《个人信息保护法》合规中的重点和难点问题
(一)个人信息定义的扩张
从“个人信息”概念上来看,或许有人认为个保法中的定义只是沿袭了网安法和民法的表述,个中差别不大。但是从文义解释出发结合实务认知,笔者认为“个人信息”范围的嬗变逻辑是“个保法大于民法大于网安法”,理由如下:
1、网安法的落脚点在于识别范围,即自然人的“身份”。
对于“身份”的一般理解是指个人的社会身份,理论上不包括单独的设备参数以及网络使用行为等(当然实务合规中早已涵盖与设备相关的信息)。
注:按照第7版《现代汉语词典》的解释:身份是指“自身所处的地位”;身份权是指“公民基于特定身份依法享有的权利,如监护权、荣誉权、署名权、抚养权等”。
2、民法的落脚点在于识别效果,即识别 “特定”自然人。
民法虽然在网安法基础上去掉了“身份”限定,但还是聚集在“特定”的自然人上面,这样一来虽然部分信息属于具有识别可能性的信息(即可识别信息),但在没有与其他信息结合达到识别特定自然人的效果之前,仍存在不属于个人信息的解释空间。
3、个保法的落脚点在于“与识别有关”。
个保法将个人信息的概念定义为“与识别自然人有关”的信息,这样一来既不限于身份识别(也包括了设备识别和行为关联),也不限于实现已识别的效果(存在识别可能性即可),即单独信息虽然不具备身份属性也未实现已识别的效果,但只要产生自个人,就仍然是个人信息。对于B2C的互联网企业而言,除了衍生数据尚存争议之外,其他从用户端收集来的数据恐怕都会落入到个人信息的疆域之中。
(一)增设六项”从0到1“的全新要求
1、在“同意”之外新增了六项合法性基础
这部分原则上无需取得同意,但具有严格的适用前提,实务中适用空间较小。
2、新增高风险场景的单独同意
这里的高风险场景包括处理敏感信息,向第三方提供,个人信息出境等,此处的单独同意不但不得与一般的同意相耦合,而需要在上述特定场景设计单独的告知和交互方案,还需满足一般同意的合法要件。
3、新增高风险处理活动的评估与记录
这里的高风险处理活动包括处理敏感个人信息、委托处理、向第三方共享、数据出境、自动化决策、公开个人信息等,都需要开展DPIA的评估和记录工作。一言以蔽之,法务部门需要加人喽。
4、新增大型平台的主体责任
大型平台需要在一般处理者义务的基础上,额外履行相应的平台责任,具体包括指定DPO、履行”守门人“义务(即对平台内接入第三方的监督责任)、履行类上市公司义务(如成立独立监管机构、建立合规制度体系、发布社会责任报告等)。
5、确立“过错推定”原则
本原则可以在一定程度上被看作是对部分已有的司法案例裁判规则(尤其是个人信息泄露案件)的提取和演化,既然需要在诉讼中“自证清白”,企业需加强在日常工作中的合规评估与记录就是题中之义了。
6、增设“公益诉讼”
本法赋予了人民检察院、法律规定的消费者组织、国家网信部门指定的组织向法院提起公益诉讼的职权,以解决波及范围广、个体举证难等问题。此类模式在食品安全、环境污染、未成年人保护等领域中已有成熟案例,可借鉴参考。
1、更高标准的“告知-同意”规则
处理者取得合法同意的要求更高,不再是点击隐私政策的同意1.0,而是建立在”充分告知、明确自愿、便捷撤回“基础上的同意2.0,当然如何实现则是体现各家产品和合规人员智慧的时候了。
2、更明确的个人信息出境规则
个保法在网安法第37条和《数据安全法》第36条的基础上进一步明确了个人信息的出境规则,同时扩大了安全评估的范围。但目前除了获取个人的单独同意外,其他要求都还没有明确的落地方案,需持续关注。
3、更广泛的自动化决策规则
此规则主要面向个人信息的使用环节,也可以看作是对近年来“信息茧房”、“大数据杀熟”、”应用窃听“等事件的回应,且与对算法应用的规制部分耦合,亦是未来的热点和重点。
4、更全面的个人信息权利
有关个人信息权利是私法权利还是公法权利的话题(衍生话题还包括个保法是民法的特别法还是与之并行的行政法、个人信息权利是人格权还是财产权等)是近年来的学术争鸣热点,笔者赞同将个保法界定为仅面向解决(利用大数据和算法的)处理者与个人之间法律关系的定位。有关个人权利的具体范围、行权程序和行权条件等问题,需要后续专题讨论。
5、更细化的行政监管职权
个保法并未参照GDPR指定专门的个人信息保护监管机构,而依然延续了网安法所确立的“国家网信部门统筹协调--国务院有关部门(工信、公安、市场监管总局等)分别执法”的监管框架,同时明确了具体的监管职权,从前端检测到后端检查等。
6、更严厉的法律责任
个保法显著提高了违法行为的最高罚款数额,也通过一系列超严罚则推动处理者合规义务的全面落实。
ps.从8月20日起,笔者出于工作的原因已经写了不下四版解读,包括法言法语版、人话版、产品研发版、标题党版,分发过后询问反馈,大家纷纷表示太复杂了看到头秃,只记住了最高罚款和刑事责任。我说,这就够了。
互联网mate
一小撮人眼中的互联网世界:我们站在法律和互联网的十字路口,与同样在此张望的人共觅方向。
1