引言:我國個人信息保護領域立法活躍
今年10月��,我國個人信息保護領域最詳盡的一份標準文件——《信息安全技術 個人信息安全規範》(GB/T-35273/2018)(以下稱“《個人信息安全規範》”)——一年內第三次修訂並征求意見[1]���,反映了我國個人信息保護領域的立法十分活躍的態勢。今年內����,包括《網絡安全審查辦法》《數據安全管理辦法(征求意見稿)》《兒童個人信息網絡保護規定》《最高人民法院���、最高人民檢察院關於辦理非法利用信息網絡�����、幫助信息網絡犯罪活動等刑事案件適用法律若幹問題的解釋》在內的多部法律法規�����、國家標準密集出台�、快速更新甚至正式實施。
和2月發布的《信息安全技術 個人信息安全規範(草案)》(以下稱“《個人信息安全規範》2月版”或“2月版”)及6月發布的《信息安全技術 個人信息安全規範(征求意見稿)》(以下稱“《個人信息安全規範》6月版”或“6月版”)相比��,10月發布的《信息安全技術 個人信息安全規範(征求意見稿)》(以下稱“《個人信息安全規範》10月版”或“10月版”�����,並與上述2月版和6月版統稱為“《個人信息安全規範》三次修訂草案”或“三次修訂草案”)在(zai)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)方(fang)麵(mian)進(jin)一(yi)步(bu)完(wan)善(shan)了(le)相(xiang)關(guan)製(zhi)度(du)設(she)計(ji)����,例(li)如(ru)����,在(zai)個(ge)人(ren)信(xin)息(xi)的(de)定(ding)義(yi)部(bu)分(fen)補(bu)充(chong)注(zhu)解(jie)���,明(ming)確(que)由(you)個(ge)人(ren)信(xin)息(xi)控(kong)製(zhi)者(zhe)通(tong)過(guo)個(ge)人(ren)信(xin)息(xi)或(huo)其(qi)他(ta)信(xin)息(xi)加(jia)工(gong)處(chu)理(li)後(hou)形(xing)成(cheng)的(de)信(xin)息(xi)也(ye)屬(shu)於(yu)個(ge)人(ren)信(xin)息(xi)�;新增協助個人信息主體注銷賬戶的義務�����;加強了委托處理的安全監督義務等等。可以看到����,我國的個人信息保護法正在依據自身的發展特點逐步具體化���、合理化。
此時我們回過頭來�,審視一年多以前生效的歐盟《通用數據保護條例》(以下稱“GDPR”)����,我們與GDPR——這部史上最嚴個人信息保護法——所確立的合規標準距離還有多遠�����?在我們的個人信息保護立法體係日趨完善的過程中�����,我們是否會麵臨更多法域衝突帶來的合規挑戰���?
本文將以《個人信息安全規範》(如無特別說明�����,下文若提及《個人信息安全規範》����,將包括《個人信息安全規範》及其三次修訂草案)為核心�,結合中國其他個人信息保護相關法律法規(合稱“個人信息保護法”)��,分析GDPR與我國的個人信息保護法相比��,在哪些方麵提出了更高的合規要求以及GDPR與我國個人信息保護法的衝突。受篇幅所限����,本文僅選擇一些重大且得到廣泛關注的事項展開討論����,供讀者參考。
一����、 我國個人信息保護法與GDPR的主要差異
我國的個人信息保護法起步較晚���,整體上借鑒了GDPR的(de)製(zhi)度(du)設(she)計(ji)�����,同(tong)時(shi)結(jie)合(he)我(wo)國(guo)數(shu)據(ju)產(chan)業(ye)的(de)實(shi)際(ji)情(qing)況(kuang)����,形(xing)成(cheng)了(le)自(zi)己(ji)的(de)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)規(gui)則(ze)。在(zai)一(yi)些(xie)看(kan)似(si)相(xiang)似(si)的(de)法(fa)律(lv)規(gui)定(ding)上(shang)���,僅(jin)僅(jin)遵(zun)循(xun)我(wo)國(guo)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)法(fa)�����,並(bing)不(bu)能(neng)滿(man)足(zu)GDPR的要求。
1. 域外效力
中國個人信息保護法普遍適用於在中國境內的機構或個人的數據處理行為。
關於中國個人信息保護法的域外效力����,目前在已生效的個人信息保護法中�����,僅有《網絡安全法》明確規定其對境外網絡運營者發布違法信息或攻擊我國關鍵信息基礎設施的行為存在域外效力[2]。《個人信息出境安全評估辦法(征求意見稿)》diershitiaoguidingqishiyongyujingwaijigoutongguohulianwangdengshoujizhongguojingneiyonghugerenxinxideqingxing。chucizhiwai�,zhongguogerenxinxibaohufadeyuwaixiaolishangbumingxi。
GDPR則明確規定��,如果是設立於歐盟境外的機構或個人為歐盟境內的數據主體提供貨物或服務(無論數據主體是否被要求付費)����,或對數據主體在歐盟境內的行為進行監控�,則GDPR對其具有域外效力。[3]
2. 處理的基本原則
《個人信息安全規範》規定個人信息處理的基本原則包括權責一致�、目的明確����、選擇同意�、最少夠用[4]�、公開透明����、確保安全和主體參與原則。[5]
以上原則在GDPR中也得以規定和體現。[6]除此之外GDPR還提出了“準確性原則”����,即ji要yao求qiu個ge人ren數shu據ju應ying是shi準zhun確que的de�����,且qie若ruo有you必bi要yao應ying保bao持chi適shi時shi更geng新xin��,采cai取qu一yi切qie合he理li措cuo施shi確que保bao與yu數shu據ju處chu理li目mu的de相xiang悖bei的de錯cuo誤wu數shu據ju被bei及ji時shi清qing除chu或huo更geng正zheng。[7]該項原則在中國個人信息保護法中未做規定。
3. 個人信息主體的同意
(1) 明示同意
中國個人信息保護法下���,並非所有的個人信息處理行為都必須取得個人信息主體的明示同意。《個人信息安全規範》10月版和《個人信息安全規範》��、2月版及6月版相比����,特別明確了授權同意的範圍包括默許同意。《個人信息安全規範》10月版第3.7條規定���,個人信息主體對其個人信息進行特定處理作出明確授權的行為�����,包括通過積極的行為作出授權(即明示同意)����,或者通過消極的不作為而作出授權(例如信息采集區域內的個人信息主體在被告知信息收集行為後沒有離開該區域)。
GDPR將“數據主體的同意(consent of the data subject)”定義為“數據主體依據其個人意願���,自由�、明確����、知情並清楚地通過陳述或積極行為表示對其個人數據進行處理的同意”[8]�����,相當於中國個人信息保護法所定義的“明示同意”。基於這一定義����,在GDPR下取得個人信息主體的同意必須是明示同意���,排除了默許同意的適用。
(2) 自願原則
中國個人信息保護法和GDPR均規定����,個人信息主體的同意應由其自願給出����,不得強迫個人信息主體作出同意。
《個人信息安全規範》僅jin規gui定ding了le自zi願yuan原yuan則ze在zai平ping等deng主zhu體ti之zhi間jian的de適shi用yong����,如ru產chan品pin或huo服fu務wu的de提ti供gong者zhe收shou集ji客ke戶hu個ge人ren信xin息xi時shi����,不bu得de違wei背bei個ge人ren信xin息xi主zhu體ti的de自zi主zhu意yi願yuan��,強qiang迫po個ge人ren信xin息xi主zhu體ti接jie受shou產chan品pin或huo服fu務wu所suo提ti供gong的de業ye務wu功gong能neng及ji相xiang應ying的de個ge人ren信xin息xi收shou集ji請qing求qiu。[9]
而GDPR在適用自願原則時則考慮到更多情況。根據GDPR相關指引[10]�����,數據主體的同意是否自願給出�,還需考慮數據控製者和數據主體是否存在權力不對等的情況��,例如政府機關和個人��、用人單位和雇員。
4. 處理的合法基礎
按照中國個人信息保護法�����,除為行政執法和司法目的外[11]���,控製者收集��、共享���、轉讓�����、公開披露或以其他方式處理個人信息的��,必須以取得個人信息主體的同意作為其處理行為的合法基礎。《個人信息安全規範》對dui此ci規gui定ding了le例li外wai情qing形xing���,其qi中zhong包bao括kuo個ge人ren信xin息xi是shi通tong過guo各ge種zhong合he法fa公gong開kai渠qu道dao獲huo取qu的de�����,如ru個ge人ren信xin息xi是shi個ge人ren信xin息xi主zhu體ti自zi行xing向xiang社she會hui公gong眾zhong公gong開kai的de或huo從cong合he法fa公gong開kai披pi露lu的de信xin息xi中zhong(如合法的新聞報道�、政府信息公開等渠道)收集的����,以及新聞單位為開展合法的新聞報道所必需而處理個人信息。[12]雖然《個人信息安全規範》對個人信息主體的同意規定了例外情形�����,但是我國強製性法律法規中並無對該等同意的例外情形的規定。
GDPR允yun許xu控kong製zhi者zhe除chu基ji於yu個ge人ren信xin息xi主zhu體ti同tong意yi之zhi外wai����,還hai可ke以yi基ji於yu其qi他ta多duo種zhong合he法fa基ji礎chu處chu理li個ge人ren數shu據ju��,但dan通tong過guo合he法fa公gong開kai渠qu道dao獲huo取qu個ge人ren信xin息xi以yi及ji新xin聞wen單dan位wei為wei開kai展zhan合he法fa的de新xin聞wen報bao道dao所suo必bi需xu而er處chu理li個ge人ren信xin息xi並bing不bu在zai此ci列lie。因yin此ci����,即ji使shi數shu據ju主zhu體ti主zhu動dong公gong開kai個ge人ren信xin息xi�����,也ye不bu代dai表biao其qi默mo認ren同tong意yi任ren何he數shu據ju控kong製zhi者zhe基ji於yu任ren何he目mu的de對dui其qi個ge人ren信xin息xi的de處chu理li�����;對(dui)於(yu)新(xin)聞(wen)單(dan)位(wei)而(er)言(yan)��,除(chu)非(fei)根(gen)據(ju)歐(ou)盟(meng)法(fa)律(lv)或(huo)其(qi)所(suo)在(zai)國(guo)法(fa)律(lv)��,其(qi)為(wei)開(kai)展(zhan)新(xin)聞(wen)報(bao)道(dao)而(er)處(chu)理(li)個(ge)人(ren)信(xin)息(xi)的(de)行(xing)為(wei)被(bei)認(ren)定(ding)為(wei)履(lv)行(xing)其(qi)法(fa)定(ding)義(yi)務(wu)或(huo)其(qi)涉(she)及(ji)公(gong)共(gong)利(li)益(yi)的(de)職(zhi)責(ze)或(huo)實(shi)施(shi)其(qi)被(bei)授(shou)予(yu)的(de)職(zhi)務(wu)權(quan)限(xian)所(suo)必(bi)要(yao)��,否(fou)則(ze)也(ye)不(bu)能(neng)以(yi)開(kai)展(zhan)合(he)法(fa)新(xin)聞(wen)報(bao)道(dao)為(wei)由(you)未(wei)經(jing)個(ge)人(ren)信(xin)息(xi)主(zhu)體(ti)同(tong)意(yi)而(er)處(chu)理(li)個(ge)人(ren)信(xin)息(xi)。[13]
5. 披露義務
中國個人信息保護法和GDPR在控製者對個人信息主體的披露義務方麵也存在一些不同的規定。
以自動決策機製為例���,《個人信息安全規範》未就涉及自動決策情形下的披露義務作出專門規定。GDPRzemingqueguiding��,ruguokongzhizhecaiqubaokuoyonghuhuaxiangzaineidezidongjuecejizhi���,zeqizaishoujigerenxinxishiyingxianggerenxinxizhutipilujuecezhongsuoyunyongdeluojiyijigaichulixingweiduigerenxinxizhutidezhongyaoxinghekenengchanshengdehouguo。[14]
6. 兒童個人信息收集:監護人授權同意的實質審查
收集個人信息主體需遵循授權同意原則�����,針對兒童�,則需要其監護人代為做出授權同意的動作。[15]但是中國個人信息保護法目前對監護人授權同意並無實質審查要求。
GDPRzeyaoqiushujukongzhizheyingdangkaolvkeliyongdejishubingzuochuhelidenuli���,yiheshizaishejiertongdeqingxingzhongxiangguantongyishifouyougaiertongdejianhurenzuochuhuoshouquan���,jiduiertongjianhurenshouquantongyidezhenshixingjinxingshizhishenzha。[16]例(li)如(ru)����,注(zhu)冊(ce)者(zhe)如(ru)承(cheng)認(ren)自(zi)己(ji)在(zai)兒(er)童(tong)年(nian)齡(ling)線(xian)以(yi)下(xia)����,則(ze)注(zhu)冊(ce)者(zhe)應(ying)提(ti)供(gong)家(jia)長(chang)的(de)電(dian)子(zi)郵(you)箱(xiang)地(di)址(zhi)��,數(shu)據(ju)控(kong)製(zhi)者(zhe)應(ying)聯(lian)係(xi)家(jia)長(chang)以(yi)取(qu)得(de)同(tong)意(yi)����,並(bing)確(que)認(ren)家(jia)長(chang)的(de)監(jian)護(hu)責(ze)任(ren)。[17]
7. 個人信息主體的權利
從個人信息主體享有的權利類型來看�����,與中國個人信息保護法相比�����,GDPR另賦予個人信息主體對其個人數據享有限製處理權和反對權。
此外�����,二者在個人信息主體的具體權利內容上也有所不同。以個人信息主體的刪除權為例�����,《個人信息安全規範》對個人信息的刪除權做了一定的條件限製�,即僅在控製者違法違規或違反與個人信息主體的約定收集��、使用個人信息時����,個人信息主體才可行使刪除權。[18]
GDPR取消了類似的權利行使的限製條件�����,即使對個人信息的處理並不違反法律規定����,個人信息主體仍可基於個人信息對行使目的的不必要性����、撤銷同意�����、反對權�、遵守歐盟或成員國的法定義務所需����、涉及提供信息社會服務時收集的兒童個人信息等法定情形行使刪除權。[19]
8. 個人信息安全事件處置
中國個人信息保護法和GDPR均要求控製者在出現個人信息安全事件時上報監管部門��,但《個人信息安全規範》對於控製者的報告期限未做規定��,僅規定“按照《國家網絡安全事件應急預案》等有關規定及時上報”[20]�,而現行的《國家網絡安全事件應急預案》亦未對報告期限作出規定。
GDPR則明確要求控製者在發現個人數據泄漏事故起72小時內通知監管機構����,除非該個人數據的泄露不太可能會對自然人的權利和自由造成風險�;未能在72小時內報告的����,需要說明未及時報告的理由。[21]
9. 組織管理要求
此外�,在組織管理要求方麵�,中國個人信息保護法和GDPR也有諸多差異��,如個人信息保護負責人的設置和職責[22]�����、個人信息處理活動的記錄[23]�����、向主管部門的事先谘詢機製[24]等。
二��、 我國個人信息保護法與GDPR在數據跨境傳輸方麵的衝突
如上文所述�����,基於GDPR的域外管轄權����,中國境內的控製者向歐盟境內的個人信息主體收集個人信息後����,須滿足個人信息主體在GDPR項下的權利要求。
在此情形下����,如果個人信息主體行使訪問權�,根據GDPR第15條訪問權�����、第20條tiao可ke攜xie帶dai權quan的de要yao求qiu�,中zhong國guo境jing內nei的de控kong製zhi者zhe有you義yi務wu響xiang應ying個ge人ren信xin息xi主zhu體ti的de權quan利li請qing求qiu��,包bao括kuo向xiang其qi確que認ren其qi個ge人ren信xin息xi是shi否fou被bei處chu理li���,說shuo明ming個ge人ren信xin息xi處chu理li的de目mu的de����、相關個人信息的類別���,提供正在處理的個人信息的副本等���;如果個人信息主體行使可攜帶權�,則該數據控製者應當向個人信息主體提供結構化�、通用化和可機讀的個人信息���,且個人信息主體有權將這些個人信息傳輸給其他的數據控製者����,原數據控製者不得進行阻礙。
同時���,GDPR授予歐盟各監管機構的調查權也允許各監管機構“命令數據控製者或數據處理者�、其代表人(如有)提供其履行職責所必要的所有信息”以及“以數據保護審計的形式實施調查”[25]。
我國《網絡安全法》第三十七條規定�,“關(guan)鍵(jian)信(xin)息(xi)基(ji)礎(chu)設(she)施(shi)的(de)運(yun)營(ying)者(zhe)在(zai)中(zhong)華(hua)人(ren)民(min)共(gong)和(he)國(guo)境(jing)內(nei)運(yun)營(ying)中(zhong)收(shou)集(ji)和(he)產(chan)生(sheng)的(de)個(ge)人(ren)信(xin)息(xi)和(he)重(zhong)要(yao)數(shu)據(ju)應(ying)當(dang)在(zai)境(jing)內(nei)存(cun)儲(chu)。因(yin)業(ye)務(wu)需(xu)要(yao)�,確(que)需(xu)向(xiang)境(jing)外(wai)提(ti)供(gong)的(de)�,應(ying)當(dang)按(an)照(zhao)國(guo)家(jia)網(wang)信(xin)部(bu)門(men)會(hui)同(tong)國(guo)務(wu)院(yuan)有(you)關(guan)部(bu)門(men)製(zhi)定(ding)的(de)辦(ban)法(fa)進(jin)行(xing)安(an)全(quan)評(ping)估(gu)�����;法律��、行政法規另有規定的�����,依照其規定。”《個人信息出境安全評估辦法(征求意見稿)》(以下簡稱“《個人信息出境安全評估辦法》”)第二條規定���,“網絡運營者向境外提供在中華人民共和國境內運營中收集的個人信息(以下稱個人信息出境)�����,應當按照本辦法進行安全評估。經安全評估認定個人信息出境可能影響國家安全�、損害公共利益�,或者難以有效保障個人信息安全的�,不得出境。”
如果中國境內的控製者需要滿足GDPRxiagerenxinxizhutidequanliqingqiuhuopeiheoumengjianguanjigoutiaozha����,danzaitijiaowoguojianguanjigoupingguhou�����,jianguanjigoujuedinggaidenggerenxinxibudechujingde���,zezaiciqingxingxia���,zhongguogerenxinxibaohufaheGDPR將存在實質性衝突。
三�����、合規建議
如上所述����,對於中國企業(特別是有出海業務的中國企業)而er言yan��,僅jin遵zun守shou中zhong國guo的de個ge人ren信xin息xi保bao護hu法fa不bu足zu以yi滿man足zu歐ou盟meng的de監jian管guan要yao求qiu�����,還hai可ke能neng因yin法fa域yu衝chong突tu麵mian臨lin兩liang難nan的de局ju麵mian。建jian議yi此ci類lei企qi業ye全quan麵mian梳shu理li不bu同tong法fa域yu的de數shu據ju合he規gui要yao求qiu���,明ming確que差cha異yi與yu衝chong突tu�,並bing基ji於yu此ci製zhi定ding有you針zhen對dui性xing的de解jie決jue方fang案an�;對(dui)於(yu)與(yu)歐(ou)盟(meng)境(jing)內(nei)主(zhu)體(ti)有(you)數(shu)據(ju)交(jiao)換(huan)業(ye)務(wu)的(de)企(qi)業(ye)而(er)言(yan)��,有(you)必(bi)要(yao)盡(jin)早(zao)與(yu)境(jing)外(wai)主(zhu)體(ti)就(jiu)數(shu)據(ju)交(jiao)換(huan)業(ye)務(wu)展(zhan)開(kai)溝(gou)通(tong)���,提(ti)前(qian)準(zhun)備(bei)數(shu)據(ju)傳(chuan)輸(shu)協(xie)議(yi)等(deng)文(wen)件(jian)�����,以(yi)免(mian)我(wo)國(guo)個(ge)人(ren)信(xin)息(xi)出(chu)境(jing)安(an)全(quan)評(ping)估(gu)機(ji)製(zhi)一(yi)旦(dan)落(luo)地(di)後(hou)�,因(yin)不(bu)能(neng)履(lv)行(xing)向(xiang)境(jing)外(wai)主(zhu)體(ti)提(ti)供(gong)個(ge)人(ren)信(xin)息(xi)而(er)承(cheng)擔(dan)違(wei)約(yue)責(ze)任(ren)����,或(huo)因(yin)無(wu)法(fa)取(qu)得(de)對(dui)方(fang)的(de)配(pei)合(he)而(er)難(nan)以(yi)完(wan)成(cheng)我(wo)國(guo)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)法(fa)所(suo)要(yao)求(qiu)的(de)個(ge)人(ren)信(xin)息(xi)出(chu)境(jing)安(an)全(quan)評(ping)估(gu)程(cheng)序(xu)。
注釋:
[1] 信息安全標準化委員會截至目前對《個人信息安全規範》進行了三次修訂並公布了三次修訂的征求意見稿/草案���,包括2019年2月1日發布的《個人信息安全規範(草案)》�����、2019年6月25日發布的《個人信息安全規範(征求意見稿)》以及2019年10月24日發布的《個人信息安全規範(征求意見稿)》。
[2] 《網絡安全法》第五十條��、第七十五條。
[3] GDPR第3條。
[4] 《個人信息安全規範》10月版將該原則改稱為“最小必要”原則。
[5] 《個人信息安全規範》10月版第4條。
[6] GDPR第5條。
[7] GDPR第5條第1款(d)項。
[8] GDPR第4條第(11)項。
[9] 《個人信息安全規範》10月版第5.3條。較之《個人信息安全規範》�,該條款為三次修訂草案新增條款��,且在三次修訂草案中內容基本一致����,有個別內容有所調整。
[10] 《歐盟第二十九條工作組關於 2016/679 條例下同意的指引》3.1.1 (3.1.1, Article 29 Working Party Guidelines on Consent under Regulation 2016/679).
[11] 例如�����,根據《中華人民共和國電子商務法》第二十五條�,“有關主管部門依照法律���、行(xing)政(zheng)法(fa)規(gui)的(de)規(gui)定(ding)要(yao)求(qiu)電(dian)子(zi)商(shang)務(wu)經(jing)營(ying)者(zhe)提(ti)供(gong)有(you)關(guan)電(dian)子(zi)商(shang)務(wu)數(shu)據(ju)信(xin)息(xi)的(de)�,電(dian)子(zi)商(shang)務(wu)經(jing)營(ying)者(zhe)應(ying)當(dang)提(ti)供(gong)。有(you)關(guan)主(zhu)管(guan)部(bu)門(men)應(ying)當(dang)采(cai)取(qu)必(bi)要(yao)措(cuo)施(shi)保(bao)護(hu)電(dian)子(zi)商(shang)務(wu)經(jing)營(ying)者(zhe)提(ti)供(gong)的(de)數(shu)據(ju)信(xin)息(xi)的(de)安(an)全(quan)��,並(bing)對(dui)其(qi)中(zhong)的(de)個(ge)人(ren)信(xin)息(xi)�����、隱私和商業秘密嚴格保密��,不得泄露�����、出售或者非法向他人提供”。在此情形下���,有關主管部門獲取個人信息�����、電子商務經營者向其提供個人信息無需取得個人信息主體的授權同意。
[12] 《個人信息安全規範》10月版第5.6條。與《個人信息安全規範》相比�,三次修訂草案在征得授權同意的例外中新增“與個人信息控製者履行法律法規規定的義務相關的”����,並刪除了“法律法規規定的其他情形”。
[13] GDPR第6條。
[14] GDPR第13條第2款(f)項��、第14條第2款(g)項。
[15] 《兒童個人信息網絡保護規定》第九條。
[16] GDPR第8條第2款。
[17] 《歐盟第二十九條工作組關於 2016/679 條例下同意的指引》7.1.4 (7.1.4, Article 29 Working Party Guidelines on Consent under Regulation 2016/679).
[18] 《個人信息安全規範》10月版第7.10條。
[19] GDPR第17條。
[20] 《個人信息安全規範》10月版第9.1條c)項。
[21] GDPR第33條第1款。
[22] 《個人信息安全規範》10月版第10.1條��;GDPR第37條��、第38條和第39條。
[23] 《個人信息安全規範》10月版第10.3條(較之《個人信息安全規範》�,該條款為三次修訂草案新增內容)����;GDPR第30條。
[24] GDPR第36條。
[25] GDPR第58條第1款(a)項和(b)項。
