以下文章来源于小贝说安全 ,作者securityfact
自2020年10月21日正式对外发布《个人信息保护法(草案)》(也称《个人信息保护法一审稿》),到此次三审通过,《个人信息保护法》历经10个月而正式出台,实属一部立法过程比较顺利的法律。《个人信息保护法》的立法过程中,产业界、理论界对于其中一些具体表述和规则也存在不少争议,能如此高效通过,也体现出其具有较充分的专业和社会基础,凝聚了很多共识。之所以能取得如此高的共识,可以从三个方面进行理解:
其一,欧盟《通用数据保护条例》(GDPR)为代表的国际经验为我国立法提供了参照。GDPR所确立的立法框架已经在全球数据安全中取得了最广泛共识,我国《个人信息保护法》中大量借鉴了GDPR中的概念、制度和规则,为我国立法破除了不少障碍。在后续修订草案中,特别是二审稿,多个条款的修订就是向着更像GDPR的方向来修改的。
其二,《网络安全法》《民法典》已经为《个人信息保护法》做了很好的立法经验储备。此次《个人信息保护法》的主要起草者和相关专家在《网络安全法》《民法典》立法过程中已经做了大量的研究,《个人信息保护法》由此具备了很好的专业基础。在《个人信息保护法(一审稿)》公布后就得到了学术界很高的肯定,二审稿、三审稿则是继续在一些专业细节上打磨完善,特别是三审稿的多个修订条文就是向着契合民法典的基础上做了完善。
其三,个人信息保护在全社会具有很高的民意基础。2020年10月的《个人信息保护法起草说明》指出:十三届全国人大期间,共有全国人大代表340人次提出39件相关议案、建议,全国政协委员共提出相关提案32件,通过行政执法、司法裁判、新闻报道也不断提高了用户的个人信息保护意思。可以说,《个人信息保护法》的高效通过是在专业和民意上都达成了共识使然的。
《个人信息保护法》立足国情需要,融合国际趋势,有很多创新且具体、有力的制度措施。本篇解读聚焦三审稿的最新编号,结合了《个人信息保护法》公布之前的一些新闻报道,经过对比分析而成。
(图片来源:全国人大官网)
相比于二审稿,在《个人信息保护法》中增加了“根据宪法”的表述。根据立法者对外发布的解释,我国宪法规定,国家尊重和保障人权,公民的人格尊严不受侵犯,公民的通信自由和通信秘密受法律保护。制定实施本法对于保障公民的人格尊严和其他权益具有重要意义。据此,拟在第一条中增加规定“根据宪法”制定本法。
在《物权法》《民法典》制定过程中都出现过是否增加“根据宪法”制定本法的争论。支持者认为,这体现了《宪法》及宪法权利的重要地位;否定者则认为任何法律都不会违背宪法,这个表述是多此一举;中间派则认为这是一个“无害条款”,规定与否都无所谓。总体而言,这一新增表述的意义限于学理争论,对于一直主张个人信息国家保护论的公法学者自然是一个好事儿,但是对于法律实施没有特别影响。
《个人信息保护法》第4条规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。相比于二审稿,三审稿新增了“删除”这一处理行为类型。
个人信息的处理行为类型在《网络安全法》《民法典》和此次《个人信息保护法》都有不同的表述,反映出立法者对个人信息处理行为的认识是在不断推进加深的。早在《网络安全法》中,约束的处理行为类型还是“收集、存储、使用、提供”等类型。在《民法典》第1035条中则创设了一个集大成的个人信息“处理”行为,其包括个人信息的收集、存储、使用、加工、传输、提供、公开等。此次《个人信息保护法》在“处理”行为之中新增了“删除”的类型。“删除”最大的问题就是如何证明处理者已经删除,那么今后的删除也要遵循个人信息处理行为的公开、透明原则,确保个人信息不被暗地存储。
《个人信息保护法(二审稿)》第6条是:处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理。
《个人信息保护法》第6条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
此前的第6条实际上是要尽可能的限制个人信息处理行为,暗含了个人信息处理行为对个人的价值都是消极的。修订的条文,明确只有“收集”个人信息需要限定在最小范围,其他“处理”行为则需要符合直接相关的处理目的,对个人不造成不利影响。显然,三审稿的修改更加科学,也体现出个人信息一般处理与个人信息收集所遵循的原则是存在差异的。
第10条修改为:任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
非法与违法是存在区别的,非法是指“没有法律依据”,“违法”是指“违反法律明确要求”。对于一般的民事行为,一般采取法无禁止即可为。然而,修订后的第10条进一步明确,在个人信息处理活动中采取“法无授权不可为”,也即个人信息处理行为均应当具有合法性基础,这与第13条的规定做了呼应。第13条明确了七类情况下,才可以处理个人信息。个人信息处理者应当在处理之前就知晓其符合哪一种条件,只有如此才算是合法的个人信息处理行为。
《个人信息保护法》第13条被很多人称之为本法最重要的条款,这是判定个人信息处理行为合法性都必须适用的一个规定。
知情同意被称之为个人信息处理最基础性的原则,但是个人信息不仅对个人有价值,有时候对组织管理和公共利益也有许多积极价值,故而同意之外还必须有一些例外的合法性事由来平衡个人信息和公共利益。《网络安全法》第41条要求收集、使用个人信息,必须经过被收集者“同意”,没有设立例外事由。可以说,这是《网络安全法》立法中的一个技术bug,随后在《民法典》中部分增加了两种不需要同意的合法性事由:(1)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;(2)为维护公共利益或者该自然人合法权益,合理实施的其他行为。
在此次个人信息保护法中,列举了六种不需要同意即可处理个人信息的情况:(1)订立、履行个人作为一方当事人的合同或者人力资源管理所必需;(2)为履行法定职责或者法定义务所必需;(3)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(4)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(5)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(7)法律、行政法规规定的其他情形。
其中,三审稿新增“人力资源管理”,解决了用人单位对劳动者工作管理过程中个人信息处理的合法性问题。关于第5项的修改,则是为了与《民法典》的规定相一致,更加明确的界定了什么是可以直接使用的他人个人信息。
第20条第2款改为:个人信息处理者共同处理个人信息,侵害个人信息权益成损害的,应当依法承担连带责任。相比于二审稿,该条款新增了“依法”两个字。此前,共同处理个人信息一律对外承担连带责任,由此变成了依法分情况讨论。
根据《民法典》第1170条的规定,二人以上实施危及他人人身、财产安全的行为,其中一人或者数人的行为造成他人损害,能够确定具体侵权人的,由侵权人承担责任;不能确定具体侵权人的,行为人承担连带责任。也即,共同处理个人信息,不一定直接构成“共同侵权”,如果能够认定具体侵权人的则不成立连带责任。
《个人信息保护法》第24条第1款改为:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
根据本法的定义,自动化决策,是指利用个人信息对个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,通过计算机程序自动分析、评估并进行决策的活动。大部分应用机器学习算法的个人信息处理活动都属于自动化决策的范围。尽管新闻报道宣传三审稿进一步明确对大数据杀熟的限制,实际上,三审稿明确了大数据杀熟的非法性,是其是以删除“保证结果合理”而来的。一方面确认了大数据杀熟行为的违法性,同时增加了自动化决策行为治理的科学性。本条的修改反映了自动化决策具有一定的客观性,与结果本身是否合理的主观性有区别,故而删除了要保证结果合理的规定。但是,自动化决策也不得因为无人工干预而放任显著不合理的结果。一方面要确保决策的透明度和结果公平、公正;另一方面,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
摄像头和身份识别(特别是人脸识别)往往被西方媒体解读为监控追踪,我国新闻媒体也多次声讨人脸识别信息滥用问题。为此,《个人信息保护法》在这个问题上采取了慎之又慎的处理,二审稿、三审稿都对公共场所安装图像采集、个人身份识别设备做了不断强化的要求。在一审稿公布之后,就有人提出该要求过于严格,会导致无人超市等商业目的的图像采集、身份识别无法应用。但是“二审稿”并没有删除“应当为维护公共安全所必需”的要求,且删除“法律、行政法规另有规定的除外”。在三审稿中,“不得公开或者向他人提供“修订为”不得用于其他目的“,更加限缩了图像采集、个人身份识别的处理范围。
目前,《个人信息保护法》第26条规定:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
小贝说安全公众号在上一期文章——《警惕!热转境外关于中国个保法新闻时,小心新一轮对华发难》中提出,国外媒体有一种偏见认为,中国政府要借助数据安全领域的立法,加强监控和数据监听。本条的立法过程则可以鲜明的驳斥该论调。
《个人信息保护法(二审稿)》规定:“个人信息处理者处理已公开的个人信息,应当符合该个人信息被公开时的用途。超出与该用途相关的合理范围的,应当依照本法规定取得个人同意。
个人信息被公开时的用途不明确的,个人信息处理者应当合理、谨慎地处理已公开的个人信息。利用已公开的个人信息从事对个人有重大影响的活动,应当依照本法规定取得个人同意。”
在最终颁布的正式稿中,则规定“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。”
上述修改后的表述更加契合《民法典》第1036条第2项的规定。事实上,个人信息公开的绝大多数情况下都不会声明其公开的目的,且该目标具有极大的主观性,会导致公开的个人信息难以预测其适用范围。个人信息不仅具有个体价值,还对信息自由流通具有重要的公共价值,从而促进社会的交流和发展。本条是平衡个人信息安全与发展的典型,对于个人自行公开或者其他已经合法公开的个人信息,默认是可以在合理范围内自由使用的,不可自由使用才是例外情况。例外就是两种情况:(1)个人明确拒绝其个人信息被他人处理;(2)对个人权益有重大影响的的公开信息。如果算上超出合理范围而滥用公开的个人信息,就是三种例外情况。
《个人信息保护法》第28条新增“不满十四周岁未成年人的个人信息”为敏感信息。并且要求“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”
将儿童个人信息列为敏感个人信息算是中国个人信息保护法制度的一大创新,这是GDPR、CCPA以及近期美国统一法律委员会编定的《个人数据保护示范法》(UPDPA)中都未有的规定。在计划生育政策修订、学科补习教育改革等背景之下,进一步加强儿童的个人信息保护显示我国对儿童良好生长环境的重视。儿童处于辨识能力、控制能力都有限,个人信息的过度收集、违法收集容易影响儿童的健康成长,甚至引发人身财产安全隐患。少年儿童是祖国的未来,是中华民族的希望,《个人信息保护法》进一步强化儿童个人信息保护具有重要意义。
此外,三审稿明确,敏感信息只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。故而,处理敏感个人信息需要具备一定的技术条件和管理制度,会使得不少个人信息处理者将不具备敏感信息处理资格。
总编辑|小贝