個人信息保護法(草案)與多國數據保護法要點對比
鉚勁許久的《個人信息保護法(草案)》(以下簡稱《個信草案》或《草案》)已經面世,作為中國第一部法典化的個人信息保護法,不僅從內容上借鑒和吸收了主要先進海外地區的立法經驗,也從個人信息的生命全周期、個人信息主體權利、以及個人信息保護和合規義務等方面,參考和吸收了《民法典》、《個人信息安全規范》、《網絡安全法》、《電子商務法》,《數據安全法(草案)》,以及其他與個人信息保護法規有關的內容。總體上來說,個信草案從確立“告知——同意”為核心的個人信息處理一系列規則、嚴格限制處理敏感個人信息、明確國家機關對個人信息的保護義務等方面,全面加強了個人信息的法律保護。
以下是對海外幾大重要地區的數據保護法案進行對比(篇幅有限,僅將要點進行列示),幫助互聯網企業及接觸大量個人信息的相關人員進一步了解當中的主要合規要點。
- 作者:
王捷 資深出海法律顧問/數據合規顧問
魏彤 數據合規顧問
一、法律適用范圍/域外適用效力
與眾多海外數據保護法案一樣,我國個信草案規定了,除了在中國境內的組織和個人適用本法外,在滿足一定條件下,境外的組織和個人也同樣適用,體現了域外適用效力的對等原則。同時,對于在境外處理境內個人信息的處理者,應當在境內設立專門機構或者指定代表,負責處理個人信息保護的相關事務,并將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門。對于跨國企業、出海企業在海外部署服務器但涉及收集、使用和處理中國境內用戶信息的情況時,企業需要特別注意。
二、敏感個人信息的概念與處理規則
本次草案特別設立章節強調了對敏感個人信息的處理規則,并創設了處理敏感個人信息的,應當取得個人“單獨同意”的規則,除了應當向個人履行法定的告知義務(包括處理者身份、聯系方式、處理目的、處理方式、信息種類、保存期限、個人行使權力的方式和程序等等)外,還應當特別告知處理敏感個人信息的必要性以及對個人的影響。
因此,公司需要特別注意如何滿足法律規定的“單獨同意”,處理者除了在隱私政策中對敏感信息的處理行為進行告知外,還需要在該場景觸發時,通過例如單獨彈窗、單獨展示等方式進行告知,并獲得個人的明示有效的同意,而不能是“概括同意”,“一攬子同意”,更不能是“默認同意”。
三、數據本地化存儲
草案一方面特別強調了,國家機關處理的個人信息應當在境內存儲,對于確有需求向境外提供的,應當進行風險評估后方能對外提供。另一方面,也要求關鍵信息基礎設施運營者,以及當處理個人信息達到國家網信部門規定數量的個人信息處理者,應當將在境內收集和產生的個人信息存儲在境內。對于確需向境外提供的,應當通過國家網信部門組織的安全評估。
其中,關于個人信息達到一定數量的界定,可參考《個人信息和重要數據出境安全評估辦法(征求意見稿)》 ,含有或累計含有50萬人以上的個人信息,以及數據量超過1000G。關于關鍵信息基礎設施的界定,可參考《關鍵信息基礎設施識別指南》第(三)大點 中提及的多個“100萬”的標準,包括訪問量、注冊用戶量,影響人數量等等。
四、數據跨境傳輸
本次草案特別用單獨的一章來規定了個人信息跨境提供的處理規則,確立了境內產生和收集的個人信息與重要數據原則上應當在境內存儲,但確需對境外提供的話,則需要滿足安全評估、個人信息保護認證以及與境外合作方訂立可以確定和保障雙方權利的三個條件之一。同時,如果我們結合《個人信息出境安全評估辦法(征求意見稿)》的規定來看時,處理者向境外提供個人信息前應向省級網信部門申報個人信息出境安全評估,且評估內容也包括合同條款是否能夠充分保障個人信息主體合法權益以及合同能否得到有效執行,因此,對于不同類型的處理者需要特別注意是否需要全部滿足規定的各項條件,而不只是某一條件。
另外,需要特別注意,境外傳輸也需要遵守“單獨同意”的規定,和法定告知義務。另外本次草案的另一特色是,增加了“按照國家網信部門的規定經專業機構進行個人信息保護認證”的要求。
五、處理個人數據的法定基礎
處理個人數據的法定基礎是各國數據保護法律非常重要的部分,也是個人信息處理者對個人信息進行收集、使用、處理、轉讓、共享等最重要的法律基礎。各國關于法定基礎的規定看起來可能是大致相似的,但各國對于不同的情況下所能滿足的程度的理解會有不同,部分規定也有差異,公司在處理個人信息時候,需要特別注意特殊情況下的具體規定。
本次草案缺了了“以告知-同意”為核心的個人信息處理的一系列原則,要求處理個人信息應當在事先充分告知的前提下取得個人同意,并且個人有權撤回同意;重要事項發生變更的應當重新取得個人同意;不得以個人不同意為由拒絕提供產品或者服務。處理者需要注意遵守“合法性原則”和“同意原則”,其中有五種情況需要滿足“單獨同意”的規定。
六、數據主體的權利
數據主體在個人信息處理活動中的權利是各國數據保護法的重頭戲,這決定了個人信息的所有人可以享有哪些具體的權利保障,也體現了該國數據保護立法對個人權利的重視程度。企業在處理用戶個人數據的時候也特別需要保障這些法定權利的行使方式與具體程序。本次草案特別用單獨的一章來明確個人在信息處理活動的具體權利,主要包括知情權、決定權、查閱權、復制權、更正權、刪除權及獲得解釋權等。
至于對每個權利的具體范圍包括哪些(例如個人可查閱復制的個人信息范圍包括哪些),可實現的程度如何(例如如何保障用戶的更正權利、拒絕權利等),有哪些具體的保障措施等等,還需要進一步結合《個人信息安全規范》等法規,以及在實務中進行釋明和理解。
另外,草案也強化了數據質量的規定,明確規定“所處理的個人信息應當準確,并及時更新”。
七、數據處理者責任
關于數據處理者的具體義務和責任,是各個企業特別關注的問題,也是數據合規工作最為重要的一大部分。本次草案在第五章中規定了處理個人信息的數據處理者的具體義務,企業需要特別注意根據草案的要求,建立個人信息保護的內部制度,對個人信息實行分級分類管理,以及建立風險評估、去識別性處理等基本制度,同時,數據處理者應采取適當的安全技術措施確保數據的安全、準確。這在與GDPR,CCPA,LGPD,PIPA等重要數據保護法案中的規定一致。
另外,還需特別注意的是,境外處理境內數據時候,境外組織應當在境內設立專門機構或指定代表,并公布并官方備案負責人的信息,此處與歐盟、印度、新加坡等關于任命和公布數據保護官聯系方式的要求是相近。
八、數據保護的監管機構
全球范圍而言,已經有單獨數據保護立法的國家和地區,大部分都正在確立或已經確立了對應的數據保護監管機構,不同國家/地區由于立法體制的不同,導致監管的機制或負責的部門也會不同,理解對應監管機構,有利于進一步幫助企業了解數據保護立法的監管趨勢與動態。本次草案中確認了履行個人信息保護職責的保護和個人信息保護的監管體制,并為個人對違反個人信息處理的行為可以向監管部門進行投訴、舉報的權利。
九、違反數據保護法的處罰規定
本次草案在處罰規定的一個大亮點是,借鑒了國外立法內容,在行政責任上的行政處罰中設置了較高的上限,也在民事責任上確定了處理者的侵權賠償責任,一方面為未來行政處罰力度提供了較大空間,另一方面,也使更多的企業更加重視對用戶個人信息的大力保護,而不只是發生侵害后進行簡單的刪除,高額的罰款規定設置也更有利于個人信息保護法的落地和執行。
通過與全球主要地區的數據保護法案與草案進行對比,我們可以看出,一方面,本次個人信息保護立法,堅持立足國情,從我國實際出發,深入總結網絡安全法等法律、法規、標準的實施經驗,將行之有效的做法和措施上升為法律規范。同時,非常充分地借鑒了國際經驗,有關國際組織和國家、地區的有益做法,建立健全適應我國個人信息保護和數字經濟發展需要的法律制度。另一方面,本次草案也把個人信息保護實務中關注的重點和熱點內容進行了體現,并對新技術帶來的新問題留下了必要空間,同時也對個人信息處理者提出了更加嚴格的要求。
參考資料:
1、《中華人民共和國個人信息保護法草案》
2、《信息安全技術 個人信息安全規范》
3、《關鍵信息基礎設施識別指南》
4、2017年《個人信息和重要數據出境安全評估辦法(征求意見稿)》
5、General Data Protection Regulation (Regulation (EU) 2016/679)
6、Law No. 13.709 of 14 August 2018, General Personal Data Protection Law (as amended by Law No. 13.853 of 8 July 2019)
7、California Consumer Privacy Act of 2018 (last amended in 2019)
8、California Online Privacy Protection Act
9、Personal Data Protection Bill, 2019
10、The Act on the Protection of Personal Information (Act No. 57 of 2003 as amended in 2016)
11、Personal Data Protection Act 2012 (No. 26 of 2012)
12、Personal Information Protection Act 2011
