第二部分:個人信息處理規(guī)則與特別注意事項
個人信息處理原則以及個人信息處理的具體規(guī)則,是每個國家數(shù)據(jù)保護法案中最為關(guān)鍵和核心內(nèi)容,通過在法案中明確處理個人信息的合法性基礎(chǔ),以及對應的具體規(guī)則,以幫助企業(yè)和個人在處理個人信息時候厘清權(quán)利義務的邊界,企業(yè)、組織在處理個人信息活動時應當特別留意和關(guān)注關(guān)于個人信息處理的具體規(guī)則要求。
?。ㄒ唬┪覈鴤€保法解讀:
經(jīng)過三審會議的我國個保法,在關(guān)于個人信息處理原則和處理規(guī)則上有了更進一步細化和完善,為企業(yè)、組織在處理個人信息時候劃定了更清晰的紅線。
01 個人信息保護原則
我國個保法第五條到第十一條確立了個人信息處理應遵循的原則,強調(diào)處理個人信息應當遵循合法、正當、必要和誠信原則,具有明確、合理的目的并與處理目的直接相關(guān),采取對個人權(quán)益影響最小的方式,限于實現(xiàn)處理目的的最小范圍,公開處理規(guī)則,保證信息質(zhì)量,采取安全保護措施等。
歸納來看,可以理解為主要的七大原則:
圖片
1.合法、正當、必要和誠信原則
是指處理個人信息時,一方面,應當具有合法性的基礎(chǔ)(在下文分析)、具有正當?shù)睦碛?、并應滿足必要性的要求(對個人信息的處理應當限定在為了實現(xiàn)處理目的所必要的范圍內(nèi)),另一方面,要遵守誠信原則,不得通過誤導、欺詐、脅迫等方式處理個人信息。
圖片
2.目的明確、合理原則
相比于《二審稿》,個保法新增了“采取對個人權(quán)益影響最小的方式”,即將個人權(quán)益的影響程度作為是否明確、合理的判斷標準,再次特別強調(diào)了,信息的收集范圍與處理目的應當直接關(guān)聯(lián),并應該限制在實現(xiàn)目的的最小范圍內(nèi)(最小必要原則,不得過度收集個人信息)。
圖片
3.公開、透明原則
是指,處理個人信息,一方面應該對企業(yè)、組織是如何處理用戶的個人信息進行公開;另一方面,還應通過這些公開的政策、規(guī)則來明確展示企業(yè)、組織在處理個人信息方面的具體目的、處理方式和處理范圍。
圖片
4.質(zhì)量原則
相比于《二審稿》,個保法新增了“保證個人信息的質(zhì)量”的要求,其具體內(nèi)涵是指,為實現(xiàn)個人信息的處理目的,企業(yè)、組織應當對其所處理的個人信息保證準確,并在有變化時候進行及時的更新。
圖片
5.安全保護原則
沒有數(shù)據(jù)安全的保障,就沒有對數(shù)據(jù)的有力保護,安全是保護的關(guān)鍵前提,企業(yè)、組織應當對其個人信息處理活動負責,并采取必要措施保障所處理的個人信息的安全。
圖片
6.禁止非法處理原則
個保法明確列舉了8大“禁止性行為”,給企業(yè)、個人劃定了清晰的紅線:任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息;不得從事危害國家安全、公共利益的個人信息處理活動。
圖片
7.共同治理原則
個人信息保護是一項需要個人、企業(yè)、行業(yè)組織、監(jiān)管部門等各方面共同協(xié)作、參與的事項,一方面,國家通過建立、健全個人信息保護制度,對侵害個人信息權(quán)益的行為進行預防和懲治;另一方面,也需要通過加強個人信息保護宣傳教育工作,推動形成政府、企業(yè)、相關(guān)行業(yè)組織、社會公眾共同參與個人信息保護的良好環(huán)境。
02 “告知-同意”是核心規(guī)則
我國個保法明確了以“告知—同意”為我國個人信息保護的核心規(guī)則(核心的合法性基礎(chǔ)),一方面,為個人對其個人信息處理的知情權(quán)和決定權(quán)提供了重要的保障;另一方面,以“同意”作為合法理由處理個人信息,必須賦予用戶撤回同意的權(quán)利。這與GDPR的規(guī)則設(shè)置是非常類似的。
對于如何進行告知,個保法明確了,企業(yè)不僅要真實、準確、完整地向個人“充分告知”與處理個人信息的各類事項(包括處理者身份、聯(lián)系方式、處理目的、處理方式、信息種類、保存期限、個人行使權(quán)力的方式和程序等等),還需要以顯著方式、清晰易懂的方式進行,并且在重要事項發(fā)生變更時,還應重新取得個人的同意,而不能“一次了事”。
對于如何獲得同意,則要求個人需要在“充分知情”的前提下,作出自愿的、明確的同意,而不能是被強迫的、不平等的,也不能是含糊的、不清晰的情況下作出。
值得一提的是,本次個保法在處理個人信息的合法理由中,新增了“實施人力資源管理所必需”作為處理個人信息的合法理由之一,但在使用這一合法理由時,應特別注意這是附條件的,只有是滿足了“依法制定的勞動規(guī)章制度”和“依法簽訂的集體合同”才可以,而何為“依法制定”和“依法簽訂”,就為作為用人單位的企業(yè)在處理員工的個人信息時留下了非常值得研究的實操空間以及合規(guī)空間,也對企業(yè)在處理員工個人信息時,提出了更進一步的合規(guī)要求。
03 “單獨同意”是特別規(guī)則
與此同時,我國個保法還針對“法律、行政法規(guī)等專門規(guī)定的特殊情況”,特別設(shè)置了特殊的單獨同意規(guī)則。
圖片
處理敏感個人信息情形:
例如,企業(yè)在處理個人敏感信息時,除了在隱私政策中,向用戶告知處理敏感個人信息的具體種類、處理的必要性、對個人的影響,采取嚴格的保護措施外,還需要在該特定場景觸發(fā)時,通過如單獨彈窗、單獨頁面展示等方式向個人告知,并獲得個人的單獨的、明示有效的同意,而不能是“概括同意”,“一攬子同意/捆綁授權(quán)”,更不能是“默認同意”。
圖片
處理兒童個人信息情形:
例如,在企業(yè)收集不滿14周歲的未成年人個人信息的場景下,企業(yè)還應當取得未成年人的父母或者其他監(jiān)護人的同意。
圖片
向其他個人信息處理者提供個人信息情形:
例如,在企業(yè)向其他第三方合作伙伴(其他個人信息處理者)提供、轉(zhuǎn)移個人信息的場景下,除了需要向個人履行告知義務(個保法規(guī)定了告知內(nèi)容的法定要求),進行事前的風險評估外,還應當取得個人的單獨同意。
而對于前述情況下作為數(shù)據(jù)接收方的第三方合作伙伴,除了應該在傳輸方告知個人的范圍內(nèi)處理個人信息,還應該在接收方企業(yè)變更原先的處理目的和方式時,重新取得個人的同意。
圖片
在公共場所安裝圖像采集、個人身份識別設(shè)備的情形:
這是本次個保法新增的內(nèi)容,與目前大量企業(yè)濫用攝像頭收集個人信息、特別是人臉識別信息等情況有關(guān),也與今年8月1日出臺的最高人民法院《關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》起到遙相呼應的效果。
與此相關(guān)的企業(yè)應特別關(guān)注和留意,在安裝圖像采集、個人身份識別設(shè)備時,應當:
01
是為了維護公共安全所必需——限制收集目的;
02
在遵守國家有關(guān)規(guī)定的同時,還應設(shè)置顯著的提示標識——明確告知方式;
03
特別需要注意的是,企業(yè)因此而收集的個人圖像、身份識別信息,只能用于維護公共安全的目的,不得用于其他目的;但取得個人單獨同意的除外——限制處理用途。
圖片
公開個人信息的情形:
個保法明確規(guī)定了,原則上不得公開,但取得個人單獨同意的除外。
值得注意的是,在使用公開個人信息方面,我國個保法參考海外數(shù)據(jù)保護法規(guī),也提供了“選擇退出”的規(guī)定:
01
對于個人自行公開或者其他已經(jīng)合法公開的個人信息,除非個人明確拒絕,個人信息處理者可以在合理范圍內(nèi)處理;
02
對于處理已公開的個人信息,而對個人權(quán)益有重大影響的,個人信息處理者應當取得個人同意。
04豁免告知作為例外規(guī)則
本次個保法不僅在告知的內(nèi)容要求上和告知的形式上作出了進一步的細化要求,還確立了兩種個人信息處理者可以進行豁免的告知情形:
圖片
1.基于保密義務的豁免:
當有法律、行政法規(guī)規(guī)定應當保密或者不需要告知的情況下,可以不向個人告知個人信息處理者的名稱或者姓名和聯(lián)系方式。
圖片
2.基于緊急情況的豁免:
為保護自然人的生命健康和財產(chǎn)安全而無法及時向個人告知的情況下,可以在緊急情況發(fā)生之時不進行告知,但是應當在緊急情況消除后及時告知。
05共同處理承擔連帶責任規(guī)則
本次個保法正式確定了共同處理者的概念(共同決定個人信息的處理目的和處理方式的),也是新增內(nèi)容之一。
與歐盟GDPR以及先前出臺的個人信息規(guī)范不同的是,個保法在概念上沒有區(qū)分個人信息控制者和處理者,而是通過明確規(guī)定 “在共同處理個人信息時,在侵害個人信息權(quán)益造成損害的情況,應當一起依法承擔連帶責任”的方式,確立了由共同處理者一起面向個人數(shù)據(jù)主體去承擔連帶責任。
提醒企業(yè)注意的是,在發(fā)生共同處理的情況下,應該通過合同的方式與第三方明確約定雙方的權(quán)利與義務,明確各自需要承擔的責任,要求第三方共同滿足個人信息安全的要求,同時亦需要向個人數(shù)據(jù)主體進行有效的告知。
06 自動化決策應確保透明公平
公正,并有權(quán)進行拒絕的規(guī)則
這可能是本次個保法最為關(guān)注也受到最大熱議的亮點之一,明確了廣大用戶關(guān)注的自動化決策的規(guī)制,即應“保證決策的透明度和結(jié)果公平公正”且“不得對個人在交易價格等交易條件上實行不合理的差別待遇”。
要求企業(yè)在自動化決策最為普遍的應用場景“信息推送、商業(yè)營銷”中,應當向個人提供“不針對其個人特征的選項”,或者“向個人提供便捷的拒絕方式”。
特別是,對于對用戶的個人權(quán)益造成重大影響的情況,法律明確為個人主提供了要求解釋清楚的權(quán)利以及進行明確拒絕的權(quán)利。
本條的出現(xiàn),在實務中,引起了非常多與個性化推薦有關(guān)的企業(yè)的關(guān)注,特別是精準廣告的行業(yè)企業(yè),在接下來的實際應用中,相信會有更多的實務難題出現(xiàn)。但從最基本的合規(guī)注意事項而言,企業(yè)可以關(guān)注以下基本的合規(guī)邏輯:
01
以充分、全面、清晰告知用戶,以及取得用戶的個人同意為合法性基礎(chǔ),其確保該同意是自愿、明確的;
02
由政府設(shè)立的法律援助機構(gòu)或者非政府設(shè)立的合法律所組織法律援助的律師。
03
當自動化決策是用于為了信息推送,或商業(yè)廣告推廣時,應為用戶提供可以退出的途徑,以及不進行個人特征推送的選項;
04
僅通過自動化決策作出對個人權(quán)益有重大影響的決定的,在用戶要求解析說明,或用戶明確提出拒絕時,應保障其權(quán)利機制的實現(xiàn),并考慮增加人工決策的方式。
?。ǘ?海外主要個人信息保護法律對比:
鑒于個人信息處理的規(guī)則是一個比較復雜的分析類事項,一方面,不同國家的數(shù)據(jù)保護法律會有不同的規(guī)定,不僅對于特殊類型個人信息有不同的概念與分類,而且也會對不同特殊類型的個人信息有特別的規(guī)則,另一方面,在大量的實務操作過程中,還需要結(jié)合具體的業(yè)務場景、前提和多方面的維度進行綜合考慮。鑒于篇幅有限,以下表格,我們僅就個人敏感信息的定義以及處理要求和一些特殊點進行扼要對比。如有不完善之處,還請同行們多多指正。
總體來說
個人信息的處理的具體規(guī)則,是每個國家數(shù)據(jù)保護法案中非常值得關(guān)注的內(nèi)容,大部分國家的數(shù)據(jù)保護法律法規(guī)中都會對特殊類型的數(shù)據(jù)提出了特殊的處理規(guī)則(例如會分別對一般個人信息、敏感個人信息、健康信息、生物特征信息進行概念上的分類,以及規(guī)定不同的處理規(guī)則),以更好地保護個人數(shù)據(jù)主體的權(quán)益,同時也成為企業(yè)、組織和個人在處理個人信息時候的指南針和區(qū)分合規(guī)紅線的判斷基礎(chǔ)。