個(gè)人信息保護(hù)制度離完善還有多遠(yuǎn)

◎ 文 《法人》特約撰稿 申曉雨 吳雅涵 康雅斯

(作者單位：北京天達(dá)共和律師事務(wù)所)

近來(lái)，我國(guó)個(gè)人信息保護(hù)領(lǐng)域立法活躍。今年10月，我國(guó)個(gè)人信息保護(hù)領(lǐng)域最詳盡的一份標(biāo)準(zhǔn)文件《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（下稱(chēng)《個(gè)人信息安全規(guī)范》）第三次修訂并征求意見(jiàn)。

和前兩版征求意見(jiàn)稿相比，10月發(fā)布的《個(gè)人信息安全規(guī)范》修訂征求意見(jiàn)稿，在個(gè)人信息保護(hù)方面進(jìn)一步完善了相關(guān)制度設(shè)計(jì)。例如，在個(gè)人信息的定義部分補(bǔ)充注解，明確由個(gè)人信息控制者通過(guò)個(gè)人信息或其他信息加工處理后形成的信息也屬于個(gè)人信息；新增協(xié)助個(gè)人信息主體注銷(xiāo)賬戶(hù)的義務(wù)；加強(qiáng)了委托處理的安全監(jiān)督義務(wù)等等。

可以看出，我國(guó)的個(gè)人信息保護(hù)立法正在依據(jù)自身的發(fā)展特點(diǎn)逐步具體化、合理化。此時(shí)再來(lái)審視一年多以前生效的歐盟《通用數(shù)據(jù)保護(hù)條例》（下稱(chēng)“GDPR”），我們與GDPR這部史上最嚴(yán)個(gè)人信息保護(hù)法所確立的合規(guī)標(biāo)準(zhǔn)距離還有多遠(yuǎn)？在我們的個(gè)人信息保護(hù)立法體系日趨完善的過(guò)程中，我們是否會(huì)面臨更多法域沖突帶來(lái)的合規(guī)挑戰(zhàn)？

中國(guó)立法與GDPR的主要差異

域外效力

關(guān)于中國(guó)個(gè)人信息保護(hù)法的域外效力，目前在已生效的個(gè)人信息保護(hù)法中，僅有網(wǎng)絡(luò)安全法明確規(guī)定，其對(duì)境外網(wǎng)絡(luò)運(yùn)營(yíng)者發(fā)布違法信息或攻擊我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施的行為存在域外效力?！秱€(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）》規(guī)定，其適用于境外機(jī)構(gòu)通過(guò)互聯(lián)網(wǎng)等收集中國(guó)境內(nèi)用戶(hù)個(gè)人信息的情形。

除此之外，中國(guó)個(gè)人信息保護(hù)法的域外效力尚不明晰。

GDPR則明確規(guī)定，如果是設(shè)立于歐盟境外的機(jī)構(gòu)或個(gè)人為歐盟境內(nèi)的數(shù)據(jù)主體提供貨物或服務(wù)（無(wú)論數(shù)據(jù)主體是否被要求付費(fèi)），或?qū)?shù)據(jù)主體在歐盟境內(nèi)的行為進(jìn)行監(jiān)控，則GDPR對(duì)其具有域外效力。

處理的基本原則

《個(gè)人信息安全規(guī)范》規(guī)定個(gè)人信息處理的基本原則包括權(quán)責(zé)一致、目的明確、選擇同意、最少夠用/最小必要、公開(kāi)透明、確保安全和主體參與原則。

以上原則在GDPR中也得以規(guī)定和體現(xiàn)。除此之外GDPR還提出了“準(zhǔn)確性原則”，即要求個(gè)人數(shù)據(jù)應(yīng)是準(zhǔn)確的，且若有必要應(yīng)保持適時(shí)更新，采取一切合理措施確保與數(shù)據(jù)處理目的相悖的錯(cuò)誤數(shù)據(jù)被及時(shí)清除或更正。該項(xiàng)原則在中國(guó)個(gè)人信息保護(hù)法中未做規(guī)定。

個(gè)人信息主體的同意

(1)明示同意

中國(guó)個(gè)人信息保護(hù)法下，并非所有的個(gè)人信息處理行為都必須取得個(gè)人信息主體的明示同意?！秱€(gè)人信息安全規(guī)范》10月版特別明確了授權(quán)同意的范圍包括默許同意，其規(guī)定，個(gè)人信息主體對(duì)其個(gè)人信息進(jìn)行特定處理作出明確授權(quán)的行為，包括通過(guò)積極的行為作出授權(quán)（即明示同意），或者通過(guò)消極的不作為而作出授權(quán)（例如信息采集區(qū)域內(nèi)的個(gè)人信息主體在被告知信息收集行為后沒(méi)有離開(kāi)該區(qū)域）。

GDPR將“數(shù)據(jù)主體的同意”定義為“數(shù)據(jù)主體依據(jù)其個(gè)人意愿，自由、明確、知情并清楚地通過(guò)陳述或積極行為表示對(duì)其個(gè)人數(shù)據(jù)進(jìn)行處理的同意”，相當(dāng)于中國(guó)個(gè)人信息保護(hù)法所定義的“明示同意”?；谶@一定義，在GDPR下取得個(gè)人信息主體的同意必須是明示同意，排除了默許同意的適用。

(2)自愿原則

中國(guó)個(gè)人信息保護(hù)法和GDPR均規(guī)定，個(gè)人信息主體的同意應(yīng)由其自愿給出，不得強(qiáng)迫個(gè)人信息主體作出同意。

《個(gè)人信息安全規(guī)范》僅規(guī)定了自愿原則在平等主體之間的適用，如產(chǎn)品或服務(wù)的提供者收集客戶(hù)個(gè)人信息時(shí)，不得違背個(gè)人信息主體的自主意愿，強(qiáng)迫個(gè)人信息主體接受產(chǎn)品或服務(wù)所提供的業(yè)務(wù)功能及相應(yīng)的個(gè)人信息收集請(qǐng)求。

而GDPR在適用自愿原則時(shí)則考慮到更多情況。根據(jù)《歐盟第二十九條工作組關(guān)于 2016/679條例下同意的指引》 （“GDPR指引”），數(shù)據(jù)主體的同意是否自愿給出，還需考慮數(shù)據(jù)控制者和數(shù)據(jù)主體是否存在權(quán)力不對(duì)等的情況，例如政府機(jī)關(guān)和個(gè)人、用人單位和雇員。

處理的合法基礎(chǔ)

按照中國(guó)個(gè)人信息保護(hù)法，除為行政執(zhí)法和司法目的外，控制者收集、共享、轉(zhuǎn)讓、公開(kāi)披露或以其他方式處理個(gè)人信息的，必須以取得個(gè)人信息主體的同意作為其處理行為的合法基礎(chǔ)。

《個(gè)人信息安全規(guī)范》對(duì)此規(guī)定了例外情形，例如，通過(guò)合法公開(kāi)渠道獲取個(gè)人信息以及新聞單位為開(kāi)展合法的新聞報(bào)道所必需而處理個(gè)人信息。但是我國(guó)強(qiáng)制性法律法規(guī)中并無(wú)對(duì)該等同意的例外情形的規(guī)定。

GDPR允許控制者除基于個(gè)人信息主體同意之外，還可以基于其他多種合法基礎(chǔ)處理個(gè)人數(shù)據(jù)，但通過(guò)合法公開(kāi)渠道獲取個(gè)人信息以及新聞單位為開(kāi)展合法的新聞報(bào)道所必需而處理個(gè)人信息并不在此列。

因此，即使數(shù)據(jù)主體主動(dòng)公開(kāi)個(gè)人信息，也不代表其默認(rèn)同意任何數(shù)據(jù)控制者基于任何目的對(duì)其個(gè)人信息的處理；除非有法定依據(jù)，新聞單位也不能以開(kāi)展合法新聞報(bào)道為由未經(jīng)個(gè)人信息主體同意而處理個(gè)人信息。

披露義務(wù)

中國(guó)個(gè)人信息保護(hù)法和GDPR在控制者對(duì)個(gè)人信息主體的披露義務(wù)方面也存在一些不同的規(guī)定。

以自動(dòng)決策機(jī)制為例，《個(gè)人信息安全規(guī)范》未就涉及自動(dòng)決策情形下的披露義務(wù)作出專(zhuān)門(mén)規(guī)定。GDPR則明確規(guī)定，如果控制者采取包括用戶(hù)畫(huà)像在內(nèi)的自動(dòng)決策機(jī)制，則其應(yīng)向個(gè)人信息主體披露決策中所運(yùn)用的邏輯以及該處理行為對(duì)個(gè)人信息主體的重要性和可能產(chǎn)生的后果。

兒童個(gè)人信息收集

收集個(gè)人信息主體需遵循授權(quán)同意原則，針對(duì)兒童，則需要其監(jiān)護(hù)人代為做出授權(quán)同意的動(dòng)作。但是中國(guó)個(gè)人信息保護(hù)法目前對(duì)監(jiān)護(hù)人授權(quán)同意并無(wú)實(shí)質(zhì)審查要求。

GDPR則要求數(shù)據(jù)控制者應(yīng)當(dāng)考慮可利用的技術(shù)并做出合理的努力，對(duì)兒童監(jiān)護(hù)人授權(quán)同意的真實(shí)性進(jìn)行實(shí)質(zhì)審查。例如，根據(jù)GDPR指引，注冊(cè)者如承認(rèn)自己在兒童年齡線(xiàn)以下，則注冊(cè)者應(yīng)提供家長(zhǎng)的電子郵箱地址，數(shù)據(jù)控制者應(yīng)聯(lián)系家長(zhǎng)以取得同意，并確認(rèn)家長(zhǎng)的監(jiān)護(hù)責(zé)任。

個(gè)人信息主體的權(quán)利

從個(gè)人信息主體享有的權(quán)利類(lèi)型來(lái)看，與中國(guó)個(gè)人信息保護(hù)法相比，GDPR另賦予個(gè)人信息主體對(duì)其個(gè)人數(shù)據(jù)享有限制處理權(quán)和反對(duì)權(quán)。

此外，二者在個(gè)人信息主體的具體權(quán)利內(nèi)容上也有所不同。以個(gè)人信息主體的刪除權(quán)為例，《個(gè)人信息安全規(guī)范》對(duì)個(gè)人信息的刪除權(quán)做了一定的條件限制，即僅在控制者違法違規(guī)或違反與個(gè)人信息主體的約定收集、使用個(gè)人信息時(shí)，個(gè)人信息主體才可行使刪除權(quán)。

GDPR取消了類(lèi)似的權(quán)利行使的限制條件，即使對(duì)個(gè)人信息的處理并不違反法律規(guī)定，個(gè)人信息主體仍可基于個(gè)人信息對(duì)行使目的的不必要性、撤銷(xiāo)同意、反對(duì)權(quán)等法定情形行使刪除權(quán)。

個(gè)人信息安全事件處置

中國(guó)個(gè)人信息保護(hù)法和GDPR均要求控制者在出現(xiàn)個(gè)人信息安全事件時(shí)上報(bào)監(jiān)管部門(mén)，但《個(gè)人信息安全規(guī)范》對(duì)于控制者的報(bào)告期限未做規(guī)定，僅規(guī)定“按照《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等有關(guān)規(guī)定及時(shí)上報(bào)”，而現(xiàn)行的《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》亦未對(duì)報(bào)告期限作出規(guī)定。

GDPR則明確要求控制者在發(fā)現(xiàn)個(gè)人數(shù)據(jù)泄漏事故起72小時(shí)內(nèi)通知監(jiān)管機(jī)構(gòu)，除非該個(gè)人數(shù)據(jù)的泄露不太可能會(huì)對(duì)自然人的權(quán)利和自由造成風(fēng)險(xiǎn)；未能在72小時(shí)內(nèi)報(bào)告的，需要說(shuō)明未及時(shí)報(bào)告的理由。

組織管理要求

此外，在組織管理要求方面，中國(guó)個(gè)人信息保護(hù)法和GDPR也有諸多差異，如個(gè)人信息保護(hù)負(fù)責(zé)人的設(shè)置和職責(zé)、個(gè)人信息處理活動(dòng)的記錄、向主管部門(mén)的事先咨詢(xún)機(jī)制等。

數(shù)據(jù)跨境傳輸方面存沖突

如上所述，基于GDPR的域外管轄權(quán)，中國(guó)境內(nèi)的控制者向歐盟境內(nèi)的個(gè)人信息主體收集個(gè)人信息后，須滿(mǎn)足個(gè)人信息主體在GDPR項(xiàng)下的權(quán)利要求。

在此情形下，根據(jù)GDPR相關(guān)規(guī)定，中國(guó)境內(nèi)的控制者有義務(wù)響應(yīng)個(gè)人信息主體行使訪問(wèn)權(quán)或可攜帶權(quán)的要求，包括向個(gè)人信息主體提供個(gè)人信息副本。

同時(shí)，GDPR授予歐盟各監(jiān)管機(jī)構(gòu)的調(diào)查權(quán)也允許各監(jiān)管機(jī)構(gòu)“命令數(shù)據(jù)控制者或數(shù)據(jù)處理者、其代表人（如有）提供其履行職責(zé)所必要的所有信息”以及“以數(shù)據(jù)保護(hù)審計(jì)的形式實(shí)施調(diào)查”。

我國(guó)網(wǎng)絡(luò)安全法規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者確需向境外提供個(gè)人信息和重要數(shù)據(jù)的，須進(jìn)行安全評(píng)估；《個(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）》規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者向境外提供個(gè)人信息的，應(yīng)當(dāng)按照該辦法進(jìn)行安全評(píng)估，經(jīng)安全評(píng)估認(rèn)定個(gè)人信息出境可能影響國(guó)家安全、損害公共利益，或者難以有效保障個(gè)人信息安全的，不得出境。

如果中國(guó)境內(nèi)的控制者需要滿(mǎn)足GDPR下個(gè)人信息主體的權(quán)利請(qǐng)求或配合歐盟監(jiān)管機(jī)構(gòu)調(diào)查，但在提交我國(guó)監(jiān)管機(jī)構(gòu)評(píng)估后，監(jiān)管機(jī)構(gòu)決定該等個(gè)人信息不得出境的，則在此情形下，中國(guó)個(gè)人信息保護(hù)法和GDPR將存在實(shí)質(zhì)性沖突。

如上所述，對(duì)于中國(guó)企業(yè)特別是有出海業(yè)務(wù)的中國(guó)企業(yè)而言，僅遵守中國(guó)的個(gè)人信息保護(hù)法不足以滿(mǎn)足歐盟的監(jiān)管要求，還可能因法域沖突面臨兩難的局面。建議此類(lèi)企業(yè)全面梳理不同法域的數(shù)據(jù)合規(guī)要求，明確差異與沖突，并基于此制定有針對(duì)性的解決方案。

對(duì)于與歐盟境內(nèi)主體有數(shù)據(jù)交換業(yè)務(wù)的企業(yè)而言，有必要盡早與境外主體就數(shù)據(jù)交換業(yè)務(wù)展開(kāi)溝通，提前準(zhǔn)備數(shù)據(jù)傳輸協(xié)議等文件，以免我國(guó)個(gè)人信息出境安全評(píng)估機(jī)制一旦落地后，因不能履行向境外主體提供個(gè)人信息而承擔(dān)違約責(zé)任，或因無(wú)法取得對(duì)方的配合而難以完成我國(guó)個(gè)人信息保護(hù)法所要求的個(gè)人信息出境安全評(píng)估程序。