《个人信息保护法》重点规定及企业合规建议——基本原则及处理规则

来源:凌科安时法律评论

文章摘要
前言 《中华人民共和国个人信息保护法》(本文简称《个人信息保护法》)于2021年8月20日正式通过,并将于11月1日起正式施行。

前言
《中华人民共和国个人信息保护法》(本文简称《个人信息保护法》)于2021年8月20日正式通过,并将于11月1日起正式施行。《个人信息保护法》与《中华人民共和国网络安全法》《中华人民共和国数据安全法》并称为“三驾马车”,从国家安全层面、个人数据保护和公共数据公开层面构建起我国对于网络和数据安全保护的制度保障。其中,《个人信息保护法》与民众的日常生活最为相关,因而也对企业相关合规体系和管理提出了更高的要求。本文将针对《个人信息保护法》规定的个人信息处理基本原则和重点规则进行深入理解,并向有关企业提出具体的合规性建议。
一、个人信息处理的基本原则
个人信息处理的原则主要规定于《个人信息保护法》第一章总则的第五条至第十条,包括:合法、正当、必要和诚信原则,合理、相关、最小范围原则,公开、透明原则,信息准确原则,主体责任原则,以及不得违法使用原则。
前述原则在所有个人信息使用的场景中普遍适用,且从各个角度回应了社会关注的热点问题。结合《个人信息保护法》所规定的个人信息处理的一般规则,我们可以发现,前述基本原则已经在《个人信息保护法》中以具体条款细化明确。值得企业注意的是,与一些立法的原则性条款不同,《个人信息保护法》所规定的基本原则还具备细化内涵和指导实践的价值。由于日后数据处理和使用还将不断深入、优化,《个人信息保护法》所针对的对象和具体事件在具体法律规定中无法穷尽,不排除在未来可能会出现直接依据这些基本原则指导司法实践的情况;因此企业在进行个人数据保护合规体系和制度建立时,要主动将这些基本原则贯穿始终;在收集和处理具体个人信息时,也应结合这些基本原则加以操作。具体而言,企业可以通过以下问题自查个人信息处理行为是否符合基本原则的要求:
是否有通过误导、欺诈或胁迫的方式获得个人同意?
是否仅收集与提供的服务相关的必要个人信息?
个人信息保存年限是否是处理目的所需的最短期限?
是否公开隐私政策等收集使用规则?
是否明示了收集使用个人信息的目的、方式和范围?
收集使用规则是否易于访问和阅读?
自动化决策是否公开、透明?
是否有提供删除或更正个人信息的功能?
是否有公布投诉、举报方式等信息?
二、个人信息处理的法定正当事由
个人信息处理的一般规则主要规定于《个人信息保护法》第二章第一节之中,包括第十三条规定的处理个人信息的七种正当性事由。其中,最值得企业注意的是“同意”和“为订立、履行个人作为一方当事人的合同所必需”,以及“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”,以下将分别阐述。
(一)有效取得个人同意
企业使用场景最多且在《个人信息保护法》中有相对完善规定的是取得个人同意,这也是基于《网络安全法》和《民法典》中相关规定而加以完善的内容。
首先,根据《个人信息保护法》第十四条,个人信息处理者应保障个人是在充分知情的前提下,自愿、明确作出的同意,因此,结合前述公开、透明原则,应在取得个人同意之前,企业应当公布所制定的个人信息处理规则,并以显著方式和清晰易懂的语言真实、准确、完整地向个人告知第十七条规定的事项,包括:名称或者姓名和联系方式;处理目的、处理方式,处理的个人信息种类、保存期限;个人行使权利的方式和程序等。在实践中,我们发现很多个人信息处理者所公布的隐私政策、用户协议等个人信息收集使用规则非常冗长,采用各种专业术语甚至自创术语,或者采用非常小而密的字体,有的甚至在针对国内用户时全篇采用英文,让普通用户根本无法阅读或理解。这样的收集使用规则均不符合法律规定,需要进行修改。
第二,在一些特殊情况下,个人信息处理者需要取得个人的单独同意。《个人信息保护法》规定的此类情形主要包括:个人信息的提供、个人信息的披露、所收集的个人图像和身份识别信息用于维护公共安全之外目的、处理敏感个人信息、向境外提供个人信息。若企业在处理个人信息过程中遇到前述情况的,应当特别注意就该情况另行取得个人的单独同意。
其次,在一些特殊情况下,个人信息处理者需要取得个人的重新同意。《个人信息保护法》虽然有三处规定了需要取得个人重新同意的情形,但归根结底均是处理个人信息的目的、方式或处理的个人信息类型发生变化。因此,若企业在处理个人信息时出现处理个人信息的目的、方式或处理的个人信息类型发生变化时,一定要注意提前告知个人并再次取得其同意。
另外,企业需要特别注意,在取得同意后,还需要提供便捷的方式以方便个人可以撤回同意。依据《个人信息保护法》的要求,同意被撤回后有两个效果:第一,不影响撤回前基于个人同意已进行的个人信息处理活动的效力,即撤回无溯及力;第二,除非该个人信息为提供产品或服务所必需,否则不能以不同意或同意被撤回而拒绝提供产品或服务。实践中,我们发现很多个人信息处理者要求用户默认同意收集使用规则,否则就无法打开网页或APP,或者在用户明确表示不同意后频繁征求用户同意、干扰用户正常使用等情形,这样操作的前提必须是所要求用户同意收集的个人信息是提供产品或服务所必需,否则也属违法操作。
(二)订立合同和人力资源管理所必需
针对不需要收集处理大量用户信息的企业,在日常经营中更需要注意的个人数据合规问题则集中在交易中合同相对方信息以及对员工个人信息的收集与保护。针对这些信息,首先应当厘清哪些属于订立合同或实施人力资源管理所必需,对于那些非必需的信息,企业应当不再收集,或另行取得同意。针对已基于该条规定收集的个人信息,企业也应当将自己作为个人信息处理者,依据《个人信息保护法》的要求加以保护。针对每个企业都会涉及的员工个人信息,在此特别提出几点合规性建议:
第一,企业应当制定员工个人信息保护的相关政策和制度;
第二,针对企业需要收集但并非属于实施人力资源管理所必需的员工个人信息,建议在员工手册中予以明确,并在员工入职时通过劳动合同等文件取得员工的同意;
第三,针对企业可能收集的员工敏感个人信息,如员工指纹或人脸等生物识别信息、健康信息、银行账户信息等,企业要特别注意告知员工处理此类信息的必要性以及对个人权益的影响,并取得员工的单独同意。
三、所处理信息的识别
《个人信息保护法》将个人信息分为一般个人信息和敏感个人信息,并对敏感个人信息提出了更高的要求,因此,企业需要对所处理个人信息的具体类别进行明确和区分。
(一)一般个人信息
根据《个人信息保护法》第四条和第七十二条,一般个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息;不包括自然人因个人或者家庭事务处理个人信息。针对一般个人信息,《个人信息保护法》所提出的要求是基于第一章所规定的个人信息处理原则、依据第二章第一节的一般规定处理。在实务中,企业最需要注意的就是规则的制定与公布,并给予同意或其他法定的正当事由进行处理,在此不再赘述。
(二)敏感个人信息
《个人信息保护法》第二章第二节特别针对敏感个人信息进行规定,将敏感个人信息放入重点保护领域。因此,针对一旦泄露或者非法使用就容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,企业在处理时需要给予更高的保护。
从敏感个人信息的内容来看,敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。其中,需要特别注意的是人脸信息和不满十四周岁未成年人的个人信息。
针对人脸信息的收集和使用,司法实践中已先于其他敏感信息出现了相应案例,如郭兵诉杭州野生动物世界有限公司案件,且最高院也早于《个人信息保护法》公布了相关司法解释——《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》。结合前述司法解释和《个人信息保护法》第二十六条的规定,宾馆、商场、车站、写字楼、售楼处等及相关安保或物业企业应当特别注意如下要点:
1、在公共场所安装采集人脸图像或用以识别个人身份的设备,只能用于维护公共安全的目的,不得用于其他目的,否则需要取得个人的单独同意;
2、相关企业只有在特定目的和具有充分必要性、并且已经采取了严格保护措施的情况下才可收集人脸信息,并应当以显著方式告知收集、使用人脸信息目的、方式、范围;
3、相关企业应当向个人告知处理其人脸信息的必要性以及对个人权益的影响;
4、物业服务企业或者其他建筑物管理人如将人脸用于门禁、入场等识别目的,除了人脸识别方式外还应当提供其他验证方式作为选择。
针对不满十四周岁未成年人的个人信息,根据《个人信息保护法》、《中华人民共和国未成年人保护法》以及《儿童个人信息网络保护规定》等法律法规,企业在处理不满十四周岁未成年人的个人信息时,应注意以下合规要求:
1、为不满十四周岁未成年人单独设置个人信息保护规则和用户协议;
2、指定专人负责不满十四周岁未成年人的个人信息保护;
3、以显著、清晰的方式告知未成年人的父母或者其他监护人,并取得其同意;
4、在向未成年人的父母或者其他监护人征得同意时,应当同时提供拒绝选项;
5、在向未成年人的父母或者其他监护人征得同意时,除《个人信息保护法》第十七条规定需告知内容外,还应向未成年人的父母或者其他监护人明确告知:未成年人个人信息存储的地点、期限和到期后的处理方式;未成年人个人信息的安全保障措施;拒绝的后果;投诉、举报的渠道和方式;更正、删除未成年人个人信息的途径和方法等。

技术驱动法律,专业成就未来