《個人信息保護法》亮點解讀
2021年8月20日,第十三屆全國人大常委會第三十次會議通過《個人信息保護法》,新法將于2021年11月1日起施行。《個人信息保護法》立足于數(shù)據(jù)產(chǎn)業(yè)發(fā)展的實踐和個人信息保護的迫切需求,完善了我國數(shù)據(jù)合規(guī)領(lǐng)域的法律體系,更為全面地保障個人權(quán)利。市場參與者要按照即將生效的《數(shù)據(jù)安全法》和剛剛通過的《個人信息保護法》要求,加快數(shù)據(jù)安全治理體系建設(shè)。
一、《個人信息保護法》的立法沿革
2020年10月13日,十三屆全國人大常委會第二十二次會議第一次審議了《個人信息保護法(一審草案)》。2021年4月29日,《個人信息保護法(草案二次審議稿)》在經(jīng)全國人大常委會會議審議后,面向社會公布并征求意見。二審稿的主要亮點在于進一步完善了處理個人信息的合法性基礎(chǔ),補充了個人有權(quán)撤回同意的內(nèi)容,新增對具有管理公共事務(wù)職能的組織的規(guī)范要求,要求按照網(wǎng)信部門制定的標(biāo)準(zhǔn)處理個人信息跨境,加強對向境外司法或執(zhí)法機構(gòu)提供個人信息的監(jiān)管,新增規(guī)定死者的個人信息權(quán)益由近親屬行使,以及新增超大互聯(lián)網(wǎng)平臺特定的個人信息保護義務(wù)要求等等。
在2021年8月20日通過的最終三審稿中,主要的亮點和變化體現(xiàn)在:進一步明確了個人信息處理的合法基礎(chǔ);為個人賦予了撤回同意的權(quán)利;強化對未滿十四周歲未成年人的保護;明確界定自動化決策,并對其提出詳細的要求以及完善個人信息跨境提供的規(guī)則等。
二、《個人信息保護法》亮點解讀
(一)明確了個人信息處理的合法基礎(chǔ)
《個人信息保護法》列舉了個人信息處理的合法基礎(chǔ)包括授權(quán)同意、為訂立或履行個人作為一方當(dāng)事人的合同所必需、履職必需、應(yīng)對突發(fā)公共衛(wèi)生事件、在合理的范圍內(nèi)處理已公開的信息、公益目的等,總體而言采取了優(yōu)先保護個人權(quán)利和社會公共利益的路徑。與國際立法相比,個人信息處理者的合法利益本身不能構(gòu)成授權(quán)同意之外的合規(guī)基礎(chǔ)。對一般市場參與者而言,主要的數(shù)據(jù)處理合規(guī)基礎(chǔ)即為授權(quán)同意、合同必需和在合理范圍內(nèi)處理已公開的信息。
對授權(quán)同意而言,盡管仍存在授權(quán)同意能否真正保障個人信息主體的知情權(quán)、授權(quán)同意流于形式、強勢一手數(shù)據(jù)源為后續(xù)數(shù)據(jù)流轉(zhuǎn)的參與方帶來權(quán)利瑕疵“原罪”等問題,實踐中已逐漸形成一定程度上的行業(yè)最佳實踐,例如采用交互式彈窗的形式在用戶使用特定功能時逐一獲取該功能必需的數(shù)據(jù),明確列出數(shù)據(jù)共享的目的及合作方名單,在隱私協(xié)議條款前簡要介紹核心條款等。因此,在平衡法律要求、用戶體驗和保障消費者知情權(quán)方面,行業(yè)逐漸開始摸索出一套較為成熟的合規(guī)實踐。
對合同必需而言,合同必需的原則與最小必要原則密切相關(guān)。因此在獲取數(shù)據(jù)之前,市場參與者需要區(qū)分產(chǎn)品服務(wù)的核心功能和附加功能,審慎衡量獲取的數(shù)據(jù)類型是否是提供相關(guān)產(chǎn)品和服務(wù)的必要前提。
對處理已公開的信息而言,《個人信息保護法》也在附則對其含義進行了進一步的明確。市場參與者可能需要評估個人信息主體公開信息的具體途徑、目的、預(yù)期公開程度、數(shù)據(jù)使用目的是否超出個人信息主體的合理預(yù)期等因素。由于該合規(guī)基礎(chǔ)的模糊性較大,相對而言也會存在更多的合規(guī)隱患。
(二)為個人賦予撤回同意的權(quán)利
考慮到實踐中普遍存在的不支持注銷賬戶、撤回同意投訴無門等問題,《個人信息保護法》要求個人信息處理者提供便捷的撤回同意方式。就“便捷”而言,依照相關(guān)國家標(biāo)準(zhǔn)的精神,其便捷程度宜與給予授權(quán)的便捷程度相對等。此外,《個人信息保護法》明確撤回同意不影響撤回前基于個人同意已進行的個人信息處理活動的效力。由于數(shù)據(jù)存在極強的可復(fù)制性,個人信息主體在給出首次授權(quán)同意后,對于姓名、身份證號、手機號、地址等相對靜態(tài)的信息很容易失去控制權(quán)。即使在撤回同意后,個人及每一環(huán)節(jié)數(shù)據(jù)處理者也很難控制數(shù)據(jù)的后續(xù)流轉(zhuǎn)。相比而言,更容易落地的是行為類數(shù)據(jù),相關(guān)數(shù)據(jù)處理者需要確保在個人信息主體撤回同意后,相關(guān)數(shù)據(jù)被終止收集,必要時也需要對其進行刪除或匿名化。
(三)將不滿十四周歲未成年人的個人信息列入敏感個人信息
針對實踐中兒童早已成為在線教育、線上游戲、視頻網(wǎng)站和社交產(chǎn)品的用戶群體之一,《個人信息保護法》明確要求將不滿十四周歲未成年人的個人信息作為敏感個人信息加以保護。因此相關(guān)數(shù)據(jù)處理者可能需要更改內(nèi)部數(shù)據(jù)分級分類的標(biāo)準(zhǔn),依照我國法律和相關(guān)標(biāo)準(zhǔn)對敏感信息的要求對涉及的不滿十四周歲未成年人的個人信息進行特別保護。此外,《個人信息保護法》也要求個人信息處理者對其制定專門的個人信息處理規(guī)則。具體而言,處理規(guī)則的內(nèi)容可能會涉及確認用戶年齡的實現(xiàn)方式、確認監(jiān)護人授權(quán)同意的實現(xiàn)方式、針對兒童群體準(zhǔn)備專門的個人信息保護文本和用戶協(xié)議、未成年人發(fā)布信息內(nèi)容的提示和保護義務(wù)、推送內(nèi)容的管理機制等。同時,對于面向普通公眾提供產(chǎn)品和服務(wù)的運營者而言(如搜索服務(wù)),是否與專門針對兒童提供產(chǎn)品和服務(wù)的運營者在兒童個人信息保護領(lǐng)域的要求有所區(qū)分仍有待理論和實踐的進一步探索。例如是否需要額外收集用戶的年齡信息從而將兒童從全部用戶群體中識別出來,此類要求與最小必要原則如何適配等。
(四)針對自動化決策提出明確要求
針對用戶畫像、“大數(shù)據(jù)殺熟”等問題,《個人信息保護法》立足于維護廣大人民群眾的網(wǎng)絡(luò)空間合法權(quán)益,充分吸收了成熟國家標(biāo)準(zhǔn)與行業(yè)實踐的內(nèi)容,從算法倫理、數(shù)據(jù)獲取、數(shù)據(jù)使用、風(fēng)險評估和日志記錄的方面對自動化決策進行了規(guī)制。
在算法倫理層面,《個人信息保護法》要求數(shù)據(jù)處理者保證決策的透明度和結(jié)果公平合理。參照國際立法的實踐,數(shù)據(jù)處理者可能需要在用戶協(xié)議中向用戶簡明介紹算法的基本邏輯和對用戶權(quán)益的影響,不得通過自動化決策對個人在交易價格等交易條件上實行不合理的差別待遇等。
在數(shù)據(jù)獲取方面,《個人信息保護法》要求數(shù)據(jù)處理者在進行商業(yè)營銷、信息推送時給予用戶拒絕的權(quán)利。
在數(shù)據(jù)使用方面,提供不針對個人特征選項的信息推送可能要求企業(yè)對自身的商業(yè)模式進行調(diào)整,如在自動化決策推薦算法之外,為用戶提供單純依照點擊量、發(fā)布時間等統(tǒng)計結(jié)果的選項。
在風(fēng)險評估方面,要求數(shù)據(jù)處理者在事前進行風(fēng)險評估,具體的內(nèi)容可能包括自動化決策系統(tǒng)在準(zhǔn)確性、公平性、歧視、隱私和安全方面的影響(包括訓(xùn)練用數(shù)據(jù)的影響),并對影響評估中的問題予以糾正。
在日志記錄方面,要求數(shù)據(jù)處理者對數(shù)據(jù)的處理活動進行記錄等。
(五)全面規(guī)范個人信息跨境的規(guī)則
《個人信息保護法》設(shè)置專章對個人信息跨境提供的規(guī)則進行了全面的規(guī)范,與《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》形成了完善的法律體系銜接。其中值得注意的是,在境外司法或執(zhí)法機構(gòu)要求提供境內(nèi)個人信息時需要經(jīng)過主管機關(guān)的批準(zhǔn)。由于在實踐中國際禮讓原則逐漸式微,跨國企業(yè)可能會在國際訴訟中面臨兩難處境。因此,也有待后續(xù)立法進一步明確批準(zhǔn)提供證據(jù)的具體主管機關(guān)、批準(zhǔn)程序和時限等內(nèi)容,更好地維護我國跨國企業(yè)在國際法律糾紛當(dāng)中的利益。
(六)明確個人信息侵權(quán)行為的歸責(zé)原則為過錯推定
《個人信息保護法》明確了當(dāng)個人信息權(quán)益因個人信息處理活動受到侵害時, 個人信息處理者不能證明自己沒有過錯的,應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。換言之,個人信息處理者如果不能證明自己在數(shù)據(jù)處理、數(shù)據(jù)保護中不存在過錯,將在訴訟中面臨一定程度的敗訴風(fēng)險。
編輯整理:法務(wù)部
2022年8月8日