黄雅竹
实习律师
在步入数字化时代的今天,个人信息在大数据时代占有重要比例,特别是人工智能、信息云上传、流量共享等领域的技术发展给人们生活带来便捷的同时,个人信息遭受侵害的风险也呈指数性增长,个人信息泄露、滥用等危害愈演愈烈,个人信息保护刻不容缓,此前,我国《民法典》《刑法》《数据安全法》(2021年9月1日实施)、《网络安全法》《消费者权益保护法》等虽有涉及部分个人信息保护的条文,但没有专门的立法来规范个人信息保护,终于,在众目的期待中,全国人大常委会于2021年4月26日颁布了《个人信息保护法》二次审议的个人信息保护法草案。
《个人信息保护法(草案)》全文涵盖了八章,七十条内容全方位的规范了个人信息保护,这一立法的制定,意味着我国对个人信息保护的重视,也彰显了我国法制的一大进步。
一、个人信息处理原则
(一)合法性和正当性
合法性原则,指的是在个人信息收集、处理过程中,需要符合法律法规的要求,不得通过误导、欺诈、胁迫等方式处理个人信息;例如,禁止通过植入恶意软件、传送恶意链接、非法获得用户权限等手段收集、存储、使用、加工公开个人信息。
正当性原则,指的是在个人信息处理过程中,需要采取例如“明示+同意”的正当途径取得个人授权,特别在处理敏感个人信息时还应视情形采用“单独同意”或法律、法规规定的“授权同意”的形式。需要注意,这里的“单独同意”需要同时满足“明示同意”的要求,而“授权同意”也须符合“书面同意”的要件。关于“重新取得同意”,即当“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的”时,这种情形属于个人信息处理过程中的重大变更,倘若按照原有的授权则可能会侵害他人合法权益,因此法律规定了需要“重新取得同意”。即个人信息应以获得同意的正当形式收集、存储、使用、加工、传输、提供、公开。
(二)目的性和最小必要性
所谓目的性,指的是在个人信息处理过程中,需要符合一定的合理目的,且该目的需要具备明确的要素、合理的用途,同时需要注意该目的性的要求应当与企业自身所提供的商品性质和服务需要具有直接的关联性,没有该信息则无法向客户提供服务或商品,严禁获取与企业提供商品或服务无关的个人信息,例如部分APP的用户隐私协议或隐私条款中,默认约定收集“个人全部相关信息”,没有结合具体的应用场景或提供的服务范围,没有明确具体收集哪些信息, 这就违反了目的性的原则,需要调整修改隐私协议或隐私条款。
所谓最小必要性,指的是在个人信息处理过程中,需要收集与企业自身经营活动密切相关的个人信息,不得收集无关且多余的个人信息。例如,打车APP在提供用车服务时只能采集客户手机号、个人地理位置等信息,不能再向客户采集其他无关信息。最小必要性还体现在个人信息的保存期限应当为实现处理目的所必要的最短时间,法律法规另有规定或者个人信息主体另行授权同意的除外,该规定虽没有通过具体固定期限来限定个人信息的保存时间,但强调应根据必要性的要求,规定在满足处理目的后,尽快予以安全删除或作匿名划处理。这就需要互联网相关企业制定对应内部合规制度,就个人信息的存储及删除时间进行明确规定。
二、保护主体
在中华人民共和国境内处理自然人个人信息的活动都受本法约束,且个人信息保护法也侧重关注未成年人信息的保护和安全,法条明确规定:个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意,这一规定也为未成年人个人信息安全防线筑牢基础。
三、个人权利和信息处理者义务
(一)个人权利
《个人信息保护法(草案)》明确了个人在信息处理中的各项权利,包括:知情和决定权(第44条)、查阅和复制权(第45条)、更正和补充权(第46条)、删除权(第47条)、请求解释说明权(第48条)、请求处理者建立权利申请的受理和处理机制权(第49条)。
(二)信息处理者义务
1.事前风险评估(第55条)——要求在对个人有重大影响的个人信息处理活动之前进行风险评估,并对处理情况进行记录。
2.事中合规和安保措施(第51条)——详细列明了处理者应采取的合规和安全保护措施,包括制度规程制定、分类管理、安全技术措施、从业人员培训、应急预案等。这将是处理者在日常合规工作中需要重点关注和落实的必要工作。
3.事后定期审计(第54条)——要求处理者应当定期对其个人信息处理活动遵守法律、行政法规的情况进行合规审计。
4.事发补救和通知义务(第56条)——要求处理者在发生个人信息泄露情况下采取补救措施并通知监管部门和个人。这与《民法典》第1038条补救措施和报告制度相衔接。
四、个人信息跨境处理问题
本法第3条规定部分域外适用的效力:在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,也适用本法。
第41条也明确要求在国际司法或行政执法协助情况下向境外提供个人信息,需要取得主管部门事先批准。
本法第43条还就国外采取个人信息保护方面的歧视性措施时,赋予我国采取反制措施的权利。
第55条则规定在向境外提供个人信息时应作事前风险评估。
值得一提的是,本法第42条还增设了信息保护“黑名单”制度,即对于从事损害我国公民权益、危害我国国家安全、公共利益个人信息处理活动的境外主体,国家网信部门有权将其列入限制或禁止提供个人信息的清单,并采取限制或禁止措施。这一制度也将为我国建立覆盖全社会的征信系统打下重要基础。
五、监管部门(网摘)
本法第六章明确了个人信息保护的监管部门及分工。其具体内容整理如下表:
履行个人信息保护职责的部门
六、制法意义
《个人信息保护法》作为中国首部个人信息保护方面的专门法律,不仅满足了公众维护切身利益的迫切需要、大大加强了公民个人信息保护的意识,还有利于我国参与国际规则的制定,促进个人信息保护领域的国际交流与合作,推动我国与国际间个人信息保护规则、标准的相互学习,相信本法在正式颁布实施后,个人信息保护将从各个领域上获得新的进步,也将引导我国信息时代的法制建设步进一个新的篇章。
七、信息收集者合规启示
(一)满足合法、正当、必要原则
收集个人信息时具有正当明确的目的,即不存在欺诈、诱骗、误导、强迫个人信息主体提供其个人信息;隐瞒产品或服务所具有的收集个人信息功能;从非法渠道获取个人信息的情况。且收集行为满足:
①如果缺少了所收集个人信息的任一类型,产品或服务的业务功能就无法实现;
②自动采集个人信息的情况下,采集频率保持实现业务功能所必需的最低频;
③间接获取个人信息时,获取数量为实现业务功能所必需的最少量。
(二)取得告知与授权同意
1.制定并公开了个人信息的收集、使用规则如隐私政策。
2.在收集个人信息时,明确告知个人信息主体个人信息收集方的身份与联系方式,收集、使用个人信息的目的、方式、范围和保存期限,个人信息主体行使查询、更正、删除、撤回同意等权力的渠道以及拒绝提供信息的后果等事项。
3.征得个人信息主体授权同意,间接获取个人信息时要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;向个人信息提供方了解了其已获得的个人信息处理的授权同意范围(包括使用目的,个人信息主体是否授权同意转让、共享、公开披露等);在开展业务所需进行的个人信息处理活动超出已获得的授权同意范围时,在获取个人信息后的合理期限内或处理个人信息前,征得了个人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意。
4.在收集个人生物识别信息前,单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意(个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等)。
(三)信息收集类型与范围
1.在用户授权同意范围的约定内收集个人信息。
2.用户终止使用服务后,停止继续收集用户个人信息。
3.收集以下特殊信息类型时,避免存在下列相应情况:
(1)大规模收集我国公民的种族、民族、政治观点、宗教信仰等个人敏感信息;
(2)收集个人生物识别信息的原始信息。
(四)业务功能的开启与信息收集
避免存在下列情况:
(1)不需要用户主动点击、勾选或填写,即默认开启业务功能;
(2)用户关闭或退出业务功能的操作,比其选择使用业务功能更加复杂;
(3)个人信息主体拒绝授权、退出、关闭特定业务功能后,仍然频繁(比如每48小时超过一次)地征求个人信息主体授权同意。
(4) 用户未开启某项特定业务功能时,提前开始收集该业务功能所需的个人信息。
(5) 个人信息主体选择关闭或退出特定业务功能后,继续该业务功能对应的个人信息收集活动。
(6) 捆绑产品或服务的各项业务功能,使得个人信息主体需一次性授权同意其未申请或使用的业务功能收集其个人信息。
(7) 仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由,强制要求个人信息主体同意收集个人信息。
(8) 窃取网络数据;提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据的程序、工具。