随着网络科技的发展,人类已经已经进入了大数据时代,无论是工作还是生活都离不开网络环境。信息技术的确便利了人们的生活,但是也为个人信息安全带来了巨大威胁,个人隐私被随意公布的现象屡见不鲜,个人信息的严重泄漏,不仅涉及到个人名誉,而且扰乱了正常的生产生活秩序。长此以往,将给社会带来不安全隐患,必将影响了和谐社会的构建,加剧了社会信任危机。
聚焦世界范围的个人信息保护立法, 欧盟的《通用数据保护条例》(General Data Protection Regulation, 下称“GDPR”)于2018年5月25日正式生效, 被称为“史上最严格”数据安全管理规定,据联合国贸易和发展会议(UNCTAD)截至今年4月20日的统计, 世界194个国家中已有132个拥有个人信息保护立法。
我国《个人信息保护法(草案)》(以下简称为“草案”)于2020年10月向社会征求意见,意味着《个人信息保护法》走上了快车道。作为首部专门规定个人信息保护的法律,《个人信息保护法(草案)》在正式出台后,将成为个人信息保护领域的“基本法”。
从草案公布之后,社会各界积极参与,从不同角度对草案进行解读以及提出立法建议。但是对于没有对个人信息保护的相关法律规范有过比较深入研究,而又关切草案主要内容以及与自身关联性的企业和个人而言,面对草案七十条规定,难免多少有“如坠云雾”之感。为此,我们特别整理了此次的《个人信息保护法(草案)》十大关键词梳理。
1、长臂管辖
长臂管辖规则的落实以管辖国具备相应的执法和司法能力为前提,对于境外信息保护立法中常见的长臂管辖原则,草案给予了积极的回应。例如一家欧洲电商可能未于中国设立实体企业,但其运营的全球网站提供了包括中文在内的多语种界面,并且支持中国用户在线下单与跨境配送,此时根据草案第三条的规定,这家欧洲电商亦有受到中国法律管辖的可能。
2、个人信息界定
草案第四条规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。目前对个人信息的定义采用“识别”加“关联”的界定方式,并且明确规定经不可逆的匿名化处理后的信息不属于个人信息,这为日后企业依法开展数据交易开启了一扇窗户。
在当前的信息时代,无论是被广泛使用的线上会议,还是注册成为任一网站的会员,个人接受服务几乎都以提供手机号码为前提。在这样的背景下,手机号码是否属于个人敏感信息就成为了一个必须解决的问题。
3、同意
草案沿用了《网络安全法》与国家标准《个人信息安全规范》的做法,将“告知+同意”作为了处理个人信息的合法性基础,进一步区分了“单独同意”与“书面同意”的情形。实践中,如果每一个敏感信息都采用“单独同意”,每一次收集都需经弹框获得用户同意,个人和企业都将面临过于沉重的负担。
4、个人信息权
草案规定的五类个人信息权涵盖了“删除权”这项权利,许多观点该权利与GDPR的“被遗忘权”相对应。但实际上,这二者并非同一概念,对企业亦意味着不同的责任。实践中,个人行使删除权往往限于要求网络平台删除发布在该平台上的一些数据,而不必然能及于已被转载的数据链接和复印件等。
5、个人信息保护负责人
草案第五十一条提出“个人信息保护负责人”的制度性要求:处理个人信息达到国家网信部门规定数量的处理者,应指定个人信息保护的负责人,负责对个人信息处理活动以及采取的保护措施等进行监督;并且,还应将个人信息保护负责人的姓名、联系方式等予以公开,并报送相关主管部门。
6、关键信息基础设施运营者的安全评估
根据草案规定,关键信息基础设施运营者(Critical Information Infrastructure Operator, “CIIO”)要向境外提供个人信息,必须履行安全评估义务,且这一安全评估工作具体由网信部门负责。
7、事前风险评估
草案第五十四条列出了五种需要进行事前风险评估的情形,并且要求风险评估报告和处理情况记录应当至少保存三年。这与GDPR下的数据保护影响评估制度(DPIA)类似,也是企业实施内部合规制度建设的重要方式。同时,草案明确设置事前评估的义务,如果企业没有事前评估,即便没有产生严重后果,也可能面临高额罚款。
8、定期审计
草案对企业设定有审计义务,具体是指企业应当定期对其个人信息处理活动、采取的保护措施等是否符合法律、行政法规的规定进行审计。相较于国家标准《个人信息安全规范》较为详尽的安全审计要求,草案对审计要求只是进行了原则性规定。相较而言,草案是对审计要求的概括规定,而《个人信息安全规范》则提供给细则指引。
9、泄露通知
草案设置了较为严格的信息泄露通知义务,而对于如何认定“泄露”,实践中往往存在多种问题。例如,一家美资公司要求,员工必须使用公司分配的移动硬盘和办公电脑。某次内部盘点发现一台加密移动硬盘丢失,其中存有大量用户账号与地址,但具体丢失时间不详。而无论是根据草案还是此前的法律文件,硬盘丢失是否应在我国法下被视作“泄露”都不明确,但域外经验则通常视作泄露事件。[4]从实务的角度来看,公司及时采取相应的措施与行动可以有效降低风险。
10、5000万或5%
草案设置的高额罚款,是草案一出台便受到企业广泛关注的原因之一。这既是草案的亮点,也是草案极具威慑力的体现。除此之外,草案还有另一个极具威慑力的规定,即“责令暂停相关业务、停业整顿”。事实上,目前在全国推行的App专项治理活动中,有很多企业便是因为个人信息保护不力问题,而受到App下架等处罚。
商业运作的基础步骤就是搜集用户信息,以这些信息作为基础来制定商业计划,数据经济及信息化背景下,企业的商业模式、AI训练、IoT业务等都需基于大数据进行构建和升级,而其中必然涉及大量的个人信息处理活动。如果企业在个人信息保护方面不能打好扎实的基础,那么无论是做好自身业务,还是进一步“走出去”都可能面临困境。传统的商业运作模式中都是在用户知情的情况下来获取一手资料:例如,一些商场为了获取消费者的信息,会采用办会员卡的方式让客户填写个人资料,通过个人消费情况来判断其消费习惯,并为其发送合适的促销信息,商家从中受益,客户也从中受益。但是在网络技术的支持下,一些企业不再通过正当途径来获取客户资料,而是将用户使用网络的碎片信息收集起来,进行反向定位,获取客户的完整信息,虽然一些碎片化信息是用户自己提供的,但是对于这些信息的二次加工却是客户无法预见的,这就是为什么用户经常会遇到“并没有像别人透露过个人完整信息,但是别人却知道了”的原因。
因此,保护个人信息的安全,实际上就是保护用户的知情权,在未经用户允许的前提下不允许加工这些信息,保护用户的安全。个人信息保护制度的建立是一项系统性的工程,企业需按照相关规定及时完成组织机构、公司合规准则和其他相关调整,在新的规则体系下积极把握新机遇、应对新挑战。