《個人信息保護法》對企業(yè)的十大影響
2021年8月20日《中華人民共和國個人信息保護法》(簡稱“《個人信息保護法》”)由第十三屆全國人民代表大會常務委員會第三十次會議審議通過并公布,將于2021年11月1日起施行?!秱€人信息保護法》實施之后,將與2017年6月1日實施的《網絡安全法》、以及2021年9月1日起生效的《數據安全法》一起,成為我國網絡空間管理和數據保護的“三駕馬車”。
《個人信息保護法》共八章,總計七十四個條款。其中,第一章為“總則”,第二章為“個人信息處理規(guī)則”(包含第一節(jié)“一般規(guī)定”、第二節(jié)“敏感個人信息的處理規(guī)則”、第三節(jié)“國家機關處理個人信息的特別規(guī)定”),第三章為“個人信息跨境提供的規(guī)則”,第四章為“個人在個人信息處理活動中的權利”,第五章為“個人信息處理者的義務”,第六章為“履行個人信息保護職責的部門”,第七章為“法律責任”,第八章為“附 則”。本文重點解讀《個人信息保護法》將對企業(yè)產生的十大影響。
一、企業(yè)應關注個人信息權益,并注意域外適用
《民法典》第一百一十一條中提到,自然人的個人信息受法律保護。而《個人信息保護法》第二條中將個人信息明確定義為一項權益,即“個人信息權益”。這是在目前互聯網背景之下為了規(guī)范個人信息處理活動,促進個人信息合理利用的應有之舉。
根據《個人信息保護法》第四條,個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。
因此,企業(yè)在實際經營之中,特別是在數據收集、使用和傳輸的過程中,應關注個人信息權益,防止個人信息泄露、個人信息過度采集等侵權行為的發(fā)生,否則將承擔民事、行政、甚至刑事的相關責任。
此外,在法域適用方面,企業(yè)應當注意《個人信息保護法》不僅適用于在我國境內處理自然人個人信息的活動,也適用于在境外處理我國境內自然人個人信息的活動。例如,以向境內自然人提供產品或者服務為目的,分析、評估境內自然人的行為等。這對有跨境業(yè)務的企業(yè)而言,提出了更高的合規(guī)要求,值得關注。
二、企業(yè)在處理個人信息時應滿足七大原則
對于企業(yè)來說,在處理個人信息時,應滿足以下七大原則:“遵循合法、正當、必要和誠信原則”(第五條)、“具有明確、合理的目的”(第六條,即“目的限定原則”)、“采取對個人權益影響最小的方式……限于實現處理目的的最小范圍,不得過度收集個人信息”(第六條,即“最小必要原則”)、“遵循公開、透明原則”(第七條)、“保證個人信息的質量”(第八條,即“質量原則”)、“對其個人信息處理活動負責”(第九條,即“可問責性”原則)、“采取必要措施保障所處理的個人信息的安全”(第九條,即“數據安全”原則)。
滿足以上七大原則,對于個人信息處理者來說,是最基本的原則性要求。此外,對于企業(yè)來說,根據《個人信息保護法》第十條的規(guī)定,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息,也不得從事危害國家安全、公共利益的個人信息處理活動,這也是對企業(yè)在數據收集和處理活動過程中提出的基本合法性要求。
三、企業(yè)應注意區(qū)分知情同意的不同情形
對于企業(yè)來說,通常來說,只有取得個人的同意,方可處理個人信息,這是“告知—同意”的核心原則的體現。企業(yè)還應當注意單獨同意或者書面同意的問題,也即根據《個人信息保護法》第十四條的規(guī)定,法律、行政法規(guī)規(guī)定處理個人信息應當取得個人單獨同意或者書面同意的,從其規(guī)定。這對特殊情形下的知情同意(例如第三十一條有關未成年人個人信息采集,應取得其父母或其他監(jiān)護人的同意),提出了更高的要求。
但也需要注意,根據《個人信息保護法》第十三條的規(guī)定,還有“不需取得個人同意”的其他特殊情形,也即:(1)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需;(2)為履行法定職責或者法定義務所必需;(3)為應對突發(fā)公共衛(wèi)生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;(4)為公共利益實施新聞報道、輿論監(jiān)督等行為,在合理的范圍內處理個人信息;以及(5)依照本法規(guī)定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息(第十三條第二項至第六項)。以上特殊情形,對于普通企業(yè)的人力資源管理提供了方便之門,也為政府部門在應對突發(fā)公共衛(wèi)生事件時進行數據合法收集提供了法律依據。對于從事新聞報道、輿論監(jiān)督的企業(yè)而言,如果是為公共利益在合理的范圍內處理個人信息的,也可以不用取得個人同意。另外,對于緊急情況下為保護自然人的生命健康和財產安全所必需,以及個人自行公開的情形,也不需要獲得知情同意。
對于需要知情同意的情形,在個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的,應當重新取得個人同意(第十四條)。并且,企業(yè)還應當保障個人的撤回同意權,也即基于個人同意處理個人信息的,個人有權撤回其同意,個人信息處理者應當提供便捷的撤回同意的方式(第十五條)。針對撤回同意的情形,個人撤回同意,不影響撤回前基于個人同意已進行的個人信息處理活動的效力(第十五條)。在個人不同意處理其個人信息或者撤回同意的情況下,個人信息處理者不得因此而拒絕提供產品或者服務,但處理個人信息屬于提供產品或者服務所必需的除外(第十六條)。
四、企業(yè)在共同處理和委托處理中承擔不同責任
對于共同處理的情形,也即兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的,應當約定各自的權利和義務。但是,該約定不影響個人向其中任何一個個人信息處理者要求行使本法規(guī)定的權利(第二十條)。也即,用戶有權向共同處理的任意一方行使權利,合同只能在合作企業(yè)內部發(fā)生效力,而一旦發(fā)生侵害個人信息權益造成損害的,企業(yè)都應當依法承擔連帶責任。
對于委托處理的情形,也即個人信息處理者委托處理個人信息的,應當與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等,并對受托人的個人信息處理活動進行監(jiān)督(第二十一條)。而受托人應當按照約定處理個人信息,不得超出約定的處理目的、處理方式等處理個人信息;委托合同不生效、無效、被撤銷或者終止的,受托人應當將個人信息返還個人信息處理者或者予以刪除,不得保留。這對委托方和受托方的數據活動都提出了相應的合規(guī)要求。
此外,對于因合并、分立、解散、被宣告破產等原因需要轉移個人信息的,企業(yè)應當向個人告知接收方的名稱或者姓名和聯系方式。接收方應當繼續(xù)履行個人信息處理者的義務。接收方變更原先的處理目的、處理方式的,應當依照本法規(guī)定重新取得個人同意(第二十二條)。而企業(yè)向其他個人信息處理者提供其處理的個人信息的,應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。接收方變更原先的處理目的、處理方式的,應當依照本法規(guī)定重新取得個人同意(第二十三條)。
五、企業(yè)應避免大數據殺熟,規(guī)范自動化決策
大數據殺熟在互聯網電商領域中時有發(fā)生,對消費者的權益造成了損害,產生了非常不良的影響?!秱€人信息保護法》第二十四條對此進行了明確的規(guī)制,也即,個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。其中,自動化決策是指通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,并進行決策的活動(第七十三條)。
而且,通過自動化決策方式向個人進行信息推送、商業(yè)營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。也即,對于企業(yè)來說,個性化推送的廣告商業(yè)模式之外,還需要提供非個性化和可以拒絕的選項。
此外,對于企業(yè)來說,還需要注意通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。因此,企業(yè)應注意區(qū)分有重大影響的決定情形,并給用戶拒絕的權利。
六、企業(yè)應嚴格限制對敏感個人信息(包括未成年人信息)的處理
《個人信息保護法》第二十八條~第三十條對敏感個人信息的內容進行了介紹,企業(yè)應注意對敏感個人信息的處理活動要更加小心謹慎。這是因為,敏感個人信息一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害。例如,生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息(第二十八條)。
因此,目前法律規(guī)定,只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。而且,處理敏感個人信息應當取得個人的單獨同意;法律、行政法規(guī)規(guī)定處理敏感個人信息應當取得書面同意的,從其規(guī)定(第二十九條)。此外,個人信息處理者處理敏感個人信息的,除一般的告知事項外,還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響,但依法可以不向個人告知的除外(第三十條)。
此外,對于處理不滿十四周歲未成年人個人信息(亦屬于敏感個人信息)的情形,企業(yè)應當取得未成年人的父母或者其他監(jiān)護人的同意,而且對于該類信息,企業(yè)還應當制定專門的個人信息處理規(guī)則(第三十一條)。
七、企業(yè)應注意完善個人信息跨境提供規(guī)則
《個人信息保護法》第三章是有關“個人信息跨境提供的規(guī)則”的法律要求,可以稱為“中國版?zhèn)€人信息跨境流動規(guī)則”。作為一般要求,個人信息處理者因業(yè)務等需要向境外提供個人信息時,應當具備下列條件之一:
(1)依法通過國家網信部門組織的安全評估;
(2)按照國家網信部門的規(guī)定經專業(yè)機構進行個人信息保護認證;
(3)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;
(4)法律、行政法規(guī)或者國家網信部門規(guī)定的其他條件。
在向境外提供個人信息時,企業(yè)應注意:
● 個人信息處理者應當采取必要措施,保障境外接收方處理個人信息的活動達到本法規(guī)定的個人信息保護標準(第三十八條);
● 個人信息處理者應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權利的方式和程序等事項,并取得個人的單獨同意(第三十九條);
● 個人信息處理者應當事前進行個人信息保護影響評估,并對處理情況進行記錄(第五十五條)。
此外,對于關鍵信息基礎設施運營者(CIIO)和處理個人信息達到國家網信部門規(guī)定數量的個人信息處理者而言,應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的,應當通過國家網信部門組織的安全評估;法律、行政法規(guī)和國家網信部門規(guī)定可以不進行安全評估的,從其規(guī)定(第四十條)。
八、企業(yè)應關注個人信息主體享有的十大權利
《個人信息保護法》第四章規(guī)定了“個人在個人信息處理活動中的權利”,主要包括“享有知情權、決定權”(即知情權、決定權,第四十四條)、“有權限制或者拒絕他人對其個人信息進行處理” (即限制權、拒絕權,第四十四條)、“有權向個人信息處理者查閱、復制其個人信息”(即查閱權、復制權,第四十五條)、 “個人信息處理者應當提供將個人信息轉移至其指定的個人信息處理者的途徑”(即可攜帶權,第四十五條)、“有權請求個人信息處理者更正、補充”(即更正權,第四十六條)、“個人有權請求個人信息處理者主動刪除個人信息”(即刪除權,第四十七條)、自動化決策相關權利(第二十四條)
此外,個人還有權要求個人信息處理者對其個人信息處理規(guī)則進行解釋說明(第四十八條)。自然人死亡的,其近親屬為了自身的合法、正當利益,可以對死者的相關個人信息行使本章規(guī)定的查閱、復制、更正、刪除等權利(第四十九條)。對于個人信息處理者來說,應當建立便捷的個人行使權利的申請受理和處理機制,拒絕個人行使權利的請求的,應當說明理由(第五十條)。
九、企業(yè)應承擔作為個人信息處理者的相應義務
《個人信息保護法》第五章規(guī)定了“個人信息處理者的義務”,其中提到,作為個人信息處理者,企業(yè)應當:
● 根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,采取措施(例如制定制度、分類管理、加密、去標識化、制定并組織實施應急預案等)確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定,并防止未經授權的訪問以及個人信息泄露、篡改、丟失(第五十一條);
● 處理個人信息達到國家網信部門規(guī)定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監(jiān)督;公開個人信息保護負責人的聯系方式,并將個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部門(第五十二條);
● 處理境內個人信息的境外個人信息處理者,應當在中華人民共和國境內設立專門機構或者指定代表,負責處理個人信息保護相關事務,并將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門(第五十三條);
● 定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計(第五十四條);
● 對于處理敏感個人信息、利用個人信息進行自動化決策、向境外提供個人信息等情形,事前進行個人信息保護影響評估,并對處理情況進行記錄(至少保存三年,第五十五條);
● 發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的,個人信息處理者應當立即采取補救措施,并通知履行個人信息保護職責的部門和個人(第五十七條);
● 提供重要互聯網平臺服務、用戶數量巨大、業(yè)務類型復雜的個人信息處理者,應當成立主要由外部成員組成的獨立機構對個人信息保護情況進行監(jiān)督、制定有關個人信息保護的平臺規(guī)則、定期發(fā)布個人信息保護社會責任報告等(第五十八條)。
十、企業(yè)應要規(guī)避侵犯個人信息行為的法律責任
《個人信息保護法》第七章“法律責任”部分重點介紹了侵犯個人信息行為的各種責任,代表了目前對此類行為的嚴監(jiān)管的風向,作為企業(yè)以及企業(yè)的管理者而言,應特別注意以下法律責任:
● 違反本法規(guī)定處理個人信息,或者處理個人信息未履行本法規(guī)定的個人信息保護義務的,由履行個人信息保護職責的部門責令改正,給予警告,沒收違法所得,對違法處理個人信息的應用程序,責令暫?;蛘呓K止提供服務;拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款(第六十六條);
● 情節(jié)嚴重的,由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款,并可以責令暫停相關業(yè)務或者停業(yè)整頓、通報有關主管部門吊銷相關業(yè)務許可或者吊銷營業(yè)執(zhí)照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限內擔任相關企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責人(第六十七條);
● 處理個人信息侵害個人信息權益造成損害,個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任,該損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的,根據實際情況確定賠償數額(第六十九條);
● 違反本法規(guī)定,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任(第七十一條)。
由此可見,在法律責任方面,《個人信息保護法》從行政處罰、民事賠償、刑事責任等多個維度都予以了規(guī)制。特別地,在行政處罰方面,不僅可以處罰企業(yè)本身(最高至上一年度營業(yè)額百分之五),還可以對直接負責的主管人員和其他責任人員處以近百萬的罰款,這無疑使得企業(yè)在個人信息保護方面的合規(guī)需求更為迫切。
此外,對于個人信息處理者違反本法規(guī)定處理個人信息,侵害眾多個人的權益的,人民檢察院、法律規(guī)定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟(第七十條),這種“公益”訴訟也使得監(jiān)管的風險來自各個方向,對企業(yè)提出了更高的潛在合規(guī)要求。
總之,《個人信息保護法》對個人信息保護提出了更高的要求,作為企業(yè)來說,應當關注其對企業(yè)合規(guī)工作所帶來的影響,從而有效規(guī)避風險,保障企業(yè)的正常經營和持續(xù)發(fā)展。
特別鳴謝:北京高文律師事務所
潘聰律師