2021.04.30 董潇 郭超
一、立法进展和重要意义
2020年10月21日,经第十三届全国人大常委会第二十二次会议审议后,《中华人民共和国个人信息保护法(草案)》(以下简称“《一审稿》”)全文正式在中国人大网公布,并向社会征求意见。2021年4月29日,《中华人民共和国个人信息保护法(草案二次审议稿)》(以下简称“《二审稿》”)在经全国人大常委会会议审议后再次面向社会公布并征求意见至2021年5月28日。
至此,个人信息保护法的立法已步入最后冲刺阶段,这意味着我国第一部个人信息保护专门法律将很快正式面世,公民的个人信息保护将拥有更加完善、全面、系统的法律保护体系。
本文将全面梳理和总结《二审稿》的重点法律要求和内容,同时针对《二审稿》相较于《一审稿》的主要修改内容进行说明。
二、二审稿的重点内容
从总体上看,《二审稿》与《一审稿》的框架和体例基本一致,同样分为八章,且章节名称保持不变,但《二审稿》在条文数目上多出三条,共计七十三条。《二审稿》主要从语言表述方面对《一审稿》的若干条款进行修订和完善,同时增加了死者个人信息保护、超大型互联网平台的个人信息保护义务等重要规定。《二审稿》的重点内容总结及与《一审稿》的对比说明具体如下:
1、适用范围
《一审稿》除了规定“组织、个人在中华人民共和国境内处理自然人个人信息的活动适用本法”外,还在第三条第二款赋予了必要的域外适用效力,规定:以向境内自然人提供产品或者服务为目的,或者为分析、评估境内自然人的行为等发生在我国境外的个人信息处理活动,也适用本法。第五十二条进一步规定,本法第三条第二款规定的境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的相关信息报送个人信息保护主管部门。
《二审稿》在上述适用范围方面的要求与《一审稿》基本一致。
2、重要概念界定
《一审稿》第四条对“个人信息”及“个人信息的处理”分别进行界定。其中,个人信息指“以电子或者其他形式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”;个人信息的处理包括“个人信息的收集、存储、使用、加工、传输、提供、公开等活动”。
《一审稿》规定的法律义务大部分针对个人信息处理者。根据第六十九条规定,“个人信息处理者”是指自主决定处理目的、处理方式等个人信息处理事项的组织、个人。
在《二审稿》项下,上述概念的规定除语言表述有微调外没有实质变化。
3、 处理个人信息的基本规则
第二章规定了个人信息处理的规则,其中的重点内容及简要分析如下:
个人信息处理的法律基础。符合法定情形的方可处理个人信息,包括:个人的同意、订立或者履行个人作为一方当事人的合同所必需、为履行法定职责或义务所必需、应对突发公共卫生事件或紧急状况下保护自然人生命健康或财产安全所必需、新闻报道及舆论监督等合理范围内的个人信息处理以及法律、行政法规规定的其他情形。(《一审稿》第十三条)
《二审稿》在前述基础上增加了一项法定情形:“依照本法规定在合理的范围内处理已公开的个人信息”,同时明确原则上处理个人信息应当取得个人同意,但有上述后六项情形的不需取得个人同意。
个人信息处理的告知和同意要求。个人信息处理者在处理个人信息前,应以显著的方式、清晰易懂的语言向个人告知特定事项,个人对处理其个人信息的同意应当在其充分知情的前提上自愿、明确作出。法律、行政法规规定处理个人信息应取得个人单独同意或书面同意的,从其规定。根据法律、法规个人信息处理活动应保密或不需要告知的情形除外。(《一审稿》第十四、十八、十九条)“单独同意”的概念系首次提出。
《二审稿》项下个人信息处理的告知和同意要求与《一审稿》一致。
未成年人个人信息的处理。未满14岁的未成年人个人信息的处理应取得未成年人的父母或其他监护人同意。(《二审稿》第十五条)
《二审稿》仅在语言表述上进行了微调,实质要求未发生变化。
4、共同处理、委托处理、分享、转移个人信息的规则
共同处理。两个以上个人信息处理者共同决定个人信息处理目的与处理方式的,应当约定各自的权利和义务,但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。个人信息处理者共同处理个人信息,如侵害个人信息权益应承担连带责任。(《一审稿》第二十一条)
《二审稿》保留了《一审稿》有关个人信息主体向个人信息共同处理者其中任意一方的权利请求权以及处理者之间的连带责任的规定。
委托处理个人信息。个人信息处理者委托处理个人信息的,应与受托方约定委托处理的目的、处理方式等内容,受托方应在约定范围内处理个人信息。(《一审稿》第二十二条)
除上述内容外,《二审稿》还与民法典有关规定相衔接,补充规定:委托合同不生效、无效、被撤销或者终止的,受托方应当将个人信息返还个人信息处理者或者予以删除,不得保留。(《二审稿》第二十二条第二款)
分享个人信息。个人信息处理者向他人提供其处理的个人信息的,应向个人告知接收方的身份、联系方式、处理目的等信息,并取得个人的单独同意。接收方应在上述告知范围内处理个人信息。(《一审稿》和《二审稿》第二十四条)。
合并分立时的个人信息转移。个人信息处理者因合并、分立等原因需要转移个人信息的,应当向个人告知接收方的身份、联系方式,接收方应继续履行个人信息处理者的义务,若接收方变更原先的处理目的、处理方式的,应重新获取个人的同意。(《一审稿》和《二审稿》第二十三条)
5、处理敏感个人信息的特殊规则
《二审稿》关于敏感个人信息的处理规则的专门规定与《一审稿》一致。
具体如下:敏感个人信息是指一旦泄露或者非法使用,可能导致个人受到歧视,或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。(《二审稿》第二十九条)处理敏感个人信息需具有特定的目的和充分的必要性,并需要取得个人的单独同意;法律法规另有规定需取得书面同意的,从其规定;法律、行政法规规定处理敏感个人信息应当取得相关行政许可或者作出其他限制的,从其规定。(《二审稿》第三十至三十二条)。
6、个人信息跨境提供的规则
关于个人信息的跨境提供的规则,《二审稿》相较于《一审稿》,首次明确个人信息处理者应“按照国家网信部门制定的标准合同”与境外接收方订立的合同,除此之外其余内容未做任何修订。具体如下:
第三十八条明确了个人信息跨境传输的法定规则,包括至少满足以下任一条件:通过国家网信部门组织的安全评估;专业机构进行个人信息保护认证;按照国家网信部门制定的标准合同与境外接收方签订合同约定双方权利义务并监督其个人信息处理活动达到本法规定的保护标准;以及法律法规或国家网信部门规定的其他条件。
第四十条对于关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,规定了个人信息存储本地化的要求,确需向境外提供个人信息的,必须通过国家网信部门组织的安全评估。此外,第三十九条对跨境提供个人信息的“告知—同意”作出更严格的要求,规定个人信息出境应当向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式等事项,并取得个人的单独同意。
但在向境外的司法或执法机构提供境内个人信息方面,《二审稿》相较于《一审稿》从规定适用范围、审批要求等方面做出了更加严格和明确的规定。《二审稿》第四十一条规定:境外的司法或者执法机构要求提供存储于境内的个人信息的,非经中华人民共和国主管机关批准,不得提供。
关于损害中国公民个人信息权益的组织与个人的负面清单要求以及在个人信息保护方面对我国采取歧视性的不合理措施的国家和地区的反歧视要求(四十二、四十三条),《二审稿》则与《一审稿》基本一致。
7、个人信息主体的权利
作为个人信息保护法律制度的核心内容之一,《一审稿》较为全面地规定了个人在个人信息处理活动中的权利。其中包括知情权与决定权、查询与复制权、请求个人信息处理者更正与补充的权利、删除权等。此外,《一审稿》还强调了个人撤回对个人信息处理的同意、拒绝处理其个人信息、拒绝自动化决策的处理方式等相关权利。《一审稿》亦明确要求对应的个人信息处理者建立个人行使权利的申请受理和处理机制。
《二审稿》在个人信息主体的权利方面增加了有关死者个人信息保护的要求:自然人死亡的,个人在个人信息处理活动中的权利由其近亲属行使。本项规定与《民法典》第九百九十四条1关于死者的人格权益保护要求相衔接,从法律层面明确赋予了相关主体行使死者的个人信息权利的权利。
8、强化个人信息处理者的义务
《一审稿》明确了个人信息处理者的合规管理和保障个人信息安全等义务,包括要求其按照规定采取必要措施确保个人信息处理活动的合规性与安全性、处理个人信息达到国家网信部门规定数量的个人信息处理者应指定个人信息保护负责人对其个人信息处理活动进行监督、定期对其个人信息处理活动进行合规审计;对处理敏感个人信息、向境外提供个人信息等高风险处理活动,应事前进行风险评估;履行个人信息泄露通知和补救义务等。
《二审稿》对于个人信息处理者的上述义务未做实质修订,与《一审稿》保持一致,但同时增加、明确了对委托处理情形下的受托方应履行个人信息保护法下个人信息处理者义务的要求:“接受委托处理个人信息的受托方,应当履行本章规定的相关义务,采取必要措施保障所处理的个人信息的安全”(第五十八条)。
9、超大型互联网平台的个人信息保护义务
《二审稿》在第五十七条新增关于“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”的个人信息保护义务,包括:(1)成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;(2)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;(3)定期发布个人信息保护社会责任报告,接受社会监督。
上述规定也体现了近期监管机关强化对大型互联网的监管、加大对信息泄露等安全事件监管的趋势。但是,“基础性互联网平台服务”的判断标准、“外部成员”等术语的定义如何界定,“个人信息保护社会责任报告”的编写方式和内容、发布频率和范围等要求如何实施,均有待后续的实施细则或监管机关的解释。
10、履行个人信息保护职责的部门及职责
《一审稿》第六章规定了履行个人信息保护职责的部门的相关内容,其中确立了个人信息保护监管的基本体系:国家网信部门负责统筹协调,国务院有关部门、县级以上地方人民政府有关部门在各自职责范围内负责个人信息保护和监督管理工作。并规定了负责信息保护职责的部门可采取的相应行政措施。
《二审稿》在上述规定的基础上,对国家网信部门的职责进行细化和明确,规定国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:(1)制定个人信息保护具体规则、标准;(2)针对敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;(3)支持研究开发安全、方便的电子身份认证技术;(4)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务。
11、 法律责任
《二审稿》与《一审稿》在行政和刑事法律责任方面的规定一致,均对违法行为加大惩处力度,设置了严格的法律责任。例如,“侵害个人信息权益的违法行为,情节严重的,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款”、“对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款”。(《一审稿》第六十二条),以及增加了“记入信用档案”的处罚机制。(《一审稿》第六十三条)此外,违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,追究刑事责任。(《一审稿》第六十七条)相比于《网络安全法》等相关规定,个人信息保护法对个人信息相关的违法行为处罚力度更大。
在民事责任方面,《二审稿》对《一审稿》的规定进行了调整,并与《民法典》相关条款2相衔接,明确侵害个人信息权益应适用“过错推定”的归责原则。具体而言,《二审稿》规定,个人信息权益因个人信息处理活动受到侵害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。(第六十八条)
12、 其他要求
相较于现行的个人信息保护规定,个人信息保护法草案还包括下列新的要求及特殊规定。
关于公众场所采集图像、个人身份识别信息的特殊要求。《二审稿》对公共场所人脸识别技术的应用进行了规制,包括:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或向他人提供,取得个人单独同意的除外。(第二十七条)
《二审稿》项下的该等规定与《一审稿》基本保持一致。
国家机关处理个人信息也明确纳入监管范围。明确将国家机关处理个人信息的活动纳入规制范围,并规定了国家为履行法定职责处理个人信息的基本规则:包括按规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度;向个人告知并取得同意(法律规定应当保密或者会妨碍履行职责的除外);原则上国家机关处理的个人信息应在境内存储等要求。
《二审稿》的上述规定在《一审稿》基础上未做变化,但新增规定了法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息适用关于国家机关处理个人信息的规定。(《二审稿》第三十三至三十七条)
三、我们的观察
个人信息保护法作为我国第一部个人信息保护的专门法律,将成为建立我国个人信息保护法律制度的重要法律基础。
从本次发布的《二审稿》内容来看,其在保留了《一审稿》的基本框架和绝大部分规定基础上、并针对当前个人信息保护领域存在的突出问题以及监管和执法的趋势,对《一审稿》进行增删减补,完善、充实合法处理个人信息的情形、跨境提供个人信息等方面的规则,新增了有关者个人信息保护要求和超大型互联网平台的个人信息保护义务。
整体上看,《二审稿》与目前规定有个人信息保护内容的法律、法规或草案(包括《民法典》、《网络安全法》等)在内容上保持了一定程度的一致性,并与《民法典》规定进一步相衔接,但与现行法规相比也提出了不少新的要求及新的规定。个人信息保护法草案的具体条款如何与上述法律法规衔接,以及适用范围如何划分,仍有待清晰。
此外,对于此前《一审稿》存在若干尚待明确和完善的问题,例如“单独同意”的定义,个人信息跨境传输的安全评估、保护认证如何进行等,在本次的《二审稿》中仍未进行明确,这些要求的实施仍有待后续的立法完善或相关细则和解释的进一步出台。
随着《二审稿》的发布,我们相信距离个人信息保护法的正式出台已不再遥远。可以预见,未来个人信息保护法的出台将进一步加强我国公民的个人信息保护,同时也会对企业的个人信息保护合规工作也提出了更多的要求和挑战,甚至带来更严格的处罚风险。
我们建议企业进一步学习和理解《二审稿》的相关内容,提前对目前企业合规工作中的不足之处进行梳理和总结,并做好相关准备工作。我们也会持续密切关注个人信息保护法的后续立法进程,并与我们的客户分享最新的进展。