《个人信息保护法(草案)》详细解读:继承、创新与影响
发布时间:2020-10-15
文 | 黄春林 合伙人 李天航 合伙人 汇业律师事务所
2020年10月13日,十三届全国人大常委会第二十二次会议第一次审议了《个人信息保护法(一审草案)》(下称“一审草案”)。
结合近年来中国网络安全、数据与个人信息保护立法、政策及标准制定实践,汇业律师事务所网络与数据法律团队从条文继承与创新等角度,详细解读《一审草案》的主要内容及对行业的影响,仅供业内参考。
一、 个人信息保护法制定历程及主要内容
早在2000年初,中国就提出制定一部法典化的个人信息保护法,当年还出了多个版本的专家建议稿。但考虑到立法的谦抑性,因网络及数据行业发展相对比较年轻,故而停止。
随着互联网及电信行业的快速发展,至2009年左右,社会已经出现大量侵犯公民个人信息的案件,受到媒体及立法者的广泛关注。为了解决紧迫问题,立法者采取了先刑后民的立法策略,此后几年,通过在刑法修正案七/九、司法解释中加入、扩张、解释侵犯公民个人信息罪等条款,以及新增、完善拒不履行信息网络安全管理义务罪、帮助信息网络犯罪活动罪等条款,加强个人信息保护。
自2012年开始,作为应急性立法,全国人大通过了《关于加强网络信息保护的决定》,是我国个人信息保护最早的专门性立法。此后,工信部也发布了配套的专门性行政法规《电信和互联网用户个人信息保护规定》;《消费者权益保护法》、《广告法》、《电子商务法》等也从不同角度加强了个人信息保护有关的规定。
2016发布的《网络安全法》奠定了我国网络个人信息保护行政监管的基本制度,随后几年,立法机构及标准制定部门发布了一系列配套的法律及标准文件,例如关保及等保条例、儿童个人信息保护规定、个人信息出境安全评估办法(意见稿)、数据安全管理办法(意见稿)、《个人信息安全规范》等等。此外,2017年发布的《民法总则》,首次明确了个人信息的民事权利地位;2020年发布的《民法典》设立专章,详细规定了个人信息民事保护的基本制度。
2020年7月,全国人大发布了《数据安全法(草案)》,确立了数据与个人信息分别监管的立法策略。
自2018年开始,十三届全国人大常委会已将制定个人信息保护法列入了立法规划,直至本次《一审草案》,终于掀开了个人信息保护法的神秘面纱。
《一审草案》共计八章70条,内容总体上是继承、借鉴、吸收了国内外立法经验,在生命周期合规方面借鉴了单行立法及《个人信息安全规范》一些比较好的实践,在个人信息主体权利方面也吸收了网安法、电商法等相关内容,在个人信息处理者合规义务方面继承了网安法、数安法等有关内容。当然,《一审草案》的很多内容还是极具开拓性,超出业界普遍预期,对未来立法及行业发展影响较大。
二、 个人信息生命周期的一般性规定
《一审草案》参照《个人信息安全规范》等相关内容,从个人信息生命周期角度详细规定了个人信息保护的一般原则,同时还规定了个人敏感信息及国家机关处理个人信息的特别规定。具体的内容包括但不限于如下表:
上述内容的主要影响在于,《一审草案》从立法层面强化了共同控制者的连带责任,扩大了单独同意的合规要求,首次增加了视频采集及识别的用途限定,限定了公开个人信息爬取、使用的用途限定,对行业影响巨大(具体后续汇业律师事务所黄春林律师、李天航律师、史宇航律师将联合举办在线视频分享会议,详解行业影响及对策)。
三、 个人信息主体的权利
《一审草案》在个人信息主体权利方面,在继承《网络安全法》、《电子商务法》及《个人信息安全规范》等内容基础上,也有部分创新性规定:
此外,《一审草案》还强化了数据质量有关的规定,明确规定“所处理的个人信息应当准确,并及时更新”。
四、 个人信息处理者的主要合规义务
《一审草案》在借鉴《网络安全法》、《数据安全法(草案)的基础上,详细规定了个人信息处理者的微观合规义务,具体包括但不限于:
五、 个人信息存储本地化及跨境传输
汇业黄春林律师介绍,《一审草案》最大的看点就是细化了个人信息本地化及跨境传输的有关要求,部分内容突破了《网络安全法》37条规定及2019版《个人信息出境安全评估办法(征求意见稿)》有关内容,或许这也是为什么《个人信息出境安全评估办法》征求意见后迟迟没有发布的原因之一。
1. 在个人信息本地化要求方面,《一审草案》明确规定,如下情形应当以境内存储个人信息为原则:
(1) 国家机关处理的个人信息;
(2) 关键信息基础设施运营者在境内收集和产生的个人信息;
(3) 在境内收集和产生的个人信息数量达到一定数量的主体。关于具体数量,目前有两个可对标规定:一个是2017版本的《个人信息和重要数据出境安全评估办法(征求意见稿)》的50万人和1000G;另一个是《关键信息基础设施识别指南》的100万。
2. 在个人信息跨境传输规则方面,《一审草案》采取了更加开明的态度,明确了个人信息可出境的法定路径包括但不限于:
(1)前述原则应当本地化存储的情况,经安全评估;
(2)不属于(1)情况的(例如少量的员工个人信息出境),经专业机构进行个人信息保护认证的,或者与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准的;
(3)参照数安法规定,因履行国际司法协助或者行政执法协助义务的,经主管部门批准。
但是,无论采取哪种路径,均应当告知个人信息主体并经其单独同意,开展个人信息安全影响评估,且接收方未被列入限制或者禁止个人信息提供清单。
六、法律责任
除以上内容外,《一审草案》还明确了我国个人信息保护的监管机制,进一步强化了侵犯个人信息的民事、行政等法律责任。尤其是在民事责任方面,《一审草案》明确规定,违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
此外,《一审草案》还规定了公益诉讼机制,即个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起公益诉讼。