【作者簡介】王新銳、羅為,北京安理律師事務所高級合伙人。
2020年10月中旬,《個人信息保護法(草案)》(以下稱“個保法草案”或“草案”)提交全國人大常委會審議,并公開征求意見。作為個人信息保護領域的專門立法,其對個人信息處理的原則和規則進行了規定,涵蓋了個人信息處理的不同環節、不同個人信息種類及處理方式。
根據起草者的說明,個保法草案在起草過程中,堅持立足國情與借鑒國際經驗相結合。從內容來看,其在適用范圍、處理規則、個人權利和義務等方面較多地借鑒了在個人信息保護領域極具知名度和影響力的歐盟《通用數據保護條例》(“GDPR”),但在細節上與GDPR相比又存在一定的差異性。在此背景下,為便于讀者更好地理解當前個保法草案,我們在下文以草案與GDPR的異同為切入點,從法律適用與定義、制度層面、與權利義務三個方面對草案重點規定進行比較解讀。
一、法律適用與基本定義
(一)法律適用:我國個保法草案參考GDPR,擴展了域外管轄,但在屬地管轄方面,GDPR落腳于“設立地”,我國草案側重于“數據處理行為地”。各國法律域外適用擴張,在未來可能會帶來管轄沖突問題。
在法律適用方面,GDPR從控制者/處理者的設立地點為切入點,確定了GDPR的境內和境外適用情形。歐洲數據保護委員會通過發布指南,進一步解釋了該兩個維度下的適用標準。
首先是“營業地/設立”標準:在歐盟境內設立的數據控制者或處理者對個人數據的處理行為(不論其實際數據處理行為在何處),都應適用GDPR。其次是“目標指向”標準:即使有關個人數據處理活動的控制者或處理者不在歐盟設立,但若其:(a)為歐盟境內的數據主體提供商品或服務;或 (b)對發生在歐盟境內的數據主體的活動進行監控,則該類控制者或處理者也同樣適用GDPR。
我國個保法草案對于適用范圍規定思路借鑒了GDPR的規定,但切入點采用的是“處理行為”發生的地點。在境內適用方面,個保法的規定更偏向于屬地原則:“組織、個人在中華人民共和國境內處理自然人個人信息的活動,適用本法。”也就是說,無論處理者是否在境內設立,或者其處理的個人信息是否為境內自然人的信息,只要處理行為發生在境內,都將受到個保法的管轄。在域外管轄方面,個保法草案也參考了GDPR的規定:對于在境外處理的“境內自然人個人信息”,只要符合“向境內自然人提供產品或者服務為目的”、“為分析、評估境內自然人的行為”及其他規定情形時,也應適用個保法的規定,對應GDPR下的“目標指向”標準。此外,草案還參考GDPR的規定,要求此類境外的個人信息處理者,應當在中國境內設立專門機構或者指定代表,負責處理個人信息保護相關事務。
擴展域外適用,是近年來個人信息保護立法領域逐步浮現的趨勢,針對于跨境提供服務的管轄不足問題,但各國法律的擴展適用,也不可避免地產生了管轄沖突問題,加劇了法律適用中的碎片化現象,對企業運營,特別是開展國際化業務的企業合規工作帶來更大挑戰。
(二)定義:個人信息
個保法草案中“個人信息”的定義為:“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息”。這與GDPR中“個人數據,指的是任何已識別或可識別的自然人(“數據主體”)相關的信息”這一定義基本一致,而且GDPR序言(Recital)第26條,也明確規定了數據保護原則不適用于匿名信息。但在我國個人信息保護法律體系中,個保法草案中的這一定義相比于《網絡安全法》、以及剛剛通過的《民法典——人格權編》中以身份識別為核心的“個人信息”定義存在差異。除了體系內部的一致性問題,仍需要對定義的科學性再討論,“個人信息”是《個人信息保護法》的基石,在“個人信息”與“非個人信息”邊界逐步模糊的大數據時代,確立“個人信息”的合理邊界仍然是一個難題。邊界過窄,無法對數字時代的個人提供有效的保護,但邊界過寬,乃至在實務中無法區分,也會對法律體系自身能否有效運轉帶來疑問。
(三) 定義:個人信息處理者
與GDPR不同的是,個保法草案未在定義中區分“控制者”和“處理者”的概念,而是將“自主決定處理目的、處理方式等個人信息處理事項的組織、個人”定義為“個人信息處理者”,這與GDPR對“控制者”的定義較為一致,GDPR下的“控制者”指的是“那些決定——不論是單獨決定還是共同決定——個人數據處理目的與方式的自然人或法人、公共機構、規制機構或其他實體”。
需要特別提示的是,從定義上來看,個保法草案中的“個人信息處理者”的概念應與GDPR中的“控制者(controller)”對應,而非GDPR中的“處理者(processor)”,在實踐中需要注意區分。特別是,與GDPR中的“處理者(processor)”相似的概念在個保法草案中并沒有相應的定義,唯一相關的規定是草案第22條中有關委托處理行為中對“受托方”的規定,這有可能在實踐中更容易引起混淆。且因為并沒有類似于歐盟GDPR中處理者(processor)這一獨立的法律主體概念,個保法草案中的出現的“第三方”、“受托方”在法律適用上可能也會出現混淆的情況。
二、制度層面
(一)合法事由
個保法草案參照GDPR的規定,規定了六種合法性事由。其中,1)取得個人的同意,2)為訂立或者履行個人作為一方當事人的合同所必需;3)為履行法定職責或者法定義務所必需,這三種合法事由與GDPR規定的前三條合法事由比較類似;而個保法草案所規定的第4種和第5種合法事由(為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;為公共利益實施新聞報道、輿論監督等行為在合理的范圍內處理個人信息),相比較于GDPR中“(d) 處理對于保護數據主體或另一個自然人的核心利益所必要的;(e) 處理是數據控制者為了公共利益或基于官方權威而履行某項任務而進行的”這兩種合法性事由,則存在明顯限縮。
此外,個保法草案的第6種合法性事由為“法律、行政法規規定的其他情形”,顯然為兜底性條款,以涵蓋之后可能確立的其他合法性事由。GDPR除了前述5種合法性事由外,還存在第6種確定性合法事由:“處理對于控制者或第三方所追求的正當利益是必要的,這不包括需要通過個人數據保護以實現數據主體的優先性利益或基本權利與自由,特別是兒童的優先性利益或基本權利與自由。”該事由在個保法草案中未有體現。實際上,正是考慮到數據處理的多種可能場景以及與其他正當利益的平衡,除了數據主體的同意之外,GDPR列入了多種合法性基礎,其中也包括了控制者或者第三方的正當利益事由。這說明,即使在GDPR中也并不總是把個人信息相關的保護利益列為絕對的優先項,需要在特定場景中予以平衡。
個保法起草說明中提出:“制定個人信息保護法是促進數字經濟健康發展的重要舉措。當前,以數據為新生產要素的數字經濟蓬勃發展,數據的競爭已成為國際競爭的重要領域,而個人信息數據是大數據的核心和基礎。黨的十九大報告提出了建設網絡強國、數字中國、智慧社會的任務要求。按照這一要求,應當統籌個人信息保護與利用,通過立法建立權責明確、保護有效、利用規范的制度規則,在保障個人信息權益的基礎上,促進信息數據依法合理有效利用,推動數字經濟持續健康發展。”簡言之,平衡個人信息保護與數字經濟創新發展應當是個人信息保護法立法考慮的重要因素。在數據處理的合法性事由中,后續還應就“數據處理者的正當利益”的場景展開討論。
此外,雖然個保法草案參考GDPR的規定增加了同意外的其他合法事由,但從后面的條款內容來看,部分并未考慮到合法性事由的多樣性,可能會存在一些瑕疵,例如:第15條規定處理未成年人信息時應取得監護人同意,但更準確的說應為在選擇同意作為合法事由的情形下,處理未成年人信息應取得監護人同意。再如:第47條規定個人信息處理者在個人撤回同意時應當刪除個人信息,但應為有關處理僅依據同意這一合法事由進行處理時,個人撤回同意才應當刪除個人信息。
(二)對“敏感個人信息”的特別規定
GDPR對“特殊類型個人數據”的處理采用了原則性禁止加例外情形的方式,且其對于同意原則和方式,并未做特別的規定。而個保法草案在表述上則采用了可處理加特定限制條件的方式,規定了個人信息處理者只有在具有特定的目的和充分的必要性的情形下,方可處理敏感個人信息,而且進一步規定,在基于同意處理敏感個人信息時,應當取得個人的單獨同意,同時還應向個人告知處理的必要性以及對個人的影響。相比于GDPR,個保法草案在敏感個人信息方面加重了個人信息處理者的合規義務,這對于涉及處理敏感個人信息的行業影響較大,用戶的單獨同意這一要求也將成為企業處理敏感個人信息的另一道門檻。
(三)跨境提供個人信息
關于數據的跨境轉移,GDPR規定了包括充足保護認定、有約束力的公司規則(BCR)、數據保護標準條款(SCC)、特別告知同意、履行合同必要等多種合規路徑,且并未對個人信息的本地化存儲做出限制,而個保法草案統一將告知并取得個人的單獨同意作為數據跨境傳輸前提條件,在合規路徑方面,規定了安全評估、個人信息保護認證、與境外接收方訂立合同等方式。同時,個保法草案還對關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者提出了本地化存儲的要求。草案的跨境規則對于跨境經營類企業(如境外跨國企業,中國出海企業)的影響較大,需根據其自身情況確定合規路徑,并征得用戶的單獨同意。
此外,個保法草案還規定如因國際司法協助或行政執法協助,需要向境外提供個人信息的,應當依法申請有關主管部門批準。
(四)處罰
參考GDPR的兩千萬歐元或上一年全球總營業額4%的金額的罰款上限(兩者取較高者),個保法草案將罰款上限規定為“五千萬元”或者“上一年度營業5%”。
除了規定罰款額度外,GDPR還規定處罰的考量因素,實踐中歐盟數據保護機構也會通過發布指南文件對處罰金額的確定方法作出指導,例如,德國聯邦和州的獨立數據保護機構在《關于確定企業GDPR相關罰款數額官方指南》中明確,在確定企業的罰款數額時會考量以下5個因素:企業規模、不同規模類別下企業的平均年度營業額、核定經濟基本值、違法行為嚴重程度,以及其他未考慮情形等因素。而個保法草案暫未涉及處罰的考量因素。
此外,相較于GDPR規定的“全球營業額4%”這一處罰標準,個保法草案的規定為“上一年度營業額5%”,而未明確營業額的范圍為境內還是全球。
可見,個保法草案雖規定了處罰上限,但未明確確定處罰數額的考量因素、針對適用的違法情形,以及營業額的范圍,有待進一步明確。
三、權利義務
(一)委托處理
GDPR中對于數據“控制者”和“處理者”有較細的法律義務的分配,且要求“控制者只能選用有充分保證的、可采取合適技術與組織措施的、其處理方式符合本條例要求并且保障數據主體權利的處理者”。
而個保法草案只是規定個人信息處理者委托處理個人信息的應當與受托方約定雙方權利義務,并對受托方的個人信息處理活動進行監督。就受托方的義務方面,除履行其合同義務,返還或刪除個人信息義務,及不得轉委托外,并無進一步的規定。
(二) 自動化決策
與GDPR相比,個保法草案中有關自動化決策的內容對個人信息處理者提出了更高的要求,主要體現在以下三個方面:
首先,在個人針對自動化決策的權利上,GDPR規定,個人有權反對該種自動化決策,但同時規定了三種豁免情況:履行合同必要、法律授權要求且采取恰當措施、數據主體明示同意。也就是說,在這三種情況下,數據主體并沒有針對自動化決策的拒絕權。而個保法草案第25條規定“個人認為自動化決策對其權益造成重大影響的,有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。”從當前規定來看,個保法草案并未對個人針對自動化決策的拒絕權進行限制,相較于GDPR,草案下個人的權利范圍更廣,相應地,處理者的義務也就更重。
其次,個保法草案要求“利用個人信息進行自動化決策,應當保證決策的透明度和處理結果的公平合理。”這對于信息處理者提出了保證“透明度”和“結果公平合理”兩方面要求,但未進一步解釋“透明度”“保證結果公平合理”應如何實現,差異化的理解可能導致實踐中對該義務的履行程度不一。在GDPR下,針對“透明度”這一要求,其明確規定,控制者應明確告知數據主體其使用了自動化決策(包括用戶畫像),此類情形下涉及的相關邏輯,以及此類處理對于數據主體的重要性和可能產生的后果,相較于個保法草案其規定更加細化。在確保“結果公平合理”方面,GDPR未明確使用該種表述,而是通過數據主體的反對權、豁免情形下施與控制者特定義務(例如采取適當措施保障數據主體的權利、自由、正當利益)的制度設計來間接達到這一效果。
最后,個保法草案還規定,“通過自動化決策方式進行商業營銷、信息推送,應當同時提供不針對其個人特征的選項”,也即針對特定場景下的特殊義務,而GDPR條文中未有類似規定。
(三)查閱復制權
個保法草案第45條規定,“個人請求查閱、復制其個人信息的,個人信息處理者應當及時提供。”但并未提及成本承擔的問題。GDPR對此明確規定:“控制者應當對進行處理的個人數據提供一份副本。對于任何數據主體所要求的額外副本,控制者可以根據管理費用而收取合理的費用。”
(四)通知義務
GDPR規定,控制者在知悉個人信息泄露情形后應當及時告知有權監管機構,除非個人數據泄露對于自然人的權利與自由不太可能會帶來風險。此外,當個人數據泄露很可能給自然人的權利與自由帶來高風險時,控制者應當及時向數據主體傳達對個人數據的泄露。
個保法草案第55條同樣規定了個人信息處理者在個人信息泄露時的告知義務,與GDPR略有不同的是,草案規定,個人信息處理者只要發現個人信息泄露的,應當立即采取補救措施,并通知監管部門和個人;但采取措施能夠有效避免信息泄露造成損害的,可以不通知個人,除非監管部門要求個人信息處理者通知個人。