2021年11月1日,《个人信息保护法》(以下简称“个保法”)正式实施,作为中国首部规范个人信息处理活动的专门立法,个保法进一步规定了个人信息处理应当遵循的原则以及个人信息主体的权利和保护,健全了个人信息保护工作的体制机制。个保法实施一年来,各界个人信息保护意识不断提升,监管力度不断加强,司法诉讼相关认定不断明晰,滥用个人信息等问题也得到了很大改善。
本文盘点了个保法五大年度焦点问题,探讨了企业面临的数据合规挑战以及应对措施,并对个保法配套法规、执法重点以及国际数据流动等问题予以展望,以期为企业长效个人信息保护机制的落地提供可参考的合规路径。
一、个保法五大年度焦点盘点
(一)个人信息权利保护诉讼
个保法落地前,行政执法与刑事手段对个人信息权益的保护已不鲜见,而随着个保法的实施,与个人信息权益保护相关的民事裁判值得期待,尤其是民事裁判对行政执法的司法校正作用,即统一各界对于个保法的理解与适用。此外,民事裁判还解决了行政执法无法应对的民事赔偿问题,从而形成了“有侵权、有赔偿”的个人信息权益保护民事赔偿机制。应该说,行政和民事手段并重,辅以刑事手段,是良性的个人信息保护环境。
近日来,杭州互联网法院、广州互联网法院等陆续发布个人信息保护典型案例,着眼于个人信息主体行权的请求权基础、行权路径与条件判断、合法基础判断等要点,彰显了司法部门积极通过司法裁判规范个人信息处理活动,促进个人信息合理利用的实践。
不过,一些裁判规则仍有待讨论,如针对个人信息权利请求权诉权行使的前置条件,杭州互联网法院认为只有在个人信息处理者申请受理和处理机制未建立、有限时间内未答复、无正当理由拒绝或机制失效等情况下,个人信息主体方可向法院行使诉权。该案设定了个人信息主体行使诉权的门槛,涉及个保法第五十条和第六十九的分别适用。
我认为,个保法第四十五条至四十八条所赋予的个体权利既具有程序性,有些还兼具有实体性。比如,个人信息处理期限到期后处理者不主动删除个人信息,是否就可以认定已经发生了侵害个人信息主体权利的后果?法院要求个人信息主体先行向处理者请求删除,有删除则无司法救济,不利于个保法的落地。
(二)网络安全审查
滴滴案例的特殊意义在于开展了一场全民网络安全教育,让社会理解了违反个人信息保护和网络安全相关义务后的违规成本。同时,此一事件也引发了对《网络安全审查办法》的修订,体现为如下两方面变化:
第一,拓宽受监管对象。网络安全审查办法原聚焦于关键信息基础设施运营者(以下简称“关基运营者”)在网络产品与服务采购阶段所需履行的合规义务,研判购买、使用网络产品或服务的国家安全风险,如涉及相应风险,则需落实网络安全审查。所以网络安全审查办法修订之前的抓手是关基运营者这一少数主体,而修订后的抓手除关基运营者之外,还增加了数据处理者,以及赴国外上市的平台企业,从特殊主体变为一般主体,拓宽管辖范围。
第二,增强审查要点。除关注网络产品与服务对于关基运营者的影响,修订后的网络安全审查办法还将审查范围拓宽至一般性数据处理活动、赴国外上市等情形,特别重视数据跨境所带来的数据泄露、数据滥用与非法利用的风险。上述审查要点的变更对中概股企业附国外上市以及中国企业开展境外融资等业务产生了一定影响,相关企业需要提前做好此类风险的防范与研判。
(三)数据出境
从网络安全法时代,数据跨境便为立法焦点问题,但数据跨境涉及众多的考虑因素,几易其稿仍未落地。随着数据安全法与个保法的配齐,尤其是个保法第三章特别规定了个人信息跨境提供规则,以及数据出境安全评估办法等配套法律法规的出台,数据出境合规框架逐渐形成。应对数据跨境监管,企业可以遵循以下七步法原则,有效开展数据出境工作,促进跨境数据流动。
第一步,数据盘点与分类分级:梳理企业出境数据情况,把握数据总量和类别并进行分类分级处理。
第二步,全量识别出境场景:根据系统、业务单元等标准对于数据出境场景进行全面识别,包括了解发送方、接收方、链接路径、系统和保护措施等情况。
第三步,适配出境机制:根据前两步判定结果最终选择跨境机制,或进行安全评估,或采取标准合同,或采取认证机制。
第四步,整改前风险自评估:根据第三步的选择开展自评估,若选择标准合同机制则需要开展个人信息保护评估。自评估范围包括但不限于合法正当必要性、法律环境等各方面。
第五步,合规整改:根据自评估报告结果整改识别出的不合规事项,包括技术方面以及制度方面、管理措施的整改,确保企业尽快达到合规状态。
第六步,整改后风险自评估:结合合规整改后的业务及合规管控现状,再次进行数据出境风险自评估,以保证本次评估结果符合监管要求。
第七步,申报:若整改后的自评估达到合规状态,或申报网信办安全评估;或申请跨境认证;或签订标准合同并备案。在向监控部门提交评估报告后,根据要求做出补充更正。
(四)App治理
1. 深化合规要求
随着监管部门对App合规治理不断提出新的要求,App治理工作正处于从一般性合规要求到实质性合规要求,从表面合规到内部合规不断深化的过程。如双清单制度要求App公开已经收集个人信息的清单和对第三方提供个人信息的清单,公开说明所嵌入的SDK使用个人信息的情况,提升了对App透明性的要求,为企业带来了较大合规挑战。
2. 多方监管
App治理趋势呈现多方监管、联合治理的特点。一方面,网信办、工信部、公安部、市场监管总局、地方监管、行业监管多方发力;另一方面,不同监管对于App的要求不尽相同,不同的App store对App上架的要求也存在差异。因此,企业应全面识别监管要求,提前做好合规评估和检测工作,并建立应急处置机制,积极应对多方监管现状。
3. 企业基础的合规要求
App合规是企业的必做功课,且通过之后只能算及格,还不能说是优秀。尤其是上市企业与拟上市企业,若出现App相关监管事件,会对公司上市审核产生较大困扰。App作为企业的“门面”,出了问题即使没有到下架的程度,但是受到通报批评也会成为公司业务合规证明中一个难以解释的问题。所以,企业要把App合规的基础功课做好,这是企业法务的基本功。
(五)互联网平台合规治理
《个人信息保护法》第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(四)定期发布个人信息保护社会责任报告,接受社会监督。
个保法第五十八条是应时而增的条款,对大型平台企业做出特别的监管,以回应社会对平台治理的期待。该条款旨在为数字市场建立公平和开放的竞争秩序,属于宣示性的条款,可落地性不是特别强。在实践中,与该条款相关的以下合规问题值得注意:
1. 受监管平台的判定标准是什么?
提供重要互联网平台服务、用户数量巨大、业务类型复杂,这三个标准都不是定量的标准,所以哪些企业能落入监管范围并不明确。未来该条款要综合评估适用范围,解决适用标准的问题。若门槛太高,则普遍性欠缺;若门槛过低,则会对一般企业施加过重的负担。
2. 平台责任如何落实?
在该条款所规定的平台责任中,以下两方面问题的解决对条款的可用性落地尤为重要:
一是如何聘请独立人员组成独立监管机构,类似于上市公司的独立董事。不过,目前企业很少采取相关行动,实际效果也不明显。主要原因是:一方面平台企业要考虑如何保证监管机构人员是真正独立的,另一方面还要确定监管机构有哪些法定权限,在实践中该如何保证监督权利的行使。
二是大型平台对平台内企业的监管义务如何把握。一方面,大型平台应积极落实相应责任,对平台内部企业进行监管,如果没有监管到位便是失职;另一方面,对大型平台的授权也不宜过度,如何约束大型平台根据法律规定对平台的企业做处理也有待进一步探索,这涉及对平台内权利行使适当性的制衡与监管问题。
欧盟今年生效的《数字市场法》(Digital Market Act,DMA)与即将生效的《数字服务法》(Digital Services Act,DSA)在大型平台监管方面树立了立法标杆,其思路在于通过单行立法而非条款的形式赋予大型平台相应义务,值得我们对上述法案的实施情况进行考察与研究,如果经欧盟实践验证行之有效,可以考虑予以借鉴。
二、企业数据合规挑战及应对
随着个人信息保护力度的不断加强,企业面临来自多方的数字合规挑战。直播过程中,参会嘉宾特别提出了关于小程序合规、个人信息匿名化后的交易、单独同意、双清单公示、员工个人信息保护、DPO设立与职责等特殊场景下的个人信息保护问题。篇幅所限,本部分重点探讨问答交流过程中企业较为重视的数据跨境合规问题。
近期,随着我国数据跨境传输机制“三件套”(《数据出境安全评估办法》《个人信息跨境处理活动安全认证规范》《个人信息出境标准合同规定(征求意见稿)》)的陆续出台,可以预计我国将进入数据跨境活动强监管时代,对企业的网络安全、数据安全和个人信息保护工作提出了更高要求。对于出境场景比较复杂的企业而言,如果想合规高效地开展数据跨境工作,可以参考以下几点建议:
第一步,确定合规负责团队并给予资源调配。数据跨境合规项目启动前,公司应首先在管理层授权下,确定数据跨境合规团队,明确项目的负责主体(Owner),并取得相应的资源支撑。同时,合规团队要注意在跨境工作的开展过程中,与其他部门协同配合,以达到顺利推进项目进展的效果。
第二步,数据出境风险场景梳理。盘点企业涉及数据出境的系统场景,可以通过业务渠道或者系统渠道去划分数据的处理场景。这是制定出境方案的基础,通过场景梳理和风险盘点,把适配机制工作做好。
第三步,自评估清单一次性全覆盖。企业做自评估时应该有涵盖自评估要求的所有事项的清单。通过清单一次性完整收集信息来支撑自评估工作,避免把很多时间耽误在境内境外的配合上,让公司在收集信息的时候不做无用功,不用多次往返协调信息。
第四步,充分利用外部资源。在自评估阶段,合理利用外部法律资源和外部技术资源。首先,外部资源掌握信息更全面,水准可能更高一些,能提升效率并保证正确方向;其次,如果公司的技术部门不能支撑工作,则引入技术资源帮助完成信息收集、自评估或者整改是有必要的。外部机构的选择可以根据本公司实际情况来适配。
最后,针对个人信息保护影响评估(以下简称“PIA评估”)与数据出境风险自评估(以下简称“自评估”)二者之间的关系,前者主要集中在个人信息主体权益保护,后者则额外考量了境外接收方的安全能力与境外法律环境的影响,保障同等保护原则的适用。二者虽侧重点不同,但目标都是发现风险和问题、通过额外措施解决问题,故如果自评估的范围能够覆盖PIA评估要点,则在同时触发二者之时仅做自评估是可以接受的。此外,如果跨国企业曾做过DPIA(Data Protection Impact Assessment),相应材料也可以作为自评估的支撑,但不能取代自评估。
三、前瞻:配套法规、执法重点、国际数据流动
(一)配套法规
1. 《个人信息出境标准合同规定》和《个人信息跨境处理活动安全认证规范》
目前我国数据跨境传输机制“三件套”中,除已经生效的《数据出境安全评估办法》,另外两件分别是《个人信息跨境处理活动安全认证规范》和《个人信息出境标准合同规定》。目前监管部门正在积极推进标准合同条款、认证机制的落地实施,待新规出台可进一步展开解读。可以期待,上述数据跨境传输机制“三件套”应该较快就会配齐。
2. 《网络数据安全管理条例》
另一个值得期待的立法是《网络数据安全管理条例》(以下简称“网数条例”)。去年11月,国家网信办发布了《网络数据安全管理条例(征求意见稿)》,一经发布便引发各界广泛关注。网数条例是一部集大成的条例,涵盖个人信息处理监管、互联网平台运营者义务、数据跨境安全评估等多方面重点、难点问题。有些是个人信息保护制度的补充,还有一些是创新的制度,比如首次提出平台制定隐私政策需公开征求意见等。
不过,网数条例制定还需要一个过程,因为三部大法出台后,数据合规规则体系已经有了整体框架,该条例中的一些规定还需实践检验是否成熟。
3. 部门立法
由于三部大法着眼于基本框架的搭建,针对性不强,各部委在权限范围之内,未来将对特定领域的重点监管问题展开部门立法动作,如测绘数据监管、人类遗传资源监管、医疗健康数据监管、金融信息监管等。部门立法对企业的适配性可能更强一些。
立法中,值得重点关注的是重要数据识别规则的出台。重要数据是各界普遍关注、无法回避,又很难明晰的话题。如企业在开展数据跨境评估工作时,便无可避免对两种类型监管数据,即个人信息和重要数据进行识别,如果无法识别重要数据,就无法开展评估。
目前,针对这一问题,企业的应对策略主要有以下两种:如所处行业有适用的识别规则,可以根据相关规则,例如《汽车数据安全管理若干规定(试行)》《YD/T3867-2021基础电信企业重要数据识别指南》,界定是否为重要数据;如无行业规则,可参考通用规范界定,如《网络数据安全管理条例(征求意见稿)》《信息安全技术重要数据识别规则(征求意见稿)》等。
在标准细化层面,可以期待2023年重要数据的识别规则出台,也期待在特定领域中,相关部门的重要数据识别指南的出台。
(二)执法重点
1. 执法水准的变化
从属性来看,个保法的行政法属性强于民法属性。所以,个保法执法的尺度和水准会随着政策变化和执法机关的判断产生变化。此外,个保法的执法重点受经济和社会环境影响较大。
2. 未来执法监管的重点领域
一方面是国家安全,即与国家安全密切相关的数据处理活动,如数据跨境,尤其是涉及关键信息基础设施相关数据处理、大量个人信息数据、重要数据等跨境活动;
另一方面是特定行业,如医疗、生物基因等先进技术领域,以及民生和社会热点关切,如消费者权益相关的个人信息保护,也有可能会成为未来的执法重点。
(三)国际数据流动
国际数据流动方面有两个比较重要的话题:
一是,中国需要稳定可预期的跨境数据流动国际环境。我国企业在走出去的过程中,如果没有正常的数据跨境流动秩序的话,中国企业会受到很大的影响。可以观察到一些不确定的因素,比如,国际社会数据立法密集,数据跨境传输机制有割裂化的趋势;关于欧盟,后Schrems II时代,适用SCCs机制的TIA评估对中国企业带来了影响,增加了传输成本。对数据从欧盟到中国的流动,我国企业需要付出更高的合规成本,以满足欧洲数据监管机构对于标准合同条款的个案评估要求。
二是,欧美之间达成跨大西洋的数据跨境传输框架。该框架大体解决了欧美之间的数据传输问题,不过相关立法中,关于数据跨境政治考量因素逐渐增多,我们要防止所谓的“数据脱钩”。
在我国企业走出去的过程中,如何去争取一个友好的数据跨境环境,保证中国企业的数据跨境流动安全畅通有序,仍有很多事情值得各界来共同努力。
《个人信息保护法》一周年观察之焦点、挑战与前瞻
作者:陈际红来源:北京办公室

2021年11月1日,《个人信息保护法》(以下简称“个保法”)正式实施,作为中国首部规范个人信息处理活动的专门立法,个保法进一步规定了个人信息处理应当遵循的原则以及个人信息主体的权利和保护,健全了个人