作者: 杨锦文 高健 李圆圆, 君合律师事务所
随着大数据时代的到来,收集、利用个人信息对于企业经营管理的作用不言而喻。另一方面,2021年315晚会披露了部分企业非法收集消费者个人信息的典型案例(包括违规采集用户人脸信息、非法泄露用户简历、App私自获取用户手机信息等),再次揭示了企业合法收集、使用个人信息的重要性。在个人信息保护方面,全国人大常委会于2021年4月29日公布《个人信息保护法》(草案二审稿、以下简称“个保法二审稿1”),首次以专门立法的形式,对于个人信息保护、合理利用个人信息作出了全方位、系统性的规定。本文拟结合相关实务经验,分析个保法二审稿规定的企业个人信息合规的重要事项,以供相关企业参考。
一、企业办理个人信息出境时的三种要件
1. 一般企业可以选择适用三种要件之一办理信息出境
关于个人信息的存储,《网络安全法》及配套法规(征求意见稿)等均规定了“境内存储”为原则、“确有必要时事先进行安全评估”为例外的规制模式。对此,二审稿第38条放宽了个人信息出境的条件,即除了通过国家网信部门组织的安全评估之外,企业还可以通过以下两种要件来实现信息出境,即:(1)按照国家网信部门的规定经专业机构进行个人信息保护认证,或者(2)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准可向境外提供个人信息。需要注意的是,目前尚未公布关于个人信息保护认证、个人信息出境的标准合同等配套文件、规则,需要关注今后的立法动向。
2. 特殊企业仅能适用“安全评估”要件办理信息出境
根据个保法二审稿第40条,对于特殊企业(关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者),应当坚持在个人信息存储在中国境内的原则。确需向境外提供时,仅能适用“通过国家网信部门组织的安全评估”一种要件,而不能适用上述1中的个人信息保护认证或者签订标准合同要件。
二、企业非经批准不得将个人信息提供给境外的司法/执法机构
个保法二审稿第41条规定,非经中国主管机关批准,中国企业不得按照境外的司法或者执法机构要求提供存储于中国境内的个人信息。
根据以往的业务案件经验,跨国公司的中国子公司出于FCPA调查、商业贿赂案件调查/反舞弊调查或者境外诉讼仲裁等客观需求,往往需要向境外政府部门、母公司、司法机构、客户公司等提供文件资料,其中有可能涉及中国员工的个人信息。上述个保法二审稿第41条的规定正式制定实施以后,中国子公司未经批准将被禁止向外国母公司、司法及仲裁机构提供中国境内的员工个人信息,需要格外注意。
对此,我们建议跨国公司在个人信息出境前,通过获取外部专家的协助对相关文件进行筛查,如果经筛查发现相关资料涉及个人信息,一般应通过特殊加工(Redaction)等措施进行去标识化处理,以防止这些信息被传输至境外带来不必要的违法风险。
三、企业应保障用户行使撤回同意的权利
根据二审稿第16条,对基于个人同意而进行的个人信息处理活动,个人有权撤回其同意,个人信息处理者应当提供便捷的撤回同意的方式。其实在欧盟一般数据保护条例(下称“GDPR”)以及国标《个人信息安全规范》(GB/T 35273-2020)已对撤回同意权条款做出规定,撤回同意实际上是指撤销同意,即用户(是指消费者等个人信息主体,以下在本文中与“消费者”、“自然人”、“个人信息主体”具有相同含义)在已经做出同意处理其个人信息的意思表示之后,仍然有权通过做出撤销的意思表示来取消该同意。通过将撤回同意条款在个保法中予以规定,该条款将从个保法二审稿通过并正式实施起位阶升格为法律,显示了立法者更严格的保护态度。结合实务经验,企业应从以下两个方面保障撤回同意的实现。
第一、用户行使撤回同意权利的时间不限于信息的收集阶段,可以在个人信息的收集、使用、保存、共享等全生命周期内行使2。实务中,在同意收集个人信息的初始阶段,消费者往往很难理解、判断做出该同意将面临何种后果,而是在后续阶段发现经常受到商家频繁的商业广告滋扰,此时个人信息主体可以行使自己的同意撤回权,要求经营者停止推送商业广告以及使用其个人信息的其他行为。对此,《个人信息安全规范》明确规定,企业应保障个人信息主体拒绝接收基于其个人信息推送商业广告的权利。
第二,关于便捷的撤回同意的方式,虽然个保法二审稿没有做出进一步的规定,但参考GDPR“撤回同意应当和表示同意一样简单”的宗旨以及《个人信息安全规范》的相关规定,企业应该向消费者明示撤回同意的方法,确保该方法简单易操作、且能及时获得企业的响应。根据个人信息合规的实务经验,企业可以通过在App页面的显著位置设置撤回同意的按键、在“联系我们”栏目明示联系电话且安排专人应答的方式,保障消费者及时行使撤回同意的权利。
四、对于新增的处理个人信息的合法情形,企业应慎重适用并注意留存证据
《民法典》、《个人信息安全规范》等均规定,企业应在取得用户同意的基础之上,才能处理个人信息。而二审稿第13条在“取得同意”之外,新增了企业可以合法处理个人信息的其他合法情形3,整体来看为企业合法收集、使用个人信息提供了更多的合法场景,值得期待。
但是个保法二审稿没有具体规定合法情形的运用方式,需要进一步关注。例如,新增的合法情形包括,“为订立或者履行个人作为一方当事人的合同所必需”的情形。根据字面解释,企业只要是为了订立或履行用户作为一方当事人的合同所必需,均可以不经取得同意而收集、使用、处理消费者的个人信息,对此,不少专家担心企业以“为订立或履行合同所必需”为理由,无限扩大不经同意而处理个人信息的适用场景4。
此外,企业还应关注个保法二审稿与其他部门法之间的协调适用问题。例如,在消费者保护领域,《消费者权益保护法》第29条规定,“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意”。对此,企业能否以第13条规定的“为订立或者履行消费者作为一方当事人的合同所必需”的情形为依据,主张不再需要获得消费者同意,需要进一步研究。
五、个人信息处理受托方的禁止行为及安全保护义务
关于个人信息的委托处理模式,二审稿特别规定了受托方的义务。在人力资源、金融行业等个人信息外包处理较多领域,需要受托方企业予以关注。
首先,二审稿第22条规定了业务委托合同应约定的必要条款包括委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务。同时,关于业务委托合同的履行,第22条规定了受托方的以下禁止行为:
(a) 受托方应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;
(b) 委托合同不生效、无效、被撤销或者终止的,受托方应当将个人信息返还个人信息处理者或者予以删除,不得保留。
(c) 未经个人信息处理者同意,受托方不得转委托他人处理个人信息。
其次,二审稿第58条还专门规定了委托方的个人信息安全保护义务:“接受委托处理个人信息的受托方,应当履行本章规定的相关义务,采取必要措施保障所处理的个人信息的安全。”关于受托方应采取哪些必要措施保障安全,第58条没有明确列举,参照同为个保法二审稿第五章项下的第51条规定,我们理解相关必要措施可能涉及到以下内容:
(a) 制定内部管理制度和操作规程;
(b) 对个人信息实行分类管理;
(c) 采取相应的加密、去标识化等安全技术措施;
(d) 合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(e) 制定并组织实施个人信息安全事件应急预案。
六、基础性互联网平台等应成立个人信息保护独立机构
根据个保法二审稿第57条,提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行以下合规义务:
(a) 成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;
(b) 对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(c) 定期发布个人信息保护社会责任报告,接受社会监督。
但是关于“基础性互联网平台”、“用户数量巨大”、“业务类型复杂”,二审稿没有做出定义,需要互联网平台企业进一步关注。
七、企业应做好证据留痕以应对“过错推定”归责原则
个保法二审稿第68条规定了个人信息权益受到侵害时的“过错推定”归责原则,即个人信息权益因个人信息处理活动受到侵害时,企业等如果不能证明自己没有过错的,应当承担损害赔偿等侵权责任。与“谁主张谁举证”的原则相比,“过错推定”原则将加重企业的赔偿责任。
为防止被推定存在过错而承担损害赔偿责任,企业应当在日常的个人信息处理过程中注意“留痕”,对依法合规处理个人信息、已采取必要安全保护措施等保留相关记录,以便在万一发生争议时举证自己不存在过错。对于必要的安全保护措施而言,根据二审稿第51条,企业可以采取以下措施:(1)制定内部管理制度和操作规程,对个人信息实行分类管理;(2)采取相应的加密、去标识化等安全技术措施;(3)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(4)制定并组织实施个人信息安全事件应急预案。
八、企业应实施个人信息风险评估并留存记录
个保法二审稿第55条延续一审稿的宗旨,规定企业进行下列个人信息处理活动前有义务进行风险评估,并对处理情况进行记录。风险评估报告和处理情况记录应当至少保存三年。
(a) 处理敏感个人信息;
(b) 利用个人信息进行自动化决策;
(c) 委托处理个人信息、向他人提供个人信息、公开个人信息;
(d) 向境外提供个人信息;
(e) 其他对个人有重大影响的个人信息处理活动。
根据《信息安全技术 个人信息安全影响评估指南》GB/T39335-2020,风险评估又称“个人信息安全影响评估”,是指针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。
风险评估不仅可以识别可能导致个人信息主体权益遭受损害的风险,还可以通过处理情况记录的方式,帮助企业在政府、相关机构或商业伙伴的调查、执法、合规性审计中,证明已经遵守了个人信息保护与数据安全等方面的合规要求。特别是在上述第七部分关于企业责任“过错推定”的情况下,实施风险评估并留存相关记录,有助于证明企业不存在过错从而减轻或免除赔偿责任。实务中,我们已协助一些企业参照《评估指南》实施个人信息安全影响评估的合规自查。对于企业来说,合理评估并处置个人信息处理活动存在的安全风险,是遵循相关法规的合规要求,更是主动应对大数据时代信息风险的应有之义。
结语
个保法二审稿的公开征求意见已于5月28日截止,业界对今年之内进行草案三审并通过的期待较高。建议相关企业仔细对照个保法二审稿的重要条款,对本公司个人信息保护制度和个人信息处理规则进行自查,从信息出境、信息安全评估、证据留痕等重要方面进行准备,做到未雨绸缪、事先预判并及时规避合规风险。
