引言
2021年11月1日,萬眾矚目的《中華人民共和國個人信息保護(hù)法》(下稱“《個信法》”)終于C位出道,占據(jù)了我國個人信息保護(hù)領(lǐng)域?qū)iT立法的頭把交椅。面對《個信法》的正式生效,Apple(于2021 年10月27日更新了《Apple 隱私政策》[1])、騰訊(于2021 年10月29日更新了《微信隱私保護(hù)指引》[2])等平臺均已給出了答卷(見下圖),而你的答卷上交了嗎?你真的準(zhǔn)備好了嗎?
上:《Apple 隱私政策》;下:《微信隱私保護(hù)指引》[3]
我們特此梳理互聯(lián)網(wǎng)平臺(僅針對作為個人信息處理者的情形,下稱“平臺”)從容應(yīng)對《個信法》的“七步”秘訣,幫助平臺為《個信法》交出合格的答卷。
一、你真的受《個信法》規(guī)制嗎?——《個信法》的法律適用
平臺在著急應(yīng)對《個信法》前,別忘記先行確定自身是否真的受《個信法》的規(guī)制,簡單而言,分三小點(diǎn)進(jìn)行判斷:
第一點(diǎn),看行為,即是否存在處理個人信息的行為。核心關(guān)鍵詞為“個人信息”與“處理”:其一,標(biāo)的應(yīng)屬于《個信法》規(guī)定的“以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息”,其中匿名化處理后的信息非個人信息;其二,行為應(yīng)屬于《個信法》規(guī)定的“處理”行為,包括收集、存儲、使用、加工、傳輸、提供、公開、刪除等。
第二點(diǎn),看地域,即該行為的發(fā)生地,若屬于在我國境內(nèi)處理個人信息的活動,應(yīng)受《個信法》規(guī)制;若屬于在我國境外處理個人信息,只有在滿足下述情形下才受《個信法》管轄:個人信息的主體在為“境內(nèi)自然人”,同時,存在“以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的”“分析、評估境內(nèi)自然人的行為”或“法律、行政法規(guī)規(guī)定的其他情形”(下稱“三種情形”)中的任一情形。
第三點(diǎn),看例外情形,《個信法》規(guī)定了兩種例外情形,其一,自然人因個人或者家庭事務(wù)處理個人信息的,不適用《個信法》;其二,法律對各級人民政府及其有關(guān)部門組織實施的統(tǒng)計、檔案管理活動中的個人信息處理有規(guī)定的,適用其規(guī)定。
綜上,可以得出,若同時滿足:(1)標(biāo)的為“個人信息”,存在“處理”行為;(2)行為發(fā)在中國境內(nèi)或發(fā)生在境外,但對象為境內(nèi)自然人且存在三種情形中的任一情形;(3)不存在例外情形,就要受《個信法》的規(guī)制。
二、你真的知曉違規(guī)處理個人信息的罰則嗎?——5000萬或5%最高罰則
《個信法》一大顯著特點(diǎn)就是處罰嚴(yán)厲,若受《個信法》規(guī)制,建議平臺先行明晰違規(guī)成本,以為自身行為加上“枷鎖”?!秱€信法》項下的罰則呈現(xiàn)出“雙罰制”“兩級制”以及“處罰措施多維度”的特點(diǎn),具體如下:
其一,采取“雙罰制”。針對違反《個信法》規(guī)定處理個人信息的,或未履行《個信法》規(guī)定個人信息保護(hù)義務(wù)的,除了針對單位進(jìn)行處罰外,亦明確了責(zé)任人(直接負(fù)責(zé)的主管人員和其他直接責(zé)任人)應(yīng)承擔(dān)的行政責(zé)任;
其二,采取“兩級制”?!秱€信法》區(qū)分違規(guī)的“一般情形”與“情節(jié)嚴(yán)重”分別設(shè)置兩級處罰,其中,罰款最高可達(dá)5000萬元或上一年度營業(yè)額5%;
其三,“處罰措施多維度”。除罰款外,亦規(guī)定了責(zé)令改正,給予警告,沒收違法所得,責(zé)令暫?;蛘呓K止提供服務(wù)等以及針對負(fù)責(zé)人的“行業(yè)禁止令”等處罰措施,該等措施與罰款可為“并處”關(guān)系。
三、你真的享有處理個人信息的合法性基礎(chǔ)嗎?——處理個人信息的依據(jù)
平臺擁有海量的自然人用戶,處理個人信息,應(yīng)當(dāng)具備《個信法》規(guī)定的合法性基礎(chǔ)。隨著《個信法》的生效,我國確立了以“告知—同意”為核心的個人信息處理系列規(guī)則:
其一,顯著告知,個人信息處理者在處理個人信息前,應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實、準(zhǔn)確、完整地向個人告知有關(guān)個人信息處理者和信息處理的相關(guān)事項,通過制定個人信息處理規(guī)則的方式告知的,該處理規(guī)則應(yīng)當(dāng)予以公開,并便于查閱和保存;
其二,取得同意,除法定情形(如為訂立、履行個人作為一方當(dāng)事人的合同所必需,或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需等情形)外,取得個人在充分知情的前提下的自愿同意。
其三,單獨(dú)同意,若涉及到向第三方個人信息處理者提供個人信息、公開個人信息、公共場所安裝圖像采集、個人身份識別設(shè)備,用于維護(hù)公共安全以外目的收集個人圖像、身份識別信息、處理敏感個人信息、向境外提供個人信息等“單獨(dú)同意”事項,則應(yīng)當(dāng)取得個人的單獨(dú)同意;
其四,特殊同意,若涉及針對不滿十四周歲未成年人的個人信息處理,應(yīng)當(dāng)取得該個人的單獨(dú)同意(該類信息屬于敏感個人信息)并取得未成年人的父母或者其他監(jiān)護(hù)人的同意。
平臺可根據(jù)自身處理的個人信息類別及處理情形,對應(yīng)采取上述措施取得處理個人信息的合法性基礎(chǔ)。
四、你真的知曉怎么合規(guī)處理個人信息嗎?——處理個人信息的一般原則
合規(guī)處理個人信息,單單獲得個人的同意,還遠(yuǎn)遠(yuǎn)不夠?!秱€信法》吸收GDPR等國際經(jīng)驗,并基于我國國情確立了處理個人信息的一般原則,包含:合法、正當(dāng)、必要和誠信原則;目的明確、合理原則;最小必要原則;公開、透明原則;質(zhì)量原則;安全保護(hù)原則。個人信息處理者應(yīng)將上述原則貫穿于個人信息處理的全過程與各環(huán)節(jié)。以最小必要原則為例,落實該原則,分三點(diǎn)內(nèi)容:
其一,最小影響,處理個人信息應(yīng)當(dāng)采取對個人權(quán)益影響最小的方式;
其二,最小范圍,收集個人信息,應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍,不得過度收集個人信息;
其三,最短時間,除法律、行政法規(guī)另有規(guī)定外,個人信息的保存期限應(yīng)當(dāng)為實現(xiàn)處理目的所必要的最短時間。
除上述原則性內(nèi)容判斷方式外,針對該最小必要原則,可依據(jù)《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》(國信辦秘字〔2021〕14號)列舉的常見類型App予以對照,或可參考國家標(biāo)準(zhǔn)《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273—2020,下稱《國標(biāo)》)中對收集個人信息的最小必要的釋明:“收集的個人信息的類型應(yīng)與實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián);直接關(guān)聯(lián)是指沒有該等信息的參與,產(chǎn)品或服務(wù)的功能無法實現(xiàn);自動采集個人信息的頻率應(yīng)是實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最低頻率;間接獲取個人信息的數(shù)量應(yīng)是實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最少數(shù)量?!庇枰耘袛啵源_保處理個人信息符合該原則。
五、你真的依法保障了個人的法定權(quán)益嗎?——個人信息主體的權(quán)利
平臺在處理個人信息過程中,除應(yīng)注意自身的處理行為外,更應(yīng)注意保障個人信息主體的法定權(quán)益,建立便捷的個人行使權(quán)利的申請受理和處理機(jī)制。
個人信息主體所享有的法定權(quán)利包括知情決定權(quán)、查閱復(fù)制權(quán)、可攜帶權(quán)、更正補(bǔ)充權(quán)、刪除權(quán)、請求解釋說明權(quán)、逝者近親屬權(quán)利、拒絕自動化決策權(quán)等,以社會廣泛關(guān)注的自動化決策為例,《個信法》生效后,平臺利用個人信息進(jìn)行自動化決策,應(yīng)注意下述要點(diǎn):
其一,禁止“大數(shù)據(jù)殺熟”,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇;
其二,提供備選或便捷的拒絕方式,通過自動化決策方式向個人進(jìn)行信息推送、商業(yè)營銷,應(yīng)當(dāng)同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。其中,不針對個人特征的選項,根據(jù)《國標(biāo)》第7.5條第b)項注釋,基于個人信息主體所選擇的特定地理位置進(jìn)行展示、搜索結(jié)果排序,且不因個人信息主體身份不同展示不一樣的內(nèi)容和搜索結(jié)果排序,則屬于不針對其個人特征的選項;
其三,拒絕自動化決策權(quán),若作出對個人權(quán)益有重大影響的決定的(針對對個人權(quán)益有重大影響的決定,《國標(biāo)》列舉了如下情形:自動決定個人征信及貸款額度,或用于面試人員的自動化篩選等),個人有權(quán)要求個人信息處理者予以說明,并有權(quán)拒絕個人信息處理者僅通過自動化決策的方式作出決定;
其四,履行評估義務(wù),應(yīng)當(dāng)事前進(jìn)行個人信息保護(hù)影響評估,并對處理情況進(jìn)行記錄。評估應(yīng)當(dāng)包括下列內(nèi)容:(1)個人信息的處理目的、處理方式等是否合法、正當(dāng)、必要;(2)對個人權(quán)益的影響及安全風(fēng)險;(3)所采取的保護(hù)措施是否合法、有效并與風(fēng)險程度相適應(yīng)。對應(yīng)的個人信息保護(hù)影響評估報告和處理情況記錄應(yīng)當(dāng)至少保存三年。
六、你跨境提供了個人信息嗎?——跨境傳輸?shù)暮弦?guī)要點(diǎn)
若因業(yè)務(wù)等需要,確需向我國境外提供個人信息的,應(yīng)具備下列條件之一:
其一,通過安全評估:關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者(境內(nèi)儲存:應(yīng)當(dāng)將在我國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi))確需向境外提供的,應(yīng)通過國家網(wǎng)信部門組織的安全評估;
其二,個人信息保護(hù)認(rèn)證:按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個人信息保護(hù)認(rèn)證;
其三,訂立標(biāo)準(zhǔn)合同:按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同,約定雙方的權(quán)利和義務(wù)。
滿足前述任一條件跨境提供個人信息的,平臺應(yīng)當(dāng)采取必要措施,保障境外接收方處理個人信息的活動達(dá)到《個信法》規(guī)定的個人信息保護(hù)標(biāo)準(zhǔn)。
七、你真的準(zhǔn)備好自證清白了嗎?——舉證責(zé)任倒置的應(yīng)對
平臺處理個人信息,做到前六步,還不足為自身建立起“金鐘罩”。
《個信法》確立了個人信息處理侵權(quán)糾紛的舉證責(zé)任倒置原則(處理個人信息侵害個人信息權(quán)益造成損害,個人信息處理者不能證明自己沒有過錯的,應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任)。這就倒逼平臺來留存對應(yīng)能證明自身沒有過錯的證據(jù),對此,平臺應(yīng)該如何自證清白?
我們團(tuán)隊根據(jù)既往的個人信息保護(hù)合規(guī)的項目經(jīng)驗,提煉上述個人信息處理者的法定義務(wù),總結(jié)出“MACTOP”合規(guī)“武器”,幫助平臺進(jìn)行“自證清白”:
(1) M:即“Management”,平臺需要建立與個人信息保護(hù)相關(guān)的內(nèi)部管理制度和管理規(guī)程,落實個人信息保護(hù)負(fù)責(zé)人崗位設(shè)置,申請獲得ISO27001信息安全管理體系認(rèn)證、網(wǎng)絡(luò)安全等級保護(hù)等資質(zhì),從系統(tǒng)資質(zhì)、人員崗位設(shè)置及管理細(xì)則等方面“自外而內(nèi)”管理職責(zé)和要求;
(2) A:即“Authorization” & “Assessment”,其一,平臺需要合理確定個人信息處理的操作權(quán)限,根據(jù)業(yè)務(wù)流、個人信息流,授權(quán)不同部門、人員進(jìn)行相應(yīng)的處理;其二,平臺需要依法定期進(jìn)行合規(guī)審計,并依法履行個人信息保護(hù)影響評估義務(wù),予以記錄與流痕;
(3) C:即“Category”,平臺需要對個人信息進(jìn)行分類管理,根據(jù)不同的類別賦予不同的數(shù)據(jù)保護(hù)工具。如區(qū)分一般個人信息、敏感個人信息等類別給予不同維度的保護(hù)層級;
(4) T:即“Technology”,平臺需要采取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施,來保護(hù)經(jīng)分類和授權(quán)處理的個人信息;
(5) O:即“Organization”,平臺需要定期對從業(yè)人員進(jìn)行安全教育和培訓(xùn)。如通過簽署保密協(xié)議、進(jìn)行背景調(diào)查、定期安全教育、定期培訓(xùn)等方式,增強(qiáng)平臺從業(yè)人員對于個人信息保護(hù)的合規(guī)意識,亦可以進(jìn)一步明確內(nèi)部涉及個人信息處理不同崗位的職責(zé)和處罰機(jī)制;
(6) P:即“Plan”,平臺需要建立個人信息安全事件應(yīng)急預(yù)案并定期組織相關(guān)人員進(jìn)行演練,履行個人信息泄露通知、補(bǔ)救等各項義務(wù)與流程,明確各主體責(zé)任。
除通過上述“MACTOP”建立合規(guī)體系外,若屬于大型網(wǎng)絡(luò)平臺(即重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者),還應(yīng) (a)建立健全個人信息保護(hù)合規(guī)制度體系,成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對個人信息保護(hù)情況進(jìn)行監(jiān)督;(b)制定平臺規(guī)則,明確平臺內(nèi)產(chǎn)品或者服務(wù)提供者處理個人信息的規(guī)范和保護(hù)個人信息的義務(wù);(c)對嚴(yán)重違反法律、行政法規(guī)處理個人信息的平臺內(nèi)的產(chǎn)品或者服務(wù)提供者,停止提供服務(wù);(d)定期發(fā)布個人信息保護(hù)社會責(zé)任報告,接受社會監(jiān)督,從而得以“自證清白”。
結(jié)語
良好的信息保護(hù)是數(shù)據(jù)共享與數(shù)字資源最大化利用的基本前提。我們相信,通過前述“七步”秘訣,互聯(lián)網(wǎng)平臺能明晰自身是否受《個信法》管轄、違規(guī)成本、處理個人信息的合法性基礎(chǔ)、合規(guī)方式、個人享有的法定權(quán)益、跨境傳輸?shù)暮弦?guī)要點(diǎn)以及在舉證責(zé)任倒置下的合規(guī)應(yīng)對,逐步踐行出符合《個信法》要求的合格答卷,讓廣大互聯(lián)網(wǎng)用戶重拾信心,激發(fā)網(wǎng)絡(luò)數(shù)據(jù)共享與利用的活力,從而營造出數(shù)字經(jīng)濟(jì)的良好生態(tài)環(huán)境,最終反作用于平臺的商業(yè)發(fā)展,由此循環(huán)往復(fù),使得《個信法》真正為數(shù)字經(jīng)濟(jì)發(fā)展保駕護(hù)航!
[注]
[1]《Apple 隱私政策》:https://www.apple.com.cn/legal/privacy/szh/ ,2021 年 11月 1 日第一次訪問
[2]《微信隱私保護(hù)指引》:https://weixin.qq.com/cgi-bin/readtemplate?lang=zh_CN&t=weixin_agreement&s=privacy,2021 年 11月 1 日第一次訪問
[3]所涉截圖僅為本文舉例展示之用,不視為對所涉主體個人信息處理合規(guī)性的任何評價。
本文來自微信公眾號“靈工平臺評級”(ID:gh_b40dc7a3106c),作者:高亞平律師團(tuán)隊,36氪經(jīng)授權(quán)發(fā)布。
關(guān)鍵詞: 互聯(lián)網(wǎng) 從容應(yīng)對 七步
- 濕地之美|廣州海珠濕地
- (熱點(diǎn)觀察 漫評)美國對歐洲盟友“下狠手”
- 全球微動態(tài)丨德媒文章:政治極化愈演愈烈,美國民主面臨墮落
- 每日觀察!海河觀津丨百萬候鳥來“息”,它們?yōu)楹纹珢郾贝蟾郏?/a>
- 焦點(diǎn)!一起來拍中國空間站!
- 焦點(diǎn)播報:北京新增本土感染者16例 詳情公布
- 天天快看點(diǎn)丨遼寧匯聚高校校友資源 引青年人才在遼創(chuàng)新創(chuàng)業(yè)
- 每日熱文:夢天成功發(fā)射!天空飄來一個字:6
- 環(huán)球最資訊丨長圖丨“院士天團(tuán)”做優(yōu)“湖南飯”,該是什么味?
- 常益懷等5市州明早有大霧 出行請注意安全
- 環(huán)球動態(tài):11月全省溫高干旱持續(xù)發(fā)展
- 【全球獨(dú)家】10月制造業(yè)PMI為49.2% 建筑業(yè)景氣水平較高
- 環(huán)球今日訊!亞馬遜營業(yè)利潤率下降至2% 國內(nèi)頭部電商或進(jìn)一步搶占海外市場
- 國家藥監(jiān)局:促進(jìn)彩色隱形眼鏡生產(chǎn)經(jīng)營企業(yè)規(guī)范化發(fā)展
- 即時焦點(diǎn):智慧芽升級科創(chuàng)力評估平臺 累計上線12條產(chǎn)業(yè)技術(shù)鏈
- 【世界熱聞】內(nèi)蒙古啟動人力資源誠信服務(wù)示范機(jī)構(gòu)評選
- 環(huán)球觀焦點(diǎn):內(nèi)蒙古:這5項職業(yè)資格考試暫停
- 全球熱門:飛天圓夢|靜待夢天,中國空間站在軌建造收官在即
- 飛天圓夢|“夢天”已就位!楊利偉動情講述“初代”航天人故事
- 對標(biāo)保時捷Taycan?大眾中國功勛蘇偉銘親自下場造車
- 北京石景山開展冬季供暖前特種設(shè)備安全專項檢查
- 陜西延安:開展兒童化妝品專項檢查 規(guī)范化妝品市
- 北京海淀開展商品條碼專項監(jiān)督檢查 努力打造穩(wěn)定
- 金華推進(jìn)網(wǎng)絡(luò)直播營銷治理顯成效 培育放心消費(fèi)直
- 北京延慶對重點(diǎn)行業(yè)開展格式條款專項檢查 做好市
- 北京海淀開展電動自行車整治夜查行動 全力保障轄
- 江蘇昆山全力規(guī)范大閘蟹市場秩序 營造安全放心消
- 福建寧化開展“兩品一械”網(wǎng)絡(luò)銷售專項檢查 保障
- 北京懷柔:開展市場綜合執(zhí)法監(jiān)督檢查 督導(dǎo)各類經(jīng)
- 天津河?xùn)|:多措并舉推進(jìn)企業(yè)信用修復(fù)工作 助力轄