《个人信息保护法(草案)》政策解读及其对企业的影响
简介2020年10月21日,中国最高立法机构发布《个人信息保护法(草案)》向公众征询意见。这标志着中国向完善和深化个人信息保护方面迈出了重要一步。《个人信息保护法(草案)》对收集、使用、处理和传输个人信息规定了新的重要义务。在其颁布实施后,《个人信息保护法》与中国《网络安全法》和《数据安全法》(该草案已于2020年早前向公众征询意见)将共同构成中国数据主权、个人数据保护和网络安全法律制度的基石。《个人信息保护法》生效后,将成为中国最全面的数据法,对中国境内外企业产生深远影响。
《个人信息保护法(草案)》主要规定
《个人信息保护法(草案)》有八章七十条。下列规定值得关注:
规定解释个人信息的处理
《个人信息保护法(草案)》规定了信息处理的原则,即合法性、适当性、准确性、透明性、最小范围使用和诚信原则。
《个人信息保护法(草案)》规定了信息处理者和受托方,从架构上与《欧洲一般数据保护条例》(GDPR)中关于数据控制者和信息处理者的规定近似,但从文字表述上可能会给习惯于GDPR文字表述的人带来一定困惑。在《个人信息保护法(草案)》中,“个人信息处理”是指个人信息的收集、存储、使用、加工、传输、提供、披露及其他同个人信息相关的活动,“个人信息处理者”是指能够独立确定个人信息处理目的和方式的人。由此看出,《个人信息保护法(草案)》中规定的“信息处理者”其实基本等同于GDPR中的“数据控制者”。域外适用
《个人信息保护法(草案)》在域外效力方面似乎与GDPR有异曲同工之处。草案规定,如果在境外处理数据的活动目的是为中国个人提供产品或服务,或者是为了分析或评估中国境内个人的行为,则《个人信息保护法(草案)》将适用于此类在中国境外的数据处理行为。
中国境外的信息处理者必须在中国设立专门机构,或任命一名代表来负责处理个人信息保护事务。目前尚不清楚如果违法者的外国实体在中国境内没有设立机构时,中国政府部门将会采取什么执法行动来行使该域外管辖权。处理个人信息的法律依据和无需获取同意的情形
《个人信息保护法(草案)》规定了六种处理个人信息的法律依据:
[*]信息主体的同意;
[*]签订或履行合同所必需;
[*]为履行法定责任或法定义务所必需;
[*]为应对突发公共卫生事件,或者在紧急情况下为保护自然人生命健康和财产安全所必需;
[*]为公共利益实施新闻报道、舆论监督等行为;或
[*]法律、行政法规规定的其他情形。
上述法律依据似乎是对中国《网络安全法》的一项重大发展。《网络安全法》规定,数据收集和使用必须基于数据主体的同意,并没有明确规定无需同意的情况。收集个人信息毫无例外都需要数据主体同意,这种要求在实践中是否可行,曾在业界引起争论。
《网络安全法》之后出台的一些法律规范对严格的同意原则做了些变通,例如:
[*]《个人信息安全规范》规定,网络运营商可以在以下情况中不经同意而收集和使用个人信息,即为了履行合同或为了国家安全、公共利益和刑事侦查,或者为了保护数据主体的生命或重要财产。
[*]《中国民法典》规定,下列情况无需征得数据主体的同意;(i) 数据处理是为了保护公共利益或数据主体的合法权利,或者 (ii) 数据主体的个人信息已经公开可用,但数据主体明确反对对该数据进行处理的除外。
值得注意的是,《个人信息保护法(草案)》中规定的无需同意的范围比《民法典》要宽,但比《个人信息安全规范》要窄,这似乎意味着中国立法者正努力在数据商业利用与个人信息保护之间取得平衡。在《个人信息保护法》的最终版本中是否会进一步修改无需同意的范围还有待观察。数据主体授权同意的新要求
对于必须征得数据主体同意的情况,《个人信息保护法(草案)》规定,应由个人在充分知情的前提下,自愿、明确作出意思表示。
这似乎与GDPR相似,后者在第4条第11款中的将同意定义为“数据主体依照其意愿自愿做出的、具体的、知情的及明确的确认意思表示。并且该意思表示通过声明或明确肯定的行为作出,以表明其同意对其相关的个人数据进行处理。”个人敏感信息
根据《个人信息保护法(草案)》,在处理敏感个人信息(例如种族、国籍、宗教信仰、生物特征信息、医疗健康信息、金融账户信息和个人行踪等信息)时,信息处理者要承担更高的合规义务。
《个人信息保护法(草案)》规定,必须具有特定的目的和充分的必要性时,方可处理敏感个人信息。收集敏感个人信息之前需要取得个人的单独同意,并且信息处理者在处理敏感个人信息之前必须进行风险评估。跨境信息提供
根据《个人信息保护法(草案)》,信息处理者因业务等需要,确需向境外提供个人信息的,必须至少具备下列一项条件:
[*]如果信息处理者被划为关键信息基础设施运营者或者处理的个人信息超过国家网信部门规定的数量时,传输之前需要对信息处理进行安全评估,但相关法律法规另有规定的除外;或者
[*]如果信息处理者不属于上述类别,可以安排跨境信息传输经由专业机构认证,或者可以与外国信息接收者达成协议,约定双方的权利和义务及对位于中国境外的信息接收者进行监督,确保处理符合《个人信息保护法(草案)》中要求的保护标准。
《个人信息保护法(草案)》规定,可以对损害中国公民个人信息权的外国组织或个人或对中国的个人信息保护实施不合理制裁的外国国家采取某些反制措施。自动化决策
时下为了提高效率、开发新业态,用户画像和自动化决策被广泛用于各种业务场景中,但由于个人数据可能会被滥用,这些新技术新应用也可能产生隐私隐患。
《个人信息保护法(草案)》试图在新技术新应用和个人信息保护之间取得适当的平衡。草案规定信息处理者必须保证自动化决策的透明度和结果的公正性。如果信息主体的权利和利益受到自动化决策的重大影响的,有权要求信息处理者予以说明,并有权拒绝自动化决策。
《个人信息保护法(草案)》还规定,通过自动化决策方式向信息主体进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。处罚和责任
《个人信息保护法(草案)》中最引人注意的一项规定就是强化了对违法行为的执法力度。企业违反草案法律要求的,最高可被处以人民币五千万元(约760万美元)或者上一年度营业额百分之五以下的行政罚款外加民事赔偿,对直接负责的主管人员和其他责任人处以最高人民币一百万元(约152,000美元)的罚款。
《个人信息保护法(草案)》还规定,中国监管机构将采用黑名单系统,损害中国公民权利或国家安全或公共利益的组织或个人将列入黑名单并予以公示。
对企业的影响
在大数据时代,数据重要性日益凸显。数据作为许多企业最重要的资产,为众多企业带来巨大机遇同时,也带来了合规性挑战。近年来,中国数据法律体系发展迅速,在数据和网络安全领域颁布了多项重要法律法规。《个人信息保护法》实施后,将成为一项重要的国家级层面法律,对各行各业跨国公司和国内企业产生重大和深远的影响。
很多企业已在处理大量隐私数据,且这个数量可能会继续呈指数增长。在本地、云或混合IT环境中识别个人信息,并根据信息类型实施安全策略非常具有挑战性。为了高效满足隐私及合规性要求,许多组织广泛采用技术解决方案:
通过自动化工具使用正则表达式、文本相似度和算法识别隐私数据,在数据上打上自定义标签、标志或注释,并可应用于UI、报告或API调用。
将存储在不安全位置或大批用户可访问的敏感数据进行自动隔离,在公司做出深思熟虑的整改方案之前,最大程度减少其暴露。
将隐私工具集成到更全面的数据安全平台中。整合的方案能够提供补充行为报告并提供持续的审核和监督,简化数据管理。
通过数据清理工具清除隐私信息,永久删除不必要的数据。
《个人信息保护法(草案)》新增加了某些重要法定义务,强化了企业的合规责任,提高对违法行为的处罚力度。这些都清楚地表明了中国政府加强个人信息保护、打击和惩戒违法的明确态度。在新的监管环境下,企业根据不断发展的法律要求,积极制定或更新其数据合规和风险管理策略,已成为当务之急。
一个值得注意的方面是,《个人信息保护法(草案)》中有相当多的内容与GDPR的规定相似,这充分彰显中国立法者的务实和开放的态度。对于熟悉GDPR或已经按照GDPR进行数据合规管理的跨国公司或中国“出海”企业来说,这些举措可以协助企业降低合规成本,有助于企业的中国业务和海外业务的进一步融合。
《个人信息保护法(草案)》的公开征求意见于2020年11月19日截止。据估计,中国立法机关将会加快立法进程。鉴于本法的重要性,强烈建议企业密切关注立法动态,为即将到来的《个人信息保护法》做好准备。
页:
[1]