在《当我们谈数据合规的时候在谈什么——数据合规的架构和基础概念》中笔者主要梳理了数据合规领域的主要法规、政策、标准,理清了数据合规的基本架构和概念,并且提到一类重要数据——个人信息。因目前数据监管的重点即个人信息,因此本文将主要探讨个人信息处理全流程中的合规问题,阐明个人信息从“出生”到“死亡”的整个过程中应当关注的合规要点。恰逢《个人信息保护法》于8月20日表决通过,并将于今年11月1日施行,其中第一至三章内容主要涉及个人信息处理过程中的合规问题,笔者将结合《个人信息保护法》《信息安全技术个人信息安全规范》《深圳经济特区保护条例》(以下简称《特区条例》)及监管实践进行探讨。
一、千呼万唤始出来——《个人信息保护法》简评
《民法典》从基本法的高度对个人信息受法律保护[注1]作出了原则性的规定。2017年的《网络安全法》以网络信息安全专章规定了网络运营者对个人信息保护应当遵守的原则和基本要求。今年6月10日表决通过的《数据安全法》则主要以“数据”为核心,从宏观层面上确立了数据安全及治理的基本框架,个人信息作为数据中极为重要的一类受到该法保护。《个人信息保护法》是个人信息的专门法规,历经三次审议,在第二次审议稿中已经明确了个人信息和敏感个人信息的定义,确定了个人信息处理的原则、阶段、个人在个人信息处理活动中的权利、个人数据处理者的义务、个人信息跨境基本规则以及相应的法律责任。第三次审议后最终出台的版本在框架上与二次审议稿保持了一致,同时对社会广为关切的大数据杀熟、个人信息可携带权、个人诉权等予以了回应。《民法典》《网络安全法》《数据安全法》《个人信息保护法》共同构筑了当前我国数据保护的核心法规。
值得欣喜的是,《个人信息保护法》审议通过的最终稿,相较于二次审议稿增加的几个亮点——人力资源管理的免征同意、大数据杀熟等,在先前通过的《特区条例》中已经出现,深圳的立法在前沿性上值得肯定。
自2019年起工信部就展开了针对APP侵害用户权益的专项整治行动,企业为达到监管要求,不断探索处理个人信息的合规标准,2020年10月1日,市场监督总局和国家标准委员会联合发布了GB/T35273-2020《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》),这一国家标准成为企业尤其是APP平台进行个人信息保护合规建设的重要参考。
《个人信息保护法》与《个人信息安全规范》一脉相承,尤其是关于个人信息处理规则、个人信息处理者的义务章节的内容,基本概括了《个人信息安全规范》的相关规定。由于《个人信息安全规范》内容较为详实,实操性强,因此我们认为在《个人信息保护法》出台之后,《个人信息安全规范》及《个人信息保护法》出台前的监管实践,对于企业进行个人信息保护合规建设仍有重要参考意义。下文将会结合数据处理过程中的合规点,同时参考《个人信息安全规范》及《个人信息保护法》的具体内容逐一分析。
二、个人信息处理阶段和应遵循的原则
《民法典》《数据安全法》《特区条例》《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》对数据/个人信息处理的具体内容规定高度一致,即包含了“收集、存储、使用、加工、传输、提供、公开”几个阶段,《个人信息保护法》最终稿则在上述几个阶段之外单独增加了“删除”一项,将删除列为一个独立的处理阶段[注2]。上述个人信息处理的8个阶段,涵盖了个人信息从“出生”到“死亡”的全过程,我们也称之为个人信息的生命周期。
在整个数据处理活动中,数据处理者都需要遵循一定的原则,在原则的基础之上就各个阶段还应遵守特别的规定。各阶段应当遵守原则,《民法典》第一千零三十五条、《网络安全法》第四十一条、《数据安全法》三十二条概括为合法、正当、必要,这也是广为流传和接受的数据保护三原则。《特区条例》第十条将保护原则规定为:目的明确合理、方式合法、最小必要、依法告知获得同意、保证准确和完整、确保数据安全。
《个人信息保护法》在第五条至第九条将三原则进行了不少的扩充,包括了合法正当必要诚信(第五条,不得以欺诈、诱骗、诱导的方式处理个人信息)、目的明确合理及最小必要(第六条,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量)、公开透明(第七条,公开个人信息处理规则,明示处理的目的、方式和范围)、准确完整(第八条,避免因个人信息不准确、不完整对个人权益造成不利影响)和确保安全(第九条,防止个人数据泄露、毁损、丢失、篡改和非法使用)。再一次,我们从《个人信息保护法》中看到《特区条例》的影子。
三、个人信息处理各阶段合规要点
从工信部持续发布的专项整治行动通报、《个人信息安全规范》、公安部发布的《互联网个人信息安全保护指南》、信标委发布的《网络安全标准实践指南——移动互联网应用程序(APP)收集使用个人信息自评估指南》、9月发布的《网络安全标准实践指南——移动互联网应用程序(APP)个人信息保护常见文集及处置指南》来看,目前对个人信息保护的监管核心就是处理流程各个阶段是否合法合规。
以2021年第一季度和第二季度工信部侵害用户权益通报和下架通报为样本统计[注3],违规收集、使用用户个人信息的行为占到了所有被通报行为的60%以上。因此,加强对各阶段合规要点的理解和把控势在必行。
(一) 收集
个人信息收集是指获得个人信息控制权的行为,对于个人信息收集的要求均涉及合法性、最小必要、公开透明及一般情况下的授权同意等原则。收集是信息处理的源头,也是问题最多、风险最大的环节。就该阶段:
1. 确保合法性,不应以欺诈、诱骗、诱导的方式收集个人信息;不应隐瞒产品或服务所具有的收集个人信息的功能;不应从非法渠道获取个人信息。相对应的违规表现则是以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺骗、掩饰收集使用个人信息的真实目的。
2. 确保最小必要,即收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;自动采集个人信息的频率应是业务功能所必需的最低频率;间接获取个人信息的数量应是实现业务功能所必需的最少数量。对应的常见违规操作有收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;要求用户一次性同意打开多个可收集个人信息的权限,不同意则无法使用等。
比如工信部公布的违反最小必要原则的APP中,某读书软件APP手机的用户收货地址与所提供的业务功能无关;某银行手机APP,因用户不同意手机非必要的常用微信号等个人信息,拒绝提供“周边游”业务功能。
值得一提的是《常见类型移动互联网应用程序必要个人信息范围规定》对常见APP类型、对应的APP基本功能和必要个人信息范围作出列举,用以向社会示例如何理解实现功能所必需的个人信息内容。但有人会忽略了信息与功能目的的强关联性和匹配性,从而误解为只能收集该规定列举的信息。
3. 确保公开透明,即应向个人信息主体告知收集、使用个人信息的目的、方式和范围等,并要求告知通俗易懂、明确具体、易获取且告知完整、真实、准确。常见的违规操作有在APP中没有隐私政策、隐私政策难以访问(点击超过4次)、难以阅读(文字过小、过密、颜色过淡)、未逐一列出APP收集使用个人信息的目的、方式、范围等。
4. 确保获得明示同意,即不属于例外情况时应获得个人信息主体的明示授权同意,这里的明示包括通过书面、口头等方式主动作出纸质或电子形式的声明,或者作出肯定性动作(如主动勾选、主动点击“同意”、“注册”、“发送”,主动填写等)。常见的违规操作有未提示用户阅读隐私政策、默认勾选同意、征得用户同意前就开始收集个人信息或打开可收集个人信息的权限、用户明确表示不同意后,仍收集个人信息或打开收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用、实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围等。
《个人信息保护法》第十三条规定了依照劳动规章制度和签订集体合同实施人力资源管理时信息处理者可以直接处理个人信息,实际是给予了广大用人单位处理员工信息征询同意的豁免;《特区条例》在二十一条也有几乎相同的规定。就上述与实际需求相呼应的立法亮点,我们同时为《个人信息保护法》和《特区条例》点赞。
(二) 存储
对于个人数据存储的要求主要表现在期限最短、本地化存储和分类加密存储三个方面。
最短期限存储是指应当为实现处理目的所必需的最短时间,超出存储期限的,应当对个人数据予以删除或者匿名化。对于存储时间如何算最小,并没有一刀切的规定,存储时间还需要与企业所对应的行业要求进行匹配,如《电子商务法》要求商品和服务信息、交易信息保存时间自交易完成之日起不少于3年;《教育部等六部门关于规范校外线上培训的实施意见》要求,用户行为日志应当留存1年以上。
本地化存储,根据《网络安全法》《个人信息保护法》《个人信息和重要数据出境安全评估办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》等规定:(1)个人数据(或个人信息)应当本地化存储;(2)行业内的重要数据,如医疗健康行业、银行业(如中国)、保险业(如中国)、征信业(如中国)、交通(如中国)等本地化存储;(3)出境数据量超过1000GB的,网络运营者应报请行业主管或监管部门组织安全评估(《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条)。
分类加密存储,与数据的分域分类分级制度密切相关,但当前尚未看到明确的分类标准。已有规定中,如《特区条例》要求数据处理者对所收集的个人数据进行去标识化或者匿名化处理,并与可用于恢复识别特定自然人的数据分开存储(第七十六条)、数据处理者应当对数据存储进行分域分级管理,选择安全性能、防护级别与安全等级相匹配的存储载体;对敏感个人数据和国家规定的重要数据还应当采取加密存储、授权访问或者其他更加严格的安全保护措施(第七十七条)。
(三) 使用
个人信息的使用是指个人信息收集之后,根据收集目的进行的分析、处理。《个人信息保护法》《个人信息安全规范》《特区条例》中对使用的限制归结为四类:对个人信息的展示限制、目的限制、用户画像限制、自动化决策的限制限制。相较而言,《个人信息保护法》和《特区条例》重点提出了自动化决策不得对个人在交易价格等交易条件上实行不合理的差别待遇的规定。
1. 展示限制,涉及展示个人信息的,需对展示的个人信息采取去标识化处理等措施,如张**替代真实姓名。
2. 目的限制,不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围;确需超出,应再次征得个人信息主体同意。
3. 用户画像限制,用户画像也已经广泛存在于商业经营活动中,是指为了评估自然人的某些条件而对个人数据进行自动化处理的活动,包括为了评估自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、可靠性、行为方式、位置、行踪等进行的自动化处理。数据处理者基于提升产品或者服务质量的目的,对自然人进行用户画像的,应当明示用户画像的具体用途和主要规则并应当允许用户拒绝对其进行用户画像或者基于用户画像推荐个性化产品或者服务,数据处理者应当以易获取的方式向其提供拒绝的有效途径;数据处理者不得基于用户画像向未满十四周岁的未成年人推荐个性化产品或者服务。用户画像中对个人信息主体的特征描述,不应包含淫秽、色情、赌博、迷信等内容,不应表达对民族、宗教、残疾的歧视内容。
4. 自动化决策限制(个性化展示和大数据杀熟),《特区条例》《个人信息安全规范》中对个性化推送已经作出了规定,《特区条例》中亦有针对大数据杀熟的专门条款,《个人信息保护法》将个性化推送的内容与大数据杀熟共同并入第二十四条,以自动化决策统一进行了规制。
个性化展示是指在向个人信息主体提供服务的过程中,根据消费者的兴趣爱好、消费习惯等特征向其提供商品或服务搜索结果的个性化展示服务,就该服务提供者应同时提供不针对其个人特征的选项并提供简单直观的退出或关闭个性化展示模式的选项。
大数据杀熟是指市场主体不得利用数据分析,对交易条件相同的交易相对人实施差别待遇,这是近期的热点,对于消费者来说,大数据杀熟无疑是对忠实用户的隐性欺诈,因此备受诟病和批评,《特区条例》和《个人信息保护法》对此都作出了回应。
特别值得关注的是,《特区条例》对大数据杀熟行为的规制更为细致,除了规定不得实施差别待遇外,还规定了差别待遇的例外[注4]以及相应的罚则,相对于《个人信息保护法》,可参考性和可执行性更高。
(四) 加工和传输
虽然加工和传输作为数据处理的独立阶段出现在各法规和政策之中,但该两部分的内容几乎是空白的。
关于加工,我们理解,主要是基于数据通过各种分析加工形成新的数据、作品等形式的新权益的过程。《特区条例》规定市场主体对合法处理数据形成的数据产品和服务,可以依法自主使用,取得收益,进行处分,亦可以交易(第四条、第五十八条、第六十七条)。
数据传输,与数据加工类似,我们理解是数据在不同主体或者同一主体的不同部门之间进行传递的一个过程,就这个过程,更多的是技术层面和制度层面的保障,以确保传输过程的安全。
(五) 提供
提供是个人信息处理过程中除收集和使用之外另一个风险大户,涉及个人信息的委托处理、共享、转让、跨境提供等。《个人信息保护法》《个人信息安全规范》《特区条例》中均规定了上述几种提供方式下的关键要点,也与企业的业务经营活动息息相关,甚至直接影响到企业商业合同条款的拟定。
1. 委托处理,当个人信息处理者委托他方处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利义务,并对受托人的个人信息处理活动进行监督;受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;未经个人信息处理者同意,受托人不得转委托他人处理个人信息。
2. 向第三方转让、共享时,应当向个人信息主体告知共享、转让的目的、数据接收方的类型及可能的后果,征得个人信息主体的授权同意;通过合同等方式规定数据接收方的责任和义务;准确记录和存储个人信息的共享、转让情况以及接收方基本情况;帮助个人信息主体了解数据接收方对个人信息的存储、使用等情况;个人生物识别信息原则上不应共享、转让。
如果是通过接入第三方服务(SDK),向第三方共享信息时,应与第三方通过合同等形式明确双方的安全责任及应实施的个人信息安全措施;向个人信息主体明确产品或服务由第三方提供;还要对第三方软件开发工具包(sdk)开展技术检测确保个人信息收集使用符合约定要求。最为常见的适用情形即要在隐私政策中逐一列出嵌入的SDK信息(含名称、运营主体、用途、SDK手机的个人信息、SDK的隐私政策链接)。
如果是因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
向第三方提供个人信息过程中常见的违规操作为:既未经用户同意,也未做匿名化处理,APP客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息;既未经用户同意,也未做匿名化处理,数据传输至APP后台服务器后,向第三方提供其收集的个人信息;APP接入第三方应用,未经用户同意,向第三方应用提供个人信息。
3. 跨境提供,《个人信息保护法》第三十八到第四十三条,以单章的形式规定了个人信息跨境提供的规则,其中特别值得关注的是第三十八条——跨境提供个人信息应当具备前提条件,即业务必要的情况下,通过安全评估、经过保护认证、签订标准合同、采取必要措施。换句话说,对于个人信息的跨境提供,在前提条件上企业就需要做好足够充分的准备。
另外一条是第四十一条,即我国根据平等互惠原则处理外国司法或者执法机构关于提供存储于境内个人信息的请求,非经我国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。这对于许多掌握有众多个人信息,已在或拟在境外上市的企业来讲,可能会面临国内国外双边的严格审查甚至冲突处理。
4. 提供行为下特有的刑事责任——侵犯公民个人信息罪。信息处理全流程里面,目前仅有非法提供成为入罪的行为,我国《刑法》第二百五十三条之一规定了违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,构成侵犯公民个人信息犯罪,将处有期徒刑、拘役,并处或者单处罚金。[注5]
细读最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号,以下简称《两高解释》),会发现该罪的定罪量刑的起点非常低,表现在:
(1) “违反法律、行政法规、部门规章”有关规定的都属于“违反国家有关规定”,尤其是“部门规章”的加入加宽定罪的范围;
(2) 非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;非法获取、出售或者提供前述规定以外的公民个人信息五千条以上的;或者违法所得五千元以上的即构成“情节严重”,是上述标准十倍以上的,即“情节特别严重”;如果是在履行职责或者提供服务过程中讲获得的公民个人信息出售或者提供给他人,数量或者数额标准则只是前述标准的一半;
(3) 向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。
在互联网环境下,五十条、五百条、五千条、五千元是非常容易突破的数值。换句话讲,无论是企业还是个人,一旦存在违法出售或提供公民个人信息行为的,其责任极易突破民事和行政,扩展到刑事层面,风险极大。
(六) 公开
个人信息的公开指向社会或不特定人群发布信息的行为。《个人信息保护法》《个人信息安全规范》均规定了个人信息公开的规则,但《个人信息保护法》的规定较为原则,在落实相关规则时可以参考《个人信息安全规范》的规定。
(七) 删除
删除在最终版的《个人信息保护法》中被当做信息处理中一个独立的阶段,不过在之前的二次审议稿以及《特区条例》等其他文件中均有相关规定,是指在出现特定情形时,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
1. 处理目的已实现、无法实现或者为实现处理目的不再必要;
2. 个人信息处理者停止提供产品或者服务,或者保存期限已届满;
3. 个人撤回同意;
4. 个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
5. 法律、行政法规规定的其他情形。
如果法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
需要注意的是,处理敏感个人信息时。除了要遵守前述一般个人信息的处理规则之外,《个人信息保护法》还规定了更为严格的要求,如要取得个人的单独同意、向个人告知处理敏感个人信息的必要性以及对个人权益的影响等。
“从2019年初启动APP违法违规收集使用个人信息专项整治行动,至今已经过去了两年半的时间,企业对于个人信息处理的合规问题已不陌生,我们相信监管实践中积累的宝贵经验必将在《个人信息保护法》生效之初,对该法的理解和落地起到重要的指引作用;而《个人信息保护法》的出台和生效,也会成为执法部门持续监管的重要依据。”
注释及参考文献:
[1]《民法典》第1034条规定:“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”
[2] 之前的二次审议稿以及相关的法规中均存在数据删除的内容,只是未将“删除”作为处理活动中单独的一项而已。
[3] 《APP下架压力大,合规整改怎么做?(附自查整改清单)》https://mp.weixin.qq.com/s/wG8jph2BpE9z7DNo2poL-A
[4] 《深圳经济特区数据保护条例》第六十九条 市场主体不得利用数据分析,对交易条件相同的交易相对人实施差别待遇,但是有下列情形之一的除外:
(一)根据交易相对人的实际需求,且符合正当的交易习惯和行业惯例,实行不同交易条件的;
(二)针对新用户在合理期限内开展优惠活动的;
(三)基于公平、合理、非歧视规则实施随机性交易的;
(四)法律、法规规定的其他情形。
[5]《刑法》第二百五十三条之一 【侵犯公民个人信息罪】
违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
