2021年11月1日,萬眾矚目的《中華人民共和國個人信息保護法》(下稱“《個信法》”)終于C位出道,占據了我國個人信息保護領域專門立法的頭把交椅。面對《個信法》的正式生效,Apple(于2021 年10月27日更新了《Apple 隱私政策》[1])、騰訊(于2021 年10月29日更新了《微信隱私保護指引》[2])等平臺均已給出了答卷(見下圖),而你的答卷上交了嗎?你真的準備好了嗎?
上:《Apple 隱私政策》;下:《微信隱私保護指引》[3]
我們特此梳理互聯網平臺(僅針對作為個人信息處理者的情形,下稱“平臺”)從容應對《個信法》的“七步”秘訣,幫助平臺為《個信法》交出合格的答卷。
平臺在著急應對《個信法》前,別忘記先行確定自身是否真的受《個信法》的規制,簡單而言,分三小點進行判斷:
第一點,看行為,即是否存在處理個人信息的行為。核心關鍵詞為“個人信息”與“處理”:其一,標的應屬于《個信法》規定的“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息”,其中匿名化處理后的信息非個人信息;其二,行為應屬于《個信法》規定的“處理”行為,包括收集、存儲、使用、加工、傳輸、提供、公開、刪除等。
第二點,看地域,即該行為的發生地,若屬于在我國境內處理個人信息的活動,應受《個信法》規制;若屬于在我國境外處理個人信息,只有在滿足下述情形下才受《個信法》管轄:個人信息的主體在為“境內自然人”,同時,存在“以向境內自然人提供產品或者服務為目的”“分析、評估境內自然人的行為”或“法律、行政法規規定的其他情形”(下稱“三種情形”)中的任一情形。
第三點,看例外情形,《個信法》規定了兩種例外情形,其一,自然人因個人或者家庭事務處理個人信息的,不適用《個信法》;其二,法律對各級人民政府及其有關部門組織實施的統計、檔案管理活動中的個人信息處理有規定的,適用其規定。
綜上,可以得出,若同時滿足:(1)標的為“個人信息”,存在“處理”行為;(2)行為發在中國境內或發生在境外,但對象為境內自然人且存在三種情形中的任一情形;(3)不存在例外情形,就要受《個信法》的規制。
《個信法》一大顯著特點就是處罰嚴厲,若受《個信法》規制,建議平臺先行明晰違規成本,以為自身行為加上“枷鎖”。《個信法》項下的罰則呈現出“雙罰制”“兩級制”以及“處罰措施多維度”的特點,具體如下:
其一,采取“雙罰制”。針對違反《個信法》規定處理個人信息的,或未履行《個信法》規定個人信息保護義務的,除了針對單位進行處罰外,亦明確了責任人(直接負責的主管人員和其他直接責任人)應承擔的行政責任;
其二,采取“兩級制”。《個信法》區分違規的“一般情形”與“情節嚴重”分別設置兩級處罰,其中,罰款最高可達5000萬元或上一年度營業額5%;
其三,“處罰措施多維度”。除罰款外,亦規定了責令改正,給予警告,沒收違法所得,責令暫停或者終止提供服務等以及針對負責人的“行業禁止令”等處罰措施,該等措施與罰款可為“并處”關系。
平臺擁有海量的自然人用戶,處理個人信息,應當具備《個信法》規定的合法性基礎。隨著《個信法》的生效,我國確立了以“告知—同意”為核心的個人信息處理系列規則:
其一,顯著告知,個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知有關個人信息處理者和信息處理的相關事項,通過制定個人信息處理規則的方式告知的,該處理規則應當予以公開,并便于查閱和保存;
其二,取得同意,除法定情形(如為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需等情形)外,取得個人在充分知情的前提下的自愿同意。
其三,單獨同意,若涉及到向第三方個人信息處理者提供個人信息、公開個人信息、公共場所安裝圖像采集、個人身份識別設備,用于維護公共安全以外目的收集個人圖像、身份識別信息、處理敏感個人信息、向境外提供個人信息等“單獨同意”事項,則應當取得個人的單獨同意;
其四,特殊同意,若涉及針對不滿十四周歲未成年人的個人信息處理,應當取得該個人的單獨同意(該類信息屬于敏感個人信息)并取得未成年人的父母或者其他監護人的同意。
平臺可根據自身處理的個人信息類別及處理情形,對應采取上述措施取得處理個人信息的合法性基礎。
合規處理個人信息,單單獲得個人的同意,還遠遠不夠。《個信法》吸收GDPR等國際經驗,并基于我國國情確立了處理個人信息的一般原則,包含:合法、正當、必要和誠信原則;目的明確、合理原則;最小必要原則;公開、透明原則;質量原則;安全保護原則。個人信息處理者應將上述原則貫穿于個人信息處理的全過程與各環節。以最小必要原則為例,落實該原則,分三點內容:
其一,最小影響,處理個人信息應當采取對個人權益影響最小的方式;
其二,最小范圍,收集個人信息,應當限于實現處理目的的最小范圍,不得過度收集個人信息;
其三,最短時間,除法律、行政法規另有規定外,個人信息的保存期限應當為實現處理目的所必要的最短時間。
除上述原則性內容判斷方式外,針對該最小必要原則,可依據《常見類型移動互聯網應用程序必要個人信息范圍規定》(國信辦秘字〔2021〕14號)列舉的常見類型App予以對照,或可參考國家標準《信息安全技術 個人信息安全規范》(GB/T 35273—2020,下稱《國標》)中對收集個人信息的最小必要的釋明:“收集的個人信息的類型應與實現產品或服務的業務功能有直接關聯;直接關聯是指沒有該等信息的參與,產品或服務的功能無法實現;自動采集個人信息的頻率應是實現產品或服務的業務功能所必需的最低頻率;間接獲取個人信息的數量應是實現產品或服務的業務功能所必需的最少數量。”予以判斷,以確保處理個人信息符合該原則。
平臺在處理個人信息過程中,除應注意自身的處理行為外,更應注意保障個人信息主體的法定權益,建立便捷的個人行使權利的申請受理和處理機制。
個人信息主體所享有的法定權利包括知情決定權、查閱復制權、可攜帶權、更正補充權、刪除權、請求解釋說明權、逝者近親屬權利、拒絕自動化決策權等,以社會廣泛關注的自動化決策為例,《個信法》生效后,平臺利用個人信息進行自動化決策,應注意下述要點:
其一,禁止“大數據殺熟”,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇;
其二,提供備選或便捷的拒絕方式,通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。其中,不針對個人特征的選項,根據《國標》第7.5條第b)項注釋,基于個人信息主體所選擇的特定地理位置進行展示、搜索結果排序,且不因個人信息主體身份不同展示不一樣的內容和搜索結果排序,則屬于不針對其個人特征的選項;
其三,拒絕自動化決策權,若作出對個人權益有重大影響的決定的(針對對個人權益有重大影響的決定,《國標》列舉了如下情形:自動決定個人征信及貸款額度,或用于面試人員的自動化篩選等),個人有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定;
其四,履行評估義務,應當事前進行個人信息保護影響評估,并對處理情況進行記錄。評估應當包括下列內容:(1)個人信息的處理目的、處理方式等是否合法、正當、必要;(2)對個人權益的影響及安全風險;(3)所采取的保護措施是否合法、有效并與風險程度相適應。對應的個人信息保護影響評估報告和處理情況記錄應當至少保存三年。
若因業務等需要,確需向我國境外提供個人信息的,應具備下列條件之一:
其一,通過安全評估:關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者(境內儲存:應當將在我國境內收集和產生的個人信息存儲在境內)確需向境外提供的,應通過國家網信部門組織的安全評估;
其二,個人信息保護認證:按照國家網信部門的規定經專業機構進行個人信息保護認證;
其三,訂立標準合同:按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務。
滿足前述任一條件跨境提供個人信息的,平臺應當采取必要措施,保障境外接收方處理個人信息的活動達到《個信法》規定的個人信息保護標準。
平臺處理個人信息,做到前六步,還不足為自身建立起“金鐘罩”。
《個信法》確立了個人信息處理侵權糾紛的舉證責任倒置原則(處理個人信息侵害個人信息權益造成損害,個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任)。這就倒逼平臺來留存對應能證明自身沒有過錯的證據,對此,平臺應該如何自證清白?
我們團隊根據既往的個人信息保護合規的項目經驗,提煉上述個人信息處理者的法定義務,總結出“MACTOP”合規“武器”,幫助平臺進行“自證清白”:
(1) M:即“Management”,平臺需要建立與個人信息保護相關的內部管理制度和管理規程,落實個人信息保護負責人崗位設置,申請獲得ISO27001信息安全管理體系認證、網絡安全等級保護等資質,從系統資質、人員崗位設置及管理細則等方面“自外而內”管理職責和要求;
(2) A:即“Authorization” & “Assessment”,其一,平臺需要合理確定個人信息處理的操作權限,根據業務流、個人信息流,授權不同部門、人員進行相應的處理;其二,平臺需要依法定期進行合規審計,并依法履行個人信息保護影響評估義務,予以記錄與流痕;
(3) C:即“Category”,平臺需要對個人信息進行分類管理,根據不同的類別賦予不同的數據保護工具。如區分一般個人信息、敏感個人信息等類別給予不同維度的保護層級;
(4) T:即“Technology”,平臺需要采取相應的加密、去標識化等安全技術措施,來保護經分類和授權處理的個人信息;
(5) O:即“Organization”,平臺需要定期對從業人員進行安全教育和培訓。如通過簽署保密協議、進行背景調查、定期安全教育、定期培訓等方式,增強平臺從業人員對于個人信息保護的合規意識,亦可以進一步明確內部涉及個人信息處理不同崗位的職責和處罰機制;
(6) P:即“Plan”,平臺需要建立個人信息安全事件應急預案并定期組織相關人員進行演練,履行個人信息泄露通知、補救等各項義務與流程,明確各主體責任。
除通過上述“MACTOP”建立合規體系外,若屬于大型網絡平臺(即重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者),還應 (a)建立健全個人信息保護合規制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督;(b)制定平臺規則,明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務;(c)對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者,停止提供服務;(d)定期發布個人信息保護社會責任報告,接受社會監督,從而得以“自證清白”。
良好的信息保護是數據共享與數字資源最大化利用的基本前提。我們相信,通過前述“七步”秘訣,互聯網平臺能明晰自身是否受《個信法》管轄、違規成本、處理個人信息的合法性基礎、合規方式、個人享有的法定權益、跨境傳輸的合規要點以及在舉證責任倒置下的合規應對,逐步踐行出符合《個信法》要求的合格答卷,讓廣大互聯網用戶重拾信心,激發網絡數據共享與利用的活力,從而營造出數字經濟的良好生態環境,最終反作用于平臺的商業發展,由此循環往復,使得《個信法》真正為數字經濟發展保駕護航!
[注]
[1]《Apple 隱私政策》:https://www.apple.com.cn/legal/privacy/szh/ ,2021 年 11月 1 日第一次訪問
[2]《微信隱私保護指引》:https://weixin.qq.com/cgi-bin/readtemplate?lang=zh_CN&t=weixin_agreement&s=privacy,2021 年 11月 1 日第一次訪問
[3]所涉截圖僅為本文舉例展示之用,不視為對所涉主體個人信息處理合規性的任何評價。
本文來自微信公眾號“靈工平臺評級”(ID:gh_b40dc7a3106c),作者:高亞平律師團隊,36氪經授權發布。
