥用的案例不断涌现,对司法及行政监管部门也带来了较大挑战。
自2003年起,我国就启动了保护个人信息的立法程序。经过了十几年不断摸索,个人信息保护立法才逐渐趋于完善。以下从几个重要时间节点进一步说明:
2003年,《个人信息保护法》专家建议稿开始起草,2005年初已经完成;
2009年,《刑法修正案(七)》第7条将非法提供与获取公民个人信息行为纳入刑法规制;
2013年,《电信和互联网用户个人信息保护规定》对“公民个人电子信息“做了界定,并明确了信息收集、使用的原则和相关规则;
2017年,《网络安全法》的实施,对“公民个人信息”进一步界定、对用户“知情同意”作出明确规定、对“网络运营者”提出明确要求;
2020年,《民法典》强调“以人为本”,加大了对公民隐私权和个人信息的保护力度;
2020年6月,全国人大常委会调整2020年度立法工作计划,个人信息保护法草案将提请审议。
《个人信息保护法》在2018年被列入全国人大常委会未来五年任期的立法议程中,经历了从2020年初次评审到2021年的二审、三审,《个人信息保护法》的具体内容也不断发生变化。
本文从国家法律、行政法规、司法解释、部门规章、技术规范五个层面入手,梳理国内数据安全与个人信息保护相关制度,整理形成可直观查看的“中国数据新秩序的法律地图”。
国内安全工作坚持总体国家安全观,在不同领域均有相关文件指导安全工作。其中与数据安全和个人信息保护领域相关性较强的有:民事领域通过了《民法典》;在网络空间安全领域,具有《网络安全法》、等保2.0系列标准、《网络安全审查办法》等;在数据安全领域:具有刚刚出台的《数据安全法》。在个人信息保护领域,具有刚颁布的《个人信息保护法》。在儿童个人信息领域、密码领域、网络犯罪、消费者权益保护、电子商务等领域也有专门立法。总体来说,《网络安全法》《数据安全法》与《个人信息保护法》在总体国家安全观框架下,共同构成了我国数据新秩序下的三根支柱。
在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。《个人信息保护法》坚持和贯彻以人民为中心的法治理念,牢牢把握保护人民群众个人信息权益的立法定位,聚焦个人信息保护领域的突出问题和人民群众的重大关切。
全文共八章七十四条,明确了法律适用范围,聚焦目前个人信息保护的突出问题,在有关法律的基础上,该法进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则,明确个人信息处理活动中的权利义务边界,健全个人信息保护工作机制。确立以“告知—同意”为核心的个人信息处理规则,落实国家机关保护责任,加大对违法行为的惩处力度。
2.2.1 术语界定
《个人信息保护法》规定了三个术语定义和四个相关用语的含义,本文仅对“个人信息”、“敏感个人信息”、“个人信息的处理”和“自动化决策”的定义或含义做进一步解读:
“个人信息”,其定义采取的是“识别”的方式,仅采取定义式的规定方式,已发布的《个人信息安全规范》进行了不完全列举。随着数据经济不断发展,本文大胆预测,有关个人信息的定义和范围也将再次被延申。
“敏感个人信息”,该说法与《个人信息安全规范》中“个人敏感信息”措辞不同但所表示的内容基本一致,只不过本法中的“敏感个人信息”更加强调了“人格尊严”。值得关注的是,本法中也对列举的信息做了新增和调整:生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
“个人信息的处理”,相较于一审稿中主要变化在于删除了“活动”,强调了个人信息的处理动作或场景。
“自动化决策”,主要变化在于主谓宾的顺序调整,强调了人工智能技术的重要应用对公民个人信息权益的影响。
2.2.2 适用范围
本法明确了“我国境内”和“境外管辖”两大适用范围,“境外管辖”同等回应了欧盟GDPR、美国CCPA等国外立法的长臂管辖效力。
2.2.3 基本原则
在“第一章 总则”部分,进一步明确了处理个人信息的基本原则,本文参考相关法律法规,结合企业实践,总结了以下六大基本原则。
2.2.4 “点”“面”“球”生态融合
本文从“点”、“面”、“球”构建个人信息保护生态融合体系,以达到相互影响、相互制约、相互信任、不断演变,并在一定时期内处于相对稳定的动态平衡状态。
“点”:指全民守护,坚守基本底线。
任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
“面”:指共同参与,建设良性生态。
国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。
“球”:指国际合作,推进生态互融。
国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。
2.2.5 处理规则
个人信息处理规则:包括了一般规定、敏感个人信息的处理规则、国家机关处理个人信息的特别规定三个方面。需要注意的是,本法确立以“告知—同意”为核心的个人信息处理规则,同时也新增了同意的例外事由,如《个人信息保护法》第十三条中提到的“前款第二项至第七项规定情形的,不需取得个人同意” 。
个人信息跨境提供的规则:本法构建了一套清晰、系统的个人信息跨境流动规则,以满足保障个人信息权益和安全的客观要求,适应国际经贸往来的现实需要。关于跨境提供场景下的规则要求详细如下图所示:
2.2.6 相关主体
本法涉及个人、个人信息处理者、监管部门三大强相关的主体,如下图所示,分别就个人权利、个人信息处理者的义务、监管部门所履行个人信息保护职责进行阐述。
2.2.7 强监管和惩处力度
近年来,有关个人信息权益侵权案件逐渐增多,比如“告知—同意”的认定、人格权纠纷、人脸识别等与个人信息主体强相关的权益。因此,本法在这方面加强了监管和提高了惩处力度。本法规定了“一般的个人信息违法行为”和“情节严重的个人信息违法行为”,虽然对这两者没有严格的界定和说明,但可参照以往的司法案例或借鉴GDPR相关处罚案例。详细惩处要求如下图所示:
为了便于对《个人信息保护法》进一步理解,本文通过列表的方式对国内强相关的几部法律法规进行横向对比,如下图所示。本文对照仅限于非法律专业视角进行对照,因此严格意义上来说不能准确对比分析法律效力位阶的相关问题。
通过以上从定义、侧重方向、局限性三个方面进行横向对比后,本文得出如下参考结论:
1) 随着我国法律法规的不断完善,各行各业首先需要考虑的是“合规”问题,特别需要关注具体的、可落地的安全要求;
2) 各项法律法规间各有侧重点和存在一定的相互关联性,需特别注意上位法的法律效力;在具体实践过程中,均需遵照执行;
3) 《数据安全法》和《个人信息保护法》都提出落实处理者的责任和义务,对企业而言,是否需要建立两套标准呢?答案是否定的,建议将其融合,组织建设、制度流程等可合二为一,人员能力、技术措施需有所针对性实施,具体要求方面再进行细化和管控。
2.4.1 典型问题QA
典型问题一:关于“告知+同意”。
依据:第14条将“充分知情”作为“同意”的前提条件”,需要取得“单独同意”的情况:第23、25、26、29、39条。
解答:通过用户主动勾选、浏览隐私政策等获得个人信息的授权使用,并赋予用户撤回同意的权利;同时梳理“单独同意”的场景并进行对应功能调整。
典型问题二:关于生物特征等敏感个人信息。
依据:第26条规定的“所收集的个人图像、身份识别信息只能用于维护公共安全的目的”、第28条规定的“特定的目的和充分的必要性”的前提,第29规定的“单独同意”,第30条规定的“必要性以及对个人权益的影响”的告知。
解答:重视敏感个人信息的处理规则,并做好相关充分告知和影响评估等工作。
典型问题三:关于“个人信息保护负责人”。
依据:第52条规定“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人。”
解答:其中“规定数量”在本法中未明确规定,但可参照《个人信息安全规范》的规定:从业人员规模大于200人、处理超过100万人的个人信息、处理超过10万人的个人敏感信息的。
典型问题四:关于影响评估。
依据:第55条规定“有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录。”
解答: 结合《个人信息安全规范》和《影响评估指南》相关要求,进行个人信息安全影响评估落地执行。
以上思考的问题仅为冰山一角,建议组织结合自身实际情况,制定相应安全策略,落实个人信息保护责任。
2.4.2 主要关注点
1) 明确个人信息保护责任制,落实全生命周期管控责任。
内容:建立个人信息保护组织架构,明确岗位职责,制定对应的全流程管理规范、制度、流程等。
方案支撑:数据安全管理体系建设。
2) 通过个人信息分类(分级)管理,实现建设第一步。
内容:建立个人信息管理机制,明确保护对象及策略。
方案支撑:数据分类分级。
3) 发现企业个人信息安全隐患,降低信息泄露风险。
内容:利用风险评估手段识别发现企业的个人信息安全风险,协助企业进行整改,提升企业个人信息保护建设水平。
方案支撑:个人信息安全影响评估、APP个人信息安全评估。
4) 识别个人信息处理活动,落实安全技术措施。
内容:梳理个人信息全生命周期处理活动,制定相对应的安全要求,对各风险点进行提示,包含可落地执行的机制等。
方案支撑:个人信息保护专项规划、数据安全管控平台。
5) 建立个人信息安全事件应急响应机制。
内容:建立个人信息安全应急预案,明确个人信息事件的应急方针、政策,应急组织结构及相关应急职责。
方案支撑:应急响应体系建设。
6) 组织开展个人信息安全培训教育。
内容:组织开展个人信息安全专业培训,提升企事业单位个人信息安全保护意识,加强个人信息安全人员专业能力提升。
方案支撑:个人信息安全专业教育培训。
7) 聚焦个人信息跨境提供,保障国家安全、公共利益及个人权益。
内容:建立个人信息跨境提供全流程管理规范、制度、流程等;明确合规路径,并征得用户的单独同意,确保个人信息安全流通。
方案支撑:遵循国家个人信息出境相关规定。
2021年可谓是数据保护元年,《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例(国务院令第745)》等一系列法律法规的颁布和即将实施,标志着我国在数据安全和个人信息保护方面正式进入2.0时代。而数据安全和个人信息保护密不可分,就像是一对孪生兄弟。针对个人信息保护的应对思路,可在数据安全建设的基础上进行专项设计和实施,形成个人信息保护体系的长效机制(IRCSS)。该机制主要通过五个方面进行个人信息安全落地建设,帮助组织确立管理制度和操作流程,全面了解个人信息安全状况,提升个人信息安全监测与防护措施,通过优化改进与持续运营,实现持续自适应的个人信息安全防护能力。
近年来,“双十一”网购狂欢的同时, 也是个人信息泄露的高峰。《个人信息保护法》恰好也将在2021年11月1日施行,面对今年的“双十一”,消费者、商家、互联网平台运营者、监管部门等该如何使用《个人信息保护法》赋予的权益,又该如何履行《个人信息保护法》规定的责任呢?接下来,本文尝试站在这四类主体的角度来思考如何面对。
