(一)《个人信息保护法》十大变化亮点
《个人信息保护法》由八章七十四条组成,其内容涵盖了个人信息处理、个人信息跨境传输、个人信息主体权利、个人信息处理者义务、监管机构个人信息保护职责及适用法律责任。《个人信息保护法》相较于《个人信息保护法(草案二次审议稿)》在个人信息处理规则、个人信息跨境传输、个人信息主体权利、个人信息处理者义务方面均有创新性变化。具体如下:
1、新增职场数据处理的合法依据
《个人信息保护法》第十三条中创新性提出“实施人力资源管理所必需”作为个人信息处理的合法依据之一。企业在个人信息保护中,出于人力资源管理目的而存在的雇主与雇员关系上固有的不平衡性,导致对于员工个人信息处理的同意无法享有充分自由权利,企业对员工个人信息的保护相较于对客户个人信息的保护而言略显滞后。
企业在使用“实施人力资源管理所必需”作为处理员工个人信息的合法性依据时,应仅限于按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的场景,审视职场数据处理的“必要性”,防止该合法依据沦为滥用员工数据的“挡箭牌”。同时也应遵循透明度原则,及时制定相关政策文件来保障员工合法权益。企业在实践中可参考“【安永观察】企业人力资源管理场景下的个人信息保护关注点”开展员工个人信息保护工作。
2、限制对已公开个人信息的处理
《个人信息保护法》第十三条、第二十七条对于已公开个人信息的处理范围进行了细化与限定,目前的要求与《民法典》第一千零三十六条要求一致。个人信息处理者“可在合理范围内”处理“个人自行公开或者其他已经合法公开的个人信息”,即要求处理者审核个人信息来源的合法性,明确个人信息处理的合理性,防止恶意泄露或恶意公开的个人信息被进一步处理。
另外,企业应保障个人的拒绝权,提供用户拒绝的途径,当个人明确拒绝处理其公开的个人信息时,应停止处理;当企业处理已公开的个人信息对个人权益有重大影响时,应依法取得个人同意。
3、限制公共场所采集个人图像、身份识别信息
《个人信息保护法》第二十六条明确,出于维护公共安全目的,在公共场所安装图像采集、个人身份识别设备的,应显著标识以进行告知;收集的个人图像、身份识别信息不能用于除维护公共安全以外的目的,除非取得个人单独的同意。
根据今年315晚会曝光的人脸识别乱象以及最新的公共场所人脸识别案件,企业收集人脸信息用于商业营销目的时,仅在门店区域进行显著标识已无法满足收集的合法性,除非获得个人的单独同意。对企业来说合规的门槛已大大提升,企业应审慎开展人脸识别相关业务,具体可参照2021年8月1日正式施行的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》执行。
4、强调自动化决策的公平透明,避免算法歧视
《个人信息保护法》第二十四条细化了利用个人信息进行自动化决策的要求,明确企业应保证决策的透明度和结果的公平、公正性,不得利用算法实行价格歧视等差别性待遇。这一要求从立法层面有力回应了“大数据杀熟”的现象,表明了国家对个人权益的尊重和保障。
其次,通过自动化决策向个人推送消息、商业营销时,企业应保障个人的选择和拒绝权,即企业应同时提供非个性化推荐的内容(如提供关闭个性化推荐的功能)或者提供便捷的营销信息退订的渠道。
最后,若企业使用自动化决策作出对个人权益有重大影响的决定时,个人有权拒绝仅通过自动化决策作出的决定;当个人提出异议时,企业可采用人工介入的方式进行决定;对个人权益有重大影响的场景,可参考GDPR自动化决策相关指引说明,如信贷审批、工作录用、大学录取等场景。
5、扩充个人信息出境的合法依据,限制境外司法调取个人信息
《个人信息保护法》第三十八条拓展了个人信息出境的合法依据,“中华人民共和国缔结或者参加的国际条约、协定”可作为个人信息出境的合法依据之一,但不能作为境外司法调取境内存储的个人信息的豁免依据。《个人信息保护法》第四十一条明确了,境外司法调取境内存储的个人信息应在获得中华人民共和国主管机关批准后,处理者方能提供。该要求与《数据安全法》第三十六条关于数据出境的要求相呼应。这些变化一方面体现出国家对于数据经济全球化趋势的支持和重视,另一方面也体现了对国家安全、企业和个人信息主体合法权益的重视与保障。
6、完善个人信息主体的权利
《个人信息保护法》第四十五条新增了个人信息可携带权,它是个人信息查询、复制权的重要补充。当个人提出此类请求时,若符合国家网信部门规定条件,个人信息处理者应提供个人信息转移的途径。GDPR、CCPA等国外隐私法中也规定了数据可携带权,使用户能够自我管理和重复使用个人信息,增强用户对个人信息的控制权,促进数据流动,有助于防范企业数据垄断、数据不正当竞争。已按照GDPR等法规要求建立个人信息主体权利响应的流程和机制的企业,可利用已有合规基础落实个人权利保障工作。
7、强调对个人权益的影响
《个人信息保护法》第五十五条将个人信息处理者风险评估义务,更名为个人信息保护影响评估义务,借鉴了GDPR中DPIA数据保护影响评估和GB/T 35273-2020《个人信息安全规范》中个人信息安全影响评估的定义和要求。
同时,全文中多处将“对个人的影响”更改为“对个人权益的影响”。根据GB/T 39335-2020《个人信息安全影响评估指南》中的举例,对个人权益的影响可从四个维度考虑 :“限制个人自主决定权”、“引发差别性待遇”、“个人名誉受损或遭受精神压力”、“人身财产受损”,可供企业参考借鉴。企业在实践中不仅要保障个人信息的安全性,还应保障个人的合法权益。
8、完善个人信息安全事件的处理要求
《个人信息保护法》第五十七条修订了个人信息安全事件处理的要求,明确了个人信息处理者在“发生或者可能发生”个人信息“泄露、篡改、丢失”时,应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。与《民法典》、《网络安全法》、《消费者权益保护法》的要求一脉相承。企业在实践中不仅要保护个人信息的保密性,还应保护个人信息的完整性和可用性,也就是传统的安全CIA三属性。对于风险隐患也应进行有效监控,做到事前、事中、事后的管控。
9、压实“守门人”职责
《个人信息保护法》第五十八条完善了重要互联网平台方的义务,除成立独立机构监督个人信息保护情况和发布社会责任报告外,平台方还需制定平台规则以明确产品或服务提供者处理个人信息的规范和保护个人信息的义务。该条要求加强了重要互联网平台的个人信息保护责任,通过平台实现个人信息治理,助力个人信息保护相关法律义务履行的有效落地。平台内产品或服务提供者可对照事先明确的规范和义务进行自查,减少错误成本,健全营商环境。与此同时,该要求有助于防范平台滥用“守门人”职责,保障公平性。
10、明确受托人的协助义务
《个人信息保护法》第五十九条补充完善了受托人的义务,受托人除需采取必要措施保障个人信息安全外,还需协助个人信息处理者履行相关义务。具体如何协助处理者履行义务可参考国际个人信息管理体系标准ISO27701,标准中要求受托人向处理者提供适当的信息,以便处理者证明其履行了相关义务;协助处理者履行个人行权响应相关的义务,如协助处理者及时响应更正个人信息、删除个人信息等请求。