作者: 楊錦文 高健 李圓圓, 君合律師事務所
隨着大數據時代的到來,收集、利用個人信息對於企業經營管理的作用不言而喻。另一方面,2021年315晚會披露了部分企業非法收集消費者個人信息的典型案例(包括違規採集用戶人臉信息、非法泄露用戶簡歷、App私自獲取用戶手機信息等),再次揭示了企業合法收集、使用個人信息的重要性。在個人信息保護方面,全國人大常委會於2021年4月29日公布《個人信息保護法》(草案二審稿、以下簡稱“個保法二審稿1”),首次以專門立法的形式,對於個人信息保護、合理利用個人信息作出了全方位、系統性的規定。本文擬結合相關實務經驗,分析個保法二審稿規定的企業個人信息合規的重要事項,以供相關企業參考。
一、企業辦理個人信息出境時的三種要件
1. 一般企業可以選擇適用三種要件之一辦理信息出境
關於個人信息的存儲,《網絡安全法》及配套法規(徵求意見稿)等均規定了“境內存儲”為原則、“確有必要時事先進行安全評估”為例外的規制模式。對此,二審稿第38條放寬了個人信息出境的條件,即除了通過國家網信部門組織的安全評估之外,企業還可以通過以下兩種要件來實現信息出境,即:(1)按照國家網信部門的規定經專業機構進行個人信息保護認證,或者(2)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務,並監督其個人信息處理活動達到本法規定的個人信息保護標準可向境外提供個人信息。需要注意的是,目前尚未公布關於個人信息保護認證、個人信息出境的標準合同等配套文件、規則,需要關注今後的立法動向。
2. 特殊企業僅能適用“安全評估”要件辦理信息出境
根據個保法二審稿第40條,對於特殊企業(關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者),應當堅持在個人信息存儲在中國境內的原則。確需向境外提供時,僅能適用“通過國家網信部門組織的安全評估”一種要件,而不能適用上述1中的個人信息保護認證或者簽訂標準合同要件。
二、企業非經批准不得將個人信息提供給境外的司法/執法機構
個保法二審稿第41條規定,非經中國主管機關批准,中國企業不得按照境外的司法或者執法機構要求提供存儲於中國境內的個人信息。
根據以往的業務案件經驗,跨國公司的中國子公司出於FCPA調查、商業賄賂案件調查/反舞弊調查或者境外訴訟仲裁等客觀需求,往往需要向境外政府部門、母公司、司法機構、客戶公司等提供文件資料,其中有可能涉及中國員工的個人信息。上述個保法二審稿第41條的規定正式制定實施以後,中國子公司未經批准將被禁止向外國母公司、司法及仲裁機構提供中國境內的員工個人信息,需要格外注意。
對此,我們建議跨國公司在個人信息出境前,通過獲取外部專家的協助對相關文件進行篩查,如果經篩查發現相關資料涉及個人信息,一般應通過特殊加工(Redaction)等措施進行去標識化處理,以防止這些信息被傳輸至境外帶來不必要的違法風險。
三、企業應保障用戶行使撤回同意的權利
根據二審稿第16條,對基於個人同意而進行的個人信息處理活動,個人有權撤回其同意,個人信息處理者應當提供便捷的撤回同意的方式。其實在歐盟一般數據保護條例(下稱“GDPR”)以及國標《個人信息安全規範》(GB/T 35273-2020)已對撤回同意權條款做出規定,撤回同意實際上是指撤銷同意,即用戶(是指消費者等個人信息主體,以下在本文中與“消費者”、“自然人”、“個人信息主體”具有相同含義)在已經做出同意處理其個人信息的意思表示之後,仍然有權通過做出撤銷的意思表示來取消該同意。通過將撤回同意條款在個保法中予以規定,該條款將從個保法二審稿通過並正式實施起位階升格為法律,顯示了立法者更嚴格的保護態度。結合實務經驗,企業應從以下兩個方面保障撤回同意的實現。
第一、用戶行使撤回同意權利的時間不限於信息的收集階段,可以在個人信息的收集、使用、保存、共享等全生命周期內行使2。實務中,在同意收集個人信息的初始階段,消費者往往很難理解、判斷做出該同意將面臨何種後果,而是在後續階段發現經常受到商家頻繁的商業廣告滋擾,此時個人信息主體可以行使自己的同意撤回權,要求經營者停止推送商業廣告以及使用其個人信息的其他行為。對此,《個人信息安全規範》明確規定,企業應保障個人信息主體拒絕接收基於其個人信息推送商業廣告的權利。
第二,關於便捷的撤回同意的方式,雖然個保法二審稿沒有做出進一步的規定,但參考GDPR“撤回同意應當和表示同意一樣簡單”的宗旨以及《個人信息安全規範》的相關規定,企業應該向消費者明示撤回同意的方法,確保該方法簡單易操作、且能及時獲得企業的響應。根據個人信息合規的實務經驗,企業可以通過在App頁面的顯著位置設置撤回同意的按鍵、在“聯繫我們”欄目明示聯繫電話且安排專人應答的方式,保障消費者及時行使撤回同意的權利。
四、對於新增的處理個人信息的合法情形,企業應慎重適用並注意留存證據
《民法典》、《個人信息安全規範》等均規定,企業應在取得用戶同意的基礎之上,才能處理個人信息。而二審稿第13條在“取得同意”之外,新增了企業可以合法處理個人信息的其他合法情形3,整體來看為企業合法收集、使用個人信息提供了更多的合法場景,值得期待。
但是個保法二審稿沒有具體規定合法情形的運用方式,需要進一步關注。例如,新增的合法情形包括,“為訂立或者履行個人作為一方當事人的合同所必需”的情形。根據字面解釋,企業只要是為了訂立或履行用戶作為一方當事人的合同所必需,均可以不經取得同意而收集、使用、處理消費者的個人信息,對此,不少專家擔心企業以“為訂立或履行合同所必需”為理由,無限擴大不經同意而處理個人信息的適用場景4。
此外,企業還應關注個保法二審稿與其他部門法之間的協調適用問題。例如,在消費者保護領域,《消費者權益保護法》第29條規定,“經營者收集、使用消費者個人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和範圍,並經消費者同意”。對此,企業能否以第13條規定的“為訂立或者履行消費者作為一方當事人的合同所必需”的情形為依據,主張不再需要獲得消費者同意,需要進一步研究。
五、個人信息處理受託方的禁止行為及安全保護義務
關於個人信息的委託處理模式,二審稿特別規定了受託方的義務。在人力資源、金融行業等個人信息外包處理較多領域,需要受託方企業予以關注。
首先,二審稿第22條規定了業務委託合同應約定的必要條款包括委託處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務。同時,關於業務委託合同的履行,第22條規定了受託方的以下禁止行為:
(a) 受託方應當按照約定處理個人信息,不得超出約定的處理目的、處理方式等處理個人信息;
(b) 委託合同不生效、無效、被撤銷或者終止的,受託方應當將個人信息返還個人信息處理者或者予以刪除,不得保留。
(c) 未經個人信息處理者同意,受託方不得轉委託他人處理個人信息。
其次,二審稿第58條還專門規定了委託方的個人信息安全保護義務:“接受委託處理個人信息的受託方,應當履行本章規定的相關義務,採取必要措施保障所處理的個人信息的安全。”關於受託方應採取哪些必要措施保障安全,第58條沒有明確列舉,參照同為個保法二審稿第五章項下的第51條規定,我們理解相關必要措施可能涉及到以下內容:
(a) 制定內部管理制度和操作規程;
(b) 對個人信息實行分類管理;
(c) 採取相應的加密、去標識化等安全技術措施;
(d) 合理確定個人信息處理的操作權限,並定期對從業人員進行安全教育和培訓;
(e) 制定並組織實施個人信息安全事件應急預案。
六、基礎性互聯網平台等應成立個人信息保護獨立機構
根據個保法二審稿第57條,提供基礎性互聯網平台服務、用戶數量巨大、業務類型複雜的個人信息處理者,應當履行以下合規義務:
(a) 成立主要由外部成員組成的獨立機構,對個人信息處理活動進行監督;
(b) 對嚴重違反法律、行政法規處理個人信息的平台內的產品或者服務提供者,停止提供服務;
(c) 定期發布個人信息保護社會責任報告,接受社會監督。
但是關於“基礎性互聯網平台”、“用戶數量巨大”、“業務類型複雜”,二審稿沒有做出定義,需要互聯網平台企業進一步關注。
七、企業應做好證據留痕以應對“過錯推定”歸責原則
個保法二審稿第68條規定了個人信息權益受到侵害時的“過錯推定”歸責原則,即個人信息權益因個人信息處理活動受到侵害時,企業等如果不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任。與“誰主張誰舉證”的原則相比,“過錯推定”原則將加重企業的賠償責任。
為防止被推定存在過錯而承擔損害賠償責任,企業應當在日常的個人信息處理過程中注意“留痕”,對依法合規處理個人信息、已採取必要安全保護措施等保留相關記錄,以便在萬一發生爭議時舉證自己不存在過錯。對於必要的安全保護措施而言,根據二審稿第51條,企業可以採取以下措施:(1)制定內部管理制度和操作規程,對個人信息實行分類管理;(2)採取相應的加密、去標識化等安全技術措施;(3)合理確定個人信息處理的操作權限,並定期對從業人員進行安全教育和培訓;(4)制定並組織實施個人信息安全事件應急預案。
八、企業應實施個人信息風險評估並留存記錄
個保法二審稿第55條延續一審稿的宗旨,規定企業進行下列個人信息處理活動前有義務進行風險評估,並對處理情況進行記錄。風險評估報告和處理情況記錄應當至少保存三年。
(a) 處理敏感個人信息;
(b) 利用個人信息進行自動化決策;
(c) 委託處理個人信息、向他人提供個人信息、公開個人信息;
(d) 向境外提供個人信息;
(e) 其他對個人有重大影響的個人信息處理活動。
根據《信息安全技術 個人信息安全影響評估指南》GB/T39335-2020,風險評估又稱“個人信息安全影響評估”,是指針對個人信息處理活動,檢驗其合法合規程度,判斷其對個人信息主體合法權益造成損害的各種風險,以及評估用於保護個人信息主體的各項措施有效性的過程。
風險評估不僅可以識別可能導致個人信息主體權益遭受損害的風險,還可以通過處理情況記錄的方式,幫助企業在政府、相關機構或商業夥伴的調查、執法、合規性審計中,證明已經遵守了個人信息保護與數據安全等方面的合規要求。特別是在上述第七部分關於企業責任“過錯推定”的情況下,實施風險評估並留存相關記錄,有助於證明企業不存在過錯從而減輕或免除賠償責任。實務中,我們已協助一些企業參照《評估指南》實施個人信息安全影響評估的合規自查。對於企業來說,合理評估並處置個人信息處理活動存在的安全風險,是遵循相關法規的合規要求,更是主動應對大數據時代信息風險的應有之義。
結語
個保法二審稿的公開徵求意見已於5月28日截止,業界對今年之內進行草案三審並通過的期待較高。建議相關企業仔細對照個保法二審稿的重要條款,對本公司個人信息保護制度和個人信息處理規則進行自查,從信息出境、信息安全評估、證據留痕等重要方面進行準備,做到未雨綢繆、事先預判並及時規避合規風險。
