随着《个人信息保护法(草案)》(“草案”)的审议,我国个人信息保护的路径正变得逐渐清晰。虽然草案的审议距离形成最终的正式法律文本尚有距离,但我们仍能够从草案中一窥未来我国个人信息保护可能的图景。从已经公布的草案来看,草案一方面以《民法典》为基础,将会成为我国网络安全与数据保护领域的核心法律之一;另一方面,草案也借鉴了国际上先进的个人信息保护规则,以更好地与国际接轨。
通过比较我国《个人信息保护法(草案)》与其他区域数据保护法的异同,不仅可以更好地帮助企业应对数据全球流动的挑战,也可以让企业从其他国家的合规实践中为在中国部署数据合规措施提供参考。因此本文将在比较《个人信息保护法(草案)》与国际主流数据保护法律异同的基础上,结合草案及可能涉及的国内法律法规进行比较分析。
一、管辖
在管辖上,《个人信息保护法(草案)》以中国境内自然人为保护对象,这样的规定与《通用数据保护条例》(“GDPR”)的管辖基本一致,即以自然人所处的地域进行划分:无论是否具有中国国籍,只要该自然人在中国境内该自然人的个人信息即受到保护。此外,草案与GDPR一样具有域外效力,海外机构如果是以境内自然人为目标提高产品、服务,或分析评估,无论信息处理者是否位于中国境内,均受到管辖。
对于在中国没有任何营业场所的组织,则需要在境内设立专门机构或代表,负责个人信息保护或相关事务,但目前尚不清楚境内专门机构或代表的具体要求。GDPR同样要求欧盟境外的数据控制者或处理者应在欧盟境内指定代表人。欧盟外的土耳其也有类似规定,《土耳其数据保护法》要求外国数据控制者只有通过在土耳其境内的代表(自然人或法律实体)才能完成必需的注册程序。
鉴于《个人信息保护法(草案)》的立法还处于早期阶段,哪些机构可以作为境外信息处理者的代表,律所或专业咨询机构能否担任,代表机构需要承担何种责任,都有待配套法规的出台,而具体代表机构的落地政策,很有可能率先在北京、河北雄安、上海临港或海南自贸区这样的数据跨境试点区域推出。这也决定了这些地区可能成为跨国企业数据跨境布局的重要节点。
如果从GDPR生效以来执法案件的趋势来看,目前欧盟重点还是关注欧洲经济区(EEA)内违法处理个人数据的行为。中国企业受到GDPR监管的压力除了直接收集欧洲居民个人数据的场景外,还来自于与欧洲企业合作的过程中合规义务的“传导”,即欧洲企业要求中国企业签署相应的数据保护协议,以达到GDPR同等保护的水平。在可以预见的未来,中国企业在对外合作的过程中也会越来越多地要求境外企业与自己签署基于中国法律下个人保护信息保护的协议,从而实现为我国个人信息保护法律域外的适用进行铺垫。
二、保护对象及范围
《个人信息保护法(草案)》是一部以“保护”命名的法律,那么保护对象是什么、以及在何等范围内进行保护就显得至关重要。
在草案中的保护的对象是“个人信息”,与《民法典》《网络安全法》等法律法规一脉相承,并与GDPR、California Consumer Privacy Act(“CCPA”)等主要数据法规中的个人数据(personal data)或个人可识别信息(PII)在实践中没有实质性的区别。这意味着当某一项数据在中国被认定为个人信息,在其他国家或地区也很有可能会作为个人数据或其他类似概念进行保护。
但是,此次《个人信息保护法(草案)》所提出的“敏感个人信息”概念却在此前国内法律法规中未曾出现,仅在《个人信息安全规范》(GB/T 35273-2020)中有所体现。
在草案对个人信息的类别开始细分,以及不同国家对个人信息的分类并不一致的情况下,意味着企业对自己所控制数据进行分级、分类愈发重要。对数据的分级、分类是对不同类别数据精细化保护的基础,能够帮助企业更好地适应不同法域下监管的需求。
在保护范围上,《个人信息保护法(草案)》与GDPR基本保持一致,关注自然人个人信息的保护,不仅局限于消费者或网络空间。而CCPA从法律名称就能发现规制的重点在于消费者个人信息的保护,该法并不关注其他如劳动用工的领域的个人信息。
三、个人信息权利与合规措施本地化
个人信息权利将会是企业与自然人交互最频繁的领域,因此个人信息权利也将会成为纠纷最为频繁的领域,司法会频繁介入。
在《个人信息保护法(草案)》中,延续了《民法典》查阅权、复制权、更正权、删除权的规定并进行了细化,还设立了知情权、决定权、限制与拒绝处理权、解释说明权等权利,更加接近GDPR与CCPA等国际主流数据保护法律的权利配置:
尽管不同法域下,自然人的权利项目看似并没有实质差异,会产生按照最严格的标准就可以进行广泛适用的误区。但是,各国法律即使是相同的权利在具体行使时也存在或大或小的细微差异。法律条文本身各不相同,各国数据保护机构、司法机构、消费者保护机构对法律的解释更是千差万别。
以响应自然人权利请求的时间期限为例,国内在App监管领域要求在15个工作日内对用户权利请求进行响应,CCPA要求企业在45天(最长90天)内响应消费者权利诉求,GDPR下设置的期限最长为2个月。此外,“魔鬼”更是会在细节中隐藏,在CCPA Regulation专门要求隐私政策等文件应方便残障人士的访问,应达到W3C《网页内容无障碍指南》2.1版本或其他行业标准的水平,这要求承载隐私政策的网页内容应当不能使用刺激性的配色、字体大小与间距合理,并方便辅助软件读取网页(不得限制右键)内容等。
因为自然人在不同法域下享有的不同权利,所以要求跨国企业在针对性地部署合规措施,在各国普遍适用的大原则基础上,根据各国的实际情况进行设置。我们经常遇到跨国企业需要将自己的全球数据保护政策本地化本地化,在这一过程中,法律用语将会是首当其冲的挑战。比如GDPR设置了数据控制者(Data Controller)与数据处理者(Data Processor)两类主体,但在我国《民法典》以及《个人信息保护法(草案)》中,统一使用“个人信息处理者”的概念,这要求在中欧之间数据相关协议中需要对法律主体的定义以及适用法律重点关注,避免不同法域下相同概念可能产生的歧义。
四、数据跨境
《个人信息保护法(草案)》是搭建我国数据出境制度的基石之一。自从2017年《网络安全法》生效后,个人信息跨境就是一个复杂的问题。《网络安全法》重点关注了关键信息基础设施运营者的个人信息与重要数据跨境问题,此次审议的《个人信息保护法(草案)》则拓展了这一范围,将所有的个人信息出境纳入调整范围。草案在安全评估的之外,还设置了保护认证、签订合同等路径。这样的设置在一定程度上借鉴了GDPR对数据出境的规定,可以更好地对外开展数据跨境谈判。
值得关注的是,结合此前商务部《全面深化服务贸易创新发展试点总体方案》将北京、上海、雄安列为数据跨境传输安全管理试点,以及海南作为数据跨境传输安全管理试点区域,这些区域可能会结合未来正式生效的《个人信息保护法》在个人信息保护认证领域进行创新,即在试点区域内注册的企业,可能会被允许在公司内部约束力规则(binding corporate rules)的保护认证领域有所创新,方便企业内部数据跨境流动,当然这也有待进一步观察。
《个人信息保护法(草案)》中要求,跨境司法协助中需要向境外提供个人信息时需要经过有关主管部门的批准。这与《数据安全法(草案)》以及《国际刑事司法协助法》的规定基本一致,并且是符合我国《全球数据安全倡议》中基本立场。更为重要的是,《全球数据安全倡议》可以看作是我国在今后一段时间对数据跨境安全问题的整体态度,并且可能成为我国对外订立数据安全协议的基本立场。
五、个人信息保护负责人
《个人信息保护法(草案)》中要求企业在处理个人信息的数量达到一定量级后,设置类似GDPR数据保护官(DPO)的个人信息保护负责人职位,并以处理个人信息的数量为门槛进行划分。但GDPR下DPO的设置则并非以处理数量为门槛,而是要求具有以下情形的企业应当任命DPO:
1.如果数据控制者和数据处理者的核心业务由数据处理组成,该处理因其自身的性质、范围和/或目的等需要对数据主体进行定期的、系统化的大规模监控;
2.数据控制者和处理者的核心业务为处理大规模特殊类型的数据(种族或民族起源、政治观点、宗教信仰、哲学信仰、工会成员资格等个人数据,对个人基因数据、生物特征数据的处理,以及对健康数据、性生活、性取向等相关数据的处理)。
在职责角度,GDPR下的DPO更多是承担监督、审计的职责,并不需要为企业的数据不当处理行为承担个人责任。但个人信息保护负责人可能需要像《网络安全法》下网络安全负责人一样,就企业的个人信息违法行为承担责任,在这样的背景下,个人信息保护负责人责任保险可能也会被开发并得到推广。
此外,DPO可以由外部人员(如外部律师)担任,但从草案中“负责人”的表述来看,外部人员很难对企业内部的信息处理行为负起责任,因此实践中可能不会让外部人员担任个人信息保护负责人。此外,在GDPR以及欧洲各国数据保护机构的框架内,较为清晰地规定了DPO的职责、基本技能、任职条件和要求,而我国的个人信息保护负责人的职责范围以及具体的任职要求,还有待于网信部门后续制定详细规则。
六、法律责任
在法律责任方面,《个人信息保护法(草案)》罕见设置了高额的罚金,最高5000万元或上一年度营业额5%的高额罚款,即使是放到国际上进行比较也算得上具有“震慑力”。当然草案同样保留了暂停业务、停业整顿等具有威慑力的处罚方式。
草案中罚款如何计算仍然是有待明确的问题。在GDPR下,企业的范围并不局限于在欧盟境内设立的企业法人。在欧盟第29条工作组发布的Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679中,建议“监管机构应采用欧盟法院为适用《欧盟运作条约》第101条和第102条而规定的企业(undertaking)概念的定义,即企业的概念被理解为是指一个经济单位,可由母公司和所有相关子公司组成。并且根据欧盟法律和判例法,企业被理解为从事商业/经济活动的经济单位,而不论所涉法人是谁。”因此,企业全球营业额的计算应以经济单位为标准计算,并不只局限于在欧盟设立的公司。欧盟的罚款设置或许可以为我国所借鉴,不仅局限于法律实体的角度,从经济单位的角度计算营业额。
七、总结
对于企业来说,开展数据合规工作最大的难题之一是不同法域下对数据保护的要求并不相同、甚至截然相反,很难将单一一套数据保护制度不加修改地适用于不同的国家或地区。无论是对于中国企业“走出去”,还是外资企业加入中国经济的“内循环”的进程,都需要考虑如何将《个人信息保护法(草案)》可能带来的变化融入自己的数据保护策略。
我们关注《个人信息保护法(草案)》对企业数据合规可能的影响时,应超越草案本身,从更宽广的视角进行前瞻性的思考。一方面,数据的跨区域流动的便利要求我们在全球化视角下审视草案对数据跨境传输的影响,比较不同法域下数据保护法律对企业数据流的影响,并且从其他法域下数据保护指引为企业在中国开展数据合规工作找到可供参考的实践经验;另一方面,《个人信息保护法(草案)》并不是单独一部法律,是在《民法典》下,与《网络安全法》《消费者权益保护法》《数据安全法》以及更多的行政法规、司法解释、司法行政案例共同组成我国网络安全与数据保护法律体系。(文章来源:汇业法律观察)