个人信息保护法(草案)与多国数据保护法要点对比
出海互联网法律观察王捷 魏彤2020/10/27 10:28:31

提要

铆劲许久的《个人信息保护法(草案)》(以下简称《个信草案》或《草案》)已经面世,作为中国第一部法典化的个人信息保护法,不仅从内容上借鉴和吸收了主要先进海外地区的立法经验,也从个人信息的生命全周期、个人信息主体权利、以及个人信息保护和合规义务等方面,参考和吸收了《民法典》、《个人信息安全规范》、《网络安全法》、《电子商务法》,《数据安全法(草案)》,以及其他与个人信息保护法规有关的内容。总体上来说,个信草案从确立“告知——同意”为核心的个人信息处理一系列规则、严格限制处理敏感个人信息、明确国家机关对个人信息的保护义务等方面,全面加强了个人信息的法律保护。

垦丁W&W国际法律团队一直特别关注海外数据隐私保护立法的动态与发展,也借此个信草案出台的重要时刻,特别地对海外几大重要地区的数据保护法案进行对比(篇幅有限,仅将要点进行列示),帮助互联网企业及接触大量个人信息的相关人员进一步了解当中的主要合规要点。

一、法律适用范围/域外适用效力

与众多海外数据保护法案一样,我国个信草案规定了,除了在中国境内的组织和个人适用本法外,在满足一定条件下,境外的组织和个人也同样适用,体现了域外适用效力的对等原则。同时,对于在境外处理境内个人信息的处理者,应当在境内设立专门机构或者指定代表,负责处理个人信息保护的相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。对于跨国企业、出海企业在海外部署服务器但涉及收集、使用和处理中国境内用户信息的情况时,企业需要特别注意。

二、敏感个人信息的概念与处理规则

本次草案特别设立章节强调了对敏感个人信息的处理规则,并创设了处理敏感个人信息的,应当取得个人“单独同意”的规则,除了应当向个人履行法定的告知义务(包括处理者身份、联系方式、处理目的、处理方式、信息种类、保存期限、个人行使权力的方式和程序等等)外,还应当特别告知处理敏感个人信息的必要性以及对个人的影响。

因此,公司需要特别注意如何满足法律规定的“单独同意”,处理者除了在隐私政策中对敏感信息的处理行为进行告知外,还需要在该场景触发时,通过例如单独弹窗、单独展示等方式进行告知,并获得个人的明示有效的同意,而不能是“概括同意”,“一揽子同意”,更不能是“默认同意”。

三、数据本地化存储

草案一方面特别强调了,国家机关处理的个人信息应当在境内存储,对于确有需求向境外提供的,应当进行风险评估后方能对外提供。另一方面,也要求关键信息基础设施运营者,以及当处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在境内收集和产生的个人信息存储在境内。对于确需向境外提供的,应当通过国家网信部门组织的安全评估。

其中,关于个人信息达到一定数量的界定,可参考《个人信息和重要数据出境安全评估办法(征求意见稿)》,含有或累计含有50万人以上的个人信息,以及数据量超过1000G。关于关键信息基础设施的界定,可参考《关键信息基础设施识别指南》第(三)大点中提及的多个“100万”的标准,包括访问量、注册用户量,影响人数量等等。

四、数据跨境传输

本次草案特别用单独的一章来规定了个人信息跨境提供的处理规则,确立了境内产生和收集的个人信息与重要数据原则上应当在境内存储,但确需对境外提供的话,则需要满足安全评估、个人信息保护认证以及与境外合作方订立可以确定和保障双方权利的三个条件之一。同时,如果我们结合《个人信息出境安全评估办法(征求意见稿)》的规定来看时,处理者向境外提供个人信息前应向省级网信部门申报个人信息出境安全评估,且评估内容也包括合同条款是否能够充分保障个人信息主体合法权益以及合同能否得到有效执行,因此,对于不同类型的处理者需要特别注意是否需要全部满足规定的各项条件,而不只是某一条件。

另外,需要特别注意,境外传输也需要遵守“单独同意”的规定,和法定告知义务。另外本次草案的另一特色是,增加了“按照国家网信部门的规定经专业机构进行个人信息保护认证”的要求。

五、处理个人数据的法定基础

处理个人数据的法定基础是各国数据保护法律非常重要的部分,也是个人信息处理者对个人信息进行收集、使用、处理、转让、共享等最重要的法律基础。各国关于法定基础的规定看起来可能是大致相似的,但各国对于不同的情况下所能满足的程度的理解会有不同,部分规定也有差异,公司在处理个人信息时候,需要特别注意特殊情况下的具体规定。

本次草案确立了“以告知-同意”为核心的个人信息处理的一系列原则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。处理者需要注意遵守“合法性原则”和“同意原则”,其中有五种情况需要满足“单独同意”的规定。

六、数据主体的权利

数据主体在个人信息处理活动中的权利是各国数据保护法的重头戏,这决定了个人信息的所有人可以享有哪些具体的权利保障,也体现了该国数据保护立法对个人权利的重视程度。企业在处理用户个人数据的时候也特别需要保障这些法定权利的行使方式与具体程序。本次草案特别用单独的一章来明确个人在信息处理活动的具体权利,主要包括知情权、决定权、查阅权、复制权、更正权、删除权及获得解释权等。

至于对每个权利的具体范围包括哪些(例如个人可查阅复制的个人信息范围包括哪些),可实现的程度如何(例如如何保障用户的更正权利、拒绝权利等),有哪些具体的保障措施等等,还需要进一步结合《个人信息安全规范》等法规,以及在实务中进行释明和理解。

另外,草案也强化了数据质量的规定,明确规定“所处理的个人信息应当准确,并及时更新”。

七、数据处理者责任

关于数据处理者的具体义务和责任,是各个企业特别关注的问题,也是数据合规工作最为重要的一大部分。本次草案在第五章中规定了处理个人信息的数据处理者的具体义务,企业需要特别注意根据草案的要求,建立个人信息保护的内部制度,对个人信息实行分级分类管理,以及建立风险评估、去识别性处理等基本制度,同时,数据处理者应采取适当的安全技术措施确保数据的安全、准确。这在与GDPR、CCPA、LGPD、PIPA等重要数据保护法案中的规定一致。

另外,还需特别注意的是,境外处理境内数据时候,境外组织应当在境内设立专门机构或指定代表,并公布并官方备案负责人的信息,此处与欧盟、印度、新加坡等关于任命和公布数据保护官联系方式的要求是相近。

八、数据保护的监管机构

全球范围而言,已经有单独数据保护立法的国家和地区,大部分都正在确立或已经确立了对应的数据保护监管机构,不同国家/地区由于立法体制的不同,导致监管的机制或负责的部门也会不同,理解对应监管机构,有利于进一步帮助企业了解数据保护立法的监管趋势与动态。本次草案中确认了履行个人信息保护职责的保护和个人信息保护的监管体制,并为个人对违反个人信息处理的行为可以向监管部门进行投诉、举报的权利。

九、违反数据保护法的处罚规定

本次草案在处罚规定的一个大亮点是,借鉴了国外立法内容,在行政责任上的行政处罚中设置了较高的上限,也在民事责任上确定了处理者的侵权赔偿责任,一方面为未来行政处罚力度提供了较大空间,另一方面,也使更多的企业更加重视对用户个人信息的大力保护,而不只是发生侵害后进行简单的删除,高额的罚款规定设置也更有利于个人信息保护法的落地和执行。

通过与全球主要地区的数据保护法案与草案进行对比,我们可以看出,一方面,本次个人信息保护立法,坚持立足国情,从我国实际出发,深入总结网络安全法等法律、法规、标准的实施经验,将行之有效的做法和措施上升为法律规范。同时,非常充分地借鉴了国际经验,有关国际组织和国家、地区的有益做法,建立健全适应我国个人信息保护和数字经济发展需要的法律制度。另一方面,本次草案也把个人信息保护实务中关注的重点和热点内容进行了体现,并对新技术带来的新问题留下了必要空间,同时也对个人信息处理者提出了更加严格的要求。

(作者:王捷  资深出海法律顾问/数据合规顾问    魏彤  数据合规顾问)


展开全文
相关阅读
资讯查询取消