2021年8月20日,第十三屆全國人民代表大會常務委員會第三十次會議通過《中華人民共和國個人信息保護法》(以下簡稱“《個人信息保護法》”)。自2020年10月以來,《個人信息保護法》歷經三次審議與修訂后,將于2021年11月1日正式施行。
1. 背景介紹
1.1 發布背景
最新數據顯示:2020年中國網民總體規模已占全球網民的五分之一,2020年中國網民規模為9.89億人。而互聯網網站443萬個,手機應用程序數量302萬款。2021年以來,國家網信辦對地圖導航、運動健身、短視頻等十多種類型的手機應用程序進行了檢測。351款APP因違法收集個人信息被通報,25款因嚴重違法違規收集使用個人信息被下架。
“為及時回應廣大人民群眾的呼聲和期待,落實黨中央部署要求,制定一部個人信息保護方面的專門法律,將廣大人民群眾的個人信息權益實現好、維護好、發展好,具有重要意義。”全國人大常委會法工委副主任劉俊臣表示,制定個人信息保護法是進一步加強個人信息保護法制保障的客觀要求,是維護網絡空間良好生態的現實需要,也是促進數字經濟健康發展的重要舉措。
從現有頒布的法律來看,雖有部分內容與個人信息保護的相關,但在社會實踐中,這些法律的適用大多規定的較為原則,并不能滿足公民對個人信息保護的各類迫切需求。此外,縱觀其他法規及規范性文件,例如《關于加強網絡信息保護的決定》《電信和互聯網用戶個人信息保護規定》《信息安全技術 個人信息安全規范》(GB/T 35273—2020)等規定,雖然在司法案例中起到著極強的合規參考價值,但其同時也存在著一定的滯后性,并不能夠適應各類互聯網企業的合規需要。近年來,對個人信息濫用的案例不斷涌現,對司法及行政監管部門也帶來了較大挑戰。
1.2 發展歷程
自2003年起,我國就啟動了保護個人信息的立法程序。經過了十幾年不斷摸索,個人信息保護立法才逐漸趨于完善。以下從幾個重要時間節點進一步說明:
2003年,《個人信息保護法》專家建議稿開始起草,2005年初已經完成;
2009年,《刑法修正案(七)》第7條將非法提供與獲取公民個人信息行為納入刑法規制;
2013年,《電信和互聯網用戶個人信息保護規定》對“公民個人電子信息”做了界定,并明確了信息收集、使用的原則和相關規則;
2017年,《網絡安全法》的實施,對“公民個人信息”進一步界定、對用戶“知情同意”作出明確規定、對“網絡運營者”提出明確要求;
2020年,《民法典》強調“以人為本”,加大了對公民隱私權和個人信息的保護力度;
2020年6月,全國人大常委會調整2020年度立法工作計劃,個人信息保護法草案將提請審議。
《個人信息保護法》在2018年被列入全國人大常委會未來五年任期的立法議程中,經歷了從2020年初次評審到2021年的二審、三審,《個人信息保護法》的具體內容也不斷發生變化。
1.3 法律地圖
本文從國家法律、行政法規、司法解釋、部門規章、技術規范五個層面入手,梳理國內數據安全與個人信息保護相關制度,整理形成可直觀查看的“中國數據新秩序的法律地圖”。
國內安全工作堅持總體國家安全觀,在不同領域均有相關文件指導安全工作。其中與數據安全和個人信息保護領域相關性較強的有:民事領域通過了《民法典》;在網絡空間安全領域,具有《網絡安全法》、等保2.0系列標準、《網絡安全審查辦法》等;在數據安全領域:具有剛剛出臺的《數據安全法》。在個人信息保護領域,具有剛頒布的《個人信息保護法》。在兒童個人信息領域、密碼領域、網絡犯罪、消費者權益保護、電子商務等領域也有專門立法。總體來說,《網絡安全法》《數據安全法》與《個人信息保護法》在總體國家安全觀框架下,共同構成了我國數據新秩序下的三根支柱。
2. 內容解讀
2.1 概述
在信息化時代,個人信息保護已成為廣大人民群眾最關心最直接最現實的利益問題之一。《個人信息保護法》堅持和貫徹以人民為中心的法治理念,牢牢把握保護人民群眾個人信息權益的立法定位,聚焦個人信息保護領域的突出問題和人民群眾的重大關切。
全文共八章七十四條,明確了法律適用范圍,聚焦目前個人信息保護的突出問題,在有關法律的基礎上,該法進一步細化、完善個人信息保護應遵循的原則和個人信息處理規則,明確個人信息處理活動中的權利義務邊界,健全個人信息保護工作機制。確立以“告知—同意”為核心的個人信息處理規則,落實國家機關保護責任,加大對違法行為的懲處力度。
2.2 七大關鍵點
2.2.1 術語界定
《個人信息保護法》規定了三個術語定義和四個相關用語的含義,本文僅對“個人信息”、“敏感個人信息”、“個人信息的處理”和“自動化決策”的定義或含義做進一步解讀:
“個人信息”,其定義采取的是“識別”的方式,僅采取定義式的規定方式,已發布的《個人信息安全規范》進行了不完全列舉。隨著數據經濟不斷發展,本文大膽預測,有關個人信息的定義和范圍也將再次被延申。
“敏感個人信息”,該說法與《個人信息安全規范》中“個人敏感信息”措辭不同但所表示的內容基本一致,只不過本法中的“敏感個人信息”更加強調了“人格尊嚴”。值得關注的是,本法中也對列舉的信息做了新增和調整:生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。
“個人信息的處理”,相較于一審稿中主要變化在于刪除了“活動”,強調了個人信息的處理動作或場景。
“自動化決策”,主要變化在于主謂賓的順序調整,強調了人工智能技術的重要應用對公民個人信息權益的影響。
2.2.2 適用范圍
本法明確了“我國境內”和“境外管轄”兩大適用范圍,“境外管轄”同等回應了歐盟GDPR、美國CCPA等國外立法的長臂管轄效力。
我國境內:在中華人民共和國境內處理自然人個人信息的活動,適用本法。
境外管轄:在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動,有下列情形之一的,也適用本法。
以向境內自然人提供產品或者服務為目的;
分析、評估境內自然人的行為;
法律、行政法規規定的其他情形。
2.2.3 基本原則
在“第一章 總則”部分,進一步明確了處理個人信息的基本原則,本文參考相關法律法規,結合企業實踐,總結了以下六大基本原則。
2.2.4 “點”“面”“球”生態融合
本文從“點”、“面”、“球”構建個人信息保護生態融合體系,以達到相互影響、相互制約、相互信任、不斷演變,并在一定時期內處于相對穩定的動態平衡狀態。
“點”:指全民守護,堅守基本底線。
任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息;不得從事危害國家安全、公共利益的個人信息處理活動。
“面”:指共同參與,建設良性生態。
國家建立健全個人信息保護制度,預防和懲治侵害個人信息權益的行為,加強個人信息保護宣傳教育,推動形成政府、企業、相關社會組織、公眾共同參與個人信息保護的良好環境。
“球”:指國際合作,推進生態互融。
國家積極參與個人信息保護國際規則的制定,促進個人信息保護方面的國際交流與合作,推動與其他國家、地區、國際組織之間的個人信息保護規則、標準等互認。
2.2.5 處理規則
個人信息處理規則:包括了一般規定、敏感個人信息的處理規則、國家機關處理個人信息的特別規定三個方面。需要注意的是,本法確立以“告知—同意”為核心的個人信息處理規則,同時也新增了同意的例外事由,如《個人信息保護法》第十三條中提到的“前款第二項至第七項規定情形的,不需取得個人同意” 。
個人信息跨境提供的規則:本法構建了一套清晰、系統的個人信息跨境流動規則,以滿足保障個人信息權益和安全的客觀要求,適應國際經貿往來的現實需要。關于跨境提供場景下的規則要求詳細如下圖所示:
2.2.6 相關主體
本法涉及個人、個人信息處理者、監管部門三大強相關的主體,如下圖所示,分別就個人權利、個人信息處理者的義務、監管部門所履行個人信息保護職責進行闡述。
2.2.7 強監管和懲處力度
近年來,有關個人信息權益侵權案件逐漸增多,比如“告知—同意”的認定、人格權糾紛、人臉識別等與個人信息主體強相關的權益。因此,本法在這方面加強了監管和提高了懲處力度。本法規定了“一般的個人信息違法行為”和“情節嚴重的個人信息違法行為”,雖然對這兩者沒有嚴格的界定和說明,但可參照以往的司法案例或借鑒GDPR相關處罰案例。詳細懲處要求如下圖所示:
2.3 橫向對比
為了便于對《個人信息保護法》進一步理解,本文通過列表的方式對國內強相關的幾部法律法規進行橫向對比,如下圖所示。本文對照僅限于非法律專業視角進行對照,因此嚴格意義上來說不能準確對比分析法律效力位階的相關問題。
通過以上從定義、側重方向、局限性三個方面進行橫向對比后,本文得出如下參考結論:
1) 隨著我國法律法規的不斷完善,各行各業首先需要考慮的是“合規”問題,特別需要關注具體的、可落地的安全要求;
2) 各項法律法規間各有側重點和存在一定的相互關聯性,需特別注意上位法的法律效力;在具體實踐過程中,均需遵照執行;
3) 《數據安全法》和《個人信息保護法》都提出落實處理者的責任和義務,對企業而言,是否需要建立兩套標準呢?答案是否定的,建議將其融合,組織建設、制度流程等可合二為一,人員能力、技術措施需有所針對性實施,具體要求方面再進行細化和管控。
2.4 解讀思考
2.4.1 典型問題QA
典型問題一:關于“告知+同意”。
依據:第14條將“充分知情”作為“同意”的前提條件“,需要取得”單獨同意“的情況:第23、25、26、29、39條。
解答:通過用戶主動勾選、瀏覽隱私政策等獲得個人信息的授權使用,并賦予用戶撤回同意的權利;同時梳理”單獨同意“的場景并進行對應功能調整。
典型問題二:關于生物特征等敏感個人信息。
依據:第26條規定的”所收集的個人圖像、身份識別信息只能用于維護公共安全的目的“、第28條規定的”特定的目的和充分的必要性“的前提,第29規定的”單獨同意“,第30條規定的”必要性以及對個人權益的影響“的告知。
解答:重視敏感個人信息的處理規則,并做好相關充分告知和影響評估等工作。
典型問題三:關于”個人信息保護負責人“。
依據:第52條規定”處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人。“
解答:其中”規定數量“在本法中未明確規定,但可參照《個人信息安全規范》的規定:從業人員規模大于200人、處理超過100萬人的個人信息、處理超過10萬人的個人敏感信息的。
典型問題四:關于影響評估。
依據:第55條規定”有下列情形之一的,個人信息處理者應當事前進行個人信息保護影響評估,并對處理情況進行記錄。“
解答: 結合《個人信息安全規范》和《影響評估指南》相關要求,進行個人信息安全影響評估落地執行。
以上思考的問題僅為冰山一角,建議組織結合自身實際情況,制定相應安全策略,落實個人信息保護責任。
2.4.2 主要關注點
1) 明確個人信息保護責任制,落實全生命周期管控責任。
內容:建立個人信息保護組織架構,明確崗位職責,制定對應的全流程管理規范、制度、流程等。
方案支撐:數據安全管理體系建設。
2) 通過個人信息分類(分級)管理,實現建設第一步。
內容:建立個人信息管理機制,明確保護對象及策略。
方案支撐:數據分類分級。
3) 發現企業個人信息安全隱患,降低信息泄露風險。
內容:利用風險評估手段識別發現企業的個人信息安全風險,協助企業進行整改,提升企業個人信息保護建設水平。
方案支撐:個人信息安全影響評估、APP個人信息安全評估。
4) 識別個人信息處理活動,落實安全技術措施。
內容:梳理個人信息全生命周期處理活動,制定相對應的安全要求,對各風險點進行提示,包含可落地執行的機制等。
方案支撐:個人信息保護專項規劃、數據安全管控平臺。
5) 建立個人信息安全事件應急響應機制。
內容:建立個人信息安全應急預案,明確個人信息事件的應急方針、政策,應急組織結構及相關應急職責。
方案支撐:應急響應體系建設。
6) 組織開展個人信息安全培訓教育。
內容:組織開展個人信息安全專業培訓,提升企事業單位個人信息安全保護意識,加強個人信息安全人員專業能力提升。
方案支撐:個人信息安全專業教育培訓。
7) 聚焦個人信息跨境提供,保障國家安全、公共利益及個人權益。
內容:建立個人信息跨境提供全流程管理規范、制度、流程等;明確合規路徑,并征得用戶的單獨同意,確保個人信息安全流通。
方案支撐:遵循國家個人信息出境相關規定。
3. 總結與展望
2021年可謂是數據保護元年,《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例(國務院令第745)》等一系列法律法規的頒布和即將實施,標志著我國在數據安全和個人信息保護方面正式進入2.0時代。而數據安全和個人信息保護密不可分,就像是一對孿生兄弟。針對個人信息保護的應對思路,可在數據安全建設的基礎上進行專項設計和實施,形成個人信息保護體系的長效機制(IRCSS)。該機制主要通過五個方面進行個人信息安全落地建設,幫助組織確立管理制度和操作流程,全面了解個人信息安全狀況,提升個人信息安全監測與防護措施,通過優化改進與持續運營,實現持續自適應的個人信息安全防護能力。
4. 場景探討:”雙十一“的網購狂歡
近年來,”雙十一“網購狂歡的同時, 也是個人信息泄露的高峰。《個人信息保護法》恰好也將在2021年11月1日施行,面對今年的”雙十一“,消費者、商家、互聯網平臺運營者、監管部門等該如何使用《個人信息保護法》賦予的權益,又該如何履行《個人信息保護法》規定的責任呢?接下來,本文嘗試站在這四類主體的角度來思考如何面對。
