十國(地區)數據保護法合規要點對比(上)
十國/地區個人信息保護法十大合規要點大比對
摘要:
《中華人民共和國個人信息保護法》(以下簡稱《個保法》)已于2021年8月20日橫空出世,并將于11月1日正式生效。作為中國第一部法典化的個人信息保護法,個保法不僅從內容上借鑒和吸收了先進海外地區的立法經驗,以及包括《民法典》、《個人信息安全規范》、《網絡安全法》、《電子商務法》,《數據安全法》等在內的涉及個人信息保護方面的有益內容,也從個人信息處理規則、個人信息跨境提供規則、個人信息主體權利、個人信息處理者的義務、以及個人信息保護和合規義務等具體方面,為個人信息主體的權益提供了全面的保障。
總體上來說,個保法的出臺,正式宣告網絡安全與數據合規三駕馬車(《網絡安全法》、《數據安全法》、《個人信息保護法》)的誕生,并確立了我國個人信息保護的法治架構與體系,體現出我國高度重視個人信息保護與治理的決心與態度。
筆者專注于互聯網法律服務與合規工作,特別是全球數據與個人信息合規保護領域,一直特別關注海外數據隱私保護立法的動態與發展。
本文旨在通過將我國個保法與海外九大主要地區的個人信息保護法案,從十個維度進行橫向對比,以幫助出海互聯網企業及大量接觸個人信息的相關崗位人員更好地了解各國/地區在數據保護方面的異同點,以及主要合規要點。
鑒于篇幅有限,筆者僅將主要比對維度按版塊以要點的方式進行扼要列示,并期待個人信息保護同行專家朋友們的寶貴建議與指導。
第一部分:法律適用范圍與域外適用效力
法律適用范圍,主要是指某一法律所具有或者賦予的約束力,以及其所適用的范圍廣度與深度,一般包括時間適用效力(開始生效和終止生效時間)、空間效力(生效的地域范圍)、以及對人的效力(對哪些人員生效)。而對于個人信息保護法律而言,一般會關注地域適用范圍、個人適用范圍以及個人信息資料本身的適用范圍。
(一)我國個保法解讀:
《個保法》在第一章“總則”中就本法的適用范圍進行了明確的規定。
首先,其明確規定過了“在中華人民共和國境內處理自然人個人信息的活動,適用本法”。可見,我國個保法采取了“屬地原則”,明確了其適用范圍之一針對的是“處理中國境內自然人信息的活動”,本法適用的個人信息主體,是指在中國境內的自然人個人,而無論該自然人是中國人還是外國人。換言之,即便是外國人主體,當其是在中國境內產生了個人數據,且被中國境內的組織、個人進行了個人信息的處理行為,則將會落入我國個保法的管轄和保護范圍內。
舉例說明
一款主要為境內用戶提供購物服務的國內電商類App,在其服務過程中,收集了某位身處中國境內的外國人主體的個人信息時,則該電商類App在中國境內處理該等外國個人主體的個人信息時,需要遵守我國個保法的規定。而至于該電商類App對外國人主體個人信息的處理行為,是否還會落入該外國人所屬國家或其他第三方國家/地區的個人信息保護法的適用范圍,或海外地區的法律是否對本場景下的個人信息處理活動享有管轄權,則還需結合該海外地區的數據保護法案的適用范圍進行分析(我們將在下文的圖表對比中提供判斷思路)。
其次,我國個保法明確了它也是具有域外適用效力的,體現在第三條第二款的規定:“在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動,有下列情形之一的,也適用本法:
(一)以向境內自然人提供產品或者服務為目的;
(二)分析、評估境內自然人的行為;
(三)法律、行政法規規定的其他情形。”
可見,我國個保法借鑒了歐盟GDPR,明確了其具有必要的域外適用效力,規定了當向境內自然人提供產品或服務,或分析、評估境內自然人的行為亦適用個保法的規定。
回到剛才的例子,假如該電商類App在新加坡部署了數據中心,并在新加坡(中國境外)處理該外國人的數據,鑒于該App是以向中國境內自然人提供服務的,且該外國人亦身處中國境內, 因此仍然落入我國個保法的適用范圍,需要遵守我國數據保護法律法規的相關要求。
特別需要注意的是,對于境外的個人信息處理者,我國個保法明確要求了應當在中國境內設立專門機構或者指定代表,負責處理個人信息保護相關事務,并將有關機構或者代表的信息報送履行個人信息保護職責的部門。
但對比于歐盟GDPR的地域適用范圍,我國個保法的規定還是有細微的區別。
歐盟GDPR是由“穩定的安排/組織設立機構(establishment)”,以及“服務目標/開展業務過程中(in the context of the activities)”兩個標準共同確立的,而我國個保法的地域適用范圍則是由“處理行為發生地”和“服務目標”確定的。這里的異同體現在“穩定的安排/組織設立機構(establishment)”與“在境內進行處理”,是不一樣的。根據我國個保法的要求,只要處理自然人個人信息的活動發生在我國境內,或者以向我國境內自然人提供產品或者服務為目的,就會被納入個保法的管轄,而不管是否需要在我國境內具有穩定的安排或設有機構(establishment)。
當然,我國個保法亦明確了其不適用的情形,包括:
(1) 自然人因個人或者家庭事務而處理個人信息的,不適用本法。
(2) 法律對各級人民政府及其有關部門組織實施的統計、檔案管理活動中的個人信息處理有規定的,適用其規定。”
(二)海外主要個人信息保護法律對比:
總體來說
《個保法》在適用范圍上借鑒了歐盟GDPR的相關規定,縱觀上表其他國家/地區的數據保護法律的管轄范圍,不難看出,在全球范圍內擴大本國/本地區的數據保護法律的域外效力已成為立法趨勢。企業在出海業務發展過程中,特別是當企業涉及處理海外主體的個人信息時,應特別關注是其個人信息處理行為,是否會落入該國或地區的個人信息保護法案管轄范圍,以進一步確認是否遵守以及該如何遵守該國或地區的數據保護法律及與此相關的法律規定。
第二部分:個人信息處理規則與特別注意事項
個人信息處理原則以及個人信息處理的具體規則,是每個國家數據保護法案中最為關鍵和核心內容,通過在法案中明確處理個人信息的合法性基礎,以及對應的具體規則,以幫助企業和個人在處理個人信息時候厘清權利義務的邊界,企業、組織在處理個人信息活動時應當特別留意和關注關于個人信息處理的具體規則要求。
(一)我國個保法解讀:
經過三審會議的我國個保法,在關于個人信息處理原則和處理規則上有了更進一步細化和完善,為企業、組織在處理個人信息時候劃定了更清晰的紅線。
01 個人信息保護原則
我國個保法第五條到第十一條確立了個人信息處理應遵循的原則,強調處理個人信息應當遵循合法、正當、必要和誠信原則,具有明確、合理的目的并與處理目的直接相關,采取對個人權益影響最小的方式,限于實現處理目的的最小范圍,公開處理規則,保證信息質量,采取安全保護措施等。
歸納來看,可以理解為主要的七大原則:
1.合法、正當、必要和誠信原則
是指處理個人信息時,一方面,應當具有合法性的基礎(在下文分析)、具有正當的理由、并應滿足必要性的要求(對個人信息的處理應當限定在為了實現處理目的所必要的范圍內),另一方面,要遵守誠信原則,不得通過誤導、欺詐、脅迫等方式處理個人信息。
2.目的明確、合理原則
相比于《二審稿》,個保法新增了“采取對個人權益影響最小的方式”,即將個人權益的影響程度作為是否明確、合理的判斷標準,再次特別強調了,信息的收集范圍與處理目的應當直接關聯,并應該限制在實現目的的最小范圍內(最小必要原則,不得過度收集個人信息)。
3.公開、透明原則
是指,處理個人信息,一方面應該對企業、組織是如何處理用戶的個人信息進行公開;另一方面,還應通過這些公開的政策、規則來明確展示企業、組織在處理個人信息方面的具體目的、處理方式和處理范圍。
4.質量原則
相比于《二審稿》,個保法新增了“保證個人信息的質量”的要求,其具體內涵是指,為實現個人信息的處理目的,企業、組織應當對其所處理的個人信息保證準確,并在有變化時候進行及時的更新。
5.安全保護原則
沒有數據安全的保障,就沒有對數據的有力保護,安全是保護的關鍵前提,企業、組織應當對其個人信息處理活動負責,并采取必要措施保障所處理的個人信息的安全。
6.禁止非法處理原則
個保法明確列舉了8大“禁止性行為”,給企業、個人劃定了清晰的紅線:任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息;不得從事危害國家安全、公共利益的個人信息處理活動。
7.共同治理原則
個人信息保護是一項需要個人、企業、行業組織、監管部門等各方面共同協作、參與的事項,一方面,國家通過建立、健全個人信息保護制度,對侵害個人信息權益的行為進行預防和懲治;另一方面,也需要通過加強個人信息保護宣傳教育工作,推動形成政府、企業、相關行業組織、社會公眾共同參與個人信息保護的良好環境。
02 “告知-同意”是核心規則
我國個保法明確了以“告知—同意”為我國個人信息保護的核心規則(核心的合法性基礎),一方面,為個人對其個人信息處理的知情權和決定權提供了重要的保障;另一方面,以“同意”作為合法理由處理個人信息,必須賦予用戶撤回同意的權利。這與GDPR的規則設置是非常類似的。
對于如何進行告知,個保法明確了,企業不僅要真實、準確、完整地向個人“充分告知”與處理個人信息的各類事項(包括處理者身份、聯系方式、處理目的、處理方式、信息種類、保存期限、個人行使權力的方式和程序等等),還需要以顯著方式、清晰易懂的方式進行,并且在重要事項發生變更時,還應重新取得個人的同意,而不能“一次了事”。
對于如何獲得同意,則要求個人需要在“充分知情”的前提下,作出自愿的、明確的同意,而不能是被強迫的、不平等的,也不能是含糊的、不清晰的情況下作出。
值得一提的是,本次個保法在處理個人信息的合法理由中,新增了“實施人力資源管理所必需”作為處理個人信息的合法理由之一,但在使用這一合法理由時,應特別注意這是附條件的,只有是滿足了“依法制定的勞動規章制度”和“依法簽訂的集體合同”才可以,而何為“依法制定”和“依法簽訂”,就為作為用人單位的企業在處理員工的個人信息時留下了非常值得研究的實操空間以及合規空間,也對企業在處理員工個人信息時,提出了更進一步的合規要求。
03 “單獨同意”是特別規則
與此同時,我國個保法還針對“法律、行政法規等專門規定的特殊情況”,特別設置了特殊的單獨同意規則。
處理敏感個人信息情形:
例如,企業在處理個人敏感信息時,除了在隱私政策中,向用戶告知處理敏感個人信息的具體種類、處理的必要性、對個人的影響,采取嚴格的保護措施外,還需要在該特定場景觸發時,通過如單獨彈窗、單獨頁面展示等方式向個人告知,并獲得個人的單獨的、明示有效的同意,而不能是“概括同意”,“一攬子同意/捆綁授權”,更不能是“默認同意”。
處理兒童個人信息情形:
例如,在企業收集不滿14周歲的未成年人個人信息的場景下,企業還應當取得未成年人的父母或者其他監護人的同意。
向其他個人信息處理者提供個人信息情形:
例如,在企業向其他第三方合作伙伴(其他個人信息處理者)提供、轉移個人信息的場景下,除了需要向個人履行告知義務(個保法規定了告知內容的法定要求),進行事前的風險評估外,還應當取得個人的單獨同意。
而對于前述情況下作為數據接收方的第三方合作伙伴,除了應該在傳輸方告知個人的范圍內處理個人信息,還應該在接收方企業變更原先的處理目的和方式時,重新取得個人的同意。
在公共場所安裝圖像采集、個人身份識別設備的情形:
這是本次個保法新增的內容,與目前大量企業濫用攝像頭收集個人信息、特別是人臉識別信息等情況有關,也與今年8月1日出臺的最高人民法院《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》起到遙相呼應的效果。
與此相關的企業應特別關注和留意,在安裝圖像采集、個人身份識別設備時,應當:
01
是為了維護公共安全所必需——限制收集目的;
02
在遵守國家有關規定的同時,還應設置顯著的提示標識——明確告知方式;
03
特別需要注意的是,企業因此而收集的個人圖像、身份識別信息,只能用于維護公共安全的目的,不得用于其他目的;但取得個人單獨同意的除外——限制處理用途。
公開個人信息的情形:
個保法明確規定了,原則上不得公開,但取得個人單獨同意的除外。
值得注意的是,在使用公開個人信息方面,我國個保法參考海外數據保護法規,也提供了“選擇退出”的規定:
01
對于個人自行公開或者其他已經合法公開的個人信息,除非個人明確拒絕,個人信息處理者可以在合理范圍內處理;
02
對于處理已公開的個人信息,而對個人權益有重大影響的,個人信息處理者應當取得個人同意。
04豁免告知作為例外規則
本次個保法不僅在告知的內容要求上和告知的形式上作出了進一步的細化要求,還確立了兩種個人信息處理者可以進行豁免的告知情形:
1.基于保密義務的豁免:
當有法律、行政法規規定應當保密或者不需要告知的情況下,可以不向個人告知個人信息處理者的名稱或者姓名和聯系方式。
2.基于緊急情況的豁免:
為保護自然人的生命健康和財產安全而無法及時向個人告知的情況下,可以在緊急情況發生之時不進行告知,但是應當在緊急情況消除后及時告知。
05共同處理承擔連帶責任規則
本次個保法正式確定了共同處理者的概念(共同決定個人信息的處理目的和處理方式的),也是新增內容之一。
與歐盟GDPR以及先前出臺的個人信息規范不同的是,個保法在概念上沒有區分個人信息控制者和處理者,而是通過明確規定 “在共同處理個人信息時,在侵害個人信息權益造成損害的情況,應當一起依法承擔連帶責任”的方式,確立了由共同處理者一起面向個人數據主體去承擔連帶責任。
提醒企業注意的是,在發生共同處理的情況下,應該通過合同的方式與第三方明確約定雙方的權利與義務,明確各自需要承擔的責任,要求第三方共同滿足個人信息安全的要求,同時亦需要向個人數據主體進行有效的告知。
06 自動化決策應確保透明公平
公正,并有權進行拒絕的規則
這可能是本次個保法最為關注也受到最大熱議的亮點之一,明確了廣大用戶關注的自動化決策的規制,即應“保證決策的透明度和結果公平公正”且“不得對個人在交易價格等交易條件上實行不合理的差別待遇”。
要求企業在自動化決策最為普遍的應用場景“信息推送、商業營銷”中,應當向個人提供“不針對其個人特征的選項”,或者“向個人提供便捷的拒絕方式”。
特別是,對于對用戶的個人權益造成重大影響的情況,法律明確為個人主提供了要求解釋清楚的權利以及進行明確拒絕的權利。
本條的出現,在實務中,引起了非常多與個性化推薦有關的企業的關注,特別是精準廣告的行業企業,在接下來的實際應用中,相信會有更多的實務難題出現。但從最基本的合規注意事項而言,企業可以關注以下基本的合規邏輯:
01
以充分、全面、清晰告知用戶,以及取得用戶的個人同意為合法性基礎,其確保該同意是自愿、明確的;
02
由政府設立的法律援助機構或者非政府設立的合法律所組織法律援助的律師。
03
當自動化決策是用于為了信息推送,或商業廣告推廣時,應為用戶提供可以退出的途徑,以及不進行個人特征推送的選項;
04
僅通過自動化決策作出對個人權益有重大影響的決定的,在用戶要求解析說明,或用戶明確提出拒絕時,應保障其權利機制的實現,并考慮增加人工決策的方式。
(二) 海外主要個人信息保護法律對比:
鑒于個人信息處理的規則是一個比較復雜的分析類事項,一方面,不同國家的數據保護法律會有不同的規定,不僅對于特殊類型個人信息有不同的概念與分類,而且也會對不同特殊類型的個人信息有特別的規則,另一方面,在大量的實務操作過程中,還需要結合具體的業務場景、前提和多方面的維度進行綜合考慮。鑒于篇幅有限,以下表格,我們僅就個人敏感信息的定義以及處理要求和一些特殊點進行扼要對比。如有不完善之處,還請同行們多多指正。
總體來說
個人信息的處理的具體規則,是每個國家數據保護法案中非常值得關注的內容,大部分國家的數據保護法律法規中都會對特殊類型的數據提出了特殊的處理規則(例如會分別對一般個人信息、敏感個人信息、健康信息、生物特征信息進行概念上的分類,以及規定不同的處理規則),以更好地保護個人數據主體的權益,同時也成為企業、組織和個人在處理個人信息時候的指南針和區分合規紅線的判斷基礎。
第三部分:數據本地化儲存要求
數據本地化存儲,是指某一主權國家/地區,通過制定法律或規則來限制本國數據向境外流動,是對數據出境進行限制的做法之一。數據又被譽為當今的“石油”,在全球互聯網信息時代中顯得尤為重要。因此,有些主權國/地區會對個人信息進行不同維度的分類,并根據不同的類型的個人信息提出了本地存儲與跨境流動限制的要求。
(一)我國個保法解讀:
01明確了個人信息以境內存儲為原則
我國個保法明確規定了個人信息的存儲地點應當以“境內存儲”為原則,應當存儲在境內的具體情形包括:
01
國家機關處理的個人信息;
02
關鍵信息基礎設施運營者(“CIIO”)在境內收集和產生的個人信息;
03
即使不構成CIIO,如果個人信息處理者在境內收集和產生的個人信息的數量達到國家網信部門規定的數量的,也應當存儲在境內。
個保法特別強調了關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當將在境內收集和產生的個人信息存儲在境內,不得向境外傳輸。如果的確需要向境外提供個人信息的,應當通過國家網信部門組織的安全評估。
換言之,對于關鍵信息基礎設施等重要數據的儲存、利用、控制和管轄,我國提出了明確的本地化存儲的要求,其基本邏輯是,任何中國公司或者外國公司在我國境內采集和存儲與個人信息和關鍵領域相關數據時,必須使用我國境內的服務器。
這是我國作為主權國家行使“數據主權”的重要體現之一,也與我國《網絡安全法》基于保障網絡數據安全的考量,明確要求在境內存儲“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據”的要求一脈相承。
02 企業合規扼要建議
從前面分析可知,我國個保法并非像某些主權國家(例如俄羅斯)一樣對本地化存儲進行了非常嚴格的要求,而是對特定的主體提出了本地化存儲的要求以及安全評估的義務。企業以及特別是涉及國際業務的企業,在處理個人信息的時候,需要關注是否受到本地化存儲的要求限制:
01
Step 1:判斷是否落入必須進行本地化存儲的主體范圍。
如果是,則需要進行數據本地化存儲,即企業應當將在中國境內收集和產生的個人信息存儲在境內。
02
Step 2:判斷是否有的確有需要向境外提供的必要。
即企業需要結合業務的實際情況與業務運作安排等維度,綜合考慮與確認該等數據出境的必要性。
03
Step 3:判斷是否已經通過國家網信部門組織的安全評估。
我國的數據本地化要求并沒有一刀切地完全禁止將個人信息傳輸至中國境外,對于確實需要向境外提供的,則需要在通過國家網信部門組織的安全評估后再進行傳輸。
根據網信辦2019年《個人信息出境安全評估辦法(征求意見稿)》的要求,企業在進行安全評估時候,并非完成了內部的自我評估就結束,而是應當向所在地的省級網信部門進行個人信息出境安全評估的申報動作。安全評估的重點包括:
(1) 評估個人信息跨境傳輸是否符合法律法規及政策規定;
(2) 傳輸方與接收方所簽署的合同是否能夠充分保障個人信息主體合法權益;
(3) 合同是否得到有效執行;
(4) 傳輸方與接收方是否發生過有損害個人信息主體合法權益的歷史、是否發生過重大網絡安全事件;
(5) 傳輸方獲得個人信息是否合法、正當。
(二) 海外主要個人信息保護法律對比:
從上述各國或地區要求本地化的數據類型來看,大致可以分為三種類型:
01
數據保護法律中沒有明確要求進行本地化存儲的,但可能在進行跨境傳輸時候提供了嚴格的限制。例如歐盟GDPR、新加坡地區等;
02
對數據類型進行劃分,針對不同的數據類型提出不同的本地化存儲要求。例如印度,劃分為關鍵個人數據、敏感個人數據和一般個人數據,關鍵的個人數據必須存儲在印度境內,但也提供了例外條件;對于敏感的個人數據,必須存儲在印度境內,但其副本可以按照跨境轉移的要求進行傳輸到印度境外。
03
對收集數據的主體進行了劃分,并針對不同的特定主體提出了不同的本地化存儲要求。例如印尼要求只有公共電子系統運營商才必須將其電子系統和數據放置在印尼本地。
總體來說
隨著各國監管機構認識到某些類型的數據需要在本地境內存儲,并需要更嚴格控制跨境數據傳輸,數據存儲本地化正日益成為一項全球性挑戰。對于涉及海外業務的企業,應特別需要關注出海目標國家的數據本地化存儲的要求,結合業務的整體發展規劃與業務運營成本,綜合考慮服務器部署的位置與方案,以更好地在符合目標國際的數據合規要求同時,也提高企業的內部運作效率。
作者介紹
王捷
執業律師,墾丁W&W國際法律團隊創始人,聯合國世界絲綢之路委員會專家,廣東省法學會信息通訊法學研究會理事,荷蘭RuG國際經濟法與商法碩士,專注于網絡法領域的研究和實務,特別是互聯網產品合規、出海合規以及全球數據保護與個人信息保護合規,已為多家知名互聯網公司及大中型外資企業提供專業法律服務,覆蓋智能終端制造、IOT、人工智能、云計算與服務、社交網絡平臺、移動互聯網、電子商務及平臺、短視頻視聽直播、網絡游戲、以及個人信息保護、數據安全等行業領域。
王捷律師曾在阿里巴巴大文娛集團、國際律所與海外仲裁委員會工作,擁有10年的科技型公司實務經驗與中外律所從業背景,深耕海內外多條業務線。專業能力模塊包括產品風險管控、業務流程搭建、風險分析評估、數據保護與合規、糾紛案件處理、競對攻防布局、政府監管合規、海外公司治理、投資項目管理等。她能更準確理解客戶核心需求,快速響應并提供基礎到戰略的有效支持,并為各類出海互聯網企業拓展印度、東南亞、中東、非洲、歐美等新興及重要市場提供有效的合規解決方案與落地支持。
同時為出海互聯網法律觀察公眾號主理人,合著《互聯網全球數據合規法律觀察報告》,并輸出多篇專業互聯網與數據合規文章,部分文章刊登于威科先行專業數據庫中。
聯系方式:
夏律
墾丁律師事務所W&W國際法律團隊律師助理。
協助全球數據合規資訊周刊編寫,追蹤各國數據合規執法狀況。
