我国互联网从一条网速仅64Kbps(可能更小)的网线,到如今5G技术全面商用化,实现用户体验速率高达1000Mbps,并参与到5G国际标准的制订中,也就是近20年左右的事情。
如今,无论是打车、外卖、网购,还是在公共服务领域,都会大规模采集公民个人信息,有关个人信息泄露的案例更是数不胜数,而这个问题是当前很多国家正在面对的。
其中,2018年欧盟《通用数据保护条例》(以下简称“GDPR”)和美国加州隐私保护法(CCPA&CPRA)是目前个人信息保护领域最具有影响力的法律文本。
8月20日,十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》(以下简称《个保法》),将于2021年11月1日起施行,共8章74条。
此次《个人信息保护法》采取了类似于GDPR的综合立法模式,而加州隐私法(CCPA&CPRA)是在消费者保护领域的个人信息保护专门立法。因此,GDPR和《个人信息保护法》作为通用性法律,彼此之间会更具有比较价值。
01
从处理者义务差异
看法律适用与管辖
《个保法》未在定义中区分“控制者”和“处理者”的概念,这在一定程度可能造成本法适用范围和个体义务的不确定性。
GDPR(Art.4)通过定义条款对“控制者”(controller)和“处理者”(processor)进行了解释界定,欧盟数据保护委员会(EDPB)又发布了《GDPR下数据控制者及数据处理者概念的指南》对上述数据处理角色做出了更为详细的说明。
“控制者”是指,能够单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。其中个人数据处理的目的和方式,以及控制者或控制者资格的具体标准由欧盟或其成员国的法律予以规定;“处理者”是指,代表控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。
从定义上来看,GDPR是从信息处理的主体是否具有自主性出发,对二者进行区分。
数据处理者最为重要的特征就是“代表数据控制者”(which processes personal data on behalf of the controller)。可见,对于数据处理者身份的界定,并不当然来源于其对个人数据进行处理的事实。数据处理者需要根据控制者的指示而采取行动,且应符合数据控制者所要求的处理目的和方式。(对于“控制者”和“处理者”的具体区分,请参考EDPB指南附录流程表。)
在法律适用方面,GDPR从数据控制者或处理者的设立地点确定了属地管辖范围(Art.2 Material Scope),而不论其实际数据处理行为发生在何处。《个保法》则是以“处理自然人个人信息的行为”发生地点作为本法适用范围。
也就是说,无论信息处理者的设立地点是否在我国境内,只要信息处理行为发生在境内,都将受到《个保法》的管辖。
随着各国法律域外适用的不断扩张,模糊的法律适用规定必将导致频繁的管辖冲突。当然,也有观点认为,GDPR中“控制者”和“处理者”都可以在《个保法》中找到相应的定义。
其中,GDPR中“控制者”(controller)与《个保法》中的“个人信息处理者”相对应;“处理者”(processor)与《个保法》第二十一条中的“受托人”相对;《个保法》第七十二条将“受托人”排除出了“个人信息处理者”的范畴,“个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”。
我们认为,GDPR对于“处理者”有着详细的法律义务要求。相反,《个保法》只在第五章专章规定了“个人信息处理者”的义务,而就“受托人”义务方面,除“受托人”应当履行其合同义务,返还或删除个人信息并不得转委托外,并无进一步的规定。
《个保法》采用行为规制管辖范围的方式在一定程度上简化了规则,以使用更宽泛的概念与其他部门法律进行对接。但是,这种有意的泛化和模糊亦可能产生诸多问题。
各国法律的扩展适用,不可避免地产生了大量管辖冲突问题,也加剧了法律适用中的碎片化现象,主体和行为内容定义的语焉不详极易引发争议,对企业运营,特别是开展国际化业务的企业合规工作带来更大挑战。
02
企业数据合规高频违规类型
随着中国企业“走出去”步伐不断加快,越来越多中国企业已经进入到了GDPR的规制范围。
2021年7月22日,荷兰数据保护局(Autoriteit Persoonsgegevens)以侵犯儿童隐私为由,决定对字节跳动旗下短视频社交平台TikTok(“抖音”国际版)处以75万欧元的罚款。
GDPR实施三年以来积累了大量案例,鉴于《个保法》充分借鉴了《通用数据保护条例》(GDPR)的诸多优秀做法,我们梳理了GDPR高频违规类型,并与《个保法》部分条款进行对比,列举出几类发生可能性较高的条款,以供参考。
《个保法》第七条
处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围(GDPR第5条a)。
实践中,网络公司在向用户提供数据协议时,有些会将个人数据用途内容隐藏在“更多选项”中;或者在数据协议中事先选中“同意”方框,这些都可能构成对该条的违反。
《个保法》第三十一条
个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则(GDPR第8条1)。
这也是许多游戏大厂和社交平台经常遇到的问题,即公司必须确认所收到的同意内容是否真正符合法律规定。这些公司必须获得父母或监护人的同意,才可以处理不满十四周岁未成年人的个人数据。
需要注意的是,GDPR将父母同意的年龄界限决定权交给了每个欧盟成员国依据自身情况进行制定,可以是13至16岁。中国企业还应当留意该国数据保护机构的相关内容制定和变更。
《个保法》第五十一条
个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失(GDPR第5条f)。个人信息处理者有义务确保个人数据的安全,防止信息泄露。
我们经常遇到,在中介机构留下个人联系方式之后,不断遭遇各种渠道的电话轰炸。对于故意泄露个人信息的行为,当然是在本法规制的范围内。
此外,由于公司网站遭到黑客攻击以致客户资料泄露,也会因为违规而被处以高额罚款。
03
个人信息是富矿也可能是枷锁
企业务必高度重视
GDPR英文原文大约200页左右,这还不包括欧盟为了进一步解释GDPR而陆续颁布的一系列指南,其立法体系之庞杂远在《个保法》之上。
形式上,《个保法》借鉴了GDPR的结构,但目前概念层面的规制较多,存在较大的模糊性和开放性,这种模式赋予了实践中更大的解释空间。
《个保法》第六十二条规定,由国家网信部门统筹协调有关部门依据本法推进制定个人信息保护的具体规则,我们相信,伴随着《个保法》正式施行,更加细化的管理规范和标准也将逐步出台,这也将大大催生企业数据合规的热潮。
而对于企业而言,如何在一定程度上既可保持数据的自由流动,又不违反数据保护的种种规范呢?建立一套完善的数据跨境流动合规制度有相当的必要性。
在大数据时代,个人信息是企业的富矿也可能是枷锁,在这里,我们再此重申企业评估《个保法》适用和进行信息合规的重要性。同时,对于那些有可能受到GDPR管制的企业,还应当及时引入并落实GDPR合规制度。
