2021年11月1日,《中華人民共和國個人信息保護法》(以下稱:個人信息保護法)正式施行。個人信息保護法集中體現了以人民為中心的立法理念,并將在國家層面建立健全個人信息保護制度,預防和懲治侵害個人信息權益的行為,加強個人信息保護宣傳教育,推動形成政府、企業、相關社會組織、公眾共同參與個人信息保護的良好環境,確保個人信息保護法的各項要求和規定在社會生活中得到全面的貫徹和實施。在學習和貫徹個人信息保護法時,浙江大學王春暉教授建議重點把握以下十大核心要點。
一、 “規范個人信息處理活動”:是個人信息保護法的核心
目前,在各類個人信息保護法的解讀文章中,大多在談論個人信息保護的內容,很少涉及如何促進個人信息合理利用。實質上,個人信息保護法的立法目的不僅僅是“保護”個人信息,而是“保護”和“利用”同步推進。
個人信息保護法第一條規定:“為了保護個人信息權益,規范個人信息處理活動,促進個人信息合理利用,根據憲法,制定本法?!?從個人信息保護法的立法目的看,個人信息保護法的實質功能是一部個人信息處理活動行為規范法,個人信息保護的真正立法目的有兩個,一個是“保護個人信息權益”,另一個是“促進個人信息合理利用”,其中“規范個人信息處理活動”處于整個個人信息保護法的核心地位,只有夯實“規范個人信息處理活動”這個關鍵環節,才能確保實現保護個人信息權益和促進個人信息合理利用之目的。
二、個人信息的內涵與匿名化
個人信息保護法第四條第一款明確了“個人信息”的定義:“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息?!痹摱x與網絡安全法、民法典以及最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中的“個人信息”定義在基本概念上保持了一致,強調了“已識別或者可識別的自然人信息”,但在內涵上卻有很大的不同。個人信息保護法中的“個人信息”定義增加了“不包括匿名化處理后的信息”,明確了“個人信息”經匿名化處理后不屬于個人信息,也就無須適用個人信息保護法的相關規定,體現了個人信息保護法的“保護”和“利用”并重。
個人信息保護法第七十三條(四)將“匿名化”定義為:“是指個人信息經過處理無法識別特定自然人且不能復原的過程?!痹摱x中的“不能復原”主采取了以下兩種方法,一是刪除個人信息包含的個人描述部分,包括將描述部分替換為其他描述部分,或者使用具有不可恢復的方法等;二是刪除所述個人信息中所包含的全部標識符,包括將標識符替換為其他描述部分,或者使用具有不可恢復的方法等。
三、個人信息保護法的域外效力
在數字化、智能化和網絡化的時代,數據正在以前所未有的方式自由流動和跨境傳輸,因此個人信息保護立法僅有域內效力的規定根本無法充分保護本國公民的個人信息。2018年生效的歐盟GDPR率先確立了個人數據保護的域外效力,目前已有多個國家的個人信息保護法借鑒了GDPR域外效力的立法實踐,我國的個人信息保護法也反映了國際個人信息保護的域外效力趨勢。
我國個人信息保護法第三條第二款的規定,在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動,有下列三種情形之一的,也適用個人信息保護法:一是“以向境內自然人提供產品或者服務為目的”,比如一家位于美國運營的電子商務網站(Amazon)向中國境內的自然人(包括本國人、外國人和無國籍人)提供產品或服務;二是“分析、評估境內自然人的行為”,比如一家位于境外的社交網站分析、評估中國境內自然人的行為,像全球最大的社交網站Facebook,每年發布專門的用戶行為習慣研究分析報告;三是法律、行政法規規定的其他情形,如我國數據安全法第二條第二款明確規定:“在中華人民共和國境外開展數據處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任?!?/span>
四、個人信息處理的核心原則
個人信息保護法總則部分確立了多項處理個人信息的基本原則,對這部法律的實施具有重要的指導意義,個人信息保護法的基本原則主要涉及的是個人信息處理的基本準則,特別是在云環境和平臺經濟的背景下,很多新型和疑難的個人信息保護案件很難精準地適用具體相應的法律條款,但是個人信息處理的基本原則具有協調、漏洞補充和緩和規則不公正的作用,對新型個人信息保護案件的適用將發揮重要作用,應當透徹的理解。
個人信息保護法主要確立以下五項重要原則:一是遵循合法、正當、必要和誠信原則;二是采取對個人權益影響最小的方式,限于實現處理目的的最小范圍原則;三是處理個人信息應當遵循公開、透明原則;四是處理個人信息應當保證個人信息質量原則;五是采取必要措施確保個人信息安全原則等。以上個人信息處理原則,如“遵循合法、正當、必要”、“應當遵循公開、透明原則”以及“保障個人信息安全”等原則在《全國人民代表大會常務委員會關于加強網絡信息保護的決定》、網絡安全法、民法典、消費者權益保護法等相關個人信息保護立法中均規定,已經成為我國個人信息處理應遵循的通用規則。
我以為,個人信息保護法總則部分第六條確立的兩個“最小原則”,是個人信息處理應遵循的核心原則,尤其是處理目的的“最小范圍”,這是禁止“過度收集個人信息”的關鍵要點,因為個人信息處理者只有在嚴格遵守處理目的的“最小范圍”的前提下,即“非必要不收集”的情況下,才能確保其采取對個人權益影響最小的方式。個人信息保護法第八條還專門規定了處理個人信息應當保證個人信息的質量,這項原則也極為重要,如果個人信息不準確或不完整將對個人權益造成不利影響,比如疫情期間“通信大數據行程卡”記錄的“表示當前該城市存在中風險或高風險地區,并不表示用戶實際到訪過這些中高風險地區”,以上對個人行程信息的記錄就不夠準確或不夠完整,給用戶的出行帶來了極大的不便。我以為,準確和完整的信息應該是“該城市存在中風險或高風險地區,具體應當注明是哪幾個區域存在中風險或高風險,該用戶是否實際到過這些中高風險區域”。
五、以“告知-知情-同意”為核心的個人信息處理規則
“告知-同意”這一個人信息處理規則,在全國人大常委會的《決定》、網絡安全法、消費者權益保護法以及民法典等法律中均有規定。個人信息保護法不僅是確立了以“告知-同意”的個人信息處理規則,而是構建了以“告知-知情-同意”為核心的個人信息處理規則體系。
應當指出,個人信息處理者“告知”的目的是為了確保被告知者的充分“知情”,只有被告知者在充分知情的前提下才能自愿、明確地作出決定。為此,個人信息保護法第十四條明確規定:“基于個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自愿、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定?!庇纱?,個人信息保護法構建了以“告知-知情-同意”為核心的個人信息處理規則。
六、敏感個人信息的認定與保護規則
民法典第一千零三十四條的三款:“個人信息中的私密信息,適用有關隱私權的規定;沒有規定的,適用有關個人信息保護的規定?!币虼?,個人信息保護法沒有對自然人的隱私信息做出專門規定,而是將個人信息分為敏感信息和非敏感信息,并設專節設置了“敏感個人信息的處理規則”。
個人信息保護法第二十八條給出了“敏感個人信息”的定義,即“敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息?!痹摱x采用了“個人信息被泄露或者非法使用+危害后果+列舉重要敏感個人信息”的立法技術,同時將不滿十四周歲未成年人的個人信息也納入了“敏感個人信息”給予重點保護。
個人信息保護法對處理敏感個人信息作出了嚴格的限制性規定,即在履行“告知-知情-同意”原則的基礎上,只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。特別是處理敏感個人信息應當取得個人的單獨同意,如果法律、行政法規規定處理敏感個人信息應當取得書面同意的,應當從其規定。
七、嚴禁“大數據殺熟”以及為“用戶畫像”等涉及不當自動化決策
針對“大數據殺熟”、“用戶畫像”和“算法推薦”等涉及個人信息自動化決策的熱點問題,個人信息保護法作出了明確規范(第二十四條):首先,個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇;其次,通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式;第三,通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。
個人信息保護法就個人信息處理者利用個人信息進行自動化決策重點確立了一項義務性規范和一項禁止性規定:一是應當保證決策的透明度和結果公平、公正;二是不得對個人在交易價格等交易條件上實行不合理的差別待遇。
八、個人信息跨境提供規則
在數字和網絡時代,特別是疫情激發的非接觸式經濟,使得個人信息的跨境流動日益頻繁,但是由于不同國家的個人信息法律制度存在差異,個人信息跨境流動的規則也有所不同。我國個人信息保護法立足我國實際,并借鑒了國際立法經驗,確立了一套完善的個人信息跨境提供規則。
個人信息保護法明確了個人信息處理者向境外提供個人信息應當具備的基本條件,如關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的處理者,確需向境外提供個人信息的,應當通過國家網信部門組織的安全評估;對于其他需要跨境提供個人信息的,應由專業機構進行個人信息保護認證;個人信息處理者因業務需要向境外提供個人信息,需按照國家網信部門的標準合同與境外接收方訂立合同;對我國締結或者參加的國際條約、協定對向我國境外提供個人信息的條件等有規定的,可以按照其規定執行等。
個人信息保護法對個人信息處理者跨境提供個人信息的“告知與單獨同意”作出了嚴格的要求;對因國際司法協助或者行政執法協助,需要向境外提供個人信息的,要求依法申請有關主管部門批準,特別是對從事損害我國公民個人信息權益或者危害我國國家安全、公共利益等活動的境外組織、個人,以及在個人信息保護方面對我國采取不合理措施的國家和地區,規定了相應的限制或者禁止措施。
九、個人在個人信息處理活動中的七項權利
個人信息保護法全面構建了個人在個人信息處理活動中的權利,包括知情權、決定權(限制、拒絕和撤回權)、查閱復制權、個人信息可可攜帶權、更正補充權、刪除權、規則解釋權。
1.知情同意權,收集和使用公民個人信息必須遵循合法、正當、必要原則,且目的必須明確并經用戶的知情同意;2.決定權,有權限制、拒絕或撤回他人對其個人信息的處理;3.查閱復制權,個人有權向個人信息處理者查閱、復制其個人信息;4.個人信息移轉權,個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑;5.更正補充權,個人發現其個人信息不準確或者不完整的,有權請求個人信息處理者更正、補充;6.刪除權,在五種情形下,個人信息處理者應當主動刪除個人信息;個人信息處理者未刪除的,個人有權請求刪除:1)處理目的已實現、無法實現或者為實現處理目的不再必要,2)個人信息處理者停止提供產品或者服務,或者保存期限已屆滿,3)個人撤回同意,4)個人信息處理者違反法律、行政法規或者違反約定處理個人信息,5)法律、行政法規規定的其他情形;7.規則解釋權,個人有權要求個人信息處理者對其個人信息處理規則進行解釋說明。
十、重要互聯網平臺的“守門人”制度
鑒于重要互聯網平臺掌握海量用戶數據,一旦發生信息泄露或濫用,可能導致嚴重后果,個人信息保護法專門要求其履行“守門人”角色,并承擔更多責任,主要包括:1.應按照國家規定建立健全個人信息保護合規制度體系;2.成立主要由外部成員組成的獨立機構進行監督;3.遵循公開、公平、公正的原則制定平臺規則;4.對嚴重違法處理個人信息的平臺內產品或服務提供者停止提供服務;5.定期發布個人信息保護社會責任報告并接受社會監督等。
2021年10月29日,國家市場監督管理總局就《互聯網平臺分類分級指南(征求意見稿)》《互聯網平臺落實主體責任指南(征求意見稿)》公開征求意見?!痘ヂ摼W平臺分類分級指南(征求意見稿)》根據用戶規模、業務種類、限制能力,將互聯網平臺分為以下三級:超級平臺、大型平臺和中小平臺,其中“超級平臺”指同時具備超大用戶規模、超廣業務種類、超高經濟體量和超強限制能力的平臺。其中,超大用戶規模,即平臺上年度在中國的年活躍用戶不低于5億;超廣業務種類,即平臺核心業務至少涉及兩類平臺業務,該業務涉及網絡銷售、生活服務、社交娛樂、信息資訊、金融服務、計算應用等六大方面;超高經濟體量,即平臺上年底市值(估值)不低于10000億元人民幣;超強限制能力,即平臺具有超強的限制商戶接觸消費者(用戶)的能力。
《互聯網平臺落實主體責任指南(征求意見稿)》明確了超大型平臺經營者的八大主體責任,一是公平競爭的示范責任,超大型平臺經營者具有規模、數據、技術等優勢,應當發揮公平競爭示范引領作用;二是平等治理的責任,超大型平臺經營者應當遵守公平和非歧視原則,平等對待平臺自身(或關聯企業)和平臺內經營者,不實施自我優待;三是開放生態的責任,超大型平臺經營者應當在符合安全以及相關主體權益保障的前提下,推動其提供的服務與其他平臺經營者提供的服務具有互操作性;四是數據管理的責任,超大型平臺經營者應當建立健全數據安全審查與內控機制,對涉及用戶個人信息的處理、數據跨境流動,涉及國家和社會公共利益的數據開發行為,必須嚴格依法依規進行,確保數據安全;五是內部治理的責任,超大型平臺經營者應當設置平臺合規部門,不斷完善平臺內部合規制度和合規機制,響應監管部門的監管要求,并建立平臺內部預防腐敗機制;六是風險評估的責任,超大型平臺經營者應當至少每年進行一次風險評估,重點識別、分析和評估由其提供的互聯網平臺服務可能引起的各種風險,并定期發布風險評估報告;七是安全審計的責任,超大型平臺經營者應定期委托第三方獨立機構對《互聯網平臺落實主體責任指南》所規定的主體責任的遵守情況進行審計,并由第三方獨立機構發布書面審計報告;八是促進創新的責任,超大型互聯網平臺經營者應當充分利用數據、資金、人才、用戶和技術等資源優勢,加大創新投入,提升技術水平,組織核心技術攻關,加快技術迭代,扶持中小科技企業創新,不斷激發平臺經濟領域創新發展活力。
十一、嚴格的行政和民事法律責任
為了確保個人信息處理者遵守個人信息保護之義務,嚴格規范個人信息的處理活動,個人信息保護法設置了嚴格的行政和民事法律責任。
個人信息保護法第六十六條對違法處理個人信息,或者處理個人信息未履行法定的個人信息保護義務設置了三項法律責任,一是由履行個人信息保護職責的部門責令改正,給予警告,沒收違法所得,對違法處理個人信息的應用程序,責令暫?;蛘呓K止提供服務;二是拒不改正的,并處一百萬元以下罰款;三是對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
如果有上述規定的違法行為,且情節嚴重的,設置了兩項更嚴格的法律責任,一是由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;二是對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。
特別是“并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照”,這項處罰是非常嚴厲的。我們可以對比GDPR對違反信息披露和保護個人信息違規實施的處罰:嚴重違約罰款2000萬歐元或全球營業額的4%(以較高者為準);輕微違約罰款 1000萬歐元或全球營業額的2%(以較高者為準),比如蘋果公司最近幾年的收入都超過了2000億美元,那么按照“全球營業額的4%”計算,罰金就有可能高達80億美元??梢?,我國個人信息保護法的處罰金額與GDPR的罰金是一個等量級的,不過GDPR對違反信息披露和保護個人信息的經濟處罰責任重點強調違約罰款,特別強調了是“全球營業額”的罰款比例。我國個人信息保護法已經設立了域外效力,因此法律責任的適用也應當具有全球視野。