《个人信息保护法》草案二次审议稿若干问题解读
(原标题:《个人信息保护法》草案二次审议稿若干问题解读)
2021年4月26日,第十三届全国人大常委会第二十八次会议对《中华人民共和国个人信息保护法(草案二次审议稿)》(简称“《二次审议稿》”)进行了审议。《个人信息保护法》是我国个人信息保护立法中的重大事件,因此,备受社会关注。二次审议稿相比第一次审议稿,有部分内容的更新,笔者汇总并解读如下:
一、个人信息流动问题更加审慎
个人信息的价值能否合法有序流动,一直是大数据运用过程中的关键问题。特别是在十四五规划将数据列入生产要素的背景下,如何促进数据要素的价值,对于数据行业以及传统行业的数字化转型均有重要的意义。值得关注的是,《二次审议稿》对于个人信息流动问题,采取了更为审慎的态度。《二次审议稿》第一条的规定为:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,制定本法。”与第一次审议稿相比,删除了“保障个人信息依法有序自由流动”的表述。
对于《二次审议稿》的这一修改,是否意味着数据要素流动的收紧呢?笔者认为,删除“保障个人信息依法有序自由流动”的表述,并不意味着数据要素流动的收紧,而是立法对于数据要素流动内涵更加深深的表述,但也体现了更为精准的把握。理由如下:
其一,数据作为生产要素,并不等同于个人信息可以自由流动。
虽然按照十四五规划及新的生产要素理论,数据可以作为生产要素,但数据本身具有双重性的特征。一方面,数据是相关信息的记录,可以是企业的商业秘密、个人信息,也可以是作品信息和其他公开信息。数据利用价值的背后,往往包含着其他主体的相应权利。另一方面,数据对于其占有者、处理者而言,又具有一定的商业价值。双重性特征决定了,在发挥数据要素价值的同时,必须考虑其他主体的民事权利。
对于个人信息而言,这种双重性突出的表现是个人的信息权利(人格权范畴)如何不被滥用和侵害。个人信息是数据的重要组成部分,此类数据的直接流动,必然涉及对于个人隐私及安全利益的影响,除非个人明确知悉这种影响,并明示同意,否则,个人信息流动本身就是一个非常敏感的问题。
因此,在上述法律价值的基本框架内,将“保障个人信息有序自由流动”作为《个人信息保护法》的第一条立法宗旨,容易让人产生对于个人信息保护的误解。并且,在配套规则、技术措施不够完善的情况下,这一规定的实施也会面临很大的困难。《二次审议稿》对其进行删除,具有现实性。
事实上,个人信息保护与个人信息作为数据价值的有效利用,两者之间并不是截然对立的,而是可以在一定程度上统一。
如对于个人信息进行去标识化的处理后,可以用于大数据分析和群体画像分析,从而为精准营销、定制化的产品开发、市场拓展提供可行的参考依据。此外,在安全可控的前提下,使用现有的个人信息,也可以进行相关的模型训练。
上述基于个人信息产生的模型、群体画像、市场预测与分析、产品开发策略等数据产品,可以进入数据市场进行流通,从而产生数据流通价值。
二、个人信息保护的措施更加落地和细化
《二次审议稿》在保护个人信息的具体措施方面更加细化,具体表现在以下几个方面:
1、个人信息处理的权益影响最小化原则(主体视角)
一次审议稿对于最小化的原则,采取的是客观原则,即“处理个人信息应当具有明确、合理的目的,应当限于实现处理目的的最小范围”,这一原则是从个人信息处理目的角度出发的,个人信息被作为客体,评价信息处理合理性的过程中,并不考虑处理行为对个人的影响,而主要考虑与处理目的相匹配。《二次审议稿》则在一次审议稿的基础上,增加了“采取对个人权益影响最小的方式”这一表述,从而突出了自然人在个人信息处理过程中的主体地位,除了商业目的考量外,还应考量个人信息处理措施,是否符合对个人权益影响最小化的原则。
合理化评价维度中引入了个人权益,对于制约个人信息处理者扩大解释商业目的,会形成制约。
2、对大数据歧视的制约
《二次审议稿》在第八条中规定了“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。”
这一规定,将对大数据运用质量不高而造成的数据歧视形成制约。在一些大数据运用的案例中,由于数据更新不及时或者数据的质量有瑕疵,可能导致数据分析的结论不准确,甚至会对相关自然人带来负面评级,从而导致其合法、正当权利受到影响。比如信用数据的不准确,可能导致用户的消费或其他经济活动受到不利影响。对此,将个人信息质量作为法定义务,有助于督促个人信息处理者提升数据获取的准确度。
3、撤回同意的便捷化
《二次审议稿》第十六条在第一次审议稿所规定的“ 基于个人同意而进行的个人信息处理活动,个人有权撤回其同意”的基础上,增加了“个人信息处理者应当提供便捷的撤回同意的方式”的表述。
撤回同意,是个人信息主体处分自身权利的一种方式。然而在实际操作中,由于个人信息处理者提供的撤回方式、撤回渠道各不相同,其中有些措施缺乏便利性,导致撤回同意的权利行使成本较高。
《二次审议稿》规定了便捷原则,虽然对于何为便捷,并未进行展开,但是,按照通常的理解,“撤回同意”的难度不应大于“同意”的难度。也就是说,按照人们对于互联网业务便利性的一般理解,“撤回”按钮应该位于页面的醒目处,或者与“个人信息保护政策”(或隐私政策)处于同样便于阅读的位置,且在许可范围内逐项给出“撤回同意”的勾选项。
三、出境规则更加优化
1、设置标准合同
《二次审议稿》第三十八条第(三)条款与一次审议稿相比,增加了标准合同的表述。该条款的表述为:个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当至少具备下列一项条件:…… “(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准。”
即增加了“按照国家网信部门制定的标准合同与境外接收方订立合同”的表述。
这一规定的内涵在于,国家网信部门可以通过标准化合同条款来具体引导个人信息跨境提供的权利义务约定,从而更好地约束各方的行为。
另外,通过标准合同条款,也可以提高跨境个人信息提供的合同签订效率。
2、境外执法机构获取境内个人信息的限制更加明确
《二次审议稿》第四十一条对于执法机构所涉及的个人信息跨境提供,将其适用范围进行了缩小。
一次审议稿的表述为“因国际司法协助或者行政执法协助,需要向中华人民共和国境外提供个人信息的,应当依法申请有关主管部门批准。”而二次审议稿则将范围限定为“中华人民共和国境外的司法或者执法机构要求提供存储于中华人民共和国境内的个人信息的,非经中华人民共和国主管机关批准,不得提供。”
对比发现,主要的差异在于:
其一,将 “因国际司法协助或者行政执法协助,需要向中华人民共和国境外提供个人信息”,修改为“中华人民共和国境外的司法或者执法机构要求提供存储于中华人民共和国境内的个人信息”。
对于这一差异,笔者认为,主要是考虑到,如果是国际司法协助,可能会涉及中国相关司法机关或执法机关因案件办理需要,而将中国境内个人信息主动提供给境外执法机关并要求境外执法机关配合的情形,对于这种情况,我国相关的法律以及相关国际条约、协定已经有所约束,故无需进一步通过个人信息跨境提供规则进行约束。
而对于境外执法机构要求提供中国境内存储的公民个人信息的,则需要判断来自境外执法机构要求的合理性,以及这种要求是否影响中国的公民利益、社会公共利益或国家安全。
四、基础性互联网平台的特定义务
《二次审议稿》第五十七条增设规定了提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的特定义务。具体包括:
1、引入外部人员组成独立机构
成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督。这一制度设定,强化了外部监督力量的介入。由于基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,其所拥有的个人信息具有非常巨大的利用价值,企业自身的内部控制制度、数据合规制度,在执行过程中,是否能够真正落到实处,需要引入外部力量进行必要的监督。
当然,这一制度具体如何执行,二次审议稿并未规定。比如,对于外部人员的资质,是否参考上市公司独立董事制度,设置一定的准入门槛?以及对于外部人员不尽责履职,是否需要设定相应的法律责任?这些规则,仍需法律授权监管机构做出进一步的规定。
2、平台监督职责
该条款规定:“对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务。”这一规定,与电子商务法中所规定的电子商务平台经营者对平台内电子商务经营者相关产品质量、知识产权、消费者保护的监督责任类似。将严重违反法律、行政法规处理个人信息的情形,作为平台停止提供服务的法定事项。
3、社会责任报告
该条款还规定,定期发布个人信息保护社会责任报告,接受社会监督。按照这一原则,个人信息处理不仅仅是平台与个人信息主体之间的关系,更是平台社会责任的体现。
当然,对于社会责任报告应如何撰写,哪些是必备内容,《二次审议稿》未作规定,仍需法律授权监管机构做出进一步的规定。
五、突出社会第三方机构的治理作用
《二次审议稿》第六十三条规定, 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。
按照这一规定,委托专业机构对个人信息处理活动进行合规审计,是企业或其他机构在面临风险或发生信息安全事件时,可以采取的一种补救措施。对于合规审计所发现的问题,个人信息处理者应当按照要求采取措施,进行整改,消除隐患。
与第一次审议稿相比,专业机构审计的适用范围有所减小,一次审议稿关于委托专业机构审计的场景是日常监管。而在《二次审议稿》中,将适用场景聚焦为“发现个人信息处理活动存在较大风险或者发生个人信息安全事件的”。
在发生风险事件时,引入专业机构进行合规审计,体现了专业机构在风险应对方面的重要作用。
当然,与一次审议稿一样的是,对于什么样的机构可以作为合规审计机构,《二次审议稿》并未规定。仍需相关规则进一步予以明确。
本文作者:吴卫明律师 wuweiming@allbrightlaw.com
下一篇:没有了
相关文章:
相关推荐: