《個人信息保護法》亮點解讀：開啟數(shù)據(jù)合規(guī)新篇章

1、參與者提供了更為具體的合規(guī)指引。2021 年8 月 20 日，第十三屆全國人大常委會第三十次會議通過個人信息保護法，新法將于 11 月 1 日起施行。個人信息保護法立足于數(shù)據(jù)產(chǎn)業(yè)發(fā)展的實踐和個人信息保護的迫切需求，完善了我國數(shù)據(jù)合規(guī)領域的法律體系，更為全面地保障個人權利。市場參與者要按照下個月即將生效的數(shù)據(jù)安全法和剛剛通過的個人信息保護法要求，加快數(shù)據(jù)安全治理體系建設。一、個人信息保護法的立法沿革2020 年10 月 13日,十三屆全國人大常委會第二十二次會議第一次審議了個人信息保護法(一審草案)。2021 年 4月 29 日,個人信息保護法(草案二次審議稿)在經(jīng)全國人大常委會會議審議后，面向

2、社會公布并征求意見。二審稿的主要亮點在于進一步完善了處理個人信息的合法性基礎，補充了個人有權撤回同意的內(nèi)容，新增對具有管理公共事務職能的組織的規(guī)范要求，要求按照網(wǎng)信部門制定的標準處理個人信息跨境，加強對向境外司法或執(zhí)法機構提供個人信息的監(jiān)管，新增規(guī)定死者的個人信息權益由近親屬行使，以及新增超大互聯(lián)網(wǎng)平臺特定的個人信息保護義務要求等等。在 20 日通過的最終三審稿中，主要的亮點和變化體現(xiàn)在：進一步完善個人信息處理規(guī)則，特別是對應用程序（App）過度收集個人信息、“大數(shù)據(jù)殺熟”等作出有針對性規(guī)范；將不滿十四周歲未成年人的個人信息作為敏感個人信息；完善個人信息跨境提供的規(guī)則；增加個人信息可攜帶權的規(guī)

3、定；完善死者個人信息保護的規(guī)定，以及對完善個人信息保護投訴、舉報工作機制及違法處理個人信息涉嫌犯罪案件的移送提出明確要求等等。二、個人信息保護法亮點解讀(一)明確了個人信息處理的合法基礎個人信息保護法列舉了個人信息處理的合法基礎包括授權同意、為訂立或履行個人作為一方當事人的合同所必需、履職必需、應對突發(fā)公共衛(wèi)生事件、在合理的范圍內(nèi)處理已公開的信息、公益目的等等，總體而言采取了優(yōu)先保護個人權利和社會公共利益的路徑。與國際立法相比，個人信息處理者的合法利益本身不能構成授權同意之外的合規(guī)基礎。對一般市場參與者而言，主要的數(shù)據(jù)處理合規(guī)基礎即為授權同意、合同必需和在合理范圍內(nèi)處理已公開的信息。對授權同意

4、而言，盡管仍存在授權同意能否真正保障個人信息主體的知情權、授權同意流于形式、強勢一手數(shù)據(jù)源為后續(xù)數(shù)據(jù)流轉的參與方帶來權利瑕疵“原罪”等問題，實踐中已逐漸形成一定程度上的行業(yè)最佳實踐，例如采用交互式彈窗的形式在用戶使用特定功能時逐一獲取該功能必需的數(shù)據(jù)，明確列出數(shù)據(jù)共享的目的及合作方名單，在隱私協(xié)議條款前簡要介紹核心條款等等。因此，在平衡法律要求、用戶體驗和保障消費者知情權方面，行業(yè)逐漸開始摸索出一套較為成熟的合規(guī)實踐。對合同必需而言，合同必需的原則與最小必要原則密切相關。因此在獲取數(shù)據(jù)之前，市場參與者需要區(qū)分產(chǎn)品服務的核心功能和附加功能，審慎衡量獲取的數(shù)據(jù)類型是否是提供相關產(chǎn)品和服務的必要前提

5、。對處理已公開的信息而言，個保法也在附則對其含義進行了進一步的明確。市場參與者可能需要評估個人信息主體公開信息的具體途徑、目的、預期公開程度、數(shù)據(jù)使用目的是否超出個人信息主體的合理預期等因素。由于該合規(guī)基礎的模糊性較大，相對而言也會存在更多的合規(guī)隱患。(二)為個人賦予撤回同意的權利考慮到實踐中普遍存在的不支持注銷賬戶、撤回同意投訴無門等問題，個保法要求個人信息處理者提供便捷的撤回同意方式。就“便捷”而言，依照相關國家標準的精神，其便捷程度宜與給予授權的便捷程度相對等。此外，個保法明確撤回同意不影響撤回前基于個人同意已進行的個人信息處理活動的效力。由于數(shù)據(jù)存在極強的可復制性，個人信息主體在給出首

6、次授權同意后，對于姓名、身份證號、手機號、地址等相對靜態(tài)的信息很容易失去控制權。即使在撤回同意后，個人及每一環(huán)節(jié)數(shù)據(jù)處理者也很難控制數(shù)據(jù)的后續(xù)流轉。相比而言，更容易落地的是行為類數(shù)據(jù)，相關數(shù)據(jù)處理者需要確保在個人信息主體撤回同意后，相關數(shù)據(jù)被終止收集，必要時也需要對其進行刪除或匿名化。(三)將不滿十四周歲未成年人的個人信息列入敏感個人信息針對實踐中兒童早已成為在線教育、線上游戲、視頻網(wǎng)站和社交產(chǎn)品的用戶群體之一，個保法明確要求將不滿十四周歲未成年人的個人信息作為敏感個人信息加以保護。因此相關數(shù)據(jù)處理者可能需要更改內(nèi)部數(shù)據(jù)分級分類的標準，依照我國法律和相關標準對敏感信息的要求對涉及的不滿十四周歲

7、未成年人的個人信息進行特別保護。此外，個保法也要求個人信息處理者對其制定專門的個人信息處理規(guī)則。具體而言，處理規(guī)則的內(nèi)容可能會涉及確認用戶年齡的實現(xiàn)方式、確認監(jiān)護人授權同意的實現(xiàn)方式、針對兒童群體準備專門的個人信息保護文本和用戶協(xié)議、未成年人發(fā)布信息內(nèi)容的提示和保護義務、推送內(nèi)容的管理機制等等。同時，對于面向普通公眾提供產(chǎn)品和服務的運營者而言（如搜索服務），是否與專門針對兒童提供產(chǎn)品和服務的運營者在兒童個人信息保護領域的要求有所區(qū)分仍有待理論和實踐的進一步探索。例如是否需要額外收集用戶的年齡信息從而將兒童從全部用戶群體中識別出來，此類要求與最小必要原則如何適配等等。(四)針對自動化決策提出明確

8、要求針對用戶畫像、“大數(shù)據(jù)殺熟”等問題，個人信息保護法立足于維護廣大人民群眾的網(wǎng)絡空間合法權益，充分吸收了成熟國家標準與行業(yè)實踐的內(nèi)容，從算法倫理、數(shù)據(jù)獲取、數(shù)據(jù)使用、風險評估和日志記錄的方面對自動化決策進行了規(guī)制。在算法倫理層面，個保法要求數(shù)據(jù)處理者保證決策的透明度和結果公平合理。參照國際立法的實踐，數(shù)據(jù)處理者可能需要在用戶協(xié)議中向用戶簡明介紹算法的基本邏輯和對用戶權益的影響，不得通過自動化決策對個人在交易價格等交易條件上實行不合理的差別待遇等等。在數(shù)據(jù)獲取方面，我國個保法要求數(shù)據(jù)處理者在進行商業(yè)營銷、信息推送時給予用戶拒絕的權利。在數(shù)據(jù)使用方面，提供不針對個人特征選項的信息推送可能要求企業(yè)

9、對自身的商業(yè)模式進行調整，如在自動化決策推薦算法之外，為用戶提供單純依照點擊量、發(fā)布時間等統(tǒng)計結果的選項。在風險評估方面，要求數(shù)據(jù)處理者在事前進行風險評估，具體的內(nèi)容可能包括自動化決策系統(tǒng)在準確性、公平性、歧視、隱私和安全方面的影響（包括訓練用數(shù)據(jù)的影響），并對影響評估中的問題予以糾正。在日志記錄方面，要求數(shù)據(jù)處理者并對數(shù)據(jù)的處理活動進行記錄等等。(五)全面規(guī)范個人信息跨境的規(guī)則個保法設置專章對個人信息跨境提供的規(guī)則進行了全面的規(guī)范，與數(shù)據(jù)安全法網(wǎng)絡安全法形成了完善的法律體系銜接。其中值得注意的是，在境外司法或執(zhí)法機構要求提供境內(nèi)個人信息時需要經(jīng)過主管機關的批準。由于在實踐中國際禮讓原則逐漸式

10、微，跨國企業(yè)可能會在國際訴訟中面臨兩難處境。因此，也有待后續(xù)立法進一步明確批準提供證據(jù)的具體主管機關、批準程序和時限等內(nèi)容，更好地維護我國跨國企業(yè)在國際法律糾紛當中的利益。(六)明確個人信息侵權行為的歸責原則為過錯推定個人信息保護法明確了當個人信息權益因個人信息處理活動受到侵害時, 個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償?shù)惹謾嘭熑?。換言之，個人信息處理者如果不能證明自己在數(shù)據(jù)處理、數(shù)據(jù)保護中不存在過錯，將在訴訟中面臨一定程度的敗訴風險。在司法實踐中，龐理鵬訴中國東方航空股份有限公司、北京趣拿信息技術有限公司隱私權糾紛案的被告企業(yè)被要求證明自己不存在過錯、已履行的信息安全保護義務

11、、個人信息的具體泄露方以及泄露的具體環(huán)節(jié)，并最終由于難以提供相關證據(jù)而承受了敗訴結果。與之相反的是，在方月明訴北京金色世紀商旅網(wǎng)絡科技股份有限公司、中國東方航空股份有限公司合同糾紛案中，法院認為企業(yè)提供的等保測評報告、對外合作協(xié)議、任命數(shù)據(jù)保護官的通知等證據(jù)，滿足了法院關于“充分履行個人信息保護義務”的要求。具體到合作協(xié)議的證據(jù)留存方面，企業(yè)也需要對數(shù)據(jù)處理的所有參與方、各方的權利義務、違約情況等具體情形進行存證，以證明本方的數(shù)據(jù)處理符合法律的規(guī)定與合作方之間的約定。因此，我們建議相關企業(yè)可以參照司法實踐中的經(jīng)驗，為合規(guī)制度的建設和司法實務中企業(yè)“證明自己沒有過錯”尋求一定程度的借鑒。三、結語個人信息保護法的出臺進一步完善了我國在個人信息保