十国/地区个人信息保护法十大合规要点大比对


摘要:

  《中华人民共和国个人信息保护法》(以下简称《个保法》)已于2021年8月20日横空出世,并将于11月1日正式生效。作为中国第一部法典化的个人信息保护法,个保法不仅从内容上借鉴和吸收了先进海外地区的立法经验,以及包括《民法典》、《个人信息安全规范》、《网络安全法》、《电子商务法》,《数据安全法》等在内的涉及个人信息保护方面的有益内容,也从个人信息处理规则、个人信息跨境提供规则、个人信息主体权利、个人信息处理者的义务、以及个人信息保护和合规义务等具体方面,为个人信息主体的权益提供了全面的保障。

  总体上来说,个保法的出台,正式宣告网络安全与数据合规三驾马车(《网络安全法》、《数据安全法》、《个人信息保护法》)的诞生,并确立了我国个人信息保护的法治架构与体系,体现出我国高度重视个人信息保护与治理的决心与态度。

   笔者专注于互联网法律服务与合规工作,特别是全球数据与个人信息合规保护领域,一直特别关注海外数据隐私保护立法的动态与发展。

   本文旨在通过将我国个保法与海外九大主要地区的个人信息保护法案,从十个维度进行横向对比,以帮助出海互联网企业及大量接触个人信息的相关岗位人员更好地了解各国/地区在数据保护方面的异同点,以及主要合规要点。

   鉴于篇幅有限,笔者仅将主要比对维度按版块以要点的方式进行扼要列示,并期待个人信息保护同行专家朋友们的宝贵建议与指导。

第一部分:法律适用范围与域外适用效力

法律适用范围,主要是指某一法律所具有或者赋予的约束力,以及其所适用的范围广度与深度,一般包括时间适用效力(开始生效和终止生效时间)、空间效力(生效的地域范围)、以及对人的效力(对哪些人员生效)。而对于个人信息保护法律而言,一般会关注地域适用范围、个人适用范围以及个人信息资料本身的适用范围。

(一)我国个保法解读


《个保法》在第一章“总则”中就本法的适用范围进行了明确的规定。

首先,其明确规定过了“在中华人民共和国境内处理自然人个人信息的活动,适用本法”。可见,我国个保法采取了“属地原则”,明确了其适用范围之一针对的是“处理中国境内自然人信息的活动”,本法适用的个人信息主体,是指在中国境内的自然人个人,而无论该自然人是中国人还是外国人。换言之,即便是外国人主体,当其是在中国境内产生了个人数据,且被中国境内的组织、个人进行了个人信息的处理行为,则将会落入我国个保法的管辖和保护范围内。

举例说明

一款主要为境内用户提供购物服务的国内电商类App,在其服务过程中,收集了某位身处中国境内的外国人主体的个人信息时,则该电商类App在中国境内处理该等外国个人主体的个人信息时,需要遵守我国个保法的规定。而至于该电商类App对外国人主体个人信息的处理行为,是否还会落入该外国人所属国家或其他第三方国家/地区的个人信息保护法的适用范围,或海外地区的法律是否对本场景下的个人信息处理活动享有管辖权,则还需结合该海外地区的数据保护法案的适用范围进行分析(我们将在下文的图表对比中提供判断思路)。

其次,我国个保法明确了它也是具有域外适用效力的,体现在第三条第二款的规定:“在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:

(一)以向境内自然人提供产品或者服务为目的;

(二)分析、评估境内自然人的行为;

(三)法律、行政法规规定的其他情形。”

可见,我国个保法借鉴了欧盟GDPR,明确了其具有必要的域外适用效力,规定了当向境内自然人提供产品或服务,或分析、评估境内自然人的行为亦适用个保法的规定。

回到刚才的例子,假如该电商类App在新加坡部署了数据中心,并在新加坡(中国境外)处理该外国人的数据,鉴于该App是以向中国境内自然人提供服务的,且该外国人亦身处中国境内, 因此仍然落入我国个保法的适用范围,需要遵守我国数据保护法律法规的相关要求。

特别需要注意的是,对于境外的个人信息处理者,我国个保法明确要求了应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构或者代表的信息报送履行个人信息保护职责的部门。

但对比于欧盟GDPR的地域适用范围,我国个保法的规定还是有细微的区别。

欧盟GDPR是由“稳定的安排/组织设立机构(establishment)”,以及“服务目标/开展业务过程中(in the context of the activities)”两个标准共同确立的,而我国个保法的地域适用范围则是由“处理行为发生地”和“服务目标”确定的。这里的异同体现在“稳定的安排/组织设立机构(establishment)”与“在境内进行处理”,是不一样的。根据我国个保法的要求,只要处理自然人个人信息的活动发生在我国境内,或者以向我国境内自然人提供产品或者服务为目的,就会被纳入个保法的管辖,而不管是否需要在我国境内具有稳定的安排或设有机构(establishment)。

当然,我国个保法亦明确了其不适用的情形,包括:

(1) 自然人因个人或者家庭事务而处理个人信息的,不适用本法。

(2) 法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定。”

(二)海外主要个人信息保护法律对比


总体来说

《个保法》在适用范围上借鉴了欧盟GDPR的相关规定,纵观上表其他国家/地区的数据保护法律的管辖范围,不难看出,在全球范围内扩大本国/本地区的数据保护法律的域外效力已成为立法趋势。企业在出海业务发展过程中,特别是当企业涉及处理海外主体的个人信息时,应特别关注是其个人信息处理行为,是否会落入该国或地区的个人信息保护法案管辖范围,以进一步确认是否遵守以及该如何遵守该国或地区的数据保护法律及与此相关的法律规定。

第二部分:个人信息处理规则与特别注意事项

个人信息处理原则以及个人信息处理的具体规则,是每个国家数据保护法案中最为关键和核心内容,通过在法案中明确处理个人信息的合法性基础,以及对应的具体规则,以帮助企业和个人在处理个人信息时候厘清权利义务的边界,企业、组织在处理个人信息活动时应当特别留意和关注关于个人信息处理的具体规则要求。

(一)我国个保法解读


经过三审会议的我国个保法,在关于个人信息处理原则和处理规则上有了更进一步细化和完善,为企业、组织在处理个人信息时候划定了更清晰的红线。

01 个人信息保护原则

我国个保法第五条到第十一条确立了个人信息处理应遵循的原则,强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等。

归纳来看,可以理解为主要的七大原则:

1.合法、正当、必要和诚信原则

是指处理个人信息时,一方面,应当具有合法性的基础(在下文分析)、具有正当的理由、并应满足必要性的要求(对个人信息的处理应当限定在为了实现处理目的所必要的范围内),另一方面,要遵守诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。

2.目的明确、合理原则

相比于《二审稿》,个保法新增了“采取对个人权益影响最小的方式”,即将个人权益的影响程度作为是否明确、合理的判断标准,再次特别强调了,信息的收集范围与处理目的应当直接关联,并应该限制在实现目的的最小范围内(最小必要原则,不得过度收集个人信息)。

3.公开、透明原则

是指,处理个人信息,一方面应该对企业、组织是如何处理用户的个人信息进行公开;另一方面,还应通过这些公开的政策、规则来明确展示企业、组织在处理个人信息方面的具体目的、处理方式和处理范围。

4.质量原则

相比于《二审稿》,个保法新增了“保证个人信息的质量”的要求,其具体内涵是指,为实现个人信息的处理目的,企业、组织应当对其所处理的个人信息保证准确,并在有变化时候进行及时的更新。

5.安全保护原则

没有数据安全的保障,就没有对数据的有力保护,安全是保护的关键前提,企业、组织应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。

6.禁止非法处理原则

个保法明确列举了8大“禁止性行为”,给企业、个人划定了清晰的红线:任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。

7.共同治理原则

个人信息保护是一项需要个人、企业、行业组织、监管部门等各方面共同协作、参与的事项,一方面,国家通过建立、健全个人信息保护制度,对侵害个人信息权益的行为进行预防和惩治;另一方面,也需要通过加强个人信息保护宣传教育工作,推动形成政府、企业、相关行业组织、社会公众共同参与个人信息保护的良好环境。

02 “告知-同意”是核心规则

我国个保法明确了以“告知—同意”为我国个人信息保护的核心规则(核心的合法性基础),一方面,为个人对其个人信息处理的知情权和决定权提供了重要的保障;另一方面,以“同意”作为合法理由处理个人信息,必须赋予用户撤回同意的权利。这与GDPR的规则设置是非常类似的。

对于如何进行告知,个保法明确了,企业不仅要真实、准确、完整地向个人“充分告知”与处理个人信息的各类事项(包括处理者身份、联系方式、处理目的、处理方式、信息种类、保存期限、个人行使权力的方式和程序等等),还需要以显著方式、清晰易懂的方式进行,并且在重要事项发生变更时,还应重新取得个人的同意,而不能“一次了事”。

对于如何获得同意,则要求个人需要在“充分知情”的前提下,作出自愿的、明确的同意,而不能是被强迫的、不平等的,也不能是含糊的、不清晰的情况下作出。

值得一提的是,本次个保法在处理个人信息的合法理由中,新增了“实施人力资源管理所必需”作为处理个人信息的合法理由之一,但在使用这一合法理由时,应特别注意这是附条件的,只有是满足了“依法制定的劳动规章制度”和“依法签订的集体合同”才可以,而何为“依法制定”和“依法签订”,就为作为用人单位的企业在处理员工的个人信息时留下了非常值得研究的实操空间以及合规空间,也对企业在处理员工个人信息时,提出了更进一步的合规要求。

03 “单独同意”是特别规则

与此同时,我国个保法还针对“法律、行政法规等专门规定的特殊情况”,特别设置了特殊的单独同意规则。

处理敏感个人信息情形:

例如,企业在处理个人敏感信息时,除了在隐私政策中,向用户告知处理敏感个人信息的具体种类、处理的必要性、对个人的影响,采取严格的保护措施外,还需要在该特定场景触发时,通过如单独弹窗、单独页面展示等方式向个人告知,并获得个人的单独的、明示有效的同意,而不能是“概括同意”,“一揽子同意/捆绑授权”,更不能是“默认同意”。

处理儿童个人信息情形:

例如,在企业收集不满14周岁的未成年人个人信息的场景下,企业还应当取得未成年人的父母或者其他监护人的同意。

向其他个人信息处理者提供个人信息情形:

例如,在企业向其他第三方合作伙伴(其他个人信息处理者)提供、转移个人信息的场景下,除了需要向个人履行告知义务(个保法规定了告知内容的法定要求),进行事前的风险评估外,还应当取得个人的单独同意。

而对于前述情况下作为数据接收方的第三方合作伙伴,除了应该在传输方告知个人的范围内处理个人信息,还应该在接收方企业变更原先的处理目的和方式时,重新取得个人的同意。

在公共场所安装图像采集、个人身份识别设备的情形:

这是本次个保法新增的内容,与目前大量企业滥用摄像头收集个人信息、特别是人脸识别信息等情况有关,也与今年8月1日出台的最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》起到遥相呼应的效果。

与此相关的企业应特别关注和留意,在安装图像采集、个人身份识别设备时,应当:

01

是为了维护公共安全所必需——限制收集目的;

02

在遵守国家有关规定的同时,还应设置显著的提示标识——明确告知方式;

03

特别需要注意的是,企业因此而收集的个人图像、身份识别信息,只能用于维护公共安全的目的,不得用于其他目的;但取得个人单独同意的除外——限制处理用途。

公开个人信息的情形:

个保法明确规定了,原则上不得公开,但取得个人单独同意的除外。

值得注意的是,在使用公开个人信息方面,我国个保法参考海外数据保护法规,也提供了“选择退出”的规定:

01

对于个人自行公开或者其他已经合法公开的个人信息,除非个人明确拒绝,个人信息处理者可以在合理范围内处理;

02

对于处理已公开的个人信息,而对个人权益有重大影响的,个人信息处理者应当取得个人同意。

04豁免告知作为例外规则

本次个保法不仅在告知的内容要求上和告知的形式上作出了进一步的细化要求,还确立了两种个人信息处理者可以进行豁免的告知情形:

1.基于保密义务的豁免:

当有法律、行政法规规定应当保密或者不需要告知的情况下,可以不向个人告知个人信息处理者的名称或者姓名和联系方式。

2.基于紧急情况的豁免:

为保护自然人的生命健康和财产安全而无法及时向个人告知的情况下,可以在紧急情况发生之时不进行告知,但是应当在紧急情况消除后及时告知。

05共同处理承担连带责任规则

本次个保法正式确定了共同处理者的概念(共同决定个人信息的处理目的和处理方式的),也是新增内容之一。

与欧盟GDPR以及先前出台的个人信息规范不同的是,个保法在概念上没有区分个人信息控制者和处理者,而是通过明确规定 “在共同处理个人信息时,在侵害个人信息权益造成损害的情况,应当一起依法承担连带责任”的方式,确立了由共同处理者一起面向个人数据主体去承担连带责任。

提醒企业注意的是,在发生共同处理的情况下,应该通过合同的方式与第三方明确约定双方的权利与义务,明确各自需要承担的责任,要求第三方共同满足个人信息安全的要求,同时亦需要向个人数据主体进行有效的告知。

06 自动化决策应确保透明公平

公正,并有权进行拒绝的规则

这可能是本次个保法最为关注也受到最大热议的亮点之一,明确了广大用户关注的自动化决策的规制,即应“保证决策的透明度和结果公平公正”且“不得对个人在交易价格等交易条件上实行不合理的差别待遇”。

要求企业在自动化决策最为普遍的应用场景“信息推送、商业营销”中,应当向个人提供“不针对其个人特征的选项”,或者“向个人提供便捷的拒绝方式”。

特别是,对于对用户的个人权益造成重大影响的情况,法律明确为个人主提供了要求解释清楚的权利以及进行明确拒绝的权利。

本条的出现,在实务中,引起了非常多与个性化推荐有关的企业的关注,特别是精准广告的行业企业,在接下来的实际应用中,相信会有更多的实务难题出现。但从最基本的合规注意事项而言,企业可以关注以下基本的合规逻辑:

01

以充分、全面、清晰告知用户,以及取得用户的个人同意为合法性基础,其确保该同意是自愿、明确的;

02

由政府设立的法律援助机构或者非政府设立的合法律所组织法律援助的律师。

03

 当自动化决策是用于为了信息推送,或商业广告推广时,应为用户提供可以退出的途径,以及不进行个人特征推送的选项;

04

 仅通过自动化决策作出对个人权益有重大影响的决定的,在用户要求解析说明,或用户明确提出拒绝时,应保障其权利机制的实现,并考虑增加人工决策的方式。

(二) 海外主要个人信息保护法律对比:


鉴于个人信息处理的规则是一个比较复杂的分析类事项,一方面,不同国家的数据保护法律会有不同的规定,不仅对于特殊类型个人信息有不同的概念与分类,而且也会对不同特殊类型的个人信息有特别的规则,另一方面,在大量的实务操作过程中,还需要结合具体的业务场景、前提和多方面的维度进行综合考虑。鉴于篇幅有限,以下表格,我们仅就个人敏感信息的定义以及处理要求和一些特殊点进行扼要对比。如有不完善之处,还请同行们多多指正。

总体来说

个人信息的处理的具体规则,是每个国家数据保护法案中非常值得关注的内容,大部分国家的数据保护法律法规中都会对特殊类型的数据提出了特殊的处理规则(例如会分别对一般个人信息、敏感个人信息、健康信息、生物特征信息进行概念上的分类,以及规定不同的处理规则),以更好地保护个人数据主体的权益,同时也成为企业、组织和个人在处理个人信息时候的指南针和区分合规红线的判断基础。

第三部分:数据本地化储存要求

数据本地化存储,是指某一主权国家/地区,通过制定法律或规则来限制本国数据向境外流动,是对数据出境进行限制的做法之一。数据又被誉为当今的“石油”,在全球互联网信息时代中显得尤为重要。因此,有些主权国/地区会对个人信息进行不同维度的分类,并根据不同的类型的个人信息提出了本地存储与跨境流动限制的要求。

(一)我国个保法解读


01明确了个人信息以境内存储为原则

我国个保法明确规定了个人信息的存储地点应当以“境内存储”为原则,应当存储在境内的具体情形包括:

01

国家机关处理的个人信息;

02

关键信息基础设施运营者(“CIIO”)在境内收集和产生的个人信息;

03

即使不构成CIIO,如果个人信息处理者在境内收集和产生的个人信息的数量达到国家网信部门规定的数量的,也应当存储在境内。

个保法特别强调了关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在境内收集和产生的个人信息存储在境内,不得向境外传输。如果的确需要向境外提供个人信息的,应当通过国家网信部门组织的安全评估。

换言之,对于关键信息基础设施等重要数据的储存、利用、控制和管辖,我国提出了明确的本地化存储的要求,其基本逻辑是,任何中国公司或者外国公司在我国境内采集和存储与个人信息和关键领域相关数据时,必须使用我国境内的服务器。

这是我国作为主权国家行使“数据主权”的重要体现之一,也与我国《网络安全法》基于保障网络数据安全的考量,明确要求在境内存储“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据”的要求一脉相承。

02 企业合规扼要建议

从前面分析可知,我国个保法并非像某些主权国家(例如俄罗斯)一样对本地化存储进行了非常严格的要求,而是对特定的主体提出了本地化存储的要求以及安全评估的义务。企业以及特别是涉及国际业务的企业,在处理个人信息的时候,需要关注是否受到本地化存储的要求限制:

01

Step 1:判断是否落入必须进行本地化存储的主体范围。

如果是,则需要进行数据本地化存储,即企业应当将在中国境内收集和产生的个人信息存储在境内。

02

Step 2:判断是否有的确有需要向境外提供的必要。

即企业需要结合业务的实际情况与业务运作安排等维度,综合考虑与确认该等数据出境的必要性。

03

Step 3:判断是否已经通过国家网信部门组织的安全评估。

我国的数据本地化要求并没有一刀切地完全禁止将个人信息传输至中国境外,对于确实需要向境外提供的,则需要在通过国家网信部门组织的安全评估后再进行传输。

根据网信办2019年《个人信息出境安全评估办法(征求意见稿)》的要求,企业在进行安全评估时候,并非完成了内部的自我评估就结束,而是应当向所在地的省级网信部门进行个人信息出境安全评估的申报动作。安全评估的重点包括:

(1) 评估个人信息跨境传输是否符合法律法规及政策规定;

(2) 传输方与接收方所签署的合同是否能够充分保障个人信息主体合法权益;

(3) 合同是否得到有效执行;

(4) 传输方与接收方是否发生过有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件;

(5) 传输方获得个人信息是否合法、正当。 

(二) 海外主要个人信息保护法律对比:


从上述各国或地区要求本地化的数据类型来看,大致可以分为三种类型:

01

数据保护法律中没有明确要求进行本地化存储的,但可能在进行跨境传输时候提供了严格的限制。例如欧盟GDPR、新加坡地区等;

02

对数据类型进行划分,针对不同的数据类型提出不同的本地化存储要求。例如印度,划分为关键个人数据、敏感个人数据和一般个人数据,关键的个人数据必须存储在印度境内,但也提供了例外条件;对于敏感的个人数据,必须存储在印度境内,但其副本可以按照跨境转移的要求进行传输到印度境外。

03

对收集数据的主体进行了划分,并针对不同的特定主体提出了不同的本地化存储要求。例如印尼要求只有公共电子系统运营商才必须将其电子系统和数据放置在印尼本地。

总体来说

随着各国监管机构认识到某些类型的数据需要在本地境内存储,并需要更严格控制跨境数据传输,数据存储本地化正日益成为一项全球性挑战。对于涉及海外业务的企业,应特别需要关注出海目标国家的数据本地化存储的要求,结合业务的整体发展规划与业务运营成本,综合考虑服务器部署的位置与方案,以更好地在符合目标国际的数据合规要求同时,也提高企业的内部运作效率。

作者介绍

王捷 

执业律师,垦丁W&W国际法律团队创始人,联合国世界丝绸之路委员会专家,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士,专注于网络法领域的研究和实务,特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规,已为多家知名互联网公司及大中型外资企业提供专业法律服务,覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。

王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作,拥有10年的科技型公司实务经验与中外律所从业背景,深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求,快速响应并提供基础到战略的有效支持,并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

同时为出海互联网法律观察公众号主理人,合著《互联网全球数据合规法律观察报告》,并输出多篇专业互联网与数据合规文章,部分文章刊登于威科先行专业数据库中。

联系方式:


夏律

垦丁律师事务所W&W国际法律团队律师助理。

协助全球数据合规资讯周刊编写,追踪各国数据合规执法状况。