自欧盟《一般数据保护条例》(以下简称GDPR)于2018年5月25日正式实施以来,受制于其全球管辖权带来的网络主权危机,全球个人数据保护立法掀起高潮,美国、日本、新加坡、韩国、巴西、印度甚至阿联酋等国家相继完成了相关的个人数据立法。作为全球最大的互联网市场,中国在法律层面并未出台关于个人数据的专项立法。在万众期待中,?(草案)(以下简称《草案》)正式完整发布。《草案》全文共8章70条,包括总则、个人信息处理规则、个人信息跨境提供规则、个人在个人信息处理活动中的权利、个人处理者的义务、部门等履行个人信息保护责任。设计构建多层次的个人信息保护立法框架,包括法律责任和补充规定。作为数据合规行业的资深从业者,我们最关心的是与现有的个人信息保护监管体系,尤其是GB/T35273-2020《信息安全技术 个人信息安全规范》(以下简称《个人信息安全规范》)标准相比,《个人信息保护法》对数据合规实践的重大影响。本文的目的也是为了从企业风险控制和合规的角度,遵守(草案)中可能对实际工作产生影响的以下[23]条重要条款。第一章总则第一部分个人信息的定义采用宽词条设计。个人信息是“以电子或者其他方式记录的与已识别或者可识别自然人有关的各种信息,不包括匿名信息”。从这个定义可以看出,个人信息的定义采用了《个人信息安全规范》个人信息定义的最广泛的录入方式,无论是通过识别方式(从信息到个人)还是通过关联方式(从个人到信息)获得的信息。被视为个人信息。类信息。该条款的设计也与GDPR的设计思路基本一致。2.适用范围采取属地性和属人双重适用的原则。在属地原则方面,“组织和个人在中华人民共和国境内处理自然人个人信息的活动,适用本法”;在人格原则方面,“在中华人民共和国领域外处理中华人民共和国领域内的自然人个人信息的活动,应当符合下列情形的,本法也适用于任何下列情形之一:(1)以向境内自然人提供产品或者服务为目的;(2)以分析、评价境内自然人的行为为目的;(3)法律、行政法规规定的其他情形。”同时,《草案》在最后还明确了不适用的情形,包括:“(1)本法不适用于自然人为个人或家庭事务处理个人信息。(二)法律对各级人民政府及其有关部门组织实施的统计和档案管理活动中的个人信息处理有规定的,依照其规定。”3。重要原则新增合法、诚信、质量、协同治理原则《草案》确立七项重要原则,包括合法、诚信、目的和必要、透明、质量、责任、安全保护原则,禁止非法加工,协同治理的原则。与合法、诚信、质量、协同治理的原则相比,这是一个新的原则。合法、完整、诚信原则是指“以合法、正当的方式处理个人信息,遵循诚实信用原则,不得以欺诈或误导的方式处理个人信息”;质量原则是指“所处理的个人信息应当准确、及时更新,以达到处理目的”;协同治理的原则是指“国家建立健全个人信息保护制度,预防和惩治侵害个人权利的行为加强个人信息保护宣传教育,推动形成政府、企业、相关行业组织和社会公众共同参与个人信息保护的良好环境。”第二章个人信息处理规则1.增加了六种处理信息的合法事由,基于同意事由的处理需要赋予用户撤回同意的权利相对于中使用的“知情同意-知情同意的例外情况”作为个人信息合法处理的适用框架,《草案》采用与GDPR一致的立法逻辑,直接将知情同意作为处理个人信息的合法依据之一。同时,以“同意”作为处理个人信息的合法事由,必须赋予用户撤回同意的权利。”第十条第三条个人信息处理者只有符合下列情形之一的,方可处理个人信息:(1)征得个人同意;(2)为订立或履行个人为一方的合同所必需的;(3)为履行法定职责或履行法定义务所必需的;(4)为履行法定义务所必需的;为应对突发公共卫生事件,或者在紧急情况下保护自然人生命、健康和财产安全;(六)法律、行政法规规定的其他情形。第十六条经本人同意进行个人信息处理活动,个人有权2.在同意的形式要求中增加“单独同意”,在同意的相关规定中,主观要件、形式所有要求、变更、未成年人同意的特殊要求、用户拒绝同意权的保护延续了原有的个人信息保护制度。框架要求。值得一提的是,在同意的形式要求中出现了“单独同意”的新描述。在此之前,一个类似单独同意的概念被作为《个人信息安全规范》的正式要求,要求个人信息控制者在收集生物特征信息之前获得用户的同意。类似的概念,如“明示同意[1]”将被更清晰易懂的“单独同意”概念所取代。“第十四条同意处理个人信息,应当由个人在充分知情的前提下自愿、明确表示。法律、行政法规规定处理个人信息应当征得个人同意或者书面同意的,依照其规定。3.增加免于通报的法律情形符合要求的通报义务,是合法、完整、透明原则的重要体现。《草案》一般通知的内容、通知的形式、变更通知的情形。此外,《草案》还设立了两种通知豁免,即基于保密义务的豁免和基于紧急情况的豁免:“第19条个人信息处理者处理个人信息,应受其约束d法律、行政法规规定的。规定应当保密或者不需要告知的情形的,可以不向个人告知前条规定的事项。在紧急情况下,为保护自然人的生命、健康和财产安全,个人信息处理者不能及时通知个人的,个人信息处理者应当在突发事件消除后,通知个人。”“共同处理”取代了“共同控制”的概念,将两者推到责任的前台。《草案》定义了共同处理者的概念,不再区分个人信息控制者和处理者。但也应明确认为,除了概念上的重新定义,两者的责任承担方式也从《个人信息安全规范》中的前端模式转变为个体主体的连带责任模式,相关的连带责任包括合同责任与侵权责任是连带责任。”第二十一条如果两个或两个以上的个人信息处理者共同决定处理的目的和方式处理个人信息,应当约定各自的权利和义务。但本协议不影响其中任何一方提供的个人信息。处理者请求行使本法规定的权利。个人信息处理者联合处理个人信息,侵犯个人信息权益的,依法承担连带责任。作为个人信息权利容易被忽视和侵犯的漏洞,向第三方提供和共享个人信息逐渐受到监管的密切关注。在《草案》中,向第三方提供个人信息需要履行相当严格的义务,包括但不限于(1)事先充分通知并单独同意;(2)第三方受到严格的处理限制,并额外要求第三方不得使用技术手段对匿名化信息进行重新识别。“第二十四条个人信息处理者向第三方提供其处理的个人信息的,应当将第三方的身份、联系方式、处理目的、处理方式和个人信息类型告知个人,并获取个人的个人信息。另行同意接收个人信息的第三方应当在上述处理目的、处理方式和个人信息类型的范围内处理个人信息,第三方改变原处理目的和处理方式的,应当通知个人并取得其同意。个人信息处理者向第三方提供匿名信息的,第三方不得利用技术等方式重新识别个人身份。”5.自动决策与营销使用场景融合规范,逻辑更加流畅,在原有的个人信息保护体系中,自动决策、个性化展示、拒绝营销的权限都分散了,这给从业者造成了很多误解和争议。本次《草案》从自动化决策的基本决策逻辑出发,遵循透明和公平的原则,在决策对个人权益产生重大影响时赋予个人拒绝的权利,直接限制自动化决策最常见的应用场景“商业营销”,“信息推送”应该为个人提供“不针对个人特征的选择”。本文再次体现了《草案》的流畅逻辑和简洁实用立法技术文体。”第二十五条利用个人信息进行自动化决策,应当保证决策的透明度和处理结果的公平合理。个人如认为自动化决策对其权益产生重大影响的,有权要求个人信息处理者作出说明,并有权拒绝个人信息处理者仅通过自动化决策进行决策-制作。商业营销和通过自动化决策推送的信息也应提供不针对其个人特征的选择。”6.个人信息的披露和使用公共个人信息的特殊条件限制使用现有的个人信息保护系统,以及个人信息处理者不得公开其处理的个人信息,除非取得个人同意或者法律、行政法规另有规定。值得一提的是,为应对公开个人信息无门槛获取的现状,《草案》对公开信息的处理做了特别限制,其核心是重点关注公开信息的使用它被披露了。以及使用该等公开信息的目的,具体如下:(1)只能在合理范围内进行处理;(二)超出合理范围的处理,应当再次告知并征得同意;(三)披露目的不明确的,应当谨慎处理;(4)当使用目的是对个人有重大影响的活动时,应再次告知个人并征得其同意。》第二十六条个人信息处理者不得公开其处理的个人信息,但征得个人同意或者法律、行政法规另有规定的除外。第二十八条个人信息处理者应当处理公开的个人信息。披露时的信息;超出与目的相关的合理范围的,应当依照本法规定通知个人并征得其同意。谨慎处理已公开的个人信息;利用已公开的个人信息从事对个人有重大影响的活动的,应当依照本法规定告知并同意个人。”7、新增公共场所图像采集专项安排为维护公共安全需要,避免滥用公权力,《草案》制定了公共场所采集个人图像和个人身份信息的规定,限制安装设备信息和使用目的,要求设置显着提示。该条款显然符合国际趋势[2],但对于什么是个人身份特征信息,还需要进一步解释和封闭。”第二十七条公共场所安装图像采集和个人身份识别设备,应当是维护公共安全所必需的,符合国家有关规定,并设置显着提示标志。采集的个人图像和个人身份信息只能用于为维护公共安全之目的,不得向他人公开或者提供;经本人同意或者法律、行政法规另有规定的除外。”8.草案设立专栏严格限制处理敏感个人信息定义采用概念和实例,强调此类个人信息的歧视性后果或对人身和财产安全造成严重危害的后果。对比《个人信息安全规范》的个人敏感信息列表,“种族”和“种族”被明确列举。对敏感个人信息处理的严格限制体现在(1)处理的前提是特定目的和充分必要;(2)基于个人同意进行处理应征得个人同意或书面同意;处理个人敏感信息的必要性和对个人的影响;(四)法律、行政法规规定处理敏感个人信息应当取得相关行政许可或者作出更严格限制的。》第二十九条个人信息处理者处理个人敏感信息具有特定目的和充分必要性。敏感个人信息一旦泄露或者被非法使用,可能导致人身歧视或者严重危害人身和财产安全。个人信息,包括种族、民族、宗教信仰、个人生物识别、医疗健康、财务账户、个人行踪等。第三十条经个人同意处理个人敏感信息的,个人信息处理者应当单独征得个人同意。法律、行政法规规定第三十一条个人信息处理者处理个人敏感信息,除本法第十八条规定的事项外,还应当提交个人通知必要的处理敏感个人信息的重要性以及对个人的影响。第三十二条法律、行政法规规定处理敏感个人信息应当取得相关行政许可或者作出更严格限制的,从其规定。》第三章个人信息跨境提供规则1.明确个人信息跨境提供的前提条件在原有的个人信息保护制度下,个人信息跨境提供的规则模糊不清。《草案》整合了个人信息出境的必要前提,将通知个人主体、单独征得个人主体同意作为又一必要前提。在中国境外产生的,个人信息处理者处理个人信息达到国家网信部门规定数量的个人信息,同样适用前述境内存储限制,两者确需向境外提供个人信息的,应当通过安全评估组织由国家网信部门负责。《第四十条关键信息基础设施运营者和个人信息处理者个人信息达到国家网信部门规定数量的,应当将收集和产生的个人信息存储在中华人民共和国境内。确需向境外提供的,需要通过国家网信部门组织的安全评估的;法律、行政法规和国家网信部门的规章不要求通过安全评估的,从其规定。2.将国际执法协助延伸为行政执法协助,增加个人数据管控和反制措施,是为了在全球数据治理博??弈中保护中国个人数据主体和数据主权,也是为了平衡国际间的微妙平衡。关系。综上所述,本次《草案》首次制定了个人信息的监管及反制条款,具体措施是将监管及反制的对象纳入限制或禁止提供个人信息的清单。监管的适用条件和对策也进行了严格的限制。管制对象为:境外机构和个人从事损害我国数据主体权益或危害我国国家安全和社会公共利益的个人信息处理活动的;反措施的对象是:对中国采取禁止、限制或者采取其他类似措施的歧视性措施的国家和地区。”第四十一条因国际司法协助、行政执法协助等需要向中华民国境外提供个人信息的,应当依法报请有关主管部门批准。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息有规定的,从其规定。第四十二条境外组织和个人从事损害中华人民共和国公民权益或者危害中华人民共和国国家安全和社会公共利益的个人信息处理活动的,国家网信部门可以将它们列为限制或禁止。提供个人信息清单、公告,并采取限制、禁止向其提供个人信息等措施。第四十三条任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区采取相应措施.》第四章个人在个人信息处理活动中的权利个人信息主体权利的全面构建《草案》相对于原有的个人信息保护制度,对个人信息主体的权利进行了梳理和归纳,并从8个方面赋予了个人信息主体的权利。个人信息主体:(1)知情权(贯彻透明原则的权利);(2)决定权;(3)限制权;(4)拒绝权;(5)查阅权、复制权;(6)更正补充权;(7)删除权;(8)规则解释权。对个人信息处理者提出了类似于删除权“行为中止”的救济保障,即如果个人信息主体要求行使删除权但保留期限尚未届满,或者存在重大技术困难的,个人信息处理者应当暂停/停止处理个人数据,作为对用户删除权的救济。”第四十四条个人对其个人信息的处理享有知情权和决定权,有权限制或者拒绝他人处理其个人信息,法律、行政法规另有规定的除外.第四十五条个人有权向个人信息处理者查阅、复制其个人信息;除本法第十九条第一款规定的情形外。个人要求查阅、复制其个人信息的,个人信息处理者应当及时提供。”第四十六条个人发现其个人信息不准确、不完整的,有权要求个人信息处理者更正、补充。个人要求更正、补充个人信息的,个人信息处理者应当第四十七条有下列情形之一的,个人信息处理者应当主动或者应个人要求删除个人信息:(一)约定的保留期限届满或者处理目的已经达到;(2)个人信息处理者停止提供产品或者服务;(3)个人撤回同意;(4)个人信息处理者违反法律、行政法规或者违反同意处理个人信息;(5)法律、行政法规规定的其他情形法律、行政法规规定的保存期限未满,或者删除个人信息存在技术困难的,个人信息处理者应当停止对该个人信息的处理。第四十八条个人有权要求个人信息处理者对其个人信息的处理进行说明。第四十九条个人信息处理者应当建立个人行使权利申请的受理和处理机制。拒绝个人行使权利的请求,应当说明理由。”第五章个人信息处理者的义务1.强调信息委托人制度要求,建立责任人报告备案机制《草案》强调责任人的监督管理职责和责任人个人姓名的对外公开要求以及联系方式,个人信息保护负责人的设置条件(即个人信息处理量级别)按照国家网信部门的规定执行。另外需要说明的是,本《草案》要求个人信息处理者向履行个人信息保护职责的部门提交个人信息保护负责人的相关联系方式。这种向政府强制报告机制的运行方式待明确。此外,这一立法层面只是巩固了《个人信息安全规范》中的责任专员机制,但对个人信息保护机构没有强制性的部门设置要求,这在部门结构设置上为中小企业提供了缓冲.第五十一条个人信息处理者个人信息达到国家网信办规定数量的,应当指定个人信息保护负责人,负责对个人信息处理活动和采取的保护措施进行监督。个人信息处理者应当公开个人信息保护负责人的姓名和联系方式,并向履行个人信息保护职责的部门报告。2.建立与境外个人信息处理者的沟通渠道。对于个人信息处理者境外活动的监管沟通渠道,《草案》要求在境内设立专门机构或指定境内代表,并要求履行沟通渠道的报告义务。弥补了长期暴露于境外机构监管,直接响应《草案》域外管辖权的扩大,也是与欧盟GDPR等域外个人信息保护法机制保持一致的等价要求.因此,对于可能触发《草案》申请的境外组织,应做好在华机构或指定代表的准备工作。第五十二条本法第三条第二款规定的个人信息境外处理者应当在中华人民共和国境内设立专门机构或者指定代表,负责处理与个人信息相关的事宜。保护个人信息,并报告有关机构的姓名或代表姓名、联系方式等,应当向履行个人信息保护职责的部门报告。3.DPIA强制义务场景具体化高风险处理活动评估(DPIA)是个人信息处理者持续、自主合规运营,满足自我证明要求的最重要渠道之一。但在此之前,我国的DPIA规定处于《个人信息安全规范》非强制标准水平,大部分企业并未将评价作为必要的内控手段。《草案》此次DPIA要求升级为法定强制性要求,对企业内部合规体系建设提出了更加严格的要求。对比《个人信息安全规范》的“高危”一般场景规定(产品或服务发布前,业务功能发生重大变化时,法律法规有新要求时,商业模式发生重大变化时,信息系统和运行环境,当发生重大个人信息安全事件时),《草案》提出的强制性DPIA要求从更具体的处理活动开始---处理敏感个人信息,使用个人信息进行自动化决策,委托个人信息的处理、向第三方提供个人信息、披露个人信息、向境外提供个人信息。对于加工商而言,遵守DPIA将减少繁琐的内部判断和不确定性风险。此外,对风险评估报告和处理记录的保存时间有至少三年的要求,这也应被视为企业档案存储系统的一个新变化点。第五十四条个人信息处理者应当在进行下列个人信息处理活动前进行风险评估,记录处理情况:(一)处理个人敏感信息;(2)将个人信息用于自动化决策;(3)委托处理个人信息、向第三方提供个人信息、披露个人信息;(4)向境外提供个人信息;(五)其他对个人有重大影响的个人信息处理活动。风险评估的内容应当包括:(一)处理个人信息的目的和方式是否合法、正当、必要;(二)对个人的影响及风险程度;(三)采取的安全防护措施是否合法、有效并与风险等级相适应。风险评估报告和处理情况记录应当至少保存三年。第六章履行个人信息保护职责的部门1.个人信息保护责任部门的定义、层级和职责范围更加明确《草案》,个人信息保护责任部门的层级划分和职责范围列于下表;保护部门的具体职责主要包括:(一)宣传监督;(二)受理投诉、举报;(三)查处违法个人信息处理活动。”第五十六条国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责,依照国家有关规定确定。前两款所称履行个人信息保护职责的部门。”第五十七条个人信息保护(一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;(2)受理和处理与个人信息保护有关的投诉和举报;3)查处非法个人信息处理活动;(四)法律、行政法规规定的其他职责。2.推进标准和认证体系建设,符合《网络安全法》重视标准建设的原则。《草案》在“履行个人信息保护职责的部门”专章中有专文强调其标准建设的工作职能。同时,《草案》将个人信息保护评估认证服务纳入个人信息保护社会化服务体系建设,与重要原则中的“合作治理原则”相呼应,但哪些机构有权开展、开展第五十八条国家网信部门会同国务院有关部门组织制定有关规则和标准,具体实施细则如何确定,尚需关注。按照职责权限保护个人信息,推进个人信息保护社会化服务体系建设,支持有关部门开展个人信息保护评估和认证服务。》第七章法律责任一、大幅提高行政责任处罚标准《草案》草案中,行政责任处罚标准在延续原《网络安全法》100万元处罚标准的基础上,新增一类制定了“情节严重”的处罚标准,将单位罚款提高到“5000万元以下或者上年营业额的5%以下”,对直接负责的主管人员和其他直接责任人员处以罚款到“10万元以上和100万元以下”,同时可能导致停业甚至“吊销相关营业执照”的严厉处罚。这个处罚显然借鉴了2000万欧元或GDPR中公司上一年全球收入的4%(以较高者为准),严惩的想法也体现了监管清理人员的决心建立个人信息处理市场,严厉打击非法处理个人信息行为。第六十二条违反本法规定处理个人信息,或者在处理个人信息时未按照规定采取必要的安全保护措施的部门履行个人信息保护职责的,责令改正,没收违法所得,并一个警告;拒不改正的,处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上罚款。处10万元以下罚款。有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处5000万元以下5%以下的罚款上一年的营业额。处以下列罚款的,并可以责令暂停相关业务、停业整顿、通知有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款。2.明确民事责任的法定赔偿制度,明确采用过错推定原则。民事责任赔偿制度一直是个人信息保护的薄弱环节。《草案》规定的民事责任赔偿制度与知识产权中的“法定赔偿制度”非常相似。即损失或者收益能够证明的,按照具体损失或者收益承担赔偿责任;损失或者收益难以计算的,人民法院应当确定赔偿数额。可见,与知识产权法定赔偿制度的渊源一致,个人信息侵权赔偿也具有权利性质和损失难以计算的财产的特殊性。同时,笔者也认为,在该具体条款的适用中,也会面临与知识产权法定赔偿条款相同的困难,例如如何证明适用的法定赔偿已经得到满足等。前提是个人信息主体的多项权利受到侵犯时,法定赔偿数额如何计算,各地区是否有统一的赔偿量化标准。届时,具体实施细则如何解决实际操作中可能存在的困难,我们也拭目以待。同时,需要注意的是,《草案》明确了过错推定原则适用于个人信息民事侵权赔偿。《民法典》第1165条规定:“行为人因过错侵害他人民事权益造成损害的,应当承担侵权责任。行为人依法被推定有过错,不能证明自己没有过错的,应当承担侵权责任。“对于个人信息处理者而言,过错推定原则的适用,意味着个人信息处理者必须时刻注意履行‘自我证明、合规’的义务,在日常处理活动中严格遵守合规制度,相应的记录和记录。存证。”第六十五条个人信息处理活动侵犯个人信息权益的,应当按照个人受到的损失或者个人信息处理者获得的利益承担赔偿责任。信息;个人遭受的损失和个人信息处理者获得的利益难以确定的,人民法院应当根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。”诉讼制度。如《民事诉讼法》中公益诉讼主体的定义,“人民检察院、履行个人信息保护职责的部门、国家网信部门认定的机构”,仍是一个不见踪影却被寄予厚望的机构,但不可否认的是,公益诉讼制度的出台,意味着监管部门已经注意到了大多数公民个人信息受到侵犯,无力承担诉讼费用,我们也相信,近年来这种情况会从多个层面得到有效遏制。”第六十六条个人信息处理者处理个人信息违法行为本法的规定。侵犯多人权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织,可以依法向人民法院提起诉讼。”
