《个人信息保护法》若干重点问题解说
2021年8月20日《个人信息保护法》通过,自2021年11月1日其施行,我国终于有了一部对个人信息保护做出系统性和基础性规制的法律。在此之前,有关个人信息保护的相关规定散见于数量众多的法律法规中,既有《民法典》这样的根本大法,也有《网络安全法》、《消费者权益保护法》这样的法律,同时也存在着数量众多的部门规章、国家标准、行业规范和技术规范等文件。不同的法律法规从不同的角度对个人信息保护的相关问题进行规制和阐述,其中难免有不一致的地方。这是因为数字经济环境下的个人信息保护属于十分前沿的课题,需要首先在实践中积累经验,形成共识,然后再制定统一的规则。而《个人信息保护法》的通过,则标志着个人信息保护进入了一个全新的阶段。
《个人信息保护法》的一审稿和二审稿分别于去年10月和今年4月公布,各方有识之士已经从各自不同的角度和视点对法案进行了深入的解读。因此,本文的目的不在于对《个人信息保护法》的条文进行详细介绍,而是希望就笔者认为的《个人信息保护法》中几个比较重要的问题进行解说,以帮助读者各位对这部法律的一些基本问题和基本思路有一初步了解。
一 《个人信息保护法》平衡的最基本的利益关系:个人数据的利用和个人数据的保护
《个人信息保护法》虽名为“保护”,但实际上“保护”并不是这部法律的唯一价值取向。我们知道,单一信息的价值其实有限,但如果可以对信息进行大规模的收集和分析,则其可以产生巨大的价值。随着网络和计算机技术的迅速发展,以成千上万,甚至上亿的规模收集个人信息不论技术层面还是从成本层面而言都已经完全可行。并且随着计算机算法的不断进步,我们对于信息的挖掘、处理和分析的能力也是以往无法比拟的,对此想必每个人都有切身的体会。经过加工处理之后的信息,除了可以用于用户画像,进行精准营销,提供个性化服务等商业活动之外,还可以用于各种社会管理和公共事务,其价值无可限量。正是因为个人信息蕴含的巨大价值,所以围绕个人信息也产生了一些违法行为。通过技术手段入侵网络系统窃取个人信息,或者个人信息的控制者违反法律或与客户的约定,擅自泄露转卖个人信息的情况也不在少数,个人信息领域曾经一度处于“野蛮生长”的状态。
因此,保障个人信息的流通和利用与保护个人信息之间产生了紧张关系。过分强调流通和利用就有可能侵害到个人信息主体的合法权益,而过分强调对于个人信息的保护又会影响到个人信息可能产生的积极作用,与目前数字化的潮流不符。所以,如何在个人信息的利用和保护之间寻找一个合理的平衡点是《个人信息保护法》最核心的课题之一。我们可以看到,《个人信息保护法》第一条就开宗明义地表明本法的目的就是为了“保护个人信息权益”并“促进个人信息合理利用”。欧洲的《一般数据保护条例》也提到,本条例“针对个人数据处理中的自然人保护及个人数据的自由流动”而制定,无不体现了平衡“利用”和“保护”之间的矛盾。而我们在进一步考察《个人信息保护法》的条文时,也务必要时刻意识到这一核心价值取向。
二 《个人信息保护法》规制的各种行为的核心对象:“个人信息”的定义
毫无疑问,对于个人信息的定义是《个人信息保护法》的核心问题,关系到整部法律的规制宽度。目前,对于个人信息的定义大概有几个主流的路径,一是“识别”途径,即以是否能识别自然人身份作为一种信息是否属于个人信息的判断标准。二是“关联”途径,即凡是与个人有关的一切事项皆为个人信息。三是“隐私”途径,即将个人信息限定于“隐私”的范围。上述三个途径中,“隐私”理论所涵盖的个人信息的范围是最狭窄的,而“关联”理论所涵盖的范围则最广[i]。
这次通过的《个人信息保护法》第4条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。从这一定义可以看出《个人信息保护法》对于个人信息的定义采取了“识别”和“关联”相结合的模式,与欧洲的《一般数据保护条例》中对于个人数据的定义是基本相同的,而与之前的相关规定有所不同。比如,《民法典》第1034条2款规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。而《网络安全法》第76条1款规定,个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。《信息安全技术个人信息安全规范》则把个人信息定义为“以电子或其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”,基本都采用了“识别”标准。
笔者认为,根据《个人信息保护法》的定义,我们在识别个人信息时可以采取两步法。即第一步确定某一信息是否可以直接识别或者与其他信息结合识别某特定的自然人。如果符合这一条件的话,第二步则应判断某一信息是否属与该自然人相关,如果相关则亦属于个人信息,哪怕这一信息单独或者与其他信息结合无法识别这一自然人。笔者认为,在实务中“直接识别”和“相关”应是比较好把握的,难点是所谓的“间接识别”,即与其他信息结合之后识别特定自然人的信息。因为,从理论上来说任何信息不论其识别度有多么低,只要能够同足够多的信息结合在一起,最终都可以特定某一自然人。比如,“年龄段”、“爱好”、“籍贯”、“工作单位”、“收入范围”、“教育程度”这些信息单独来看的话都无法识别某一特定自然人,但是如果我们把这些信息全部或者部分结合在一起的话,识别某一个特定自然人的可能性就大大提高了,因此从理论上来讲几乎所有的与个人有关的信息都可以落到个人信息的范畴里,其唯一的区别就是“识别”的难度以及与其他信息“结合”的可能性的问题。针对这一点,恐怕也很难制定一个统一的标准,而需要在具体个案中具体分析。因为,不同的信息处理者获取信息的渠道和能力有很大差别,进行“结合”的意愿也不同。一家从事一般业务的公司出于劳动人事管理的目的收集个人信息与一家互联网平台企业为了进行个性化营销而收集个人信息这两种情况在个人信息结合的技术能力、资源和意愿方面完全无法类比,这就自然会导致“结合”的可能性也大不相同。
关于个人信息的定义,另一个经常会被提到的问题就是个人信息和隐私之间的关系。事实上个人信息保护和隐私权不是一个包含和被包含的关系,但彼此有部分交集。根据《民法典》第1032条的规定,所谓隐私值得是自然人私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。因此,隐私权所覆盖的范围并不仅限于“信息”,还包括了空间和活动等场景。所以,诸如偷窥、偷拍或侵犯私拆他人信件等行为都属于侵犯隐私的行为,但与个人信息无关。即便隐私权中所包含的“私密信息”,其概念和外延与个人信息也不完全相同。《民法典》第1034条3款规定,个人信息中的私密信息,使用有关隐私权的规定,没有规定的,适用有关个人信息保护的规定。所以,私密信息的范围应小于个人信息的范围。一般来说,诸如姓名、性别、外观相貌、职业等信息虽不属于“不愿为他人知晓”的私密信息,但这些信息毫无疑问都是个人信息。当然,除了上述最主要的区别之外,隐私权和个人信息在法律地位、法律责任和理论基础等方面也有诸多不同。
三 《个人信息保护法》赋予的安全港:个人信息的匿名化
如上所述,《个人信息保护法》的一大目标就是平衡“利用”和“保护”之间的利益冲突。如果一项信息如果经过一定的处理之后不再能够识别特定的自然人的话,那么即便这一信息遭到泄露或者恶意利用,对于自然人也不会造成严重的损害,在这种情况下应该将“利用”放在更为优先的位置。出于这一考虑,《个人信息保护法》明确将匿名处理后的信息从个人信息的范畴中去除。也就是说只要进行了匿名化的处理,则该等信息的后续利用和处理均无需再遵守《个人信息保护法》的规制(但作为一种数据,可能仍需要受到《数据安全法》等其他法律的规制)。
何为匿名化,《个人信息保护法》第72条规定,所谓的匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。与匿名化相关的,我们经常提到的另一个概念叫做“去标识化”。《个人信息保护法》第72条规定,去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。言下之意,经过去标识化之后的信息在借助额外信息的情况下还是可以识别个人信息主体的。而匿名化的关键在于“不能复原”,即在任何情况下都无法再识别出信息主体。如果打个比方的话,去标识化好比将个人信息锁起来,然后将钥匙仔细保管在另一个场所。而匿名化则是将个人信息锁起来之后,把钥匙彻底销毁。
匿名化的概念虽然不难理解,但实务中也存在一些难点。首先,从技术的角度来说,理论上讲任何经过匿名化的信息都是可以复原的。通过对多个匿名数据的对比和分析,仍然有很大可能性识别出信息主体,无非是个人信息处理者是否拥有这样的技术,以及愿意花费多大的资源去进行这一操作。其次,很多信息在进行匿名化之后,其价值就会大大降低,可能不再具有利用的价值。比如,目前大数据运用得比较成功的场景之一就是精准营销。在这一场景下,如果对个人信息进行了匿名化处理,则这一应用的价值必将大幅度下降。因此,不论从技术角度还是从利用价值角度来说,完全的,彻底的匿名化是很难做到的。未来,从法律角度对于“匿名化”进行界定可能会是一个动态和个案判断的过程。需要从信息处理者的技术能力、信息复原成本和复原难度等各方面来综合判断某一信息是否已经符合了匿名化的要求,以期在个人信息的合法利用和保护之间寻找到一个合适的平衡点。
四 《个人信息保护法》的合规基础:个人信息的收集
《个人信息保护法》涵盖了包括个人信息的收集、存储、使用、加工、传输、提供和公开在内的全周期。但是毫无疑问,个人信息收集是个人信息合规处理的基础。不合规的个人信息收集将影响到之后对于个人信息的各项处理工作。
在《个人信息保护法》通过之前,个人信息的收集一般以信息主体的“同意”作为条件。比如,《全国人大常委会关于加强网络信息保护的决定》第2条规定网络服务提供者和其他企业事业单位收集个人信息要“经被收集者同意”。《网络安全法》第41条1款规定网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。但是在部分法规中,对于未经信息主体同意收集个人信息也预留了空间。比如,《民法典》第1035条规定 处理个人信息的应当征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外。《信息安全技术个人信息安全规范》中则具体列举了可以不经个人信息主体同意的11种情况。
此次通过的《个人信息保护法》第13条明确了可以在下列情况下无需个人同意而收集个人信息。具体是,为订立或者履行个人作为一方当事人的合同所必需的,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;为履行法定职责或者法定义务所必需;为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;依照本法规定在合理的范围内处理已经公开的个人信息;为公共利益实施新闻报道、舆论监督等行为,在合理范围内处理个人信息以及法律、行政法规规定的其他情形。在保持“同意”的大原则的基础上,又适当地给予了一定的灵活性,照顾了个人信息利用中的一些实际需要。但是,在适用这些例外条款时仍有一些问题需要留意。
首先,无需获得同意不等于无需履行告知义务。《个人信息保护法》第17条规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言向个人告知个人信息处理者的身份和联系方式;个人信息处理目的、处理方式,处理的个人信息种类、保存期限;个人行使本法规定的权利的方式和程序。这一事先告知的义务并不因为无需获得个人信息主体的同意即可收集个人信息而免除。除非“个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项(《个人信息保护法》第18条)。并且,《个人信息保护法》第17条第二款进一步要求,个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并便于查阅和保存。
其次,在取得个人信息主体同意的情况下也必须确保个人信息主体的同意是“充分知情、自愿和明确作出的”(《个人信息保护法》第14条)。在笔者曾经处理过的案件中,有一些企业只是在其内部规章制度中十分笼统和概括性地对员工个人信息的收集和处理做出了规定,并以此作为员工“同意”的基础。这样的做法在《个人信息保护法》的框架下将存在相当程度的合规风险。此外,《个人信息保护法》中对于一些特殊情况进一步作出了“单独同意”的要求。比如,个人信息处理者向他人提供其处理的个人信息的(《个人信息保护法》第23条),公开个人信息的(《个人信息保护法》第25条)、处理敏感个人信息(《个人信息保护法》第29条)以及向境外提供个人信息(《个人信息保护法》第39条)等情况下都必须取得个人信息主体的“单独同意”。至于什么样的同意符合“单独同意”的要求,《个人信息保护法》并没有明确约定。一般来说个人信息处理者可以通过制定单独的告知声明,或者至少在统一的告知声明中以明确突出的方式将相关内容提醒信息主体注意的方式达到“单独同意”的目的。
再次,在无需获得信息主体同意的各项事由中“为订立或者履行个人作为一方当事人的合同所必需的”以及“依照本法规定在合理的范围内处理已经公开的个人信息”可能是会被较多利用的事由。对于前者需要注意的是仅限于履行“个人作为一方当事人的合同”所必需的信息。比如,消费者在某购物平台上进行网购,物流公司为履行配送合同从购物平台收集消费者的联系方式和送货地址等个人信息。此时,如果配送合同是由消费者个人与物流公司之间建立的,则收集作为合同当事人的该等消费者的个人信息无需获得消费者同意。但如果配送合同是由购物平台和物流公司之间建立的,则严格来说仍需要取得个人的同意(当然,这种同意可以事先取得的)。至于如何“在合理范围内处理已经公开的个人信息”,《个人信息保护法》第27条规定,个人信息处理者处理已公开的个人信息,应当符合该个人信息被公开时的用途。超出该用途相关的合理范围的,应当依照本法规定取得个人同意。个人信息被公开时的用途不明确的,个人信息处理者应当合理、谨慎地处理已公开的个人信息。利用已公开的个人信息对个人有重大影响的活动,应当依照本法规定取得个人同意。比如,我们在工作中有时会将自己的联系方式通过交换名片、网站或电子邮件的方式对不特定多数人公开。这些信息公开的目的是为了与现存的或潜在的合作伙伴保持工作和业务上的联系,如果使用这些个人信息用于其它无关目的的话,就必须要获得信息主体的同意。
最后一个需要留意的问题就是在间接收集个人信息的情况下应对个人信息的原始收集程序的合规性给予特别的关注。个人信息的收集按照是否从个人信息主体直接获得可大致分为“直接收集”和“间接收集”两种。不论是直接收集还是间接收集,在收集个人信息时都必须符合《个人信息保护法》的规定。在直接收集的情况下,由于收集者可以直接与个人信息主体进行某种程度的联系,因此可以较为便利地履行告知和同意等义务。但是在间接收集的情况下,由于收集者无法直接与个人信息主体进行直接联系,因此合规风险也就比较大。在这种情况下就必须对个人信息的来源、收集目的、收集程序、授权范围等进行仔细确认,尽到合理的注意义务,以确保收集以及之后的处理行为的合法性。
五 《个人信息保护法》框架下的个人信息跨境提供
个人信息的跨境提供是本次《个人信息保护法》中颇受关注的一个问题。在此之前,《个人信息出境安全评估办法(征求意见稿)》中只提到了对于个人信息的跨境提供必需进行安全评估,这给很多企业尤其是跨国企业带来了不少的困扰。因为在当今经济全球化的大背景下,个人信息的跨境提供是普遍存在的现象。比如,跨国公司出于内部人事管理的需要而通过其在中国的分支机构收集员工的个人信息。这样一种纯粹日常管理中的个人信息跨境提供是否也需要进行安全评估是不少企业之前都有的困惑。
本次通过的《个人信息保护法》第38条对于个人信息的跨境提供进行了区别对待。结合《个人信息保护法》第40条关于个人信息存储的规定,我们可以看到对于关键信息基础设施运营商和处理个人信息达到国家网信部门规定数量的个人信息处理者而言,个人信息必须境内存储,如需向境外提供的,应当通过国家网信部门组织的安全评估。其他主体可以通过接受专业机构的个人信息保护认证或与境外接受方订立网信部门制定的标准合同的方式跨境提供个人信息。在此模式之下,料想从事一般业务的跨国企业,纯粹出于内部管理的需要,通过其中国分支机构收集数量不大的个人信息可能仅需签订标准合同即可。但是,不论是否接受安全评估,跨境提供个人信息都必须有“业务等的需要”,且“确需”跨境提供的才能进行。也就是说个人信息的跨境提供也要符合目的正当和必要原则。
关于跨境提供的另一个需要注意的问题就是,《个人信息保护法》具有一定的域外适用效力。《个人信息保护法》第3条第二款规定,在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法。(1)以向境内自然人提供产品或者服务为目的的,(2)分析、评估境内自然人的行为,(3)法律行政法规规定的其他情形。也就是说境外的信息接受方如果接受境内提供的个人信息是出于上述第3条第二款规定的目的话,不仅仅是履行安全评估相关手续的问题,还必须整体接受《个人信息保护法》的规制,全面履行《个人信息保护法》规定的各项义务。比如在上面的例子中,如果中国境内的分支机构出于人事管理的目的,向境外母公司提供员工个人信息,境外母公司也仅将该信息用于人事管理的话,《个人信息保护法》并不适用于境外母公司,该境外母公司遵守与中国的分支机构签订的合同即可。但如果中国的分支机构将境内自然人(比如,消费者、会员)的个人信息提供给境外母公司,境外母公司将其用于进一步的分析、评估或者营销目的的话,除了与中国的分支机构签订的合同之外,还需要全面履行《个人信息保护法》规定的各项义务,其合规负担将大大提高。
六 结语
除了本文提到的几个问题之外,诸如个人信息的处理规则、个人在个人信息处理过程中享有的权利、个人信息纠纷的举证责任分配、敏感个人信息的处理等都是《个人信息保护法》中值得注意的内容。个人信息保护不仅是一个应用面非常广的问题,也是一个能与多个领域产生交集的综合性领域,并且在不同的行业和应用场景中又有各自独特的和个性化的课题。数字时代,个人信息以及各种数据的价值已无需多言,而《个人信息保护法》的通过将标志着我国个人信息保护的法制建设进入了一个更加系统化的阶段,值得我们进一步持续关注。
[i] 《数据法学》,何渊主编,北京大学出版社2020年,42页
自贸区数据跨境新探索—以生物医药领域为切入口简评天津自贸区数据出境负面清单及上海自贸区数据跨境一般数据清单
如何正确理解《规范和促进数据跨境流动规定(征求意见稿)》
新冠疫情防控政策由“乙类甲管”变更为“乙类乙管”后的劳动管理问题解析
《公司法》修订草案主要看点—从“董事会中心主义”的角度
交易相对方存在破产清算风险时,债权人企业如何应对?
个人信息保护法角度下的职场监控问题
《个人信息保护法》若干重点问题解说
《网络安全法》施行四周年实践观察(三):执法情况及典型处罚案例