【作者简介】王新锐、罗为,北京安理律师事务所高级合伙人。
2020年10月中旬,《个人信息保护法(草案)》(以下称“个保法草案”或“草案”)提交全国人大常委会审议,并公开征求意见。作为个人信息保护领域的专门立法,其对个人信息处理的原则和规则进行了规定,涵盖了个人信息处理的不同环节、不同个人信息种类及处理方式。
根据起草者的说明,个保法草案在起草过程中,坚持立足国情与借鉴国际经验相结合。从内容来看,其在适用范围、处理规则、个人权利和义务等方面较多地借鉴了在个人信息保护领域极具知名度和影响力的欧盟《通用数据保护条例》(“GDPR”),但在细节上与GDPR相比又存在一定的差异性。在此背景下,为便于读者更好地理解当前个保法草案,我们在下文以草案与GDPR的异同为切入点,从法律适用与定义、制度层面、与权利义务三个方面对草案重点规定进行比较解读。
一、法律适用与基本定义
(一)法律适用:我国个保法草案参考GDPR,扩展了域外管辖,但在属地管辖方面,GDPR落脚于“设立地”,我国草案侧重于“数据处理行为地”。各国法律域外适用扩张,在未来可能会带来管辖冲突问题。
在法律适用方面,GDPR从控制者/处理者的设立地点为切入点,确定了GDPR的境内和境外适用情形。欧洲数据保护委员会通过发布指南,进一步解释了该两个维度下的适用标准。
首先是“营业地/设立”标准:在欧盟境内设立的数据控制者或处理者对个人数据的处理行为(不论其实际数据处理行为在何处),都应适用GDPR。其次是“目标指向”标准:即使有关个人数据处理活动的控制者或处理者不在欧盟设立,但若其:(a)为欧盟境内的数据主体提供商品或服务;或 (b)对发生在欧盟境内的数据主体的活动进行监控,则该类控制者或处理者也同样适用GDPR。
我国个保法草案对于适用范围规定思路借鉴了GDPR的规定,但切入点采用的是“处理行为”发生的地点。在境内适用方面,个保法的规定更偏向于属地原则:“组织、个人在中华人民共和国境内处理自然人个人信息的活动,适用本法。”也就是说,无论处理者是否在境内设立,或者其处理的个人信息是否为境内自然人的信息,只要处理行为发生在境内,都将受到个保法的管辖。在域外管辖方面,个保法草案也参考了GDPR的规定:对于在境外处理的“境内自然人个人信息”,只要符合“向境内自然人提供产品或者服务为目的”、“为分析、评估境内自然人的行为”及其他规定情形时,也应适用个保法的规定,对应GDPR下的“目标指向”标准。此外,草案还参考GDPR的规定,要求此类境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务。
扩展域外适用,是近年来个人信息保护立法领域逐步浮现的趋势,针对于跨境提供服务的管辖不足问题,但各国法律的扩展适用,也不可避免地产生了管辖冲突问题,加剧了法律适用中的碎片化现象,对企业运营,特别是开展国际化业务的企业合规工作带来更大挑战。
(二)定义:个人信息
个保法草案中“个人信息”的定义为:“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。这与GDPR中“个人数据,指的是任何已识别或可识别的自然人(“数据主体”)相关的信息”这一定义基本一致,而且GDPR序言(Recital)第26条,也明确规定了数据保护原则不适用于匿名信息。但在我国个人信息保护法律体系中,个保法草案中的这一定义相比于《网络安全法》、以及刚刚通过的《民法典——人格权编》中以身份识别为核心的“个人信息”定义存在差异。除了体系内部的一致性问题,仍需要对定义的科学性再讨论,“个人信息”是《个人信息保护法》的基石,在“个人信息”与“非个人信息”边界逐步模糊的大数据时代,确立“个人信息”的合理边界仍然是一个难题。边界过窄,无法对数字时代的个人提供有效的保护,但边界过宽,乃至在实务中无法区分,也会对法律体系自身能否有效运转带来疑问。
(三) 定义:个人信息处理者
与GDPR不同的是,个保法草案未在定义中区分“控制者”和“处理者”的概念,而是将“自主决定处理目的、处理方式等个人信息处理事项的组织、个人”定义为“个人信息处理者”,这与GDPR对“控制者”的定义较为一致,GDPR下的“控制者”指的是“那些决定——不论是单独决定还是共同决定——个人数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体”。
需要特别提示的是,从定义上来看,个保法草案中的“个人信息处理者”的概念应与GDPR中的“控制者(controller)”对应,而非GDPR中的“处理者(processor)”,在实践中需要注意区分。特别是,与GDPR中的“处理者(processor)”相似的概念在个保法草案中并没有相应的定义,唯一相关的规定是草案第22条中有关委托处理行为中对“受托方”的规定,这有可能在实践中更容易引起混淆。且因为并没有类似于欧盟GDPR中处理者(processor)这一独立的法律主体概念,个保法草案中的出现的“第三方”、“受托方”在法律适用上可能也会出现混淆的情况。
二、制度层面
(一)合法事由
个保法草案参照GDPR的规定,规定了六种合法性事由。其中,1)取得个人的同意,2)为订立或者履行个人作为一方当事人的合同所必需;3)为履行法定职责或者法定义务所必需,这三种合法事由与GDPR规定的前三条合法事由比较类似;而个保法草案所规定的第4种和第5种合法事由(为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息),相比较于GDPR中“(d) 处理对于保护数据主体或另一个自然人的核心利益所必要的;(e) 处理是数据控制者为了公共利益或基于官方权威而履行某项任务而进行的”这两种合法性事由,则存在明显限缩。
此外,个保法草案的第6种合法性事由为“法律、行政法规规定的其他情形”,显然为兜底性条款,以涵盖之后可能确立的其他合法性事由。GDPR除了前述5种合法性事由外,还存在第6种确定性合法事由:“处理对于控制者或第三方所追求的正当利益是必要的,这不包括需要通过个人数据保护以实现数据主体的优先性利益或基本权利与自由,特别是儿童的优先性利益或基本权利与自由。”该事由在个保法草案中未有体现。实际上,正是考虑到数据处理的多种可能场景以及与其他正当利益的平衡,除了数据主体的同意之外,GDPR列入了多种合法性基础,其中也包括了控制者或者第三方的正当利益事由。这说明,即使在GDPR中也并不总是把个人信息相关的保护利益列为绝对的优先项,需要在特定场景中予以平衡。
个保法起草说明中提出:“制定个人信息保护法是促进数字经济健康发展的重要举措。当前,以数据为新生产要素的数字经济蓬勃发展,数据的竞争已成为国际竞争的重要领域,而个人信息数据是大数据的核心和基础。党的十九大报告提出了建设网络强国、数字中国、智慧社会的任务要求。按照这一要求,应当统筹个人信息保护与利用,通过立法建立权责明确、保护有效、利用规范的制度规则,在保障个人信息权益的基础上,促进信息数据依法合理有效利用,推动数字经济持续健康发展。”简言之,平衡个人信息保护与数字经济创新发展应当是个人信息保护法立法考虑的重要因素。在数据处理的合法性事由中,后续还应就“数据处理者的正当利益”的场景展开讨论。
此外,虽然个保法草案参考GDPR的规定增加了同意外的其他合法事由,但从后面的条款内容来看,部分并未考虑到合法性事由的多样性,可能会存在一些瑕疵,例如:第15条规定处理未成年人信息时应取得监护人同意,但更准确的说应为在选择同意作为合法事由的情形下,处理未成年人信息应取得监护人同意。再如:第47条规定个人信息处理者在个人撤回同意时应当删除个人信息,但应为有关处理仅依据同意这一合法事由进行处理时,个人撤回同意才应当删除个人信息。
(二)对“敏感个人信息”的特别规定
GDPR对“特殊类型个人数据”的处理采用了原则性禁止加例外情形的方式,且其对于同意原则和方式,并未做特别的规定。而个保法草案在表述上则采用了可处理加特定限制条件的方式,规定了个人信息处理者只有在具有特定的目的和充分的必要性的情形下,方可处理敏感个人信息,而且进一步规定,在基于同意处理敏感个人信息时,应当取得个人的单独同意,同时还应向个人告知处理的必要性以及对个人的影响。相比于GDPR,个保法草案在敏感个人信息方面加重了个人信息处理者的合规义务,这对于涉及处理敏感个人信息的行业影响较大,用户的单独同意这一要求也将成为企业处理敏感个人信息的另一道门槛。
(三)跨境提供个人信息
关于数据的跨境转移,GDPR规定了包括充足保护认定、有约束力的公司规则(BCR)、数据保护标准条款(SCC)、特别告知同意、履行合同必要等多种合规路径,且并未对个人信息的本地化存储做出限制,而个保法草案统一将告知并取得个人的单独同意作为数据跨境传输前提条件,在合规路径方面,规定了安全评估、个人信息保护认证、与境外接收方订立合同等方式。同时,个保法草案还对关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者提出了本地化存储的要求。草案的跨境规则对于跨境经营类企业(如境外跨国企业,中国出海企业)的影响较大,需根据其自身情况确定合规路径,并征得用户的单独同意。
此外,个保法草案还规定如因国际司法协助或行政执法协助,需要向境外提供个人信息的,应当依法申请有关主管部门批准。
(四)处罚
参考GDPR的两千万欧元或上一年全球总营业额4%的金额的罚款上限(两者取较高者),个保法草案将罚款上限规定为“五千万元”或者“上一年度营业5%”。
除了规定罚款额度外,GDPR还规定处罚的考量因素,实践中欧盟数据保护机构也会通过发布指南文件对处罚金额的确定方法作出指导,例如,德国联邦和州的独立数据保护机构在《关于确定企业GDPR相关罚款数额官方指南》中明确,在确定企业的罚款数额时会考量以下5个因素:企业规模、不同规模类别下企业的平均年度营业额、核定经济基本值、违法行为严重程度,以及其他未考虑情形等因素。而个保法草案暂未涉及处罚的考量因素。
此外,相较于GDPR规定的“全球营业额4%”这一处罚标准,个保法草案的规定为“上一年度营业额5%”,而未明确营业额的范围为境内还是全球。
可见,个保法草案虽规定了处罚上限,但未明确确定处罚数额的考量因素、针对适用的违法情形,以及营业额的范围,有待进一步明确。
三、权利义务
(一)委托处理
GDPR中对于数据“控制者”和“处理者”有较细的法律义务的分配,且要求“控制者只能选用有充分保证的、可采取合适技术与组织措施的、其处理方式符合本条例要求并且保障数据主体权利的处理者”。
而个保法草案只是规定个人信息处理者委托处理个人信息的应当与受托方约定双方权利义务,并对受托方的个人信息处理活动进行监督。就受托方的义务方面,除履行其合同义务,返还或删除个人信息义务,及不得转委托外,并无进一步的规定。
(二) 自动化决策
与GDPR相比,个保法草案中有关自动化决策的内容对个人信息处理者提出了更高的要求,主要体现在以下三个方面:
首先,在个人针对自动化决策的权利上,GDPR规定,个人有权反对该种自动化决策,但同时规定了三种豁免情况:履行合同必要、法律授权要求且采取恰当措施、数据主体明示同意。也就是说,在这三种情况下,数据主体并没有针对自动化决策的拒绝权。而个保法草案第25条规定“个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”从当前规定来看,个保法草案并未对个人针对自动化决策的拒绝权进行限制,相较于GDPR,草案下个人的权利范围更广,相应地,处理者的义务也就更重。
其次,个保法草案要求“利用个人信息进行自动化决策,应当保证决策的透明度和处理结果的公平合理。”这对于信息处理者提出了保证“透明度”和“结果公平合理”两方面要求,但未进一步解释“透明度”“保证结果公平合理”应如何实现,差异化的理解可能导致实践中对该义务的履行程度不一。在GDPR下,针对“透明度”这一要求,其明确规定,控制者应明确告知数据主体其使用了自动化决策(包括用户画像),此类情形下涉及的相关逻辑,以及此类处理对于数据主体的重要性和可能产生的后果,相较于个保法草案其规定更加细化。在确保“结果公平合理”方面,GDPR未明确使用该种表述,而是通过数据主体的反对权、豁免情形下施与控制者特定义务(例如采取适当措施保障数据主体的权利、自由、正当利益)的制度设计来间接达到这一效果。
最后,个保法草案还规定,“通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项”,也即针对特定场景下的特殊义务,而GDPR条文中未有类似规定。
(三)查阅复制权
个保法草案第45条规定,“个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。”但并未提及成本承担的问题。GDPR对此明确规定:“控制者应当对进行处理的个人数据提供一份副本。对于任何数据主体所要求的额外副本,控制者可以根据管理费用而收取合理的费用。”
(四)通知义务
GDPR规定,控制者在知悉个人信息泄露情形后应当及时告知有权监管机构,除非个人数据泄露对于自然人的权利与自由不太可能会带来风险。此外,当个人数据泄露很可能给自然人的权利与自由带来高风险时,控制者应当及时向数据主体传达对个人数据的泄露。
个保法草案第55条同样规定了个人信息处理者在个人信息泄露时的告知义务,与GDPR略有不同的是,草案规定,个人信息处理者只要发现个人信息泄露的,应当立即采取补救措施,并通知监管部门和个人;但采取措施能够有效避免信息泄露造成损害的,可以不通知个人,除非监管部门要求个人信息处理者通知个人。