隨著網(wǎng)絡(luò)科技的發(fā)展����,人類已經(jīng)已經(jīng)進入了大數(shù)據(jù)時代��,無論是工作還是生活都離不開網(wǎng)絡(luò)環(huán)境�。信息技術(shù)的確便利了人們的生活,但是也為個人信息安全帶來了巨大威脅�,個人隱私被隨意公布的現(xiàn)象屢見不鮮,個人信息的嚴(yán)重泄漏�,不僅涉及到個人名譽,而且擾亂了正常的生產(chǎn)生活秩序��。長此以往�,將給社會帶來不安全隱患,必將影響了和諧社會的構(gòu)建��,加劇了社會信任危機���。
聚焦世界范圍的個人信息保護立法, 歐盟的《通用數(shù)據(jù)保護條例》(General Data Protection Regulation, 下稱“GDPR”)于2018年5月25日正式生效, 被稱為“史上最嚴(yán)格”數(shù)據(jù)安全管理規(guī)定��,據(jù)聯(lián)合國貿(mào)易和發(fā)展會議(UNCTAD)截至今年4月20日的統(tǒng)計, 世界194個國家中已有132個擁有個人信息保護立法����。
我國《個人信息保護法(草案)》(以下簡稱為“草案”)于2020年10月向社會征求意見,意味著《個人信息保護法》走上了快車道��。作為首部專門規(guī)定個人信息保護的法律�,《個人信息保護法(草案)》在正式出臺后,將成為個人信息保護領(lǐng)域的“基本法”�。
從草案公布之后,社會各界積極參與�����,從不同角度對草案進行解讀以及提出立法建議�����。但是對于沒有對個人信息保護的相關(guān)法律規(guī)范有過比較深入研究��,而又關(guān)切草案主要內(nèi)容以及與自身關(guān)聯(lián)性的企業(yè)和個人而言�,面對草案七十條規(guī)定����,難免多少有“如墜云霧”之感。為此����,我們特別整理了此次的《個人信息保護法(草案)》十大關(guān)鍵詞梳理���。
1、長臂管轄
長臂管轄規(guī)則的落實以管轄國具備相應(yīng)的執(zhí)法和司法能力為前提���,對于境外信息保護立法中常見的長臂管轄原則����,草案給予了積極的回應(yīng)����。例如一家歐洲電商可能未于中國設(shè)立實體企業(yè),但其運營的全球網(wǎng)站提供了包括中文在內(nèi)的多語種界面�����,并且支持中國用戶在線下單與跨境配送�,此時根據(jù)草案第三條的規(guī)定,這家歐洲電商亦有受到中國法律管轄的可能�����。
2�����、個人信息界定
草案第四條規(guī)定,“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息����,不包括匿名化處理后的信息”。目前對個人信息的定義采用“識別”加“關(guān)聯(lián)”的界定方式�,并且明確規(guī)定經(jīng)不可逆的匿名化處理后的信息不屬于個人信息,這為日后企業(yè)依法開展數(shù)據(jù)交易開啟了一扇窗戶�����。
在當(dāng)前的信息時代�,無論是被廣泛使用的線上會議,還是注冊成為任一網(wǎng)站的會員����,個人接受服務(wù)幾乎都以提供手機號碼為前提。在這樣的背景下�,手機號碼是否屬于個人敏感信息就成為了一個必須解決的問題。
3���、同意
草案沿用了《網(wǎng)絡(luò)安全法》與國家標(biāo)準(zhǔn)《個人信息安全規(guī)范》的做法,將“告知+同意”作為了處理個人信息的合法性基礎(chǔ)��,進一步區(qū)分了“單獨同意”與“書面同意”的情形。實踐中�,如果每一個敏感信息都采用“單獨同意”,每一次收集都需經(jīng)彈框獲得用戶同意�����,個人和企業(yè)都將面臨過于沉重的負(fù)擔(dān)��。
4�����、個人信息權(quán)
草案規(guī)定的五類個人信息權(quán)涵蓋了“刪除權(quán)”這項權(quán)利�����,許多觀點該權(quán)利與GDPR的“被遺忘權(quán)”相對應(yīng)����。但實際上,這二者并非同一概念����,對企業(yè)亦意味著不同的責(zé)任。實踐中����,個人行使刪除權(quán)往往限于要求網(wǎng)絡(luò)平臺刪除發(fā)布在該平臺上的一些數(shù)據(jù)����,而不必然能及于已被轉(zhuǎn)載的數(shù)據(jù)鏈接和復(fù)印件等�。
5、個人信息保護負(fù)責(zé)人
草案第五十一條提出“個人信息保護負(fù)責(zé)人”的制度性要求:處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的處理者�,應(yīng)指定個人信息保護的負(fù)責(zé)人,負(fù)責(zé)對個人信息處理活動以及采取的保護措施等進行監(jiān)督���;并且�,還應(yīng)將個人信息保護負(fù)責(zé)人的姓名�、聯(lián)系方式等予以公開,并報送相關(guān)主管部門��。
6��、關(guān)鍵信息基礎(chǔ)設(shè)施運營者的安全評估
根據(jù)草案規(guī)定����,關(guān)鍵信息基礎(chǔ)設(shè)施運營者(Critical Information Infrastructure Operator, “CIIO”)要向境外提供個人信息����,必須履行安全評估義務(wù),且這一安全評估工作具體由網(wǎng)信部門負(fù)責(zé)���。
7��、事前風(fēng)險評估
草案第五十四條列出了五種需要進行事前風(fēng)險評估的情形����,并且要求風(fēng)險評估報告和處理情況記錄應(yīng)當(dāng)至少保存三年�����。這與GDPR下的數(shù)據(jù)保護影響評估制度(DPIA)類似�����,也是企業(yè)實施內(nèi)部合規(guī)制度建設(shè)的重要方式�����。同時����,草案明確設(shè)置事前評估的義務(wù),如果企業(yè)沒有事前評估,即便沒有產(chǎn)生嚴(yán)重后果�����,也可能面臨高額罰款��。
8����、定期審計
草案對企業(yè)設(shè)定有審計義務(wù),具體是指企業(yè)應(yīng)當(dāng)定期對其個人信息處理活動���、采取的保護措施等是否符合法律�、行政法規(guī)的規(guī)定進行審計����。相較于國家標(biāo)準(zhǔn)《個人信息安全規(guī)范》較為詳盡的安全審計要求,草案對審計要求只是進行了原則性規(guī)定�����。相較而言���,草案是對審計要求的概括規(guī)定���,而《個人信息安全規(guī)范》則提供給細(xì)則指引�。
9��、泄露通知
草案設(shè)置了較為嚴(yán)格的信息泄露通知義務(wù)��,而對于如何認(rèn)定“泄露”�����,實踐中往往存在多種問題�����。例如�,一家美資公司要求�,員工必須使用公司分配的移動硬盤和辦公電腦。某次內(nèi)部盤點發(fā)現(xiàn)一臺加密移動硬盤丟失��,其中存有大量用戶賬號與地址����,但具體丟失時間不詳。而無論是根據(jù)草案還是此前的法律文件�����,硬盤丟失是否應(yīng)在我國法下被視作“泄露”都不明確,但域外經(jīng)驗則通常視作泄露事件�。[4]從實務(wù)的角度來看,公司及時采取相應(yīng)的措施與行動可以有效降低風(fēng)險�����。
10�、5000萬或5%
草案設(shè)置的高額罰款,是草案一出臺便受到企業(yè)廣泛關(guān)注的原因之一����。這既是草案的亮點,也是草案極具威懾力的體現(xiàn)����。除此之外,草案還有另一個極具威懾力的規(guī)定��,即“責(zé)令暫停相關(guān)業(yè)務(wù)���、停業(yè)整頓”��。事實上���,目前在全國推行的App專項治理活動中����,有很多企業(yè)便是因為個人信息保護不力問題�,而受到App下架等處罰。
商業(yè)運作的基礎(chǔ)步驟就是搜集用戶信息��,以這些信息作為基礎(chǔ)來制定商業(yè)計劃�,數(shù)據(jù)經(jīng)濟及信息化背景下��,企業(yè)的商業(yè)模式����、AI訓(xùn)練、IoT業(yè)務(wù)等都需基于大數(shù)據(jù)進行構(gòu)建和升級����,而其中必然涉及大量的個人信息處理活動。如果企業(yè)在個人信息保護方面不能打好扎實的基礎(chǔ)��,那么無論是做好自身業(yè)務(wù)����,還是進一步“走出去”都可能面臨困境��。傳統(tǒng)的商業(yè)運作模式中都是在用戶知情的情況下來獲取一手資料:例如�����,一些商場為了獲取消費者的信息�,會采用辦會員卡的方式讓客戶填寫個人資料�,通過個人消費情況來判斷其消費習(xí)慣,并為其發(fā)送合適的促銷信息����,商家從中受益,客戶也從中受益�。但是在網(wǎng)絡(luò)技術(shù)的支持下,一些企業(yè)不再通過正當(dāng)途徑來獲取客戶資料����,而是將用戶使用網(wǎng)絡(luò)的碎片信息收集起來,進行反向定位�,獲取客戶的完整信息,雖然一些碎片化信息是用戶自己提供的����,但是對于這些信息的二次加工卻是客戶無法預(yù)見的,這就是為什么用戶經(jīng)常會遇到“并沒有像別人透露過個人完整信息�,但是別人卻知道了”的原因����。
因此�,保護個人信息的安全,實際上就是保護用戶的知情權(quán)��,在未經(jīng)用戶允許的前提下不允許加工這些信息���,保護用戶的安全����。個人信息保護制度的建立是一項系統(tǒng)性的工程�����,企業(yè)需按照相關(guān)規(guī)定及時完成組織機構(gòu)��、公司合規(guī)準(zhǔn)則和其他相關(guān)調(diào)整����,在新的規(guī)則體系下積極把握新機遇����、應(yīng)對新挑戰(zhàn)�。