2020年10月21日,备受瞩目的《个人信息保护法(草案)》(以下简称“草案”),在经过全国人大常委会第一次审议后,正式向社会公布并征求意见。草案有着“中国版GDPR(《通用数据保护条例》)”之称,被广泛认为将对传统行业、新兴领域乃至整个数字经济的长远发展,产生重大而深刻的影响。
本文将通过八大关键词与八个典型业务场景,帮助读者直击草案核心内容,一窥“个保法”时代的重要特征。
关键词一:域外适用(“长臂管辖”)
考虑到数据流动性的现实,在借鉴其他国家和地区做法的基础上,草案赋予了《个人信息保护法》必要的域外适用效力,增添了中国特色的“长臂管辖”条款。根据草案第二条的规定,除了在中国境内处理个人信息的活动,当然地适用《个人信息保护法》外,在中国境外处理境内自然人个人信息的活动,也可能适用本法,具体情形包括:
(1) 以向境内自然人提供产品或者服务为目的;
(2) 为分析、评估境内自然人的行为。
基于该等规定,外国公司(无论在中国是否设有分支机构)、中国公司的境外分支机构,均有可能受到《个人信息保护法》的管辖。对于这类境外主体,其还应当在境内设立专门机构或者指定代表,负责个人信息保护相关事务。
案例1:某欧洲小众奢侈品牌,在中国并未设立子公司,但其运营的全球网站提供中文在内的多语种界面,并支持在线下单、支付宝付款与跨境配送。
——根据草案,该公司很可能受到管辖,并应履行相应的个人信息保护义务。
关键词二: 同意vs无需同意
草案沿用了《网络安全法》与国家标准《个人信息安全规范》中“告知+同意”的合法性基础,即“个人在充分知情的前提下,自愿、明确作出授权的意思表示”是处理个人信息的首要规则。同时,就同意而言,草案也首次区分了“单独同意”与“书面同意”的情形。
更重要的是,草案还借鉴了GDPR中规定的其他合法性基础,在同意的基础上,增设了五种无需同意的例外情形:
(1) 为订立或者履行个人作为一方当事人的合同所必需;
(2) 履行法定职责或者法定义务所必需;
(3) 应对公共卫生事件和紧急避险所必需;
(4) 为公共利益实施新闻报道、舆论监督所合理必需;
(5) 其他法定情形。
这种更加科学的“同意+例外”规制方式,给予了个人信息处理更灵活的空间,并可在一定程度上帮助企业降低合规成本。
案例2:某跨境物流公司为提升用户体验,拟推出“一键式”下单计划,减少各类弹窗、提醒,但苦于法律对用户同意的强制要求,迟迟无法落地。
——根据草案,对于为履行物流合同所必需收集的个人信息(如收寄件人地址、联系方式等),该公司将无需取得用户同意,即无须设置勾选或点击等繁琐操作,仅履行告知义务即可。
关键词三:跨境传输
中国法下的个人信息跨境传输,始终是企业合规实践中的痛点与难点。草案在《网络安全法》的基础上,进一步丰富并突破了现有的跨境传输规则。
首先,对于本地化储存的范围:对于“关键信息基础设施运营者(CIIO)”或“处理个人信息达到国家网信部门规定数量的个人信息处理者”,应当将其在境内收集和产生的个人信息,存储在中国境内。以信息数量作为本地化义务的标准,这一规定大幅突破了现有的法律框架。
其次,对于前述两类主体之外的一般处理者,跨境传输应当至少具备下列一项条件:
(1) 经专业机构进行个人信息保护认证;
(2) 与境外接收方订立合同,约定双方的权利和义务,并监督其达到本法规定的个人信息保护标准;
(3) 其他法定条件。
前述(1)项条件可能部分借鉴了GDPR下的认证机制(certification mechanism);(2)项条件延续了《个人信息出境安全评估办法(征求意见稿)》的做法,提供类似“标准合同条款(SCCs)”的保护机制。
案例3:某日资企业(日本公司的中国分支)需要将境内B2C业务收集到的个人信息,以及中国员工的详细绩效报告,通过网络发送给位于境外的总部。假设该企业并非CIIO且个人信息数量较少,该如何操作?
——根据草案,其可以选择:与日本总部签署数据传输协议,或者寻求专业机构的认证;同时,还应当向客户与员工告知并征得同意。
关键词四:主体权利
相比于《民法典》和《个人信息安全规范》,草案以专章立法的方式,贯穿个人信息的全生命周期,全面规定个人信息主体的五大类权利,高度重视权利保护。这些权利包括:(1)知情权、决定权、限制和拒绝权;(2)查阅、复制权;(3)更正、补充权;(4)删除权;(5)要求个人信息处理者解释说明处理规则的权利。
这些权利并非形式性的存在,草案专门规定:个人信息处理者应当建立个人行使权利的申请受理和处理机制,拒绝个人行使权利的请求的,应当说明理由。从实践角度,草案为企业施加了保障用户行权的强制性义务。
案例4:某私立教育机构通过“智慧成长系统”长期追踪学生的学业表现、日常考勤、兴趣爱好等。某15岁学生向机构提出,希望了解并查阅所有和她有关的档案记录。该机构以不合内部规定为由,拒绝请求。
——根据草案,该教育机构应当向学生解释说明处理规则,并保障其知情、查阅等权利。
关键词五:“DPO”
草案提出“个人信息保护负责人”的制度性要求:即处理个人信息达到一定数量的处理者,应指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督;并且,还应将个人信息保护负责人的姓名、联系方式等予以公开,并报送相关主管部门。
从任命条件、职能、公开和报送要求等方面来看,这一概念与GDPR下的数据保护官(Data Protection Officer, DPO)存在相当的相似性。鉴于目前的规定相对笼统,已经任命全球或中国DPO的企业,尤其是跨国公司,可待后续配套规定厘清个人信息保护负责人的任职资格、具体义务和负责事项等后,另行决定是否需要另行任命或内部兼任。
案例5:某中国民营航空公司,同时运营欧美至中国的国际航线与大量国内航班,已在欧盟当地派驻由本地人士担任的GDPR-DPO。公司拟新设个人信息保护负责人岗位,并由集团风控总监兼任。
——根据草案,暂时无法确认个人信息保护负责人的任职资格与条件。但出于有效履责的角度,专人专岗或许是最佳实践。
关键词六:风险评估
草案规定个人信息处理者在进行特定个人信息处理活动前,应进行风险评估,并予以记录。具体而言,“特定个人信息处理活动”主要是指对个人有重大影响的个人信息处理活动,例如涉及:
(1)处理敏感个人信息;
(2)利用个人信息进行自动化决策;
(3)委托处理、向第三方提供或公开个人信息;
(4)向境外提供个人信息。
风险评估的内容主要包括个人信息处理目的、方式的合法、正当、必要性;对个人的影响及风险程度;以及所采取的安全保护措施的适当性。
这一规定在适用条件和评估内容方面,能够看到GDPR下数据保护影响评估制度(DPIA)的影响。与《个人信息安全规范》下的“个人信息安全影响评估”(PIA)相比,风险评估制度进一步明确了适用范围。
案例6:某B2C互联网企业的App端产品,拟引入人脸识别功能,进行用户年龄的确认、账号安全性改进以及改善服务体验。公司合规部门拟就该计划是否可行给出意见。
——根据草案,处理包括个人生物特征在内的敏感个人信息前,应当进行风险评估。
关键词七:泄露通知
《网络安全法》要求,在发生或者可能发生个人信息泄露、毁损、丢失的情况时,立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
草案则在此基础上细化,规定需要通知的内容包括:
(1)个人信息泄露的原因;
(2)泄露的个人信息种类和可能造成的危害;
(3)已采取的补救措施;
(4)个人可以采取的减轻危害的措施;以及
(5)个人信息处理者的联系方式。
此外,草案还明确如采取措施能够有效避免信息泄露造成损害的,可以不通知个人。与GDPR相比,草案中的个人信息泄露通知要求并未涉及通知时限、受托处理者的配合义务以及是否可以分阶段提供等实操性问题,未来有待进一步澄清或在配套规定中明确。
案例7:某美资公司要求,员工必须使用公司分配的移动硬盘、办公电脑,某次内部盘点发现一台加密移动硬盘丢失,其中存有大量用户账号与地址,但具体丢失时间不详。
——根据草案,硬件丢失是否应视作“泄露”并无规定,但域外经验则通常视作泄露事件。此时,公司应当及时采取相应的措施与行动。
关键词八:5000万与5%
此次草案最引人关注的规定,莫过于高额罚款——违反相关规定,情节严重的,处5000万元以下或者上一年度营业额5%以下罚款。这一规定突破了《网络安全法》下100万罚款的上限,其与“责令暂停相关业务、停业整顿、吊销相关业务许可或者吊销营业执照”的处罚相结合,将可能给企业带来“致命”打击,威慑力可见一斑。
值得注意的是,除上述行政责任外,草案还明确了其与民事责任、刑事责任的衔接,即企业可能同时面临三重追责。此外,草案还规定违规行为将记入信用档案,并予以公示,在企业信用体系日益完善的今天,这将对企业商誉产生重大影响。
案例8:某跨国酒店集团发生数据泄露,正在接受监管部门的行政调查。集团认为,数据泄露事件主要由中国公司造成,“上一年度营业额”最多以中国业务为基数。某公益组织认为,该酒店为全球统一管理运营,应当将全球营业额作为罚款基数。
——根据草案,“上一年度营业额”应当如何认定并无详细规定,计算口径的不同将带来天壤之别,有待实践中进一步明确。
结语
伴随着持续紧张的中美关系,全国人大常委会的立法节奏不断提升,《个人信息保护法》最快或将于明年中后期正式出台。但就草案本身而言,仍有诸多规定有待澄清、补充或完善。例如,境外处理者是否可以任命境内的第三方组织,作为专门机构或者指定代表;个人信息本地化储存的数量标准;履行个人信息保护职责的部门具体为何;高额罚款是否有减轻或免除情节,等等。
“个保法时代”究竟风光几何,让我们拭目以待。
