意見領(lǐng)袖丨京東數(shù)科研究院
本文作者:朱太輝,京東數(shù)科研究院研究總監(jiān);張彧通��,京東數(shù)科研究院高級研究員
10月21日�,全國人大法工委發(fā)布《個人信息保護法(草案)》征求意見稿(以下簡稱《草案》)。《草案》吸納了國內(nèi)個人信息保護的監(jiān)管實踐��,并借鑒GDPR等域外法規(guī)的先進經(jīng)驗����,注重和《民法典》《數(shù)據(jù)安全法》《電子商務法》等規(guī)范的協(xié)調(diào)��,搭建了個人信息保護的框架�,明確了處理個人信息的基本原則��,個人信息處理者和個人信息的權(quán)利義務���,履行個人信息保護職責的部門的保護職責和監(jiān)管要求���,并對自動化決策��,人臉識別,人肉公開����,跨境流動等熱門社會問題進行了回應���,以最大程度的統(tǒng)籌效率�、安全和成本����。以下五點內(nèi)容值得重點關(guān)注。
一����、《草案》放松了個人信息處理者處理個人信息的前置條件��,不以“個人同意”作為個人信息處理的唯一合法基礎(chǔ)
《草案》順應了數(shù)字化發(fā)展趨勢下的數(shù)據(jù)行業(yè)效率要求,吸收行業(yè)“最佳實踐”�����,大大擴展了個人信息處理者能夠處理個人信息的情形、降低處理個人信息的前置要求;與此同時,還兼顧法定履職、突發(fā)事件�、公共監(jiān)督等需要保護公共利益的情形。2017年《網(wǎng)絡(luò)安全法》以“取得個人同意”為處理個人信息的唯一前置條件�,但《草案》還規(guī)定了“為訂立或者履行個人作為一方當事人的合同所必需”�����,以及“為履行法定職責或者法定義務所必需”、“為應對突發(fā)公共衛(wèi)生事件��,或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需”�����、“為公共利益實施新聞報道�����、輿論監(jiān)督等行為在合理的范圍內(nèi)處理個人信息”、“法律����、行政法規(guī)規(guī)定的其他情形”����。
二���、《草案》擴展了個人信息處理者處理個人信息的權(quán)限���,“概括同意”滿足行業(yè)發(fā)展需要
《草案》在放松個人信息處理前置條件的基礎(chǔ)上�����,又以“明確告知——個人同意”為核心體系構(gòu)建了個人信息處理框架�����。一方面�����,《草案》規(guī)定����,“個人信息處理者在處理個人信息前�����,應當以顯著方式�、清晰易懂的語言向個人告知”�����,以確保個人能夠“充分知情”�����;另一方面,《草案》沒有像《個人信息安全規(guī)范》那樣區(qū)分“明示同意”、“授權(quán)同意”,而是概括要求“由個人在充分知情的前提下����,自愿���、明確作出意思表示”����。只是在“向第三方提供��、公開、跨境提供個人信息����、處理敏感信息”這四種情形下�����,需要取得個人的“單獨同意”����;在“法律法規(guī)規(guī)定處理敏感信息應當取得書面同意的”這一種情形下需要取得個人的“書面同意”��。這意味著���,個人信息處理者可以更加自由地通過“概括同意”的方式取得個人同意并處理個人信息����,而不用在告知時確定個人信息的單一����、特定用途。
三、《草案》豐富了個人信息處理者的法定義務�����,規(guī)定了其違反義務時的高額罰則����,以“松開前門,嚴把后門”的方式加強個人信息保護
《草案》首先擴展了個人信息處理者應當遵循的義務,將《個人信息安全規(guī)范》等文件有關(guān)的“個人信息處理者行為規(guī)則”進行了拔高,規(guī)范網(wǎng)信辦��、工信部�、公安部���、市場監(jiān)管總局等四部委以及中消協(xié)的專項監(jiān)督檢查和治理活動中所反映出來的個人信息處理者存在的亂象(個人信息收集使用規(guī)則效果不佳�����;強制����、頻繁�、過度索權(quán)成為普遍現(xiàn)象;私自收集頻發(fā)�����,超范圍收集問題突出��;數(shù)據(jù)共享行為不規(guī)范�,缺乏約束措施�;無開啟或關(guān)閉個性化服務選項等等),明確個人信息處理者處理個人信息時的特別義務:在共同決定處理時需要約定各自權(quán)利義務�����,并承擔連帶責任����;在委托處理時需要對受托方進行監(jiān)督,且受托方未經(jīng)處理者同意不得轉(zhuǎn)委托�;在向第三方提供時���,需要告知并獲得個人單獨同意等等�。在此基礎(chǔ)上����,《草案》明確了侵犯“個人信息權(quán)利”時的法律責任:對于違法處理個人信息行為��,情節(jié)嚴重的���,要求“沒收違法所得��,并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款,并可以責令暫停相關(guān)業(yè)務、停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務許可或者吊銷營業(yè)執(zhí)照����;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款”���。
但《草案》尚沒有確定情節(jié)嚴重的具體情形�����,后續(xù)需要關(guān)注相關(guān)部門的界定���。此外����,建議《草案》能夠考慮受到侵害個人的“利益補償”�����,即將針對個人信息處理者的高額罰款一定程度上轉(zhuǎn)化為針對受侵害個人的“懲罰性賠償”�。在此基礎(chǔ)上�,鑒于GDPR在實施過程中施加過重處罰對數(shù)字科技行業(yè)帶來了極大的負面影響,建議《草案》統(tǒng)籌考慮透明性規(guī)則等對行業(yè)發(fā)展帶來的額外成本���。
四、《草案》針對智能營銷�,身份識別����,人肉公開等社會熱點問題作出回應���,行業(yè)實踐或存在調(diào)整可能
針對智能營銷問題�,《草案》糅合了2020年《個人信息安全規(guī)范》的規(guī)定�����,要求“通過自動化決策方式進行商業(yè)營銷�����、信息推送的,應當同時提供不針對其個人特征的選項”���,這意味著信息推送、智能營銷等業(yè)務不能只提供智能決策選項����。針對身份識別問題��,《草案》規(guī)定“在公共場所安裝圖像采集、個人身份識別設(shè)備,應當以必需維護公共安全所前提”����,只能用于公共安全目的的規(guī)定意味著在商圈�、辦公樓�、小區(qū)等進行的人臉、聲紋、指紋識別等操作將面臨合法性質(zhì)疑�����?!恫莅浮芬?guī)定處理已公開的個人信息時,應當告知個人并取得同意,意味著人肉并公開個人信息����、對個人造成重大影響的行為將被認定違法。
《草案》反映了一定的超前規(guī)范性����,但是可能存在具體行業(yè)適用時的潛在沖突��。例如,目前正在行業(yè)試點的“自動化公募投顧”以自動化決策形成的投資方案和產(chǎn)品是否屬于“信息推送”���,是否應當同時提供不針對個人特征的選項,是否違反了要求給投資者提供最適合其需求和情形的投資方案和產(chǎn)品的信義義務基礎(chǔ)?這樣的問題還有待厘清�。又如���,在個人醫(yī)療過程中���,在醫(yī)院����、診所等“公共場所”利用各類個人信息收集設(shè)備采集的個人信息如何與“公共安全”相匹配?在后續(xù)制定過程中,可以考慮更好地協(xié)調(diào)“自動化決策”、“身份識別”等規(guī)定與金融、醫(yī)療行業(yè)相關(guān)實踐的關(guān)系。
五���、《草案》明確了個人信息出境和跨境的具體規(guī)則,與國際規(guī)則進行了有效銜接
《草案》規(guī)定在境外處理境內(nèi)自然人個人信息的活動適用本法規(guī)定,表明了在全球化和數(shù)字化發(fā)展趨勢下���,個人信息保護的范圍得到進一步擴大。《草案》規(guī)定“中華人民共和國締結(jié)或者參加的國際條約�����、協(xié)定對向中華人民共和國境外提供個人信息有規(guī)定的����,從其規(guī)定”,反映了與國際規(guī)則的有效銜接。
同時����,針對個人信息出境和跨境,《草案》規(guī)定了具體的規(guī)則�����。主要體現(xiàn)在:第一���,個人信息本地化存儲義務��,即“關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者”��,應當將在境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)。第二�,個人信息跨境需要滿足四種條件之一���,即國家網(wǎng)信部門組織的安全評估���、經(jīng)專業(yè)機構(gòu)進行個人信息保護認證����、與境外接收方訂立合同以及法律規(guī)定的其他要求�����。第三���,因國際司法協(xié)助或行政執(zhí)法協(xié)助的個人信息跨境也需要滿足監(jiān)管的前置條件��。
除了以上的重點內(nèi)容之外,《草案》還首次從法律層面確定了個人信息的概念���、處理個人信息的活動范圍和基本原則;參考了2013年《消費者權(quán)益保護法》以及行業(yè)“最佳實踐”規(guī)定了個人在個人信息處理時的八項權(quán)利�;特別規(guī)定了處理個人敏感信息時的要求,為《個人信息安全規(guī)范》《個人金融信息保護技術(shù)規(guī)范》等處理敏感信息的推薦行業(yè)標準提供了法律依據(jù);明確了政府機關(guān)使用個人信息的特別規(guī)則�、履行個人信息保護職責的部門的履職邊界等等�����。在未來的進一步立法規(guī)程中,建議在已有的這些條款基礎(chǔ)上����,更加注重與《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《商業(yè)銀行法》《郵政法》等網(wǎng)絡(luò)空間立法和部門法的協(xié)調(diào)�,綜合考量個人信息處理原則和框架背后的經(jīng)濟����、社會、安全影響���。
(本文作者介紹:京東數(shù)科研究院立足于京東集團以及京東數(shù)字科技的廣闊平臺,擁有強大的數(shù)據(jù)資源和科技優(yōu)勢����,致力于宏觀經(jīng)濟政策研究�����、產(chǎn)業(yè)研究���、大數(shù)據(jù)創(chuàng)新研究�����、金融科技研究以及數(shù)字科技領(lǐng)域前沿進行實踐和洞察,為社會各界提供具有洞見與前瞻性的研究分析����。)
