在《當我們談數據合規的時候在談什么——數據合規的架構和基礎概念》中筆者主要梳理了數據合規領域的主要法規、政策、標準,理清了數據合規的基本架構和概念,并且提到一類重要數據——個人信息。因目前數據監管的重點即個人信息,因此本文將主要探討個人信息處理全流程中的合規問題,闡明個人信息從“出生”到“死亡”的整個過程中應當關注的合規要點。恰逢《個人信息保護法》于8月20日表決通過,并將于今年11月1日施行,其中第一至三章內容主要涉及個人信息處理過程中的合規問題,筆者將結合《個人信息保護法》《信息安全技術個人信息安全規范》《深圳經濟特區保護條例》(以下簡稱《特區條例》)及監管實踐進行探討。
一、千呼萬喚始出來——《個人信息保護法》簡評
《民法典》從基本法的高度對個人信息受法律保護[注1]作出了原則性的規定。2017年的《網絡安全法》以網絡信息安全專章規定了網絡運營者對個人信息保護應當遵守的原則和基本要求。今年6月10日表決通過的《數據安全法》則主要以“數據”為核心,從宏觀層面上確立了數據安全及治理的基本框架,個人信息作為數據中極為重要的一類受到該法保護。《個人信息保護法》是個人信息的專門法規,歷經三次審議,在第二次審議稿中已經明確了個人信息和敏感個人信息的定義,確定了個人信息處理的原則、階段、個人在個人信息處理活動中的權利、個人數據處理者的義務、個人信息跨境基本規則以及相應的法律責任。第三次審議后最終出臺的版本在框架上與二次審議稿保持了一致,同時對社會廣為關切的大數據殺熟、個人信息可攜帶權、個人訴權等予以了回應。《民法典》《網絡安全法》《數據安全法》《個人信息保護法》共同構筑了當前我國數據保護的核心法規。
值得欣喜的是,《個人信息保護法》審議通過的最終稿,相較于二次審議稿增加的幾個亮點——人力資源管理的免征同意、大數據殺熟等,在先前通過的《特區條例》中已經出現,深圳的立法在前沿性上值得肯定。
自2019年起工信部就展開了針對APP侵害用戶權益的專項整治行動,企業為達到監管要求,不斷探索處理個人信息的合規標準,2020年10月1日,市場監督總局和國家標準委員會聯合發布了GB/T35273-2020《信息安全技術個人信息安全規范》(以下簡稱《個人信息安全規范》),這一國家標準成為企業尤其是APP平臺進行個人信息保護合規建設的重要參考。
《個人信息保護法》與《個人信息安全規范》一脈相承,尤其是關于個人信息處理規則、個人信息處理者的義務章節的內容,基本概括了《個人信息安全規范》的相關規定。由于《個人信息安全規范》內容較為詳實,實操性強,因此我們認為在《個人信息保護法》出臺之后,《個人信息安全規范》及《個人信息保護法》出臺前的監管實踐,對于企業進行個人信息保護合規建設仍有重要參考意義。下文將會結合數據處理過程中的合規點,同時參考《個人信息安全規范》及《個人信息保護法》的具體內容逐一分析。
二、個人信息處理階段和應遵循的原則
《民法典》《數據安全法》《特區條例》《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》對數據/個人信息處理的具體內容規定高度一致,即包含了“收集、存儲、使用、加工、傳輸、提供、公開”幾個階段,《個人信息保護法》最終稿則在上述幾個階段之外單獨增加了“刪除”一項,將刪除列為一個獨立的處理階段[注2]。上述個人信息處理的8個階段,涵蓋了個人信息從“出生”到“死亡”的全過程,我們也稱之為個人信息的生命周期。
在整個數據處理活動中,數據處理者都需要遵循一定的原則,在原則的基礎之上就各個階段還應遵守特別的規定。各階段應當遵守原則,《民法典》第一千零三十五條、《網絡安全法》第四十一條、《數據安全法》三十二條概括為合法、正當、必要,這也是廣為流傳和接受的數據保護三原則。《特區條例》第十條將保護原則規定為:目的明確合理、方式合法、最小必要、依法告知獲得同意、保證準確和完整、確保數據安全。
《個人信息保護法》在第五條至第九條將三原則進行了不少的擴充,包括了合法正當必要誠信(第五條,不得以欺詐、誘騙、誘導的方式處理個人信息)、目的明確合理及最小必要(第六條,只處理滿足個人信息主體授權同意的目的所需的最少個人信息類型和數量)、公開透明(第七條,公開個人信息處理規則,明示處理的目的、方式和范圍)、準確完整(第八條,避免因個人信息不準確、不完整對個人權益造成不利影響)和確保安全(第九條,防止個人數據泄露、毀損、丟失、篡改和非法使用)。再一次,我們從《個人信息保護法》中看到《特區條例》的影子。
三、個人信息處理各階段合規要點
從工信部持續發布的專項整治行動通報、《個人信息安全規范》、公安部發布的《互聯網個人信息安全保護指南》、信標委發布的《網絡安全標準實踐指南——移動互聯網應用程序(APP)收集使用個人信息自評估指南》、9月發布的《網絡安全標準實踐指南——移動互聯網應用程序(APP)個人信息保護常見文集及處置指南》來看,目前對個人信息保護的監管核心就是處理流程各個階段是否合法合規。
以2021年第一季度和第二季度工信部侵害用戶權益通報和下架通報為樣本統計[注3],違規收集、使用用戶個人信息的行為占到了所有被通報行為的60%以上。因此,加強對各階段合規要點的理解和把控勢在必行。
(一) 收集
個人信息收集是指獲得個人信息控制權的行為,對于個人信息收集的要求均涉及合法性、最小必要、公開透明及一般情況下的授權同意等原則。收集是信息處理的源頭,也是問題最多、風險最大的環節。就該階段:
1. 確保合法性,不應以欺詐、誘騙、誘導的方式收集個人信息;不應隱瞞產品或服務所具有的收集個人信息的功能;不應從非法渠道獲取個人信息。相對應的違規表現則是以欺詐、誘騙等不正當方式誤導用戶同意收集個人信息或打開可收集個人信息的權限,如故意欺騙、掩飾收集使用個人信息的真實目的。
2. 確保最小必要,即收集的個人信息的類型應與實現產品或服務的業務功能有直接關聯;自動采集個人信息的頻率應是業務功能所必需的最低頻率;間接獲取個人信息的數量應是實現業務功能所必需的最少數量。對應的常見違規操作有收集的個人信息類型或打開的可收集個人信息權限與現有業務功能無關;因用戶不同意收集非必要個人信息或打開非必要權限,拒絕提供業務功能;僅以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由,強制要求用戶同意收集個人信息;要求用戶一次性同意打開多個可收集個人信息的權限,不同意則無法使用等。
比如工信部公布的違反最小必要原則的APP中,某讀書軟件APP手機的用戶收貨地址與所提供的業務功能無關;某銀行手機APP,因用戶不同意手機非必要的常用微信號等個人信息,拒絕提供“周邊游”業務功能。
值得一提的是《常見類型移動互聯網應用程序必要個人信息范圍規定》對常見APP類型、對應的APP基本功能和必要個人信息范圍作出列舉,用以向社會示例如何理解實現功能所必需的個人信息內容。但有人會忽略了信息與功能目的的強關聯性和匹配性,從而誤解為只能收集該規定列舉的信息。
3. 確保公開透明,即應向個人信息主體告知收集、使用個人信息的目的、方式和范圍等,并要求告知通俗易懂、明確具體、易獲取且告知完整、真實、準確。常見的違規操作有在APP中沒有隱私政策、隱私政策難以訪問(點擊超過4次)、難以閱讀(文字過小、過密、顏色過淡)、未逐一列出APP收集使用個人信息的目的、方式、范圍等。
4. 確保獲得明示同意,即不屬于例外情況時應獲得個人信息主體的明示授權同意,這里的明示包括通過書面、口頭等方式主動作出紙質或電子形式的聲明,或者作出肯定性動作(如主動勾選、主動點擊“同意”、“注冊”、“發送”,主動填寫等)。常見的違規操作有未提示用戶閱讀隱私政策、默認勾選同意、征得用戶同意前就開始收集個人信息或打開可收集個人信息的權限、用戶明確表示不同意后,仍收集個人信息或打開收集個人信息的權限,或頻繁征求用戶同意、干擾用戶正常使用、實際收集的個人信息或打開的可收集個人信息權限超出用戶授權范圍等。
《個人信息保護法》第十三條規定了依照勞動規章制度和簽訂集體合同實施人力資源管理時信息處理者可以直接處理個人信息,實際是給予了廣大用人單位處理員工信息征詢同意的豁免;《特區條例》在二十一條也有幾乎相同的規定。就上述與實際需求相呼應的立法亮點,我們同時為《個人信息保護法》和《特區條例》點贊。
(二) 存儲
對于個人數據存儲的要求主要表現在期限最短、本地化存儲和分類加密存儲三個方面。
最短期限存儲是指應當為實現處理目的所必需的最短時間,超出存儲期限的,應當對個人數據予以刪除或者匿名化。對于存儲時間如何算最小,并沒有一刀切的規定,存儲時間還需要與企業所對應的行業要求進行匹配,如《電子商務法》要求商品和服務信息、交易信息保存時間自交易完成之日起不少于3年;《教育部等六部門關于規范校外線上培訓的實施意見》要求,用戶行為日志應當留存1年以上。
本地化存儲,根據《網絡安全法》《個人信息保護法》《個人信息和重要數據出境安全評估辦法(征求意見稿)》《個人信息出境安全評估辦法(征求意見稿)》等規定:(1)個人數據(或個人信息)應當本地化存儲;(2)行業內的重要數據,如醫療健康行業、銀行業(如中國)、保險業(如中國)、征信業(如中國)、交通(如中國)等本地化存儲;(3)出境數據量超過1000GB的,網絡運營者應報請行業主管或監管部門組織安全評估(《個人信息和重要數據出境安全評估辦法(征求意見稿)》第九條)。
分類加密存儲,與數據的分域分類分級制度密切相關,但當前尚未看到明確的分類標準。已有規定中,如《特區條例》要求數據處理者對所收集的個人數據進行去標識化或者匿名化處理,并與可用于恢復識別特定自然人的數據分開存儲(第七十六條)、數據處理者應當對數據存儲進行分域分級管理,選擇安全性能、防護級別與安全等級相匹配的存儲載體;對敏感個人數據和國家規定的重要數據還應當采取加密存儲、授權訪問或者其他更加嚴格的安全保護措施(第七十七條)。
(三) 使用
個人信息的使用是指個人信息收集之后,根據收集目的進行的分析、處理。《個人信息保護法》《個人信息安全規范》《特區條例》中對使用的限制歸結為四類:對個人信息的展示限制、目的限制、用戶畫像限制、自動化決策的限制限制。相較而言,《個人信息保護法》和《特區條例》重點提出了自動化決策不得對個人在交易價格等交易條件上實行不合理的差別待遇的規定。
1. 展示限制,涉及展示個人信息的,需對展示的個人信息采取去標識化處理等措施,如張**替代真實姓名。
2. 目的限制,不應超出與收集個人信息時所聲稱的目的具有直接或合理關聯的范圍;確需超出,應再次征得個人信息主體同意。
3. 用戶畫像限制,用戶畫像也已經廣泛存在于商業經營活動中,是指為了評估自然人的某些條件而對個人數據進行自動化處理的活動,包括為了評估自然人的工作表現、經濟狀況、健康狀況、個人偏好、興趣、可靠性、行為方式、位置、行蹤等進行的自動化處理。數據處理者基于提升產品或者服務質量的目的,對自然人進行用戶畫像的,應當明示用戶畫像的具體用途和主要規則并應當允許用戶拒絕對其進行用戶畫像或者基于用戶畫像推薦個性化產品或者服務,數據處理者應當以易獲取的方式向其提供拒絕的有效途徑;數據處理者不得基于用戶畫像向未滿十四周歲的未成年人推薦個性化產品或者服務。用戶畫像中對個人信息主體的特征描述,不應包含淫穢、色情、賭博、迷信等內容,不應表達對民族、宗教、殘疾的歧視內容。
4. 自動化決策限制(個性化展示和大數據殺熟),《特區條例》《個人信息安全規范》中對個性化推送已經作出了規定,《特區條例》中亦有針對大數據殺熟的專門條款,《個人信息保護法》將個性化推送的內容與大數據殺熟共同并入第二十四條,以自動化決策統一進行了規制。
個性化展示是指在向個人信息主體提供服務的過程中,根據消費者的興趣愛好、消費習慣等特征向其提供商品或服務搜索結果的個性化展示服務,就該服務提供者應同時提供不針對其個人特征的選項并提供簡單直觀的退出或關閉個性化展示模式的選項。
大數據殺熟是指市場主體不得利用數據分析,對交易條件相同的交易相對人實施差別待遇,這是近期的熱點,對于消費者來說,大數據殺熟無疑是對忠實用戶的隱性欺詐,因此備受詬病和批評,《特區條例》和《個人信息保護法》對此都作出了回應。
特別值得關注的是,《特區條例》對大數據殺熟行為的規制更為細致,除了規定不得實施差別待遇外,還規定了差別待遇的例外[注4]以及相應的罰則,相對于《個人信息保護法》,可參考性和可執行性更高。
(四) 加工和傳輸
雖然加工和傳輸作為數據處理的獨立階段出現在各法規和政策之中,但該兩部分的內容幾乎是空白的。
關于加工,我們理解,主要是基于數據通過各種分析加工形成新的數據、作品等形式的新權益的過程。《特區條例》規定市場主體對合法處理數據形成的數據產品和服務,可以依法自主使用,取得收益,進行處分,亦可以交易(第四條、第五十八條、第六十七條)。
數據傳輸,與數據加工類似,我們理解是數據在不同主體或者同一主體的不同部門之間進行傳遞的一個過程,就這個過程,更多的是技術層面和制度層面的保障,以確保傳輸過程的安全。
(五) 提供
提供是個人信息處理過程中除收集和使用之外另一個風險大戶,涉及個人信息的委托處理、共享、轉讓、跨境提供等。《個人信息保護法》《個人信息安全規范》《特區條例》中均規定了上述幾種提供方式下的關鍵要點,也與企業的業務經營活動息息相關,甚至直接影響到企業商業合同條款的擬定。
1. 委托處理,當個人信息處理者委托他方處理個人信息的,應當與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利義務,并對受托人的個人信息處理活動進行監督;受托人應當按照約定處理個人信息,不得超出約定的處理目的、處理方式等處理個人信息;未經個人信息處理者同意,受托人不得轉委托他人處理個人信息。
2. 向第三方轉讓、共享時,應當向個人信息主體告知共享、轉讓的目的、數據接收方的類型及可能的后果,征得個人信息主體的授權同意;通過合同等方式規定數據接收方的責任和義務;準確記錄和存儲個人信息的共享、轉讓情況以及接收方基本情況;幫助個人信息主體了解數據接收方對個人信息的存儲、使用等情況;個人生物識別信息原則上不應共享、轉讓。
如果是通過接入第三方服務(SDK),向第三方共享信息時,應與第三方通過合同等形式明確雙方的安全責任及應實施的個人信息安全措施;向個人信息主體明確產品或服務由第三方提供;還要對第三方軟件開發工具包(sdk)開展技術檢測確保個人信息收集使用符合約定要求。最為常見的適用情形即要在隱私政策中逐一列出嵌入的SDK信息(含名稱、運營主體、用途、SDK手機的個人信息、SDK的隱私政策鏈接)。
如果是因合并、分立、解散、被宣告破產等原因需要轉移個人信息的,應當向個人告知接收方的名稱或者姓名和聯系方式。接收方應當繼續履行個人信息處理者的義務。接收方變更原先的處理目的、處理方式的,應當依照本法規定重新取得個人同意。
向第三方提供個人信息過程中常見的違規操作為:既未經用戶同意,也未做匿名化處理,APP客戶端直接向第三方提供個人信息,包括通過客戶端嵌入的第三方代碼、插件等方式向第三方提供個人信息;既未經用戶同意,也未做匿名化處理,數據傳輸至APP后臺服務器后,向第三方提供其收集的個人信息;APP接入第三方應用,未經用戶同意,向第三方應用提供個人信息。
3. 跨境提供,《個人信息保護法》第三十八到第四十三條,以單章的形式規定了個人信息跨境提供的規則,其中特別值得關注的是第三十八條——跨境提供個人信息應當具備前提條件,即業務必要的情況下,通過安全評估、經過保護認證、簽訂標準合同、采取必要措施。換句話說,對于個人信息的跨境提供,在前提條件上企業就需要做好足夠充分的準備。
另外一條是第四十一條,即我國根據平等互惠原則處理外國司法或者執法機構關于提供存儲于境內個人信息的請求,非經我國主管機關批準,個人信息處理者不得向外國司法或者執法機構提供存儲于中華人民共和國境內的個人信息。這對于許多掌握有眾多個人信息,已在或擬在境外上市的企業來講,可能會面臨國內國外雙邊的嚴格審查甚至沖突處理。
4. 提供行為下特有的刑事責任——侵犯公民個人信息罪。信息處理全流程里面,目前僅有非法提供成為入罪的行為,我國《刑法》第二百五十三條之一規定了違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,構成侵犯公民個人信息犯罪,將處有期徒刑、拘役,并處或者單處罰金。[注5]
細讀最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(法釋〔2017〕10號,以下簡稱《兩高解釋》),會發現該罪的定罪量刑的起點非常低,表現在:
(1) “違反法律、行政法規、部門規章”有關規定的都屬于“違反國家有關規定”,尤其是“部門規章”的加入加寬定罪的范圍;
(2) 非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息五十條以上的;非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息五百條以上的;非法獲取、出售或者提供前述規定以外的公民個人信息五千條以上的;或者違法所得五千元以上的即構成“情節嚴重”,是上述標準十倍以上的,即“情節特別嚴重”;如果是在履行職責或者提供服務過程中講獲得的公民個人信息出售或者提供給他人,數量或者數額標準則只是前述標準的一半;
(3) 向不同單位或者個人分別出售、提供同一公民個人信息的,公民個人信息的條數累計計算。
在互聯網環境下,五十條、五百條、五千條、五千元是非常容易突破的數值。換句話講,無論是企業還是個人,一旦存在違法出售或提供公民個人信息行為的,其責任極易突破民事和行政,擴展到刑事層面,風險極大。
(六) 公開
個人信息的公開指向社會或不特定人群發布信息的行為。《個人信息保護法》《個人信息安全規范》均規定了個人信息公開的規則,但《個人信息保護法》的規定較為原則,在落實相關規則時可以參考《個人信息安全規范》的規定。
(七) 刪除
刪除在最終版的《個人信息保護法》中被當做信息處理中一個獨立的階段,不過在之前的二次審議稿以及《特區條例》等其他文件中均有相關規定,是指在出現特定情形時,個人信息處理者應當主動刪除個人信息;個人信息處理者未刪除的,個人有權請求刪除:
1. 處理目的已實現、無法實現或者為實現處理目的不再必要;
2. 個人信息處理者停止提供產品或者服務,或者保存期限已屆滿;
3. 個人撤回同意;
4. 個人信息處理者違反法律、行政法規或者違反約定處理個人信息;
5. 法律、行政法規規定的其他情形。
如果法律、行政法規規定的保存期限未屆滿,或者刪除個人信息從技術上難以實現的,個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。
需要注意的是,處理敏感個人信息時。除了要遵守前述一般個人信息的處理規則之外,《個人信息保護法》還規定了更為嚴格的要求,如要取得個人的單獨同意、向個人告知處理敏感個人信息的必要性以及對個人權益的影響等。
“從2019年初啟動APP違法違規收集使用個人信息專項整治行動,至今已經過去了兩年半的時間,企業對于個人信息處理的合規問題已不陌生,我們相信監管實踐中積累的寶貴經驗必將在《個人信息保護法》生效之初,對該法的理解和落地起到重要的指引作用;而《個人信息保護法》的出臺和生效,也會成為執法部門持續監管的重要依據。”
注釋及參考文獻:
[1]《民法典》第1034條規定:“自然人的個人信息受法律保護。個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。個人信息中的私密信息,適用有關隱私權的規定;沒有規定的,適用有關個人信息保護的規定。”
[2] 之前的二次審議稿以及相關的法規中均存在數據刪除的內容,只是未將“刪除”作為處理活動中單獨的一項而已。
[3] 《APP下架壓力大,合規整改怎么做?(附自查整改清單)》https://mp.weixin.qq.com/s/wG8jph2BpE9z7DNo2poL-A
[4] 《深圳經濟特區數據保護條例》第六十九條 市場主體不得利用數據分析,對交易條件相同的交易相對人實施差別待遇,但是有下列情形之一的除外:
(一)根據交易相對人的實際需求,且符合正當的交易習慣和行業慣例,實行不同交易條件的;
(二)針對新用戶在合理期限內開展優惠活動的;
(三)基于公平、合理、非歧視規則實施隨機性交易的;
(四)法律、法規規定的其他情形。
[5]《刑法》第二百五十三條之一?【侵犯公民個人信息罪】
違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,并處罰金。
違反國家有關規定,將在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的,依照前款的規定從重處罰。
竊取或者以其他方法非法獲取公民個人信息的,依照第一款的規定處罰。
單位犯前三款罪的,對單位判處罰金,并對其直接負責的主管人員和其他直接責任人員,依照各該款的規定處罰。