《个人信息保护法》重点规定及企业合规建议——信息处理者识别及特殊场景要求

来源:凌科安时法律评论

文章摘要
前言 《中华人民共和国个人信息保护法》(本文简称《个人信息保护法》)于2021年8月20日正式通过,并将于11月1日起正式施行。

前言
《中华人民共和国个人信息保护法》(本文简称《个人信息保护法》)于2021年8月20日正式通过,并将于11月1日起正式施行。《个人信息保护法》与《中华人民共和国网络安全法》《中华人民共和国数据安全法》并称为“三驾马车”,从国家安全层面、个人数据保护和公共数据公开层面构建起我国对于网络和数据安全保护的制度保障。其中,《个人信息保护法》与民众的日常生活最为相关,因而也对企业相关合规体系和管理提出了更高的要求。在上一篇文章对个人信息处理的基本原则、个人信息处理的法定正当事由、以及一般个人信息和敏感个人信息的处理要求等进行解读并向企业提供合规性建议后,本文将针对信息处理者的义务和特殊场景下的个人信息处理进行探讨。
一、信息处理者的识别及对应义务
从信息处理者的角度来看,《个人信息保护法》将个人信息处理者分为一般信息处理者、达量个人信息处理者、重要互联网平台等,并对每一类特殊信息处理者的额外义务进行了规定。因此,企业在处理个人信息时,除了识别所处理的个人信息,还需要识别自身属于何种信息处理者,并按照该种处理者所对应的义务进行合规操作。
(一)一般信息处理者
一般信息处理者需要根据个人信息处理的基本原则,在符合法定正当性事由的基础上处理个人信息。前篇我们已经详细阐述了法定正当性事由以及同意的具体规定,在实践中很多企业提出,到底如何界定所收集的个人信息是与提供产品或服务所必要的?针对此问题,我们建议可以参考国家网信办等四部门联合印发的《常见类型移动互联网应用程序必要个人信息范围规定》,虽然此规定仅针对APP,但结合企业所提供的具体产品和服务性质,可以作为参考借鉴。例如,提供地图导航类产品或服务的企业,所可以收集的必要个人信息仅包括位置信息、出发地、到达地,用户的电话号码、行踪轨迹等则不属于其必要个人的信息;又如,提供求职招聘类产品或服务的企业,其必要的个人信息仅包括注册用户的移动电话号码和求职者提供的简历,求职者的位置信息、身份证件类型和号码等则不属于其必要个人的信息。
另外,一般信息处理者的义务规定于《个人信息保护法》第五十一条,要求一般信息处理者采取相应措施确保个人信息的处理活动符合法律法规规定。这些措施主要包括:
制定内部管理制度和操作规程;
对个人信息实行分类管理;
采取相应的加密、去标识化等安全技术措施;
合理确定个人信息处理的操作权限;
定期对从业人员进行安全教育和培训;
制定并组织实施个人信息安全事件应急预案。
除此之外,一般信息处理者还需要定期对其处理个人信息遵守法律、行政法规的情况进行合规审计,并针对处理敏感个人信息、自动化决策、委托处理或向他人提供个人信息、披露个人信息、向境外提供个人信息等情形进行事前个人信息保护影响评估,同时需要将处理情况进行记录并保存三年。
针对已经发生或可能发生的个人信息安全事件,个人信息处理者应当立即采取补救措施,并通知监管部门和个人。
(二)受托信息处理者
针对接受委托处理个人信息的受托信息处理者,《个人信息保护法》第二十一条、第五十九条规定了受托信息处理者的特别义务,包括:
不得超出约定处理个人信息;
不得在委托合同不生效、无效、被撤销或者终止时保留个人信息;
不得擅自转委托他人处理个人信息;
采取必要措施保障所处理的个人信息的安全;
协助个人信息处理者履行本法规定的义务。
(三)CIIO和达量处理者
根据《个人信息保护法》第四十条,关键信息基础设施运营者(CIIO)和处理个人信息达到国家网信部门规定数量的个人信息处理者(达量处理者)只能在境内处理、收集和产生的个人信息;如果需要向境外提供,则需要通过国家网信部门组织的安全评估。
另外,根据《个人信息保护法》第五十二条,达量处理者应当指定个人信息保护负责人,将其联系方式公开并报送监管部门。
(四)境外处理者
根据《个人信息保护法》第三条的规定,以向境内自然人提供产品或者服务为目的,或分析、评估境内自然人的行为的境外个人信息处理者,需要在境内设立专门机构或者指定代表,并将其姓名、联系方式等报送监管部门。
(五)大型互联网平台
针对提供重要互联网平台服务、用户数量巨大、业务类型复杂的大型互联网平台,其虽掌握了巨大数量的个人信息,但除网络服务之外,大型互联网平台并不直接向个人提供商品或服务。若仅要求大型互联网平台自身作为个人信息处理者进行合规评估和整改,并无法真正达到《个人信息保护法》的要求,也不能真正做到全面监管;因此,《个人信息保护法》对大型互联网平台提出了更高的个人信息保护要求,让大型互联网平台参与个人信息监管工作,这样不仅为监管提供了更加多元化的治理模式,也在商业层面和技术层面更有有利于实现对用户个人信息处理活动的监管。
《个人信息保护法》第五十八条对大型互联网平台规定的义务包括:
建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立监督机构;
在平台规则中明确平台内产品或服务提供者处理个人信息的规范和保护个人信息的义务;
对严重违法的平台内产品或服务提供者停止提供服务;
定期发布个人信息保护社会责任报告。
二、特殊场景下的特殊要求
最后,我们来看看《个人信息保护法》中规定的两个特殊场景项下的合规性问题。
(一)自动化决策
根据《个人信息保护法》的定义,自动化决策是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。现实生活中,自动化决策所使用的场景越来越广泛,企业在收集个人信息并进行自动化决策后,接下来就是针对个人的个性化推送或展示,在这个过程中,个人的权益就可能受到侵害,比如我们常说的“大数据杀熟”。
因此,《个人信息保护法》以及相关规定针对自动化决策,对大数据的滥用进行了特殊规定,主要包括:
不得对个人在交易价格等交易条件上实行不合理的差别待遇;
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式;
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
这些要求更多地是针对消费者个人权益的保护,以及对不正当竞争行为的遏制,重点强调公平与透明。因此,企业要避免利用大数据针对不同群体进行差别定价;在涉及通过算法为客户进行信息推送和商业营销的,则要特别提供不针对个人特征的选项;另外,自动化决策应当透明,并在作出决定时不仅仅通过自动化决策,还应给出其他依据。
(二)个人信息跨境提供
《个人信息保护法》通过第三章专章规定了个人信息跨境提供的规则,包括条件、提供方式等。首先,企业在涉及个人信息跨境提供时,应当特别注意自身和拟出境的个人信息是否属于必需存储在本地的限制范围内;例如前述CIIO和达量处理者,以及重要数据和境外司法或者执法机构要求提供的个人信息等。
其次,在确定了自身和拟出境的个人信息均不属于必需存储在本地的限制范围内后,企业需要根据《个人信息保护法》第三十九条规定取得个人的单独同意,并符合《个人信息保护法》第三十八条规定的条件,例如通过专业机构进行的个人信息保护认证,或与境外接收方订立国家网信部门制定的标准合同等。
最后,还需要考虑境外的接收方是否符合法律规定。第一,企业应当确保境外接收方不属于国家网信部门列入限制、禁止提供清单或者采取反制裁的范围内;第二,企业应当保障境外接收方处理个人信息的活动达到我国法律规定的个人信息保护标准。只有在按照前述步骤逐一确定、落实后,企业才可合法合规地将个人信息传输出境。
三、结语
关于前述要点,《个人信息保护法》仅是较为原则性的规定,还有很多亟需细化、落实的内容,例如可携权如何落地、数据出境的专业认证机构和标准合同、达量处理者和大型互联网平台的认定等;以及相关权益在司法实践中将如何保护。
同时,我们看到相关部门已在紧锣密鼓地制定系列配套性制度,最高院也表示正在制定有关个人信息保护等司法解释。《个人信息保护法》生效后将如何实施、如何落地、如何解释,我们拭目以待。

技术驱动法律,专业成就未来