《个人信息保护法》亮点解读
2021年8月20日,第十三届全国人大常委会第三十次会议通过《个人信息保护法》,新法将于2021年11月1日起施行。《个人信息保护法》立足于数据产业发展的实践和个人信息保护的迫切需求,完善了我国数据合规领域的法律体系,更为全面地保障个人权利。市场参与者要按照即将生效的《数据安全法》和刚刚通过的《个人信息保护法》要求,加快数据安全治理体系建设。
一、《个人信息保护法》的立法沿革
2020年10月13日,十三届全国人大常委会第二十二次会议第一次审议了《个人信息保护法(一审草案)》。2021年4月29日,《个人信息保护法(草案二次审议稿)》在经全国人大常委会会议审议后,面向社会公布并征求意见。二审稿的主要亮点在于进一步完善了处理个人信息的合法性基础,补充了个人有权撤回同意的内容,新增对具有管理公共事务职能的组织的规范要求,要求按照网信部门制定的标准处理个人信息跨境,加强对向境外司法或执法机构提供个人信息的监管,新增规定死者的个人信息权益由近亲属行使,以及新增超大互联网平台特定的个人信息保护义务要求等等。
在2021年8月20日通过的最终三审稿中,主要的亮点和变化体现在:进一步明确了个人信息处理的合法基础;为个人赋予了撤回同意的权利;强化对未满十四周岁未成年人的保护;明确界定自动化决策,并对其提出详细的要求以及完善个人信息跨境提供的规则等。
二、《个人信息保护法》亮点解读
(一)明确了个人信息处理的合法基础
《个人信息保护法》列举了个人信息处理的合法基础包括授权同意、为订立或履行个人作为一方当事人的合同所必需、履职必需、应对突发公共卫生事件、在合理的范围内处理已公开的信息、公益目的等,总体而言采取了优先保护个人权利和社会公共利益的路径。与国际立法相比,个人信息处理者的合法利益本身不能构成授权同意之外的合规基础。对一般市场参与者而言,主要的数据处理合规基础即为授权同意、合同必需和在合理范围内处理已公开的信息。
对授权同意而言,尽管仍存在授权同意能否真正保障个人信息主体的知情权、授权同意流于形式、强势一手数据源为后续数据流转的参与方带来权利瑕疵“原罪”等问题,实践中已逐渐形成一定程度上的行业最佳实践,例如采用交互式弹窗的形式在用户使用特定功能时逐一获取该功能必需的数据,明确列出数据共享的目的及合作方名单,在隐私协议条款前简要介绍核心条款等。因此,在平衡法律要求、用户体验和保障消费者知情权方面,行业逐渐开始摸索出一套较为成熟的合规实践。
对合同必需而言,合同必需的原则与最小必要原则密切相关。因此在获取数据之前,市场参与者需要区分产品服务的核心功能和附加功能,审慎衡量获取的数据类型是否是提供相关产品和服务的必要前提。
对处理已公开的信息而言,《个人信息保护法》也在附则对其含义进行了进一步的明确。市场参与者可能需要评估个人信息主体公开信息的具体途径、目的、预期公开程度、数据使用目的是否超出个人信息主体的合理预期等因素。由于该合规基础的模糊性较大,相对而言也会存在更多的合规隐患。
(二)为个人赋予撤回同意的权利
考虑到实践中普遍存在的不支持注销账户、撤回同意投诉无门等问题,《个人信息保护法》要求个人信息处理者提供便捷的撤回同意方式。就“便捷”而言,依照相关国家标准的精神,其便捷程度宜与给予授权的便捷程度相对等。此外,《个人信息保护法》明确撤回同意不影响撤回前基于个人同意已进行的个人信息处理活动的效力。由于数据存在极强的可复制性,个人信息主体在给出首次授权同意后,对于姓名、身份证号、手机号、地址等相对静态的信息很容易失去控制权。即使在撤回同意后,个人及每一环节数据处理者也很难控制数据的后续流转。相比而言,更容易落地的是行为类数据,相关数据处理者需要确保在个人信息主体撤回同意后,相关数据被终止收集,必要时也需要对其进行删除或匿名化。
(三)将不满十四周岁未成年人的个人信息列入敏感个人信息
针对实践中儿童早已成为在线教育、线上游戏、视频网站和社交产品的用户群体之一,《个人信息保护法》明确要求将不满十四周岁未成年人的个人信息作为敏感个人信息加以保护。因此相关数据处理者可能需要更改内部数据分级分类的标准,依照我国法律和相关标准对敏感信息的要求对涉及的不满十四周岁未成年人的个人信息进行特别保护。此外,《个人信息保护法》也要求个人信息处理者对其制定专门的个人信息处理规则。具体而言,处理规则的内容可能会涉及确认用户年龄的实现方式、确认监护人授权同意的实现方式、针对儿童群体准备专门的个人信息保护文本和用户协议、未成年人发布信息内容的提示和保护义务、推送内容的管理机制等。同时,对于面向普通公众提供产品和服务的运营者而言(如搜索服务),是否与专门针对儿童提供产品和服务的运营者在儿童个人信息保护领域的要求有所区分仍有待理论和实践的进一步探索。例如是否需要额外收集用户的年龄信息从而将儿童从全部用户群体中识别出来,此类要求与最小必要原则如何适配等。
(四)针对自动化决策提出明确要求
针对用户画像、“大数据杀熟”等问题,《个人信息保护法》立足于维护广大人民群众的网络空间合法权益,充分吸收了成熟国家标准与行业实践的内容,从算法伦理、数据获取、数据使用、风险评估和日志记录的方面对自动化决策进行了规制。
在算法伦理层面,《个人信息保护法》要求数据处理者保证决策的透明度和结果公平合理。参照国际立法的实践,数据处理者可能需要在用户协议中向用户简明介绍算法的基本逻辑和对用户权益的影响,不得通过自动化决策对个人在交易价格等交易条件上实行不合理的差别待遇等。
在数据获取方面,《个人信息保护法》要求数据处理者在进行商业营销、信息推送时给予用户拒绝的权利。
在数据使用方面,提供不针对个人特征选项的信息推送可能要求企业对自身的商业模式进行调整,如在自动化决策推荐算法之外,为用户提供单纯依照点击量、发布时间等统计结果的选项。
在风险评估方面,要求数据处理者在事前进行风险评估,具体的内容可能包括自动化决策系统在准确性、公平性、歧视、隐私和安全方面的影响(包括训练用数据的影响),并对影响评估中的问题予以纠正。
在日志记录方面,要求数据处理者对数据的处理活动进行记录等。
(五)全面规范个人信息跨境的规则
《个人信息保护法》设置专章对个人信息跨境提供的规则进行了全面的规范,与《数据安全法》《网络安全法》形成了完善的法律体系衔接。其中值得注意的是,在境外司法或执法机构要求提供境内个人信息时需要经过主管机关的批准。由于在实践中国际礼让原则逐渐式微,跨国企业可能会在国际诉讼中面临两难处境。因此,也有待后续立法进一步明确批准提供证据的具体主管机关、批准程序和时限等内容,更好地维护我国跨国企业在国际法律纠纷当中的利益。
(六)明确个人信息侵权行为的归责原则为过错推定
《个人信息保护法》明确了当个人信息权益因个人信息处理活动受到侵害时, 个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。换言之,个人信息处理者如果不能证明自己在数据处理、数据保护中不存在过错,将在诉讼中面临一定程度的败诉风险。
编辑整理:法务部
2022年8月8日