中国个人信息保护制度离GDPR有多远?

作者:申晓雨 吴雅涵 康雅斯

观点

引言:我国个人信息保护领域立法活跃

今年10月,我国个人信息保护领域最详尽的一份标准文件——《信息安全技术 个人信息安全规范》(GB/T-35273/2018)(以下称“《个人信息安全规范》”)——一年内第三次修订并征求意见[1],反映了我国个人信息保护领域的立法十分活跃的态势。今年内,包括《网络安全审查办法》《数据安全管理办法(征求意见稿)》《儿童个人信息网络保护规定》《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》在内的多部法律法规、国家标准密集出台、快速更新甚至正式实施。

和2月发布的《信息安全技术 个人信息安全规范(草案)》(以下称“《个人信息安全规范》2月版”或“2月版”)及6月发布的《信息安全技术 个人信息安全规范(征求意见稿)》(以下称“《个人信息安全规范》6月版”或“6月版”)相比,10月发布的《信息安全技术 个人信息安全规范(征求意见稿)》(以下称“《个人信息安全规范》10月版”或“10月版”,并与上述2月版和6月版统称为“《个人信息安全规范》三次修订草案”或“三次修订草案”)在个人信息保护方面进一步完善了相关制度设计,例如,在个人信息的定义部分补充注解,明确由个人信息控制者通过个人信息或其他信息加工处理后形成的信息也属于个人信息;新增协助个人信息主体注销账户的义务;加强了委托处理的安全监督义务等等。可以看到,我国的个人信息保护法正在依据自身的发展特点逐步具体化、合理化。

此时我们回过头来,审视一年多以前生效的欧盟《通用数据保护条例》(以下称“GDPR”),我们与GDPR——这部史上最严个人信息保护法——所确立的合规标准距离还有多远?在我们的个人信息保护立法体系日趋完善的过程中,我们是否会面临更多法域冲突带来的合规挑战?

本文将以《个人信息安全规范》(如无特别说明,下文若提及《个人信息安全规范》,将包括《个人信息安全规范》及其三次修订草案)为核心,结合中国其他个人信息保护相关法律法规(合称“个人信息保护法”),分析GDPR与我国的个人信息保护法相比,在哪些方面提出了更高的合规要求以及GDPR与我国个人信息保护法的冲突。受篇幅所限,本文仅选择一些重大且得到广泛关注的事项展开讨论,供读者参考。

一、  我国个人信息保护法与GDPR的主要差异

我国的个人信息保护法起步较晚,整体上借鉴了GDPR的制度设计,同时结合我国数据产业的实际情况,形成了自己的个人信息保护规则。在一些看似相似的法律规定上,仅仅遵循我国个人信息保护法,并不能满足GDPR的要求。

1. 域外效力

中国个人信息保护法普遍适用于在中国境内的机构或个人的数据处理行为。

关于中国个人信息保护法的域外效力,目前在已生效的个人信息保护法中,仅有《网络安全法》明确规定其对境外网络运营者发布违法信息或攻击我国关键信息基础设施的行为存在域外效力[2]。《个人信息出境安全评估办法(征求意见稿)》第二十条规定其适用于境外机构通过互联网等收集中国境内用户个人信息的情形。除此之外,中国个人信息保护法的域外效力尚不明晰。

GDPR则明确规定,如果是设立于欧盟境外的机构或个人为欧盟境内的数据主体提供货物或服务(无论数据主体是否被要求付费),或对数据主体在欧盟境内的行为进行监控,则GDPR对其具有域外效力。[3]

2. 处理的基本原则

《个人信息安全规范》规定个人信息处理的基本原则包括权责一致、目的明确、选择同意、最少够用[4]、公开透明、确保安全和主体参与原则。[5]

以上原则在GDPR中也得以规定和体现。[6]除此之外GDPR还提出了“准确性原则”,即要求个人数据应是准确的,且若有必要应保持适时更新,采取一切合理措施确保与数据处理目的相悖的错误数据被及时清除或更正。[7]该项原则在中国个人信息保护法中未做规定。

3. 个人信息主体的同意

(1)   明示同意

中国个人信息保护法下,并非所有的个人信息处理行为都必须取得个人信息主体的明示同意。《个人信息安全规范》10月版和《个人信息安全规范》、2月版及6月版相比,特别明确了授权同意的范围包括默许同意。《个人信息安全规范》10月版第3.7条规定,个人信息主体对其个人信息进行特定处理作出明确授权的行为,包括通过积极的行为作出授权(即明示同意),或者通过消极的不作为而作出授权(例如信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域)。

GDPR将“数据主体的同意(consent of the data subject)”定义为“数据主体依据其个人意愿,自由、明确、知情并清楚地通过陈述或积极行为表示对其个人数据进行处理的同意”[8],相当于中国个人信息保护法所定义的“明示同意”。基于这一定义,在GDPR下取得个人信息主体的同意必须是明示同意,排除了默许同意的适用。

(2) 自愿原则

中国个人信息保护法和GDPR均规定,个人信息主体的同意应由其自愿给出,不得强迫个人信息主体作出同意。

《个人信息安全规范》仅规定了自愿原则在平等主体之间的适用,如产品或服务的提供者收集客户个人信息时,不得违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。[9]

而GDPR在适用自愿原则时则考虑到更多情况。根据GDPR相关指引[10],数据主体的同意是否自愿给出,还需考虑数据控制者和数据主体是否存在权力不对等的情况,例如政府机关和个人、用人单位和雇员。

4. 处理的合法基础

按照中国个人信息保护法,除为行政执法和司法目的外[11],控制者收集、共享、转让、公开披露或以其他方式处理个人信息的,必须以取得个人信息主体的同意作为其处理行为的合法基础。《个人信息安全规范》对此规定了例外情形,其中包括个人信息是通过各种合法公开渠道获取的,如个人信息是个人信息主体自行向社会公众公开的或从合法公开披露的信息中(如合法的新闻报道、政府信息公开等渠道)收集的,以及新闻单位为开展合法的新闻报道所必需而处理个人信息。[12]虽然《个人信息安全规范》对个人信息主体的同意规定了例外情形,但是我国强制性法律法规中并无对该等同意的例外情形的规定。

GDPR允许控制者除基于个人信息主体同意之外,还可以基于其他多种合法基础处理个人数据,但通过合法公开渠道获取个人信息以及新闻单位为开展合法的新闻报道所必需而处理个人信息并不在此列。因此,即使数据主体主动公开个人信息,也不代表其默认同意任何数据控制者基于任何目的对其个人信息的处理;对于新闻单位而言,除非根据欧盟法律或其所在国法律,其为开展新闻报道而处理个人信息的行为被认定为履行其法定义务或其涉及公共利益的职责或实施其被授予的职务权限所必要,否则也不能以开展合法新闻报道为由未经个人信息主体同意而处理个人信息。[13]

5. 披露义务

中国个人信息保护法和GDPR在控制者对个人信息主体的披露义务方面也存在一些不同的规定。

以自动决策机制为例,《个人信息安全规范》未就涉及自动决策情形下的披露义务作出专门规定。GDPR则明确规定,如果控制者采取包括用户画像在内的自动决策机制,则其在收集个人信息时应向个人信息主体披露决策中所运用的逻辑以及该处理行为对个人信息主体的重要性和可能产生的后果。[14]

6. 儿童个人信息收集:监护人授权同意的实质审查

收集个人信息主体需遵循授权同意原则,针对儿童,则需要其监护人代为做出授权同意的动作。[15]但是中国个人信息保护法目前对监护人授权同意并无实质审查要求。

GDPR则要求数据控制者应当考虑可利用的技术并做出合理的努力,以核实在涉及儿童的情形中相关同意是否由该儿童的监护人作出或授权,即对儿童监护人授权同意的真实性进行实质审查。[16]例如,注册者如承认自己在儿童年龄线以下,则注册者应提供家长的电子邮箱地址,数据控制者应联系家长以取得同意,并确认家长的监护责任。[17]

7. 个人信息主体的权利

从个人信息主体享有的权利类型来看,与中国个人信息保护法相比,GDPR另赋予个人信息主体对其个人数据享有限制处理权和反对权。

此外,二者在个人信息主体的具体权利内容上也有所不同。以个人信息主体的删除权为例,《个人信息安全规范》对个人信息的删除权做了一定的条件限制,即仅在控制者违法违规或违反与个人信息主体的约定收集、使用个人信息时,个人信息主体才可行使删除权。[18]

GDPR取消了类似的权利行使的限制条件,即使对个人信息的处理并不违反法律规定,个人信息主体仍可基于个人信息对行使目的的不必要性、撤销同意、反对权、遵守欧盟或成员国的法定义务所需、涉及提供信息社会服务时收集的儿童个人信息等法定情形行使删除权。[19]

8. 个人信息安全事件处置

中国个人信息保护法和GDPR均要求控制者在出现个人信息安全事件时上报监管部门,但《个人信息安全规范》对于控制者的报告期限未做规定,仅规定“按照《国家网络安全事件应急预案》等有关规定及时上报”[20],而现行的《国家网络安全事件应急预案》亦未对报告期限作出规定。

GDPR则明确要求控制者在发现个人数据泄漏事故起72小时内通知监管机构,除非该个人数据的泄露不太可能会对自然人的权利和自由造成风险;未能在72小时内报告的,需要说明未及时报告的理由。[21]

9. 组织管理要求

此外,在组织管理要求方面,中国个人信息保护法和GDPR也有诸多差异,如个人信息保护负责人的设置和职责[22]、个人信息处理活动的记录[23]、向主管部门的事先咨询机制[24]等。

二、 我国个人信息保护法与GDPR在数据跨境传输方面的冲突

如上文所述,基于GDPR的域外管辖权,中国境内的控制者向欧盟境内的个人信息主体收集个人信息后,须满足个人信息主体在GDPR项下的权利要求。

在此情形下,如果个人信息主体行使访问权,根据GDPR第15条访问权、第20条可携带权的要求,中国境内的控制者有义务响应个人信息主体的权利请求,包括向其确认其个人信息是否被处理,说明个人信息处理的目的、相关个人信息的类别,提供正在处理的个人信息的副本等;如果个人信息主体行使可携带权,则该数据控制者应当向个人信息主体提供结构化、通用化和可机读的个人信息,且个人信息主体有权将这些个人信息传输给其他的数据控制者,原数据控制者不得进行阻碍。

同时,GDPR授予欧盟各监管机构的调查权也允许各监管机构“命令数据控制者或数据处理者、其代表人(如有)提供其履行职责所必要的所有信息”以及“以数据保护审计的形式实施调查”[25]

我国《网络安全法》第三十七条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”《个人信息出境安全评估办法(征求意见稿)》(以下简称“《个人信息出境安全评估办法》”)第二条规定,“网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境),应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。”

如果中国境内的控制者需要满足GDPR下个人信息主体的权利请求或配合欧盟监管机构调查,但在提交我国监管机构评估后,监管机构决定该等个人信息不得出境的,则在此情形下,中国个人信息保护法和GDPR将存在实质性冲突。

三、合规建议

如上所述,对于中国企业(特别是有出海业务的中国企业)而言,仅遵守中国的个人信息保护法不足以满足欧盟的监管要求,还可能因法域冲突面临两难的局面。建议此类企业全面梳理不同法域的数据合规要求,明确差异与冲突,并基于此制定有针对性的解决方案;对于与欧盟境内主体有数据交换业务的企业而言,有必要尽早与境外主体就数据交换业务展开沟通,提前准备数据传输协议等文件,以免我国个人信息出境安全评估机制一旦落地后,因不能履行向境外主体提供个人信息而承担违约责任,或因无法取得对方的配合而难以完成我国个人信息保护法所要求的个人信息出境安全评估程序。



注释:

[1] 信息安全标准化委员会截至目前对《个人信息安全规范》进行了三次修订并公布了三次修订的征求意见稿/草案,包括2019年2月1日发布的《个人信息安全规范(草案)》、2019年6月25日发布的《个人信息安全规范(征求意见稿)》以及2019年10月24日发布的《个人信息安全规范(征求意见稿)》。

[2] 《网络安全法》第五十条、第七十五条。

[3] GDPR第3条。

[4] 《个人信息安全规范》10月版将该原则改称为“最小必要”原则。

[5] 《个人信息安全规范》10月版第4条。

[6] GDPR第5条。

[7] GDPR第5条第1款(d)项。

[8] GDPR第4条第(11)项。

[9] 《个人信息安全规范》10月版第5.3条。较之《个人信息安全规范》,该条款为三次修订草案新增条款,且在三次修订草案中内容基本一致,有个别内容有所调整。

[10] 《欧盟第二十九条工作组关于 2016/679 条例下同意的指引》3.1.1 (3.1.1, Article 29 Working Party Guidelines on Consent under Regulation 2016/679).

[11] 例如,根据《中华人民共和国电子商务法》第二十五条,“有关主管部门依照法律、行政法规的规定要求电子商务经营者提供有关电子商务数据信息的,电子商务经营者应当提供。有关主管部门应当采取必要措施保护电子商务经营者提供的数据信息的安全,并对其中的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供”。在此情形下,有关主管部门获取个人信息、电子商务经营者向其提供个人信息无需取得个人信息主体的授权同意。

[12] 《个人信息安全规范》10月版第5.6条。与《个人信息安全规范》相比,三次修订草案在征得授权同意的例外中新增“与个人信息控制者履行法律法规规定的义务相关的”,并删除了“法律法规规定的其他情形”。

[13] GDPR第6条。

[14] GDPR第13条第2款(f)项、第14条第2款(g)项。

[15] 《儿童个人信息网络保护规定》第九条。

[16] GDPR第8条第2款。

[17] 《欧盟第二十九条工作组关于 2016/679 条例下同意的指引》7.1.4 (7.1.4, Article 29 Working Party Guidelines on Consent under Regulation 2016/679).

[18] 《个人信息安全规范》10月版第7.10条。

[19] GDPR第17条。

[20] 《个人信息安全规范》10月版第9.1条c)项。

[21] GDPR第33条第1款。

[22] 《个人信息安全规范》10月版第10.1条;GDPR第37条、第38条和第39条。

[23] 《个人信息安全规范》10月版第10.3条(较之《个人信息安全规范》,该条款为三次修订草案新增内容);GDPR第30条。

[24] GDPR第36条。

[25] GDPR第58条第1款(a)项和(b)项。


作者

作者动态

作者其他文章

相关领域

Copyright © 1998-2018 天达共和律师事务所 京ICP备11012394号
联系我们 关注公众号
联系我们