来源:中国贸易报 作者:本报记者 陈璐 2020-11-04 09:15:38
全国人大法工委近日公布了《中华人民共和国个人信息保护法(草案)》全文和说明,并向公众公开征求意见。据悉,《草案》共八章七十条,涵盖适用范围、健全个人信息处理规则、完善个人信息跨境提供规则、明确个人信息处理活动中个人的权利和处理者义务、明确履行个人信息保护职责的部门以及违反该法有关规定的法律责任等。
“《个人信息保护法》与《数据安全法》、《网络安全法》这三部法律各有侧重,将成为构建我国数据监管或数据法律框架的三根重要支柱。”日前,安杰律师事务所合伙人杨洪泉在接受《中国贸易报》记者采访时表示,《草案》借鉴了其他国家和地区的相关立法,比较符合国际个人信息保护潮流,整体来看质量较高。
“识别性+关联性”
标准定义个人信息
《草案》对“个人信息”的定义标准同时采用“识别性”和“关联性”标准,将个人信息定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。而《网络安全法》和《民法典》采用“识别性”标准,相比较而言,《草案》个人信息范围明显有所扩大。
可识别性是动态标准还是静态标准?杨洪泉认为,若是静态标准,则不考虑具体业务场景,只要存在识别个人信息的可能性,则构成个人信息。但若信息本身与其他信息结合起来可以识别主体,若放在具体业务场景可能会有各种条件限制,则需分情况视之。
对于匿名化是不是判断“非个人信息”的唯一标准、去标识化信息是不是个人信息等问题,杨洪泉表示,虽然《草案》中的“个人信息”定义比较抽象,但是也有其判断标准,将“匿名化处理后的信息”直接排除在个人信息之外。从《草案》来看,去标识化的信息仍然是个人信息。
告知—同意原则的地位
不可撼动
《草案》规定,处理个人信息应取得个人的同意,并通过列举方式规定,处理个人信息无需获得个人同意的若干种例外情况。
“告知—同意原则是否沦为形式主义、是否阻碍数字经济的发展、在大数据时代是否应该改革等课题,国内外理论界和实务界均有激烈讨论。但在没有出现切实可行的替代性方案之前,告知—同意原则的地位不可撼动。”杨洪泉指出,《草案》落实告知—同意原则仍是个人信息处理行为的核心合法性基础,如果不属于《草案》规定的例外情况,企业则必须获得个人的告知—同意。
“在未来很长一段时间,数据合规人士仍将继续为用户告知—同意的‘界面’设计和隐私政策的语言描述绞尽脑汁。”杨洪泉介绍,《草案》规定的这些例外情况总体要比《个人信息安全规范》所列情形少。在GDPR(《通用数据保护条例》)下,能够证明“合法利益”的公司在某些情况下可以在未经个人信息主体同意的情况下合法处理个人数据。也有企业提出,企业如出于保护自身合法利益,应当也可以不经个人信息主体同意收集和使用个人信息。虽然此类要求在某些场景下有一定的正当性,但考虑到“合法利益”难以穷尽、不总有明确的判断标准,而有些企业也可能滥用该理由从事侵害个人权益的行为,因此《草案》没有将“合法利益”确定为无需个人告知—同意的例外情况。
数据本地化与
跨境流动相关规则有待细化
数据本地化与跨境流动已经成为全球数据监管的一大重点。近年来,围绕数据跨境监管的规则制定与实施争议从未间断,《草案》在《网络安全法》的基础上进行了细化规定。
据悉,在数据本地化问题上,《网络安全法》规定关键信息基础设施运营者需对个人信息和重要数据进行本地化存储,在此基础上,《草案》增加了国家机关和收集个人信息达到“网信部门规定数量”的企业也需满足个人信息本地化存储要求。
此外,在数据出境问题上,《网络安全法》仅规定关键信息基础设施运营者如需将个人信息和重要数据传输至境外的,需进行安全评估;2019年公布的《个人信息出境安全评估办法》(征求意见稿)则要求所有网络运营者的个人信息出境均需经过网信部门安全评估;而《草案》则针对几类不同情况下的数据出境情形提出不同要求。
“《草案》下的数据本地化及出境规定还是较为克制的,并没有出现很多企业担心的所有个人信息出境都需要政府审批或政府评估的极端情况。”杨洪泉认为,当然,该《草案》是否会原文通过,仍有待观察。即便通过,相关具体规则还需要配套法规、国家标准进一步细化,比如,对非关键信息基础设施运营者达到数据本地化存储的数量级确定以及该数量是指单次数据出境,或是某一时间段内的数据出境等问题。
《个人信息保护法》在权益保护和有序流动间如何平衡?杨洪泉认为,由于现在处于大数据发展的早期阶段,立法往往相对滞后,对于涌现的新问题,如自动化决策问题、AI伦理问题、数据竞争问题等,仍需要去探讨它的边界。