《个人信息保护法(草案)》实务解读:十大关键词与九大业务场景

发布时间: 2020.12.11

2020年10月,《个人信息保护法(草案)》(“《个保法草案》”)经第十三届全国人大常委会初次审议后,终于向世人展现了全貌。作为中国版的GDPR(General Data Protection Regulation),这部以保护个人信息权为核心的草案必然会对每个个人以及企业产生全面而深远的影响。



《个人信息保护法》堪称是中国进入信息时代以来最重要的一部法律。本文结合作者自2012年以来在中国从事个人信息与数据保护的律师实务经验,基于十个关键词和九大业务场景,全面解读《个保法草案》的主要制度设计以及法律实务操作。


 

一、 个人信息保护立法的发展历程与律师实务


过去十年是中国互联网经济蓬勃发展的十年,也是野蛮生长的十年。互联网企业奉行着“流量为王”这条金科玉律,探索着通过流量最大化实现利润最大化的商业模式,而企业的社会责任及对个人的保护不可避免地被束之高阁。为了应对这一问题,出台专门法律保护个人信息权益的呼声在过去几年中不绝于耳。


事实上,我国的《个人信息保护法》立法工作酝酿已久,早在2003年,国务院就委托有关专家开始起草工作。随着互联网领域信息安全问题日益突出,通过立法加强网络信息保护的呼声也越来越高。为回应社会需求,全国人大常委会于2012年12月底发布了《关于加强网络信息保护的决定》[1],为加强公民个人信息保护、维护网络信息安全提供了法律依据,引发了律师数据保护法律业务的第一个高潮。


第二个高潮出现在2017年。《网络安全法》在2017年生效实施,提出了许多个人信息保护原则,同年随着《刑法修正案九》及两高司法解释将侵犯公民个人信息正式入刑,影响的商业场景非常广泛,引发了新一轮的数据保护业务高峰。


2018年9月,《数据安全法》与《个人信息保护法》被列入全国人大一类立法计划。[2]此后,与个人信息保护相关的法律法规及各类文件密集发布、更新。今年《个保法草案》公布及提交全国人大审议,吸引了国内外法律实务界的关注目光,并引发律师数据保护法律业务的第三个高潮。


与此同时,全球数字经济蓬勃发展,各国争相竞夺数字主权,同样推动了中国《个人信息保护法》的加速出台。近几年内,包括欧盟、美国、印度、日本等在内的多个司法辖区均出台了个人信息保护相关法律。尽管各个国家对个人信息的叫法不同,例如欧洲称为“数据(data)”,美国称为“隐私(privacy)”,新加坡称为“资料(data)”,而中国称为“个人信息(personal information)”,理论界可能对于不同名称的内涵界定存在一些争议,但就信息保护业务操作而言,上述概念差异并不导致合规操作的显著区别,各国规定均有其参考意义。


在此大背景之下,《个保法草案》作为对国内外数字经济发展带来的个人信息保护问题的回应,体现了我国对个人信息权益保护的决心,同时也为促进数字经济健康发展提供了具体的路径。自此以后,流量不仅是资产,也意味着责任。面对数以万计需要保护的个人信息,如果无法承担相应的责任,不仅意味着最高5000万或5%营业额的罚款,甚至还可能面临其他严苛的民事、行政、刑事责任。


 

二、 行政执法机构亟待明确


此次《个保法草案》最受关注的条款莫过于关于高额罚款的规定——“违反相关规定,情节严重的,处5000万元以下或者上一年度营业额5%以下罚款”。相比于巨额的罚款本身,实务界可能更关心这一执法权的归属问题,然而草案并没有明确这个问题。


目前,草案仅规定由国家网信部门进行统筹监管。此外,实践中,公安部门监督负责《网络安全法》规定的网络安全等级保护义务的落实。那么未来个人信息保护的行政执法是否可能由公安部门负责?公安部门作为国家暴力机关又是否适合承担这一行政执法职能?此外,早在《网络安全法》出台以前,我国金融领域已有一套完备的个人信息保护体系。央行每年公布的处罚决定中,有相当一部分涉及对客户个人信息保护不力的案例。央行作为金融行业的主管部门,未来是否可能超越金融审慎监管的范围进行个人信息保护执法?除了公安部和央行以外,工信部、国家市场监管总局等是否能一并获得执法权?这些问题都值得思考。


此外,即使明确了具体的执法部门,执法权在不同层级间的分配也存在问题。权力是应该集中在中央,还是下放到地方?如果下放应该是下放到省一级,还是到市、县?草案目前将县级以上有关部门划为有权部门,但这势必将引发新的担忧:一个县级的工信部门是否有能力对一个大型互联网公司作出10亿元的罚款?上述问题不仅有待于将于明年出台的最终版《个人信息保护法》来明确,还有待于日后的实施细则、部门规章来进一步完善。


 

三、 十个关键词:草案主要内容梳理


《个保法草案》共分八章(“总则”、“个人信息处理规则”、“个人信息跨境提供的规则”、“个人在个人信息处理活动中的权利”、“个人信息处理者的义务”、“履行个人信息保护职责的部门”、“法律责任”和“附则”),总计七十条。从实务角度,其主要内容可以归纳为以下十个关键词:


(一)
 长臂管辖


对于境外信息保护立法中常见的长臂管辖原则,草案给予了积极的回应,其具体规定的域外适用效力与GDPR存在一定近似之处。


实践中,长臂管辖规则的落实以管辖国具备相应的执法和司法能力为前提,这也是美国的“长臂管辖”颇具威力的原因。目前,中国显然也具备了此种能力,例如一家欧洲电商可能未于中国设立实体企业,但其运营的全球网站提供了包括中文在内的多语种界面,并且支持中国用户在线下单与跨境配送,此时根据草案第三条的规定,这家欧洲电商亦有受到中国法律管辖的可能。


(二)
个人信息界定


草案第四条规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。目前对个人信息的定义采用“识别”加“关联”的界定方式,并且明确规定经不可逆的匿名化处理后的信息不属于个人信息,这为日后企业依法开展数据交易开启了一扇窗户。


在当前的信息时代,无论是参加借疫情的东风被广泛使用的线上会议,还是注册成为任一网站的会员,个人接受服务几乎都以提供手机号码为前提。在这样的背景下,手机号码是否属于个人敏感信息就成为了一个必须解决的问题。在目前《个保法草案》的语境下,手机号码属于个人信息且属于个人敏感信息的可能性极高。结合我国手机号码实名制的规定,通过一部手机号码完全可以识别到具体个人。实践中,手机号码的处理方式需要结合具体业务场景来确定。但无论是用于验证,还是用于登录,手机号码皆有极高可能被认定更为个人敏感信息,需要企业谨慎处理。


(三)
同意


第三个关键词是“同意”。《个保法草案》沿用了《网络安全法》与国家标准《个人信息安全规范》的做法,将“告知+同意”作为了处理个人信息的合法性基础,并进一步区分了“单独同意”与“书面同意”的情形。实践中,如果每一个敏感信息都采用“单独同意”,每一次收集都需经弹框获得用户同意,个人和企业都将面临过于沉重的负担。


实践中可考虑的操作是,将一些个人敏感信息归类在一起,在收集用户同意的时候,设置两次弹窗:除收集一般个人信息的弹窗外,将对于宗教信仰、健康信息、金融账户等个人敏感信息的收集以单独的弹窗告知客户并征求同意。草案同时还提供了一些无需同意的例外情形,并设置了个人对同意的撤回权。例外情形如何厘清,以及企业是否应当告知撤回同意的渠道等问题,尚且需要实施细则的进一步完善才能实现真正落地。


(四)
个人信息权


《个保法草案》规定的五大类个人信息权涵盖了“删除权”这项权利,许多观点该权利与GDPR的“被遗忘权”相对应。但实际上,这二者并非同一概念,对企业亦意味着不同的责任。实践中,个人行使删除权往往限于要求网络平台删除发布在该平台上的一些数据,而不必然能及于已被转载的数据链接和复印件等。


(五)
个人信息保护负责人


《个保法草案》第五十一条提出了“个人信息保护负责人”的制度性要求:处理个人信息达到国家网信部门规定数量的处理者,应指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督;并且,还应将个人信息保护负责人的姓名、联系方式等予以公开,并报送相关主管部门。


从任命条件、职能、公开和报送要求等方面来看,这一概念与GDPR下的数据保护官(Data Protection Officer, DPO)存在较高的相似性。然而由于目前的规定相对笼统,个人信息保护负责人的任职资格、具体义务和负责事项还有待后续实施细则来进一步澄清。但无论如何,对于处理个人信息达到一定数量的企业,该项职责是由专人专岗来履行,还是由风控总监或法务总监来兼任,至少从形式完备上来说是很重要的。对于一些外资企业,如果企业在国内的运营涉及数据跨境事务,亦可考虑通过设置专职负责人降低相关风险。


(六)
关键信息基础设施运营者的安全评估


根据《个保法草案》的规定,关键信息基础设施运营者(Critical Information Infrastructure Operator, “CIIO”)向境外提供个人信息,必须履行安全评估义务,且这一安全评估工作具体由网信部门负责。此前公布的《个人信息出境安全评估办法(征求意见稿)》[3]规定了三种评估路径,一种是最为严格的网信部门的安全评估,其二是行业主管部门的评估,其三是自我评估的路径。通常而言,自我评估在实践中难度最低。此外,由于企业往往与行业主管部门相熟,因此从后者处取得可出境评估的难度也相对较低。《个保法草案》采取的评估要求与此有所差异。依照草案规定,CIIO向境外提供个人信息时,需要由网信部门进行安全评估,这意味着企业将面临更为严格的数据出境评估。


(七)
事前风险评估


《个保法草案》第五十四条列出了五种需要进行事前风险评估的情形,并且要求风险评估报告和处理情况记录应当至少保存三年。这与GDPR下的数据保护影响评估制度(DPIA)类似,也是企业实施内部合规制度建设的重要方式。同时,草案明确设置事前评估的义务,如果企业没有事前评估,即便没有产生严重后果,也可能面临高额罚款。


(八)
定期审计


《个保法草案》对企业设定有审计义务,具体是指企业应当定期对其个人信息处理活动、采取的保护措施等是否符合法律、行政法规的规定进行审计。相较于国家标准《个人信息安全规范》较为详尽的安全审计要求,草案对审计要求只是进行了原则性规定。相较而言,草案是对审计要求的概括规定,而《个人信息安全规范》则提供给细则指引。


对于草案中提到的“审计机构”,实践中,具体应该由谁来进行审计尚不明确。通常而言,审计机构往往是由信息安全测评机构来担任的,当然还包括律师事务所、会计师事务所等。依照草案对审计义务的定义,审计的内容主要是“是否符合法律、行政法规的规定”,这也意味着,审计的人员中必须配备法律专家,具有能够出具法律意见的资质。


(九)
泄露通知


《个保法草案》设置了较为严格的信息泄露通知义务,而对于如何认定“泄露”,实践中往往存在多种问题。例如,一家美资公司要求,员工必须使用公司分配的移动硬盘和办公电脑。某次内部盘点发现一台加密移动硬盘丢失,其中存有大量用户账号与地址,但具体丢失时间不详。而无论是根据草案还是此前的法律文件,硬盘丢失是否应在我国法下被视作“泄露”都不明确,但域外经验则通常视作泄露事件。[4]从实务的角度来看,公司及时采取相应的措施与行动可以有效降低风险。


(十)
5000万或5%


《个保法草案》设置的高额罚款,是草案一出台便受到企业广泛关注的原因之一。这既是草案的一个亮点,也是草案极具威慑力的体现。除此之外,草案还有另一个极具威慑力的规定,即“责令暂停相关业务、停业整顿”。事实上,目前在全国推行的App专项治理活动中,有很多企业便是因为个人信息保护不力问题,而受到App下架等处罚。


 

四、 九大典型业务场景:法律实务的变化与挑战


(一)
员工数据的处理与保护


与个人信息保护相关的典型业务场景之一便是“员工数据”。无论是劳动合同订立前从简历上收集的信息,还是在日常工作中对员工的指纹信息采集、面部识别,甚至日常的邮箱、办公系统中的信息,均会涉及大量的个人信息以及个人敏感信息。对此,企业应当谨慎处理相关劳动合同:对于新的增量劳动合同,应当根据法律法规以及相关实践及时进行修改,而对于存量合同,企业也应当加入一些新的条款,取得员工的授权。特别是对于一些跨国企业而言,如果业务场景涉及员工数据跨境传输,那么获得员工同意是无法规避的程序。


(二)
个人信息跨境传输


对于个人信息的跨境,满足标准的企业需要履行安全评估义务。事实上,实践中通常认为企业进行个人信息本地化存储最为安全和稳妥。而如果确有需要向境外传输时,企业应当对相关信息进行脱敏处理,否则一旦发生泄漏,需要承担的法律风险会陡然提高。而企业进行这一复杂操作前,以进行风险评估为宜,同时,“同意+告知”的程序也是必不可少的。


(三)
跨境电子取证


部分互联网头部企业涉及个人信息保护的另一典型业务场景是跨境电子取证。例如,位于他国的中国企业可能会被境外执法或司法机关要求协助调查,提供位于中国的数据作为司法证据。对于这个问题,近两年全球多国出台了一系列的法律规定,由此导致的管辖纠纷、主权碰撞问题尤为突出。例如,中国的《国际刑事司法协助法》以及《数据安全法(草案)》第33条便被视为对美国的CLOUD法案(Clarifying Lawful Overseas Use of Data Act)“长臂管辖”的封阻。《个保法草案》中对于跨境取证问题的规定,与我国其他法规侧重点有所不同。例如《国际刑事司法协助法》中规定的封阻路径是一种“公对公”的路径,此时企业的风险相对较小;而《数据安全法(草案)》以及此次的《个保法草案》由于规定了企业申请批准后对外提供数据的路径,也即“公对私”的路径中,其封阻效力其实相对较弱。增设这一路径可能使得企业面临更大的法律风险,在国内外的执法机构之间承担更大压力。


(四)
政府公开个人信息


随着互联网技术和社会的发展,公众对于政府信息公开的需求也大大增强。在信息公开时,政府应平衡好公众的知情权与个人的隐私权。然而在实践中,政府在信息公开时泄露个人信息的案件却频频发生[5],例如“2017年山西省地方教育局泄露考生个人信息事件”[6]、“2020年广西、山东、江苏等地政府网站泄露执法人员个人信息事件”[7]等,又如相关当事人无奈诉诸法院、通过司法程序进行救济的“2013年杨政权诉山东省肥城市房产管理局案”[8]、“2017年李世华诉长沙市开福区人民政府案”[9]等。


尽管《政府信息公开条例》明确规定,对涉及个人隐私的信息在政府信息公开的过程中应当不予公开,但对于个人隐私的范围、认定标准等焦点问题,该条例却并没有详细规定。由此导致政府在信息公开的工作中,难以准确衡量公开的尺度。


为了规范政府行为,本次《个保法草案》对于政府机关处理个人信息特设专节进行了规定,回应了民众对于政府信息公开制度与个人信息保护界限的疑虑,并重点回应了疫情期间政府个人信息处理行为的热点问题。结合草案规定以及相关实践,目前行政机关公开政府信息时如若涉及公民个人信息,通常应当采取以下三步骤:(1)检查拟公开的政府信息是否涉及个人信息,如涉及,需向个人告知并取得其同意;(2)检查其他法律法规对政府信息公开是否有特殊规定,如《网络安全法》《居民身份证法》等,如果有,应当按照其他规定对拟公开的政府信息进行审查;(3)如拟公开的政府信息中含有不应当公开的内容,检查其是否能够作区分处理,如可以,行政机关应当向申请人提供可以公开的信息内容。


(五)
公共场所视频监控问题


传统的隐私权理论认为,个人在私密空间当然地享有隐私权。随着智能视频监控逐渐被广泛应用于公共场所中,个人在公共场所是否还具有隐私利益却成了问题。起初,一般并不认为在公共场所有合理的隐私利益值得保护,认为隐私权止于屋门,在公共场所不可能发生隐私侵权,例如美国最高法院在奥姆斯特德诉美国案[10]中,确立公共场所没有隐私期待。然而,随着公共场所出现越来越多侵犯隐私权的案件[11],个人的隐私权期待无法得到实现。例如,在大数据时代的现代智能视频监控下,身处公共场所中的人们无从得知“电子眼”可能捕捉到什么个人信息。而实际上,每个被监控对象的面部特征、银行卡密码、微信聊天记录等都可能被实时记录。这样强大的技术已经完全超出传统的合理隐私期待对公共场所视频监控所能容忍的界线,传统隐私范围认知不断受到挑战。  


我国目前并尚且缺乏国家层级的针对公共场所视频监控的法律法规。2016年公安部曾发布《公共安全视频图像信息系统管理条例(征求意见稿)》[12],针对隐私利益规定了“不得非法侵犯、不得非法泄露”要求,但相对简单。基于此,实务中针对视频监控侵犯隐私的行为,通常采用一般法对隐私利益进行保护,例如《民法总则》《侵权责任法》《网络安全法》《治安管理处罚法》《政府信息公开条例》《刑法》等。然而一般法对视频监控侵犯隐私权予以保护的力度尚有欠缺,实践中亦缺乏可操作性。


对此,《个保法草案》第二十七条明确规定:“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。”然而实践中遇到的问题是,“公共安全”和公共利益一样,是一个“伸缩性”很强的概念,小区和商场可能都认为自己跟公共安全有关,而怎样使得公共安全真正落实而不流于形式,就需要社会各界的共同对话。[13]同时,对于谁可以安装图像采集和个人身份识别设备,需要什么样的批准程序,由谁来批准,如何防止信息过度收集等问题,还有待相关配套法律制度来予以进一步释明。


(六)
刷脸门禁等人脸识别技术


与上述公共场所安装大量智能监控的问题类似,近几年随着人工智能的进步,各种写字楼、办公刷脸门禁等快速扩张的人脸识别技术同样引发人们对个人隐私泄露的担忧,特别是此次突发的新冠疫情更是加速了各地人脸识别设备的落地,并激化了众多矛盾。如2020年9月,清华大学法学院教授劳东燕拒绝小区采用人脸识别作为门禁手段,此事经媒体报道后引发热议。[14]


“人脸”作为用户的生物信息,属于个人信息中的敏感个人信息,该信息一旦泄露或者被非法使用,可能导致人脸的主体受到歧视或者人身、财产安全受到严重威胁。因此在实践中,如果是法律法规已有明确要求的“强认证”场景(如公共安全、金融支付)下,使用人脸识别完成精确的身份比对和验证,通常有其必要性和合理性,但也需要注意对人脸数据进行妥善保管,不得泄露、滥用。


而对于一些没有明确法律规定的场景,特别是服务于维护公共安全以外目的的,通常不宜使用人脸识别作为唯一的验证方式。例如在被业内人士称为“国内人脸识别第一案”中,杭州野生动物世界强制要求年卡用户刷脸入园,浙江某大学特聘副教授郭兵因此将其告上法庭并获得胜诉。同时,根据《个保法草案》的规定,此时还应当告知用户并且取得个人的单独同意。


(七)
自动化决策与精准营销


打开购物网站,页面会自动推荐用户感兴趣的商品;打开手机地图,导航会自动规划回家的最优路线;大学利用算法,根据消费记录识别学生的经济状况,帮助确定贫困生补助发放;银行利用数据模型对客户进行放贷。这些发生在日常生活中的场景,几乎都与自动化决策密不可分。对于自动化决策,即“利用个人信息对个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,通过计算机程序自动分析、评估并进行决策的活动”,《个保法草案》进行了详细的规定。


首先,个人信息处理者利用个人信息进行自动化决策,必须在事前进行风险评估,并对处理情况进行记录,且风险评估报告和处理情况记录应当至少保存三年。


其次,利用个人信息进行自动化决策,应当保证决策的透明度和处理结果的公平合理。例如,某在线旅游平台,利用自动化决策对老用户实施价格歧视,使老用户预定同一酒店的价格比新用户高,这显然不符合“处理结果的公平合理”要求。


第三,个人信息认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化,决策的方式作出决定。


最后,通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。例如,线上购物、短视频、新闻资讯等平台利用算法,如基于用户的搜索、浏览、收藏等记录自动向用户精准投放广告、推送内容,必须同时向用户提供关闭个性化推送或展示的选项,使用户取得是否接受精准营销的控制权。


(八)
大数据交易


2020年3月《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》首次明确了“数据”作为重要的新型生产要素的地位。在此背景下,《数据安全法(草案)》第八条明确提出了“建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场”。那么,在《个保法草案》之下,作为各类交易数据中价值最高、对个人影响也最大的个人信息如何才能合法交易呢?


实际上,《个保法草案》并没有关于大数据交易的直接规定,但其中有关个人信息的定义及向第三方提供个人信息的规定或可体现立法者“唯有保证个人信息安全方可进行大数据交易”的态度。对企业来说,除非将个人信息进行匿名化处理,否则个人信息交易可能需要极高的合规成本方可实现。


具体而言,根据一般的文义理解,“交易”应当属于“向第三方提供”的范畴。而根据《个保法草案》第二十四条的规定:“个人信息处理者向第三方提供其处理的个人信息的, 应当向个人告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类, 并取得个人的单独同意;接收个人信息的第三方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。”


上述要求实践中企业往往很难满足,原因在于:(1)第二十四条下的个人信息不仅包括原始信息,还包括经处理后二手、三手等信息,取得单独同意技术上能否实现不确定;(2)大数据交易涉及的个人信息主体众多,重新获得“单独同意”即使技术上能够实现,也必然需花费高昂的时间、管理成本;(3)个人信息处理者还需要通过合同等安排约束第三方在告知同意范围内处理个人信息,进一步增加了合规的繁琐程度。


值得注意的是,根据《个保法草案》的规定,匿名化处理后(经处理无法识别特定自然人且不能复原)的个人信息不受个人信息保护相关法律的限制。也就是说,匿名化的个人信息可以自由交易。但是,个人信息处理者向第三方提供匿名化信息的,第三方不得利用技术等手段重新识别个人身份。这意味着,实践中个人信息接收方通过拖库、撞库等反向识别个人信息的方式存在合法性风险。


(九)
业务涉及的典型个人信息


前文分析了几大典型业务场景下的个人信息保护,此处还将选取企业日常业务涉及的几类典型个人信息,在《个保法草案》的语境下讨论保护要点。


1
患者信息


第一类是医疗行业特有的患者信息。根据《个保法草案》,医疗健康信息属于敏感个人信息。相比于一般个人信息,处理此类信息需要满足额外的条件,例如取得患者的单独同意;告知患者处理此类信息的必要性和对其个人的影响等。


另外,处理患者医疗健康信息还需满足《国家健康医疗大数据标准、安全和服务管理办法(试行)》的规定。例如,健康医疗大数据应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。


2
简历信息


第二类是所有企业在招聘中都会涉及的简历信息。实践中,单位通常会通过直接和间接收集两种方式收集简历信息。对于直接收集,无论是通过线下还是线上(如邮箱),都应向应聘者说明收集信息的范围、目的、处理方式、保存期限,并取得应聘者的同意。另外,保存期限应当为实现招聘目的所必要的最短时间。


对于间接收集,如果单位从招聘网站上收集公开的个人简历,则无需征得信息主体的单独同意,但需注意相关信息只能用于招聘目的。如果单位从第三方处获取简历信息,则应当通过合同形式确保相关简历信息来源合法。另外,除非第三方提供简历信息是为了履行其与简历信息主体之间的合同所必需(例如简历信息主体委托猎头寻找就业机会),否则还可能需要取得信息主体的单独同意。


另外值得注意的是,HR倒卖简历信息的案件近年来也屡见不鲜。这可能涉嫌构成“侵犯公民个人信息罪”,处7年以下有期徒刑,并处罚金。


3
电商用户信息


第三类是电商行业极为看重的用户信息。近年来,电商平台利用撞库反向识别个人身份、定向推送等问题备受关注。例如,某电商平台从其他平台处购买匿名化的用户浏览、点赞、收藏、购物等记录,再通过撞库反向识别个人身份,完善用户画像,用于精准营销。根据《个保法草案》的规定,这种反向识别个人身份的行为是禁止的。此时应适用向第三方提供个人信息的要求,取得信息主体的单独同意。


再如,用户在某电商平台中输入搜索的商品,平台利用算法,基于用户过往的搜索、浏览记录,将“购买过的店”排在靠前的位置。根据《个保法草案》的规定,该电商平台还需为用户提供“通用排序”选项,以便用户选择不针对其个人特征的商品排序。


 

五、 个人信息保护民事诉讼以及刑事、行政责任


依照《个保法草案》,违反个人信息保护规定,可能引发民事、行政甚至刑事责任。可以预见,在《个人信息保护法》出台后,我国会涌现大量的个人信息侵权纠纷,这对企业的个人信息合规提出了更高的要求。


(一)
侵害个人信息的民事诉讼预计显著增加


近年来,随着大众对于自身个人信息相关权益的认识水平和重视程度逐渐提高,侵害个人信息相关民事诉讼已非罕见,但囿于维权成本高、专业性强、赔偿数额小、举证负担沉重等问题,以民事责任为主要导向型的个人信息保护路径始终未能畅通。然而,此次《个保法草案》通过明确个人信息相关权利、举证责任倒置及建立公益诉讼制度等方式,使得侵害个人信息的私力救济有了被激活的可能,若草案能够成功落地,侵害个人信息的民事诉讼预计将显著增加。


1
个人与处理者权责分明为起诉提供依据


随着域外GDPR等立法的相继出台,在我国法律中建立个人信息相关权利体系一直是备受关注的话题。个人信息主体和个人信息处理者的权责不明,不仅会导致个人在选择民事诉讼作为维权武器时产生疑虑,同样也会使法院在进行裁判时无所适从。例如在2015年的任甲玉诉百度案[15]中,“被遗忘权”是否应在我国法律下得到保护就曾引起热议。又如在刚刚宣判的“人脸识别第一案”中,杭州富阳法院虽然支持了原告的诉讼请求,要求杭州野生动物世界删除原告的个人信息并予以赔偿,但其所持理由为杭州野生动物世界单方面变更服务合同不具有正当性,而回避了野生动物世界收集人脸识别信息行为的合法性问题,一个关键原因就在于现行法律并未对此类行为及其合法性做出界定。[16]


为了应对这些问题,《个保法草案》第四章在《网络安全法》及即将生效的《民法典》的基础上,对于个人信息主体在个人信息处理活动中的权利作了进一步明确与细化,明确个人信息主体享有知情权、决定权、限制权、拒绝权、查阅权、复制权、更正权和删除权这八大权利。同时,草案第五章明确了个人信息处理者在数据各生命周期应承担的法定义务,包括制定内部管理制度和操作规程、采取相应的安全技术措施、指定负责人对其个人信息处理活动进行监督、定期对其个人信息活动进行合规审计等。此外,草案还对人脸识别、精准营销乃至人肉搜索等社会热点问题做出了回应,这都将使得未来的个人信息民事诉讼更加有法可依。


2
通过过错推定减轻个人信息主体举证责任


目前在举证责任方面,我国的侵害个人信息相关民事纠纷主要依照《侵权责任法》中一般侵权适用过错责任,这使得个人在诉讼中的举证责任负担过重。对于经济、技术实力处于弱势地位的网络用户而言,要查明信息泄露渠道,证明处理者行为与自身所受损害间的因果关系,以及证明个人信息处理者存在过错都有很大难度。[17]这直接导致多数个人信息主体在权利受侵犯时望法院而却步。


此前,已有法院在审理此类案件时对当事人的举证责任进行调整。例如,在2017年的庞某诉去哪儿网和东航泄露信息案[18]中,法院突破性地指出,作为普通人的庞某不具备对东航、趣拿公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。因此,客观上,法律不能也不应要求庞某证明必定是东航或趣拿公司泄露了其隐私信息。最终法院在排除其他泄露隐私信息可能性的前提下,结合本案证据认定上述两公司存在过错。[19]然而,这种平衡个人和企业间举证责任的方式仍缺乏法律依据,因而并未真正得到普及。


也许正是为了回应这一问题,《个保法草案》第六十五条规定,“个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。”似乎将对个人信息处理者的侵害个人权益行为采取过错推定责任,即由个人信息处理者承担其实施的个人信息处理活动是否存在过错的证明责任,并且在其已证明不存在过错的情况下,仍可能不能免除全部责任。这一规定一经落实,显然将会显著减轻个人信息主体在民事诉讼中的举证责任,鼓励个人信息主体通过私力救济维护自身权益。


3
以公益诉讼制度为个人信息权益保护查漏补缺


民事诉讼不仅是个人信息主体保护自身权利的重要途径,也是弥补行政机关执法的缺位,倒逼企业自我整改的重要途径。然而,由于侵害个人信息的事件往往具有受侵害主体过于广泛和分散,个人所受侵害较小,但群体利益所受侵害严重等特征,使得个人提起民事诉讼的意愿较小。因此,建立公益诉讼制度对于更好地发挥民事诉讼在个人信息保护中的作用,维护社会公众的个人信息权益,乃至惩戒企业的违法行为都具有重要意义。


从过往的实践来看,我国个人信息保护领域的公益诉讼一般由消费者协会和检察院提起,在数量上又以后者提起的公益诉讼居多。检察机关与行政执法机关之间的良好互动对个人信息保护有着重要的推进作用。例如在2019年的浙江省诸暨市房地产、装修行业侵犯消费者个人信息公益诉讼案中,诸暨市人民检察院向诸暨市市场监督管理局发出督促其依法履职的检察建议,并向诸暨市建设局及装修装饰行业协会发出工作函,督促开展行业规范整治。随后,诸暨市市场监督管理局对涉案企业进行立案查处并施以罚款。诸暨市装修业协会则积极开展了消费者个人信息保护宣传,并组织商户签订保护个人信息承诺书,有效打击了房产装修装饰领域肆意转卖或者无偿提供消费者个人信息的乱象。 [20]


近年来,全国各地的检察院陆续发布了公民个人信息公益诉讼第一案,检察院以公益诉讼形式保护公民个人信息权益的案例已比比皆是,但仍以刑事附带民事诉讼为主。[21]本次《个保法草案》将履行个人信息保护职责的部门和国家网信部门确定的组织增添为公益诉讼的提起主体,或将使未来出现更多个人信息保护公益诉讼,更为全面地维护个人权益及社会公共利益。


(二)
行政责任及刑事法律风险


除民事责任外,随着国家对个人信息的保护力度不断加强,企业及其员工也应进一步提高对侵害个人信息相关行政责任甚至刑事责任风险的警觉性。


在2016年的雀巢案[22]中,雀巢员工因从多家医院非法购买孕妇的个人信息用于奶粉推销,而被认定为构成个人犯罪,但由于雀巢公司企业内部具有完善的合规制度,避免了公司被认定为单位犯罪的风险。实践中,这种合规制度的完善或者商业模式的调整可以降低甚至避免许多的法律风险。


从行政责任的角度来看,《网络安全法》规定的行政处罚包括警告、没收违法所得、罚款,甚至吊销营业执照等。如果情节严重,构成犯罪的,则还会面临最为严苛的刑事处罚,对此,包括《刑法修正案九》及两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中均作了详细的规定。事实上,早在2017年的时候,就有十余家大数据公司因个人信息保护问题受到调查[23],目前有多家网贷企业因个人信息甚至个人敏感信息的非法交易而被关停,许多企业负责人也因为构成了侵犯个人信息罪而面临刑事责罚[24]。


此外,公众日常生活中的众多场景与个人信息保护息息相关,例如精准营销、新闻报道、小区或办公楼的刷脸门禁、政府或学校公开个人信息、公众场所安全的摄像头等,还有企业的许多业务场景,例如窃听App、撞库、自动化决策、信息服务外包、数据交易等,都受到《个人信息保护法》的规制。


 

六、 总结:个人信息保护法律体系的新时代


数据经济及信息化发展已是大势所趋,企业的商业模式、AI训练、IoT业务等都需基于大数据进行构建和升级,而其中必然涉及大量的个人信息处理活动。如果企业在个人信息保护方面不能打好扎实的基础,那么无论是做好自身业务,还是进一步“走出去”都可能面临困境。

个人信息保护制度的建立是一项系统性的工程,在《个保法草案》出台后,就现行法律法规的清理调整、对过渡期规则的进一步细化以及其他配套制度的出台都将逐步落实,有权部门的监督管理,以及个人对自身信息权益的保护和救济也将提上日程。因此,企业也需按照相关规定及时完成组织机构、公司合规准则和其他相关调整,在新的规则体系下积极把握新机遇、应对新挑战。


[1]http://www.gov.cn/jrzg/2012-12/28/content_2301231.htm

[2] http://www.gov.cn/xinwen/2018-09/08/content_5320252.htm

[3] http://www.cac.gov.cn/2019-06/13/c_1124613618.htm

[4] Careers info Security: “Hard Drives Lost, Affecting Nearly 1 Million” https://www.careersinfosecurity.com/hard-drives-lost-affecting-nearly-1-million-a-8829

[5] http://opinion.people.com.cn/n1/2020/0922/c431649-31871150.html。

[6] https://www.sohu.com/a/152055059_119659。

[7] http://opinion.people.com.cn/n1/2020/0922/c431649-31871150.html。

[8] 最高人民法院2014年9月12日发布政府信息公开十大案例,参见:http://www.court.gov.cn/zixun-xiangqing-13406.html。

[9] 李世华与长沙市开福区人民政府二审行政判决书,参见:http://wenshu.court.gov.cn/content/content?DocID=237c3a42-bf09-4534-9c96-faa93e2b5578。

[10] LEVINSON-WALDMAN R.Hiding in Plain Sight: A Fourth Amendment Framwork for Analyzing Government Surveillance in Public[J]. Emory Law Journal, 2017(66):527-615.

[11] 例如在“水滴直播”平台上可以看到来自全国各地的视频监控摄像头的实时画面而引发的争议,详情可参见http://www.xinhuanet.com/info/2017-05/11/c_136273243.htm。[12] http://image1.big-bit.com/2016/1212/20161212031543276.pdf。

[13] https://mp.weixin.qq.com/s/VLAoEBO0PDZ3QL2bLFR-GQ。

[14] https://new.qq.com/rain/a/20200927A03DSQ。

[15] 任甲玉与百度公司名誉权纠纷案,(2015)一中民终字第09558号

[16] 余思毅,“人脸识别第一案”郭兵:人脸信息关系重大,仍会继续上诉,载《时代在线》,https://www.time-weekly.com/post/275865

[17] 陈吉栋,个人信息的侵权救济,载《交大法学》,2019年第4期。

[18] (2017)京01民终509号

[19] 参见最高人民法院发布第一批涉互联网典型案例,http://www.court.gov.cn/zixun-xiangqing-112611.html

[20] 蒋琳:“最高检将个人信息公益诉讼案列入典型 房产公司推销侵犯个人权益”,https://mp.weixin.qq.com/s/qAm0JJoKAv9VcJpLJe9lcQ

[21] 例如湖南首例!侵犯公民个人信息刑事附带民事公益诉讼案公开庭审,载红网,https://hn.rednet.cn/content/2020/06/22/7492392.html

[22] (2017)甘01刑终89号

[23] 财新,“大数据时代何以裸奔?数据黑产触目惊心|特稿精选”http://weekly.caixin.com/2017-08-04/101126355.html

[24] 北京晚报,“警方破获特大网络套路贷案 追回冻结涉案资金9.2亿元” https://finance.sina.cn/bank/yhgd/2020-01-21/detail-iihnzhha3940772.d.html?cre=tianyi&mod=wpage&loc=8&r=32&rfunc=67&tj=none&tr=32



邓志松律师

大成北京总部 高级合伙人

e-mail:zhisong.deng@dentons.cn




戴健民律师

大成上海分所 合伙人

e-mail:jianmin.dai@dentons.cn

大成能为您做什么?

联系我们 +