详解|《个人信息保护法》草案的重要细节
上个月19号,我国首部《个人信息保护法》(草案)完成了向社会公开征求意见的流程,我们相信通过各方的不断努力,中国老百姓关心的个人信息保护问题将得到妥善解决。同时,由于该法层级较高,属于国家法律,将直接影响刑法第253条之一侵犯公民信息罪的成立,因此,飒姐有必要同业内老友一起学习新法,未雨绸缪,提前做好数据刑事合规。
一、适用范围
由于当下互联网技术的发展,对于数据采集、清洗、转让等环节一些不法分子为逃避监管将相关环节转移到香港地区、新加坡、马来西亚等地区和国家,造成了取证难、管辖权争议等顽疾。
《个人信息保护法》(草案)在第二条就对大家关心的法律适用范围问题做出了明确回答:
在中国境内处理自然人个人信息活动,适用本法。请注意,这里的个人新不仅包括中国公民的个人信息还包括其他国家公民甚至无国籍人的个人信息。也就是说,我国对于跨境数据非法加工、交易等是严肃规制的。
境外处理中国境内自然人信息的有下列情形之一者,适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)为分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。(主要是《民法典》第一千零三十四条、一千零三十五条、一千零三十六条、一千零三十八条之规定;《网络安全法》中对于网络运营者收集、适用公民信息的规定,详见第四十一、第四十二、第七十六条之规定)
二、匿名化信息,不受本法保护
也就是说,经过清洗后无法回溯到特定自然人的个人信息,不再属于公民个人信息保护范围之内。飒姐相信,这一定是诸多电商平台和数据公司争取的结果,对于匿名化的标准,可参照《GB/T 37964-2019 信息安全技术 个人信息去标识化指南》中对于相关标准的认定。
三、继续执行“最小够用原则”
处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理。有一个问题值得研究,精准投放广告是不是为了实现“处理目的”,倘若精准投放广告的口子依然敞口,我们智能手机的麦克风将如同一个“贴身小间谍”不时抓取你与朋友的谈话实录,推送鼻炎胶囊、二胎规划、减肥餐给你,不胜其烦。
飒姐曾经亲试过,将麦克风关闭、定位关闭,绿色聊天工具使用起来就别扭了,因此,如何让麦克风只收录该收录的,过滤隐私信息,还有很长的路要走。
四、法律允许的处理个人信息的六种情形
个人信息处理方在特定条件下才能处理公民个人信息:
(一)取得个人的同意;(这里的“同意”是指,在个人充分知情的前提下,自愿、明确作出意思表示,倘若对处理目的、处理方式、处理信息的种类任一有变更,都必须重新获得授权。但一次授权,在服务中可以持续使用。)
(二)为订立或者履行个人作为一方当事人的合同所需;(合同要有明确的相对人,倘若出现纠纷,也需要明确的被告,因此,这个规定市场接受度很高)
(三)为履行法定职责或者法定义务所需;(结婚、离婚、起诉、普查等)
(四)为应对突发公共卫生事件或者紧急情况下位保护自然人的生命健康和财产安全所需;(疫情中各类填表即是此种情况)
(五)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息;(涉及媒体报道、公众知情权与某些个人的隐私之间的矛盾,飒姐建议涉及具体个人尽量用化名处理)
(六)其他法律、行政法规规定的其他情形。(请注意这里并不包括监管部门的部门规章和地方法规等,更不包括监管机关的窗口指导内容)
五、个人有撤回权
基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。实践中,绝大多数大型电商平台和即时通讯工具,都把收集公民个人信息作为其提供服务的必需要素。
但,数年前,飒姐在一次与金融科技老大共同参加的会议上发现,其真正的商业模式不是表面的服务,而是掌握数据这一“石油”,从而从中获取真正的利润。因此,我认为,虽然个人有撤回权,但现代社会真实服务场景里,基本难以实现。
六、明确告知的义务
个人信息处理者在处理个人信息前,应当以“显著方式+清晰易懂语言”(之前判例中,关于显著方式的争议较大,信息处理者往往败诉)向个人告知下列事项:
(一)个人信息处理者身份和联系方式;(飒姐亲试打过联系电话,基本都是忙音或机器人语音回复)
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使《个人信息保护法》的方式和程序;
(四)法律、法规规定应当告知的其他事项。
七、共同处理信息的情形
在金融科技行业,科技公司与银行一同开发客户,对客户的公民个人信息进行采集进行风控,这就符合《个人信息保护法》中所讲的两个或两个以上的个人信息处理者共同决定个人新的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行事本法规定的权利。个人信息处理者共同处理个人信息,侵害个人信息权益的,依法承担连带责任。也就是说,倘若金融科技公司在处理个人信息时有侵权行为,银行有可能承担连带责任,在知情情况下飒姐认为甚至要一同承担刑事责任。
八、委托处理个人信息的沉淀问题
飒姐经历的案例中,由于委托他人(其他公司)处理个人信息而导致公民个人信息泄露的事件值得引起重视。尤其是在集团内部,总公司委托控股公司专门清洗数据,结果被暗示进行数据沉淀,后将数据以1.5元每条价格出售给数据商或以0.1元每次查询的价格向社会其他组织提供数据查询服务。
根据新规个人信息处理者委托处理个人信息的,应当与受托方约定委托处理的目的、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托方的个人信息处理活动进行监督。受托方应当按照约定处理个人信息,不得超过约定的处理目的、处理方式等处理个人信息,并应当在合同履行完毕或者委托关系解除后,将个人信息返还个人信息处理者或者予以删除。未经个人信息处理者同意,受托方不得转委托他人处理个人信息。
九、精准广告如何规制
精准广告实质上是信息处理者根据一定的算法,对其采集的个人信息进行分析,形成自动化决策并向客户推送特定广告等。实践中,这种做法广为诟病,新规中对于“自动化决策”要求其保证决策的透明度和处理结果,但是对于算法的识别并非一般监管机关工作人员可以做到,因此需要监管科技行业的大力支持。同时,新规强制性要求基于算法进行自动化决策,从而进行商业营销、信息推送,应当同时提供不针对其个人特征的选项,飒姐看到这里,想起某短视频网站基于客户观赏的偏好,频繁推送同种类型的短视频,其实是一种视觉骚扰,根据新规强制性要求,未来也许有所改变。
十、容易形成监管空子的“匿名化”反推回溯
由于新法开篇就排除了匿名化信息的适用,也就是说,即便是根植于个人信息只要经过清洗,无法回溯到特定自然人的信息是允许销售、转卖、适用的。于是乎,很可能会出现市场中某些不法分子,先购买匿名化的数据,然后通过技术手段和特殊算法将这些数据还原回特定的自然人(清洗技术和还原技术是道高一尺魔高一丈的关系)。
因此,新规第二十四条最后一句重点指出:个人信息处理者向第三方提供匿名化信息的,第三方不得利用技术等手段重新识别个人身份。也许有读者问,如果识别了身份又会怎样,飒姐明确告诉您,识别回特定自然人就是一种严重的侵权行为,倘若敢出售或提供给他人则涉嫌刑法第253条之一侵犯公民个人信息罪。
十一、视频风控到底是否合法?
曾几何时,行内老友们提出过通过公共场所或固定场所监控录像来进行金融风控的设想,也许有些公司已经付诸实践了。但是,新规表明在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所需,遵守国家有关规定,并设置显著的提示标识。收集的个人图像、身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供,取得个人单独同意或者法律法规另有规定的除外。
这里有一个问题,各个单位甚至家庭内部也许都设有摄像头,这些图像并不属于新法规定的“公共场所”,那么其收集的信息是否可以售卖?我认为,关键点还是被采集信息的人是否同意,而这种同意是否是明确清晰的。比如富人家里的保姆被24小时监控其照顾婴儿的图像,倘若聘请保姆的合同里没有设有其同意被摄像的条款,保姆当然有权利控告雇主侵权。
十二、敏感信息
敏感个人信息是一旦泄露或非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。
基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意,请注意,根据体系解释,若非敏感个人信息,个人信息处理者只需概括授权即可,也就是注册协议里打钩同意就符合法律规定了。
十三、数据出海
个人信息处理者因业务等需要,确需向境外提供个人信息的,至少具备下列一项条件:
(一)通过国家网信部门组织的安全评估(详见《关键信息基础设施安全保护条例》之具体要求);
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准;
(四)法律、行政法规、网信部门规定的其他条件。
写在最后
我们相信《个人信息保护法》顺应民心,将在不久的将来正式颁布实施。我们在撰写文章时已经发现,如今已经几乎没有不互联网化的企业了,数据已经成为当今社会十分重要的生产要素。
正如北京大学数字金融研究院黄益平教授所言,未来没有不数字的金融,也许10年后数字金融的名字将不复存在,那是因为所有的金融都是数字金融。是的,公司亦如此,未来没有所谓的互联网企业,因为几乎所有的企业都是采用互联网相关技术进行研发、生产、销售、售后等。历史的车轮滚滚向前,我们将迎来一个数据的时代。学好个人信息保护法,未来已来!