《个人信息保护法》时代开启——简析对业务实践的影响

第十三届全国人大常委会第二十二次会议对《中华人民共和国个人信息保护法（草案）》（以下简称“《草案》”）进行了审议。2020年10月21日，《草案》全文在中国人大网公布，征求意见截止至2020年11月19日。

从2012年全国人大常委会发布《关于加强网络信息保护的决定》，从而这一年被称为中国个人信息保护的元年开始，历经八年，《草案》终于面世。其间，科技与实践的变化带来信息收集和利用方式巨变，各国采用具有差异但方向相似的路径加强信息保护监管，特别是以欧盟GDPR为代表对商业实践中个人信息处理方式开始严肃挑战，在反垄断、商业投资、电信服务等各相关领域产生数据相关的持续质疑和纠葛，而我国实践之中亦由于法律法规不够明确而带来不少实践的困惑与困难。此时《草案》的发布可以说在一定程度对这些变化和问题进行了回应。

草案总的来说既包含了全球视野，也体现了中国的特色，平衡有序，为《个人信息保护法》的出台打下了坚实的基础。

《草案》共八章七十条。下面希望和大家讨论可能会直接影响业务实践的几方面内容。我们会在后续再和大家进行更全面的讨论。

第一，哪些主体和情形会需要遵守未来的《个人信息保护法》的规定。和目前《网络安全法》类似，《草案》第三条第一款规定了属地原则，而引起热议的第三条第二款规定加入了一定程度的“属人”原则。这一条的规定也体现了国际趋势和一直以来监管的态度，例如体现在《个人信息出境安全评估办法（征求意见稿）》第二十条对境外机构经营活动中通过互联网等收集境内用户个人信息的规制建议，以及近期的一些案例之中。同时这也确实体现了全球主要法域在个人信息保护立法的趋势，一定程度上借鉴了GDPR的规定。当然，这一条通过后如何在实践之中解释和逐步的执行，特别是对于跨境交易和服务如何适用，相信也会带来不少的疑问。个人信息和处理行为的定义文字上虽然较现有法规有一定调整，但似乎没有实质性的变化。

第二，处理个人信息需要遵守什么样的基本规则。这一点最大的变化是虽然仍以“告知——同意”为主线，但也规定了另外五项处理个人信息的法定基础，例如为订立或者履行合同所必需、或履行法定职责或法定义务所必需等。在此基础上，对同意的要求进行细化，强调“充分知情”、“自愿”、“明确作出意思表示”以及遵守其他另有规定的“单独”或者“书面”同意的形式要求。这一点可以解决目前实践中很多常见的情形下难以或者无法实际取得同意但是又需要信息且也比较合理的情形，或者这些相对合理的情形下取得同意以后担心撤回同意的尴尬状态，例如在劳动关系的建立和持续过程之中的信息收集等。另外，也可以在一定程度上对目前实践之中过于依赖和滥用同意的情形通过更加严格的规制进行调整，强调同意的基本要素、不得不合理索取和可撤销性。当然，建议的规定仍然会存在相当后续的解释和适用难度。例如，何种情形可以视作单独同意，何种情形可以视为紧急情况或公共利益等，均有进一步厘清之空间。

第三，委托处理、分享和转让个人信息需要遵守什么样的规则。首先，《草案》提出了“个人信息处理者”的定义。不同于GDPR之中关于控制者和处理者的区分，按照《草案》定义，“个人信息处理者”乃为自主决定处理目的、处理方式等个人信息处理事项的组织、个人，自然不包括第二十二条之中规定的信息处理的受托方，那么逻辑上可以看出第五章之中“个人数据处理者”的义务，例如内部治理要求、个人信息保护负责人的设置、记录及信息泄露的通知义务等，并不当然适用于受托方。当然这样的安排可以说是与我国《民法典》以及《网络安全法》之中的规定一脉相承、逻辑相符的。而对于在实践之中对于委托第三方进行数据处理的常见情形，就需要考虑相应的法律策略和安排，对于双方的权利义务根据中国法律规定进行梳理和定义，不能当然去适用GDPR的思维定式。但是否在法律直接规定受托方的法律责任也值得思考。

其次，对于向第三方提供个人信息的情形，《草案》作出了相对严格的规定。特别是，要求向个人告知的范围包括第三方的身份、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。这一点将对于目前不少行业的实践会带来相对比较大的影响。当然这个问题在GDPR和CCPA的实施过程之中也同样面临，似乎暂时也并没有形成一套完美有效的解决方案。

另外，对于个人信息处理者因合并、分立等原因需要转移个人信息的情形，《草案》允许通过告知的方式由接收方继续履行义务，这一点和《公司法》之中对于合并、分立相关债权债务的承继问题的规定相呼应。当然，是否仍需要评估由于分立、合并数据的转移而对于个人的隐私保护的影响，以及对于业务资产并购重组而引起的数据转移是否能够适用，仍然值得进一步思考。

第四，处理敏感个人信息需要遵守什么特殊规则。敏感个人信息的定义终于纳入到法律层面并进行单独的规制，要求具有“特定目的”、“充分的必要性”方可进行处理，需要向个人说明必要性和对个人的影响，以及若处理是基于个人同意的，应当取得个人的单独同意。上述规定旨在加强对目前实践之中于敏感个人信息收集和处理的监管，但上述规定如何理解、拟达到如何的监管效果，还希望进一步的厘清。

第五，个人信息跨境应当遵守什么的规则。《草案》第一条即提出本法制定的目的之一即为“保障个人信息依法有序自由流动”，因此在第三章之中关于个人信息跨境的规则体现了相应的灵活性。对于大家关注的本地化的要求，第四十条在重述《网络安全法》对于关键信息基础设施运营者的要求，而增加了对处理个人信息达到国家网信部门规定数量的个人信息处理者的本地化和安全评估的要求。这样一来，对于处理个人信息数量较大的企业，可能不会仅因为其处理的信息数量较大而需遵守关健信息基础设施保护全面的要求，但仍需要进行数据本地化和出境的安全评估。若按照上述规定，则信息数量门槛的规定相当关键，在实务之中也会存在如何确定是否达到该等门槛的问题。另外，除需按照第四十条进行评估的情形外，提出了专业机构的保护认证、通过与境外接收方订立合同、以及按照其他规定的方式可以视为具备条件。对于国际司法协助或者行政执法协助，提出专门批准的要求。也提出对境外组织、个人限制或者禁止个人信息提供清单的措施，以及对于其他国家和地区的反歧视措施。

第六，个人信息主体的权利如何实现。基于现有的规定，《草案》明确规定的复制权、限制或拒绝处理权以及对于可以请求删除权规定情形的扩展值得关注。这些条款的理解将直接影响后续产品和业务流程的设计。

第七，个人信息处理者应进行哪些内部治理安排。《草案》第五十条的要求与现有《网络安全法》规定比较类似亦有重合，如制定内部管理制度和操作规定、分级分类管理、采取安全技术措施、设置内部权限和培训、制定安全应急预案等。新的要求包括对于处理个人信息达到国家网信部门规定数量的信息处理者设立个人信息保护负责人，境外机构应在境内设立专门机构或代表，定期审计，进行个人信息处理活动的风险评估。这几条新增的要求将对企业的机构岗位设置、内部信息管理流程均产生直接的影响。

第八，发生数据泄露事件时应如何处理。《草案》之中规定了个人信息处理者发现个人信息泄露的，应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人，对个人的通知可以在“个人信息处理者采取措施能够有效避免信息泄露造成损害”的情形下豁免。对应到目前实践之中较为多发的信息泄露事件和处理的情况，有几点仍值得思考。第一是如何定义“发现个人信息泄露的”情形，以及如果与《网络安全法》及目前配套规则之中的网络安全事件对接；第二是该条之中对于履行个人信息职责的部门亦采用了“通知”的表述，虽然该表述在一些法域采用，但在我国的法律语境下如何理解。另外，由于第六章之中规定国务院有关部门将在各自的职责范围内负责个人信息保护和监督工作，则届时出现相关事件时具体通知的政府部门将如何界定。

以上为对《草案》中可能对实践操作影响较大的条款的一些思考。草案之中不少新的变化和要求，例如履行个人信息保护职责的部门的规定、严格的法律责任规定、对国家机关的特殊规定等也非常值得关注。我们也会持续关注草案的后续进展。28日我们也会通过线上会议的方式与大家一起进一步的探讨这些问题。