摘要:
随着大数据、云计算、人工智能等技术和应用的迅猛发展,个人信息保护的重要性日益凸显。近年来我国不断加强个人信息保护的立法与执法活动,民事乃至刑事领域与个人信息相关的案件频频出现。... 《网络安全法》所定义的“个人信息”是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”[4]
《个人信息安全规范》就“个人信息”以及“个人敏感信息”的概念、范围和类型作出了详细规定。该等规定有助于企业判断其业务运营活动所涉某类信息是否属于个人信息。具体而言:
(1) “个人信息”是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”[5]《个人信息安全规范》的这一定义与《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》所定义的“公民个人信息”[6]基本一致。此外,《个人信息安全规范》附录A对个人信息的类型和范围进行了列举。其中,网络身份标识信息(包括系统账号、IP地址等)、个人财产信息(包括虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息)、个人通信信息(包括通信记录、描述个人通信的数据/元数据)、个人上网记录(包括网站浏览记录、软件使用记录、点击记录等)、个人常用设备信息(包括硬件序列号、MAC地址、Android ID等个人设备识别码)、个人位置信息(包括行踪轨迹、住宿信息等)均属于个人信息的范畴。
(2) 《个人信息安全规范》所定义的“个人敏感信息”是指“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。”[7]有关个人敏感信息的类型和范围详见《个人信息安全规范》附录B。
二、企业应如何开展个人信息收集、保存、使用、委托处理、共享和转让等活动?
(一) 个人信息的收集
《网络安全法》就个人信息的收集作出了原则性规定。网络运营者在收集、使用个人信息时遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息。[8]
对于“必要”原则,《个人信息安全规范》进一步明确“收集的个人信息的类型应与实现产品或服务的业务功能有直接关联。直接关联是指没有该信息的参与,产品或服务的功能无法实现”。[9]
对于“明示”要求,《个人信息安全规范》进一步要求在收集个人信息前向个人信息主体明确告知产品或服务的各业务功能分别收集的个人信息类型,以及收集使用规则(例如收集使用的目的、收集方式和频率、存放地域、存放期限、自身数据安全能力、对外共享、转让、公开披露等情况)。[10]
对于征得被收集者“同意”,《网络安全法》并未明确该种同意应当是明示还是默示。《个人信息安全规范》要求收集个人敏感信息、未成年人个人信息时,要取得相关主体的明示同意。[11]“明示同意”是指个人信息主体通过书面声明或主动做出肯定性动作(如主动作出电子或纸质声明、主动勾选、主动点击同意、注册、发送、拨打等)从而对个人信息的特定处理活动作出明确授权。[12]《移动智能终端要求》也规定个人敏感信息和涉及身份特征的个人信息的收集应征得明示同意。[13]
(二) 个人信息的保存
就个人信息的保存地域而言,根据《网络安全法》以及《个人信息和重要数据出境安全评估办法(征求意见稿)》的要求,网络运营者在中华人民共和国境内运营中收集和产生的个人信息需要在境内存储。
就个人信息的保存期限而言,《网络安全法》未作明确要求。《个人信息安全规范》要求个人信息的保存期限应为实现目的所必需的最短时间;若超出上述保存期限,应对个人信息进行删除或匿名化处理。
就个人信息的保存方式而言,《网络安全法》原则性要求网络运营者采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。对此,《个人信息安全规范》规定个人信息控制者宜在收集个人信息后立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。[14]此外,《个人信息安全规范》要求对个人敏感信息采用加密等安全措施,对个人生物识别信息采用技术措施处理(如仅存储信息摘要)后再进行存储。[15]
(三) 个人信息的使用
《网络安全法》要求网络运营者不得违反法律、行政法规的规定和双方约定使用个人信息。[16]就“双方约定”这一限制,《个人信息安全规范》进一步要求,使用个人信息时,不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围;若因业务需要确需超出上述范围进行使用,则应再次征得个人信息主体的明示同意。[17]
值得注意的是,《个人信息安全规范》还规定了一系列个人信息访问控制措施(如内部数据操作人员最小授权、设置内部审批流程、各操作角色分离设置等),[18]该等措施有利于指导企业建立/改善有关个人信息的内部管理制度。
(四) 个人信息的委托处理
《网络安全法》未就个人信息的委托处理作特别规定。《个人信息安全规范》对作出委托行为的个人信息控制者和受托人分别提出了要求。
个人信息控制者应遵循的义务主要包括:(1)作出的委托不得超出已征得个人信息主体授权同意的范围;(2)就委托进行个人信息安全影响评估,确保受托者具备足够的数据安全能力和安全保护水平;(3)监督受托者,包括通过合同等方式规定受托者的义务和责任,对受托者进行审计等;(4)记录、保存委托处理个人信息的情况。[19]
受托者应遵循的义务主要包括:(1)严格按照个人信息控制者的要求处理个人信息;(2)受委托者再次委托应事先征得个人信息控制者的授权;(2)协助个人信息控制者响应个人信息主体有关个人信息访问、更正、删除等请求;(3)安全保护不力或发生安全事件时及时向个人信息控制者反馈;(4)在委托关系解除时不再保存个人信息。[20]
(五) 个人信息的共享和转让
《网络安全法》明确禁止在未经被收集者同意的情况下向他人提供个人信息。[21]《个人信息安全规范》明确规定个人信息原则上不得共享、转让。非因收购、兼并、重组原因共享、转让个人信息时,《个人信息安全规范》要求个人信息控制者告知共享、转让的目的、数据接收方的类型,并事先征得个人信息主体的授权同意;如果共享、转让的是个人敏感信息,还应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意。[22]若因收购、兼并、重组导致个人信息控制者发生变更的,个人信息控制者应向个人信息主体告知有关情况;变更后的个人信息控制者应继续履行原有的责任和义务,变更个人信息使用目的应重新取得个人信息主体的明示同意。[23]
三、结语
《网络安全法》及配套国家标准的出台,以及近期主管部门围绕个人信息保护开展的各项活动充分表明,政府部门高度重视个人信息保护工作,并将持续形成高压监管态势。有鉴于此,我们建议企业根据相关法律法规及国家标准/行业指引的要求,尽快建立全面的个人信息保护合规体系,包括但不限于制定/更新个人信息保护政策、完善内部制度/规程、定期开展相关培训等。同时,我们建议企业在开展个人信息相关的处理活动之前咨询专业人士的意见,以尽可能降低相应的法律风险。
[1] 例如《全国人大常委会关于加强网络信息保护的决定》、《消费者权益保护法》、《电信和互联网用户个人信息保护规定》等等。
[2] 《个人信息安全规范》、《移动智能终端要求》均将自2018年5月1日起实施。
[3]《中华人民共和国标准化法》第2条规定:“……国家标准分为强制性标准、推荐性标准,……强制性标准必须执行。国家鼓励采用推荐性标准。” 《国家标准管理办法》第4条规定:“国家标准的代号由大写汉语拼音字母构成。强制性国家标准的代号为‘GB’,推荐性国家标准的代号为‘GB/T’。”
[4] 《网络安全法》第七十六条第(五)项。
[5] 《个人信息安全规范》第3.1条。
[6] 《解释》第一条定义的公民个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”。
[7] 《个人信息安全规范》第3.2条。
[8] 《网络安全法》第四十一条。
[9] 《个人信息安全规范》第5.2条a)项。
[10] 《个人信息安全规范》第5.3条a)项。
[11] 《个人信息安全规范》第5.5条。
[12] 《个人信息安全规范》第3.6、5.5条。
[13] 《移动智能终端要求》第6.2.6条。
[14] 《个人信息安全规范》第6.2条。
[15] 《个人信息安全规范》第6.3条。
[16] 《网络安全法》第四十一条第二款。
[17] 《个人信息安全规范》第7.3条c)项。
[18] 《个人信息安全规范》第7.1条。
[19] 《个人信息安全规范》第8.1条第a), b), d), e)项。
[20] 《个人信息安全规范》第8.1条第c)项。
[21] 《网络安全法》第四十二条第一款。
[22] 《个人信息安全规范》第8.2条。
[23] 《个人信息安全规范》第8.3条。
关于作者
王晓萌
方达律师事务所争议解决部门合伙人。王律师的主要执业领域为各种类型争议解决,包括商事诉讼、仲裁和和解谈判。此外,王律师在跨境调查和合规,尤其是信息保护,反腐败反欺诈方面也拥有丰富经验。
张启迪
就职于方达律师事务所争议解决部门。主要执业领域为商事争议解决以及跨境调查与合规事务。
本微信公众号所发布的资讯或文章仅为交流讨论目的,不代表方达律师事务所出具的任何法律意见。任何依据本文的全部或部分内容而作出的判断或决定(无论作为或不作为)以及因此造成的法律后果,方达律师事务所不承担任何责任。如果您需要相关法律意见或法律服务,欢迎联系本文作者或方达律师事务所争议解决部门律师。
