《個人信息保護法(草案)》的比較分析
隨著《個人信息保護法(草案)》(“草案”)的審議,我國個人信息保護的路徑正變得逐漸清晰。雖然草案的審議距離形成最終的正式法律文本尚有距離,但我們仍能夠從草案中一窺未來我國個人信息保護可能的圖景。從已經公布的草案來看,草案一方面以《民法典》為基礎,將會成為我國網絡安全與數據保護領域的核心法律之一;另一方面,草案也借鑒了國際上先進的個人信息保護規則,以更好地與國際接軌。
通過比較我國《個人信息保護法(草案)》與其他區域數據保護法的異同,不僅可以更好地幫助企業應對數據全球流動的挑戰,也可以讓企業從其他國家的合規實踐中為在中國部署數據合規措施提供參考。因此本文將在比較《個人信息保護法(草案)》與國際主流數據保護法律異同的基礎上,結合草案及可能涉及的國內法律法規進行比較分析。
一、管轄
在管轄上,《個人信息保護法(草案)》以中國境內自然人為保護對象,這樣的規定與《通用數據保護條例》(“GDPR”)的管轄基本一致,即以自然人所處的地域進行劃分:無論是否具有中國國籍,只要該自然人在中國境內該自然人的個人信息即受到保護。此外,草案與GDPR一樣具有域外效力,海外機構如果是以境內自然人為目標提高產品、服務,或分析評估,無論信息處理者是否位于中國境內,均受到管轄。
對于在中國沒有任何營業場所的組織,則需要在境內設立專門機構或代表,負責個人信息保護或相關事務,但目前尚不清楚境內專門機構或代表的具體要求。GDPR同樣要求歐盟境外的數據控制者或處理者應在歐盟境內指定代表人。歐盟外的土耳其也有類似規定,《土耳其數據保護法》要求外國數據控制者只有通過在土耳其境內的代表(自然人或法律實體)才能完成必需的注冊程序。
鑒于《個人信息保護法(草案)》的立法還處于早期階段,哪些機構可以作為境外信息處理者的代表,律所或專業咨詢機構能否擔任,代表機構需要承擔何種責任,都有待配套法規的出臺,而具體代表機構的落地政策,很有可能率先在北京、河北雄安、上海臨港或海南自貿區這樣的數據跨境試點區域推出。這也決定了這些地區可能成為跨國企業數據跨境布局的重要節點。
如果從GDPR生效以來執法案件的趨勢來看,目前歐盟重點還是關注歐洲經濟區(EEA)內違法處理個人數據的行為。中國企業受到GDPR監管的壓力除了直接收集歐洲居民個人數據的場景外,還來自于與歐洲企業合作的過程中合規義務的“傳導”,即歐洲企業要求中國企業簽署相應的數據保護協議,以達到GDPR同等保護的水平。在可以預見的未來,中國企業在對外合作的過程中也會越來越多地要求境外企業與自己簽署基于中國法律下個人保護信息保護的協議,從而實現為我國個人信息保護法律域外的適用進行鋪墊。
二、保護對象及范圍
《個人信息保護法(草案)》是一部以“保護”命名的法律,那么保護對象是什么、以及在何等范圍內進行保護就顯得至關重要。
在草案中的保護的對象是“個人信息”,與《民法典》《網絡安全法》等法律法規一脈相承,并與GDPR、California Consumer Privacy Act(“CCPA”)等主要數據法規中的個人數據(personal data)或個人可識別信息(PII)在實踐中沒有實質性的區別。這意味著當某一項數據在中國被認定為個人信息,在其他國家或地區也很有可能會作為個人數據或其他類似概念進行保護。
但是,此次《個人信息保護法(草案)》所提出的“敏感個人信息”概念卻在此前國內法律法規中未曾出現,僅在《個人信息安全規范》(GB/T 35273-2020)中有所體現。
在草案對個人信息的類別開始細分,以及不同國家對個人信息的分類并不一致的情況下,意味著企業對自己所控制數據進行分級、分類愈發重要。對數據的分級、分類是對不同類別數據精細化保護的基礎,能夠幫助企業更好地適應不同法域下監管的需求。
在保護范圍上,《個人信息保護法(草案)》與GDPR基本保持一致,關注自然人個人信息的保護,不僅局限于消費者或網絡空間。而CCPA從法律名稱就能發現規制的重點在于消費者個人信息的保護,該法并不關注其他如勞動用工的領域的個人信息。
三、個人信息權利與合規措施本地化
個人信息權利將會是企業與自然人交互最頻繁的領域,因此個人信息權利也將會成為糾紛最為頻繁的領域,司法會頻繁介入。
在《個人信息保護法(草案)》中,延續了《民法典》查閱權、復制權、更正權、刪除權的規定并進行了細化,還設立了知情權、決定權、限制與拒絕處理權、解釋說明權等權利,更加接近GDPR與CCPA等國際主流數據保護法律的權利配置:
盡管不同法域下,自然人的權利項目看似并沒有實質差異,會產生按照最嚴格的標準就可以進行廣泛適用的誤區。但是,各國法律即使是相同的權利在具體行使時也存在或大或小的細微差異。法律條文本身各不相同,各國數據保護機構、司法機構、消費者保護機構對法律的解釋更是千差萬別。
以響應自然人權利請求的時間期限為例,國內在App監管領域要求在15個工作日內對用戶權利請求進行響應,CCPA要求企業在45天(最長90天)內響應消費者權利訴求,GDPR下設置的期限最長為2個月。此外,“魔鬼”更是會在細節中隱藏,在CCPA Regulation專門要求隱私政策等文件應方便殘障人士的訪問,應達到W3C《網頁內容無障礙指南》2.1版本或其他行業標準的水平,這要求承載隱私政策的網頁內容應當不能使用刺激性的配色、字體大小與間距合理,并方便輔助軟件讀取網頁(不得限制右鍵)內容等。
因為自然人在不同法域下享有的不同權利,所以要求跨國企業在針對性地部署合規措施,在各國普遍適用的大原則基礎上,根據各國的實際情況進行設置。我們經常遇到跨國企業需要將自己的全球數據保護政策本地化本地化,在這一過程中,法律用語將會是首當其沖的挑戰。比如GDPR設置了數據控制者(Data Controller)與數據處理者(Data Processor)兩類主體,但在我國《民法典》以及《個人信息保護法(草案)》中,統一使用“個人信息處理者”的概念,這要求在中歐之間數據相關協議中需要對法律主體的定義以及適用法律重點關注,避免不同法域下相同概念可能產生的歧義。
四、數據跨境
《個人信息保護法(草案)》是搭建我國數據出境制度的基石之一。自從2017年《網絡安全法》生效后,個人信息跨境就是一個復雜的問題。《網絡安全法》重點關注了關鍵信息基礎設施運營者的個人信息與重要數據跨境問題,此次審議的《個人信息保護法(草案)》則拓展了這一范圍,將所有的個人信息出境納入調整范圍。草案在安全評估的之外,還設置了保護認證、簽訂合同等路徑。這樣的設置在一定程度上借鑒了GDPR對數據出境的規定,可以更好地對外開展數據跨境談判。
值得關注的是,結合此前商務部《全面深化服務貿易創新發展試點總體方案》將北京、上海、雄安列為數據跨境傳輸安全管理試點,以及海南作為數據跨境傳輸安全管理試點區域,這些區域可能會結合未來正式生效的《個人信息保護法》在個人信息保護認證領域進行創新,即在試點區域內注冊的企業,可能會被允許在公司內部約束力規則(binding corporate rules)的保護認證領域有所創新,方便企業內部數據跨境流動,當然這也有待進一步觀察。
《個人信息保護法(草案)》中要求,跨境司法協助中需要向境外提供個人信息時需要經過有關主管部門的批準。這與《數據安全法(草案)》以及《國際刑事司法協助法》的規定基本一致,并且是符合我國《全球數據安全倡議》中基本立場。更為重要的是,《全球數據安全倡議》可以看作是我國在今后一段時間對數據跨境安全問題的整體態度,并且可能成為我國對外訂立數據安全協議的基本立場。
五、個人信息保護負責人
《個人信息保護法(草案)》中要求企業在處理個人信息的數量達到一定量級后,設置類似GDPR數據保護官(DPO)的個人信息保護負責人職位,并以處理個人信息的數量為門檻進行劃分。但GDPR下DPO的設置則并非以處理數量為門檻,而是要求具有以下情形的企業應當任命DPO:
1.如果數據控制者和數據處理者的核心業務由數據處理組成,該處理因其自身的性質、范圍和/或目的等需要對數據主體進行定期的、系統化的大規模監控;
2.數據控制者和處理者的核心業務為處理大規模特殊類型的數據(種族或民族起源、政治觀點、宗教信仰、哲學信仰、工會成員資格等個人數據,對個人基因數據、生物特征數據的處理,以及對健康數據、性生活、性取向等相關數據的處理)。
在職責角度,GDPR下的DPO更多是承擔監督、審計的職責,并不需要為企業的數據不當處理行為承擔個人責任。但個人信息保護負責人可能需要像《網絡安全法》下網絡安全負責人一樣,就企業的個人信息違法行為承擔責任,在這樣的背景下,個人信息保護負責人責任保險可能也會被開發并得到推廣。
此外,DPO可以由外部人員(如外部律師)擔任,但從草案中“負責人”的表述來看,外部人員很難對企業內部的信息處理行為負起責任,因此實踐中可能不會讓外部人員擔任個人信息保護負責人。此外,在GDPR以及歐洲各國數據保護機構的框架內,較為清晰地規定了DPO的職責、基本技能、任職條件和要求,而我國的個人信息保護負責人的職責范圍以及具體的任職要求,還有待于網信部門后續制定詳細規則。
六、法律責任
在法律責任方面,《個人信息保護法(草案)》罕見設置了高額的罰金,最高5000萬元或上一年度營業額5%的高額罰款,即使是放到國際上進行比較也算得上具有“震懾力”。當然草案同樣保留了暫停業務、停業整頓等具有威懾力的處罰方式。
草案中罰款如何計算仍然是有待明確的問題。在GDPR下,企業的范圍并不局限于在歐盟境內設立的企業法人。在歐盟第29條工作組發布的Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679中,建議“監管機構應采用歐盟法院為適用《歐盟運作條約》第101條和第102條而規定的企業(undertaking)概念的定義,即企業的概念被理解為是指一個經濟單位,可由母公司和所有相關子公司組成。并且根據歐盟法律和判例法,企業被理解為從事商業/經濟活動的經濟單位,而不論所涉法人是誰。”因此,企業全球營業額的計算應以經濟單位為標準計算,并不只局限于在歐盟設立的公司。歐盟的罰款設置或許可以為我國所借鑒,不僅局限于法律實體的角度,從經濟單位的角度計算營業額。
七、總結
對于企業來說,開展數據合規工作最大的難題之一是不同法域下對數據保護的要求并不相同、甚至截然相反,很難將單一一套數據保護制度不加修改地適用于不同的國家或地區。無論是對于中國企業“走出去”,還是外資企業加入中國經濟的“內循環”的進程,都需要考慮如何將《個人信息保護法(草案)》可能帶來的變化融入自己的數據保護策略。
我們關注《個人信息保護法(草案)》對企業數據合規可能的影響時,應超越草案本身,從更寬廣的視角進行前瞻性的思考。一方面,數據的跨區域流動的便利要求我們在全球化視角下審視草案對數據跨境傳輸的影響,比較不同法域下數據保護法律對企業數據流的影響,并且從其他法域下數據保護指引為企業在中國開展數據合規工作找到可供參考的實踐經驗;另一方面,《個人信息保護法(草案)》并不是單獨一部法律,是在《民法典》下,與《網絡安全法》《消費者權益保護法》《數據安全法》以及更多的行政法規、司法解釋、司法行政案例共同組成我國網絡安全與數據保護法律體系。
- 文 | 史宇航 匯業律師事務所 顧問
