作者:朱太辉,京东数科研究院研究总监
张彧通,京东数科研究院高级研究员
10月21日,全国人大法工委发布《个人信息保护法(草案)》征求意见稿(以下简称《草案》)。《草案》吸纳了国内个人信息保护的监管实践,并借鉴GDPR等域外法规的先进经验,注重和《民法典》《数据安全法》《电子商务法》等规范的协调,搭建了个人信息保护的框架,明确了处理个人信息的基本原则,个人信息处理者和个人信息的权利义务,履行个人信息保护职责的部门的保护职责和监管要求,并对自动化决策,人脸识别,人肉公开,跨境流动等热门社会问题进行了回应,以最大程度的统筹效率、安全和成本。以下五点内容值得重点关注。
一、《草案》放松了个人信息处理者处理个人信息的前置条件,不以“个人同意”作为个人信息处理的唯一合法基础
《草案》顺应了数字化发展趋势下的数据行业效率要求,吸收行业“最佳实践”,大大扩展了个人信息处理者能够处理个人信息的情形、降低处理个人信息的前置要求;与此同时,还兼顾法定履职、突发事件、公共监督等需要保护公共利益的情形。2017年《网络安全法》以“取得个人同意”为处理个人信息的唯一前置条件,但《草案》还规定了“为订立或者履行个人作为一方当事人的合同所必需”,以及“为履行法定职责或者法定义务所必需”、“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”、“为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息”、“法律、行政法规规定的其他情形”。
二、《草案》扩展了个人信息处理者处理个人信息的权限,“概括同意”满足行业发展需要
《草案》在放松个人信息处理前置条件的基础上,又以“明确告知——个人同意”为核心体系构建了个人信息处理框架。一方面,《草案》规定,“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言向个人告知”,以确保个人能够“充分知情”;另一方面,《草案》没有像《个人信息安全规范》那样区分“明示同意”、“授权同意”,而是概括要求“由个人在充分知情的前提下,自愿、明确作出意思表示”。只是在“向第三方提供、公开、跨境提供个人信息、处理敏感信息”这四种情形下,需要取得个人的“单独同意”;在“法律法规规定处理敏感信息应当取得书面同意的”这一种情形下需要取得个人的“书面同意”。这意味着,个人信息处理者可以更加自由地通过“概括同意”的方式取得个人同意并处理个人信息,而不用在告知时确定个人信息的单一、特定用途。
三、《草案》丰富了个人信息处理者的法定义务,规定了其违反义务时的高额罚则,以“松开前门,严把后门”的方式加强个人信息保护
《草案》首先扩展了个人信息处理者应当遵循的义务,将《个人信息安全规范》等文件有关的“个人信息处理者行为规则”进行了拔高,规范网信办、工信部、公安部、市场监管总局等四部委以及中消协的专项监督检查和治理活动中所反映出来的个人信息处理者存在的乱象(个人信息收集使用规则效果不佳;强制、频繁、过度索权成为普遍现象;私自收集频发,超范围收集问题突出;数据共享行为不规范,缺乏约束措施;无开启或关闭个性化服务选项等等),明确个人信息处理者处理个人信息时的特别义务:在共同决定处理时需要约定各自权利义务,并承担连带责任;在委托处理时需要对受托方进行监督,且受托方未经处理者同意不得转委托;在向第三方提供时,需要告知并获得个人单独同意等等。在此基础上,《草案》明确了侵犯“个人信息权利”时的法律责任:对于违法处理个人信息行为,情节严重的,要求“没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款”。
但《草案》尚没有确定情节严重的具体情形,后续需要关注相关部门的界定。此外,建议《草案》能够考虑受到侵害个人的“利益补偿”,即将针对个人信息处理者的高额罚款一定程度上转化为针对受侵害个人的“惩罚性赔偿”。在此基础上,鉴于GDPR在实施过程中施加过重处罚对数字科技行业带来了极大的负面影响,建议《草案》统筹考虑透明性规则等对行业发展带来的额外成本。
四、《草案》针对智能营销,身份识别,人肉公开等社会热点问题作出回应,行业实践或存在调整可能
针对智能营销问题,《草案》糅合了2020年《个人信息安全规范》的规定,要求“通过自动化决策方式进行商业营销、信息推送的,应当同时提供不针对其个人特征的选项”,这意味着信息推送、智能营销等业务不能只提供智能决策选项。针对身份识别问题,《草案》规定“在公共场所安装图像采集、个人身份识别设备,应当以必需维护公共安全所前提”,只能用于公共安全目的的规定意味着在商圈、办公楼、小区等进行的人脸、声纹、指纹识别等操作将面临合法性质疑。《草案》规定处理已公开的个人信息时,应当告知个人并取得同意,意味着人肉并公开个人信息、对个人造成重大影响的行为将被认定违法。
《草案》反映了一定的超前规范性,但是可能存在具体行业适用时的潜在冲突。例如,目前正在行业试点的“自动化公募投顾”以自动化决策形成的投资方案和产品是否属于“信息推送”,是否应当同时提供不针对个人特征的选项,是否违反了要求给投资者提供最适合其需求和情形的投资方案和产品的信义义务基础?这样的问题还有待厘清。又如,在个人医疗过程中,在医院、诊所等“公共场所”利用各类个人信息收集设备采集的个人信息如何与“公共安全”相匹配?在后续制定过程中,可以考虑更好地协调“自动化决策”、“身份识别”等规定与金融、医疗行业相关实践的关系。
五、《草案》明确了个人信息出境和跨境的具体规则,与国际规则进行了有效衔接
《草案》规定在境外处理境内自然人个人信息的活动适用本法规定,表明了在全球化和数字化发展趋势下,个人信息保护的范围得到进一步扩大。《草案》规定“中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息有规定的,从其规定”,反映了与国际规则的有效衔接。
同时,针对个人信息出境和跨境,《草案》规定了具体的规则。主要体现在:第一,个人信息本地化存储义务,即“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者”,应当将在境内收集和产生的个人信息存储在境内。第二,个人信息跨境需要满足四种条件之一,即国家网信部门组织的安全评估、经专业机构进行个人信息保护认证、与境外接收方订立合同以及法律规定的其他要求。第三,因国际司法协助或行政执法协助的个人信息跨境也需要满足监管的前置条件。
除了以上的重点内容之外,《草案》还首次从法律层面确定了个人信息的概念、处理个人信息的活动范围和基本原则;参考了2013年《消费者权益保护法》以及行业“最佳实践”规定了个人在个人信息处理时的八项权利;特别规定了处理个人敏感信息时的要求,为《个人信息安全规范》《个人金融信息保护技术规范》等处理敏感信息的推荐行业标准提供了法律依据;明确了政府机关使用个人信息的特别规则、履行个人信息保护职责的部门的履职边界等等。在未来的进一步立法规程中,建议在已有的这些条款基础上,更加注重与《网络安全法》《数据安全法》《商业银行法》《邮政法》等网络空间立法和部门法的协调,综合考量个人信息处理原则和框架背后的经济、社会、安全影响。
