◎ 文 《法人》特約撰稿 申曉雨 吳雅涵 康雅斯
(作者單位:北京天達共和律師事務所)
近來,我國個人信息保護領域立法活躍。今年10月,我國個人信息保護領域最詳盡的一份標準文件《信息安全技術 個人信息安全規(guī)范》(下稱《個人信息安全規(guī)范》)第三次修訂并征求意見。
和前兩版征求意見稿相比,10月發(fā)布的《個人信息安全規(guī)范》修訂征求意見稿,在個人信息保護方面進一步完善了相關制度設計。例如,在個人信息的定義部分補充注解,明確由個人信息控制者通過個人信息或其他信息加工處理后形成的信息也屬于個人信息;新增協助個人信息主體注銷賬戶的義務;加強了委托處理的安全監(jiān)督義務等等。
可以看出,我國的個人信息保護立法正在依據自身的發(fā)展特點逐步具體化、合理化。此時再來審視一年多以前生效的歐盟《通用數據保護條例》(下稱“GDPR”),我們與GDPR這部史上最嚴個人信息保護法所確立的合規(guī)標準距離還有多遠?在我們的個人信息保護立法體系日趨完善的過程中,我們是否會面臨更多法域沖突帶來的合規(guī)挑戰(zhàn)?
關于中國個人信息保護法的域外效力,目前在已生效的個人信息保護法中,僅有網絡安全法明確規(guī)定,其對境外網絡運營者發(fā)布違法信息或攻擊我國關鍵信息基礎設施的行為存在域外效力?!秱€人信息出境安全評估辦法(征求意見稿)》規(guī)定,其適用于境外機構通過互聯網等收集中國境內用戶個人信息的情形。
除此之外,中國個人信息保護法的域外效力尚不明晰。
GDPR則明確規(guī)定,如果是設立于歐盟境外的機構或個人為歐盟境內的數據主體提供貨物或服務(無論數據主體是否被要求付費),或對數據主體在歐盟境內的行為進行監(jiān)控,則GDPR對其具有域外效力。
《個人信息安全規(guī)范》規(guī)定個人信息處理的基本原則包括權責一致、目的明確、選擇同意、最少夠用/最小必要、公開透明、確保安全和主體參與原則。
以上原則在GDPR中也得以規(guī)定和體現。除此之外GDPR還提出了“準確性原則”,即要求個人數據應是準確的,且若有必要應保持適時更新,采取一切合理措施確保與數據處理目的相悖的錯誤數據被及時清除或更正。該項原則在中國個人信息保護法中未做規(guī)定。
(1)明示同意
中國個人信息保護法下,并非所有的個人信息處理行為都必須取得個人信息主體的明示同意。《個人信息安全規(guī)范》10月版特別明確了授權同意的范圍包括默許同意,其規(guī)定,個人信息主體對其個人信息進行特定處理作出明確授權的行為,包括通過積極的行為作出授權(即明示同意),或者通過消極的不作為而作出授權(例如信息采集區(qū)域內的個人信息主體在被告知信息收集行為后沒有離開該區(qū)域)。
GDPR將“數據主體的同意”定義為“數據主體依據其個人意愿,自由、明確、知情并清楚地通過陳述或積極行為表示對其個人數據進行處理的同意”,相當于中國個人信息保護法所定義的“明示同意”。基于這一定義,在GDPR下取得個人信息主體的同意必須是明示同意,排除了默許同意的適用。
(2)自愿原則
中國個人信息保護法和GDPR均規(guī)定,個人信息主體的同意應由其自愿給出,不得強迫個人信息主體作出同意。
《個人信息安全規(guī)范》僅規(guī)定了自愿原則在平等主體之間的適用,如產品或服務的提供者收集客戶個人信息時,不得違背個人信息主體的自主意愿,強迫個人信息主體接受產品或服務所提供的業(yè)務功能及相應的個人信息收集請求。
而GDPR在適用自愿原則時則考慮到更多情況。根據《歐盟第二十九條工作組關于 2016/679條例下同意的指引》 (“GDPR指引”),數據主體的同意是否自愿給出,還需考慮數據控制者和數據主體是否存在權力不對等的情況,例如政府機關和個人、用人單位和雇員。
按照中國個人信息保護法,除為行政執(zhí)法和司法目的外,控制者收集、共享、轉讓、公開披露或以其他方式處理個人信息的,必須以取得個人信息主體的同意作為其處理行為的合法基礎。
《個人信息安全規(guī)范》對此規(guī)定了例外情形,例如,通過合法公開渠道獲取個人信息以及新聞單位為開展合法的新聞報道所必需而處理個人信息。但是我國強制性法律法規(guī)中并無對該等同意的例外情形的規(guī)定。
GDPR允許控制者除基于個人信息主體同意之外,還可以基于其他多種合法基礎處理個人數據,但通過合法公開渠道獲取個人信息以及新聞單位為開展合法的新聞報道所必需而處理個人信息并不在此列。
因此,即使數據主體主動公開個人信息,也不代表其默認同意任何數據控制者基于任何目的對其個人信息的處理;除非有法定依據,新聞單位也不能以開展合法新聞報道為由未經個人信息主體同意而處理個人信息。
中國個人信息保護法和GDPR在控制者對個人信息主體的披露義務方面也存在一些不同的規(guī)定。
以自動決策機制為例,《個人信息安全規(guī)范》未就涉及自動決策情形下的披露義務作出專門規(guī)定。GDPR則明確規(guī)定,如果控制者采取包括用戶畫像在內的自動決策機制,則其應向個人信息主體披露決策中所運用的邏輯以及該處理行為對個人信息主體的重要性和可能產生的后果。
收集個人信息主體需遵循授權同意原則,針對兒童,則需要其監(jiān)護人代為做出授權同意的動作。但是中國個人信息保護法目前對監(jiān)護人授權同意并無實質審查要求。
GDPR則要求數據控制者應當考慮可利用的技術并做出合理的努力,對兒童監(jiān)護人授權同意的真實性進行實質審查。例如,根據GDPR指引,注冊者如承認自己在兒童年齡線以下,則注冊者應提供家長的電子郵箱地址,數據控制者應聯系家長以取得同意,并確認家長的監(jiān)護責任。
從個人信息主體享有的權利類型來看,與中國個人信息保護法相比,GDPR另賦予個人信息主體對其個人數據享有限制處理權和反對權。
此外,二者在個人信息主體的具體權利內容上也有所不同。以個人信息主體的刪除權為例,《個人信息安全規(guī)范》對個人信息的刪除權做了一定的條件限制,即僅在控制者違法違規(guī)或違反與個人信息主體的約定收集、使用個人信息時,個人信息主體才可行使刪除權。
GDPR取消了類似的權利行使的限制條件,即使對個人信息的處理并不違反法律規(guī)定,個人信息主體仍可基于個人信息對行使目的的不必要性、撤銷同意、反對權等法定情形行使刪除權。
中國個人信息保護法和GDPR均要求控制者在出現個人信息安全事件時上報監(jiān)管部門,但《個人信息安全規(guī)范》對于控制者的報告期限未做規(guī)定,僅規(guī)定“按照《國家網絡安全事件應急預案》等有關規(guī)定及時上報”,而現行的《國家網絡安全事件應急預案》亦未對報告期限作出規(guī)定。
GDPR則明確要求控制者在發(fā)現個人數據泄漏事故起72小時內通知監(jiān)管機構,除非該個人數據的泄露不太可能會對自然人的權利和自由造成風險;未能在72小時內報告的,需要說明未及時報告的理由。
此外,在組織管理要求方面,中國個人信息保護法和GDPR也有諸多差異,如個人信息保護負責人的設置和職責、個人信息處理活動的記錄、向主管部門的事先咨詢機制等。
如上所述,基于GDPR的域外管轄權,中國境內的控制者向歐盟境內的個人信息主體收集個人信息后,須滿足個人信息主體在GDPR項下的權利要求。
在此情形下,根據GDPR相關規(guī)定,中國境內的控制者有義務響應個人信息主體行使訪問權或可攜帶權的要求,包括向個人信息主體提供個人信息副本。
同時,GDPR授予歐盟各監(jiān)管機構的調查權也允許各監(jiān)管機構“命令數據控制者或數據處理者、其代表人(如有)提供其履行職責所必要的所有信息”以及“以數據保護審計的形式實施調查”。
我國網絡安全法規(guī)定,關鍵信息基礎設施的運營者確需向境外提供個人信息和重要數據的,須進行安全評估;《個人信息出境安全評估辦法(征求意見稿)》規(guī)定,網絡運營者向境外提供個人信息的,應當按照該辦法進行安全評估,經安全評估認定個人信息出境可能影響國家安全、損害公共利益,或者難以有效保障個人信息安全的,不得出境。
如果中國境內的控制者需要滿足GDPR下個人信息主體的權利請求或配合歐盟監(jiān)管機構調查,但在提交我國監(jiān)管機構評估后,監(jiān)管機構決定該等個人信息不得出境的,則在此情形下,中國個人信息保護法和GDPR將存在實質性沖突。
如上所述,對于中國企業(yè)特別是有出海業(yè)務的中國企業(yè)而言,僅遵守中國的個人信息保護法不足以滿足歐盟的監(jiān)管要求,還可能因法域沖突面臨兩難的局面。建議此類企業(yè)全面梳理不同法域的數據合規(guī)要求,明確差異與沖突,并基于此制定有針對性的解決方案。
對于與歐盟境內主體有數據交換業(yè)務的企業(yè)而言,有必要盡早與境外主體就數據交換業(yè)務展開溝通,提前準備數據傳輸協議等文件,以免我國個人信息出境安全評估機制一旦落地后,因不能履行向境外主體提供個人信息而承擔違約責任,或因無法取得對方的配合而難以完成我國個人信息保護法所要求的個人信息出境安全評估程序。