《个人信息保护法》对企业的十大影响
2021年8月20日《中华人民共和国个人信息保护法》(简称“《个人信息保护法》”)由第十三届全国人民代表大会常务委员会第三十次会议审议通过并公布,将于2021年11月1日起施行。《个人信息保护法》实施之后,将与2017年6月1日实施的《网络安全法》、以及2021年9月1日起生效的《数据安全法》一起,成为我国网络空间管理和数据保护的“三驾马车”。
《个人信息保护法》共八章,总计七十四个条款。其中,第一章为“总则”,第二章为“个人信息处理规则”(包含第一节“一般规定”、第二节“敏感个人信息的处理规则”、第三节“国家机关处理个人信息的特别规定”),第三章为“个人信息跨境提供的规则”,第四章为“个人在个人信息处理活动中的权利”,第五章为“个人信息处理者的义务”,第六章为“履行个人信息保护职责的部门”,第七章为“法律责任”,第八章为“附 则”。本文重点解读《个人信息保护法》将对企业产生的十大影响。
一、企业应关注个人信息权益,并注意域外适用
《民法典》第一百一十一条中提到,自然人的个人信息受法律保护。而《个人信息保护法》第二条中将个人信息明确定义为一项权益,即“个人信息权益”。这是在目前互联网背景之下为了规范个人信息处理活动,促进个人信息合理利用的应有之举。
根据《个人信息保护法》第四条,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
因此,企业在实际经营之中,特别是在数据收集、使用和传输的过程中,应关注个人信息权益,防止个人信息泄露、个人信息过度采集等侵权行为的发生,否则将承担民事、行政、甚至刑事的相关责任。
此外,在法域适用方面,企业应当注意《个人信息保护法》不仅适用于在我国境内处理自然人个人信息的活动,也适用于在境外处理我国境内自然人个人信息的活动。例如,以向境内自然人提供产品或者服务为目的,分析、评估境内自然人的行为等。这对有跨境业务的企业而言,提出了更高的合规要求,值得关注。
二、企业在处理个人信息时应满足七大原则
对于企业来说,在处理个人信息时,应满足以下七大原则:“遵循合法、正当、必要和诚信原则”(第五条)、“具有明确、合理的目的”(第六条,即“目的限定原则”)、“采取对个人权益影响最小的方式……限于实现处理目的的最小范围,不得过度收集个人信息”(第六条,即“最小必要原则”)、“遵循公开、透明原则”(第七条)、“保证个人信息的质量”(第八条,即“质量原则”)、“对其个人信息处理活动负责”(第九条,即“可问责性”原则)、“采取必要措施保障所处理的个人信息的安全”(第九条,即“数据安全”原则)。
满足以上七大原则,对于个人信息处理者来说,是最基本的原则性要求。此外,对于企业来说,根据《个人信息保护法》第十条的规定,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息,也不得从事危害国家安全、公共利益的个人信息处理活动,这也是对企业在数据收集和处理活动过程中提出的基本合法性要求。
三、企业应注意区分知情同意的不同情形
对于企业来说,通常来说,只有取得个人的同意,方可处理个人信息,这是“告知—同意”的核心原则的体现。企业还应当注意单独同意或者书面同意的问题,也即根据《个人信息保护法》第十四条的规定,法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。这对特殊情形下的知情同意(例如第三十一条有关未成年人个人信息采集,应取得其父母或其他监护人的同意),提出了更高的要求。
但也需要注意,根据《个人信息保护法》第十三条的规定,还有“不需取得个人同意”的其他特殊情形,也即:(1)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(2)为履行法定职责或者法定义务所必需;(3)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(4)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;以及(5)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息(第十三条第二项至第六项)。以上特殊情形,对于普通企业的人力资源管理提供了方便之门,也为政府部门在应对突发公共卫生事件时进行数据合法收集提供了法律依据。对于从事新闻报道、舆论监督的企业而言,如果是为公共利益在合理的范围内处理个人信息的,也可以不用取得个人同意。另外,对于紧急情况下为保护自然人的生命健康和财产安全所必需,以及个人自行公开的情形,也不需要获得知情同意。
对于需要知情同意的情形,在个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意(第十四条)。并且,企业还应当保障个人的撤回同意权,也即基于个人同意处理个人信息的,个人有权撤回其同意,个人信息处理者应当提供便捷的撤回同意的方式(第十五条)。针对撤回同意的情形,个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力(第十五条)。在个人不同意处理其个人信息或者撤回同意的情况下,个人信息处理者不得因此而拒绝提供产品或者服务,但处理个人信息属于提供产品或者服务所必需的除外(第十六条)。
四、企业在共同处理和委托处理中承担不同责任
对于共同处理的情形,也即两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利(第二十条)。也即,用户有权向共同处理的任意一方行使权利,合同只能在合作企业内部发生效力,而一旦发生侵害个人信息权益造成损害的,企业都应当依法承担连带责任。
对于委托处理的情形,也即个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督(第二十一条)。而受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。这对委托方和受托方的数据活动都提出了相应的合规要求。
此外,对于因合并、分立、解散、被宣告破产等原因需要转移个人信息的,企业应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意(第二十二条)。而企业向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意(第二十三条)。
五、企业应避免大数据杀熟,规范自动化决策
大数据杀熟在互联网电商领域中时有发生,对消费者的权益造成了损害,产生了非常不良的影响。《个人信息保护法》第二十四条对此进行了明确的规制,也即,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。其中,自动化决策是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动(第七十三条)。
而且,通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。也即,对于企业来说,个性化推送的广告商业模式之外,还需要提供非个性化和可以拒绝的选项。
此外,对于企业来说,还需要注意通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。因此,企业应注意区分有重大影响的决定情形,并给用户拒绝的权利。
六、企业应严格限制对敏感个人信息(包括未成年人信息)的处理
《个人信息保护法》第二十八条~第三十条对敏感个人信息的内容进行了介绍,企业应注意对敏感个人信息的处理活动要更加小心谨慎。这是因为,敏感个人信息一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。例如,生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息(第二十八条)。
因此,目前法律规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。而且,处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定(第二十九条)。此外,个人信息处理者处理敏感个人信息的,除一般的告知事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响,但依法可以不向个人告知的除外(第三十条)。
此外,对于处理不满十四周岁未成年人个人信息(亦属于敏感个人信息)的情形,企业应当取得未成年人的父母或者其他监护人的同意,而且对于该类信息,企业还应当制定专门的个人信息处理规则(第三十一条)。
七、企业应注意完善个人信息跨境提供规则
《个人信息保护法》第三章是有关“个人信息跨境提供的规则”的法律要求,可以称为“中国版个人信息跨境流动规则”。作为一般要求,个人信息处理者因业务等需要向境外提供个人信息时,应当具备下列条件之一:
(1)依法通过国家网信部门组织的安全评估;
(2)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(3)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(4)法律、行政法规或者国家网信部门规定的其他条件。
在向境外提供个人信息时,企业应注意:
● 个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准(第三十八条);
● 个人信息处理者应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意(第三十九条);
● 个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录(第五十五条)。
此外,对于关键信息基础设施运营者(CIIO)和处理个人信息达到国家网信部门规定数量的个人信息处理者而言,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定(第四十条)。
八、企业应关注个人信息主体享有的十大权利
《个人信息保护法》第四章规定了“个人在个人信息处理活动中的权利”,主要包括“享有知情权、决定权”(即知情权、决定权,第四十四条)、“有权限制或者拒绝他人对其个人信息进行处理” (即限制权、拒绝权,第四十四条)、“有权向个人信息处理者查阅、复制其个人信息”(即查阅权、复制权,第四十五条)、 “个人信息处理者应当提供将个人信息转移至其指定的个人信息处理者的途径”(即可携带权,第四十五条)、“有权请求个人信息处理者更正、补充”(即更正权,第四十六条)、“个人有权请求个人信息处理者主动删除个人信息”(即删除权,第四十七条)、自动化决策相关权利(第二十四条)
此外,个人还有权要求个人信息处理者对其个人信息处理规则进行解释说明(第四十八条)。自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利(第四十九条)。对于个人信息处理者来说,应当建立便捷的个人行使权利的申请受理和处理机制,拒绝个人行使权利的请求的,应当说明理由(第五十条)。
九、企业应承担作为个人信息处理者的相应义务
《个人信息保护法》第五章规定了“个人信息处理者的义务”,其中提到,作为个人信息处理者,企业应当:
● 根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取措施(例如制定制度、分类管理、加密、去标识化、制定并组织实施应急预案等)确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失(第五十一条);
● 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督;公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门(第五十二条);
● 处理境内个人信息的境外个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门(第五十三条);
● 定期对其处理个人信息遵守法律、行政法规的情况进行合规审计(第五十四条);
● 对于处理敏感个人信息、利用个人信息进行自动化决策、向境外提供个人信息等情形,事前进行个人信息保护影响评估,并对处理情况进行记录(至少保存三年,第五十五条);
● 发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人(第五十七条);
● 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督、制定有关个人信息保护的平台规则、定期发布个人信息保护社会责任报告等(第五十八条)。
十、企业应要规避侵犯个人信息行为的法律责任
《个人信息保护法》第七章“法律责任”部分重点介绍了侵犯个人信息行为的各种责任,代表了目前对此类行为的严监管的风向,作为企业以及企业的管理者而言,应特别注意以下法律责任:
● 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款(第六十六条);
● 情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人(第六十七条);
● 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任,该损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额(第六十九条);
● 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任(第七十一条)。
由此可见,在法律责任方面,《个人信息保护法》从行政处罚、民事赔偿、刑事责任等多个维度都予以了规制。特别地,在行政处罚方面,不仅可以处罚企业本身(最高至上一年度营业额百分之五),还可以对直接负责的主管人员和其他责任人员处以近百万的罚款,这无疑使得企业在个人信息保护方面的合规需求更为迫切。
此外,对于个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼(第七十条),这种“公益”诉讼也使得监管的风险来自各个方向,对企业提出了更高的潜在合规要求。
总之,《个人信息保护法》对个人信息保护提出了更高的要求,作为企业来说,应当关注其对企业合规工作所带来的影响,从而有效规避风险,保障企业的正常经营和持续发展。
特别鸣谢:北京高文律师事务所
潘聪律师