個人信息保護制度離完善還有多遠

◎ 文 《法人》特約撰稿 申曉雨 吳雅涵 康雅斯

(作者單位：北京天達共和律師事務所)

近來，我國個人信息保護領域立法活躍。今年10月，我國個人信息保護領域最詳盡的一份標準文件《信息安全技術 個人信息安全規(guī)范》（下稱《個人信息安全規(guī)范》）第三次修訂并征求意見。

和前兩版征求意見稿相比，10月發(fā)布的《個人信息安全規(guī)范》修訂征求意見稿，在個人信息保護方面進一步完善了相關制度設計。例如，在個人信息的定義部分補充注解，明確由個人信息控制者通過個人信息或其他信息加工處理后形成的信息也屬于個人信息；新增協(xié)助個人信息主體注銷賬戶的義務；加強了委托處理的安全監(jiān)督義務等等。

可以看出，我國的個人信息保護立法正在依據(jù)自身的發(fā)展特點逐步具體化、合理化。此時再來審視一年多以前生效的歐盟《通用數(shù)據(jù)保護條例》（下稱“GDPR”），我們與GDPR這部史上最嚴個人信息保護法所確立的合規(guī)標準距離還有多遠？在我們的個人信息保護立法體系日趨完善的過程中，我們是否會面臨更多法域沖突帶來的合規(guī)挑戰(zhàn)？

中國立法與GDPR的主要差異

域外效力

關于中國個人信息保護法的域外效力，目前在已生效的個人信息保護法中，僅有網(wǎng)絡安全法明確規(guī)定，其對境外網(wǎng)絡運營者發(fā)布違法信息或攻擊我國關鍵信息基礎設施的行為存在域外效力。《個人信息出境安全評估辦法（征求意見稿）》規(guī)定，其適用于境外機構通過互聯(lián)網(wǎng)等收集中國境內用戶個人信息的情形。

除此之外，中國個人信息保護法的域外效力尚不明晰。

GDPR則明確規(guī)定，如果是設立于歐盟境外的機構或個人為歐盟境內的數(shù)據(jù)主體提供貨物或服務（無論數(shù)據(jù)主體是否被要求付費），或對數(shù)據(jù)主體在歐盟境內的行為進行監(jiān)控，則GDPR對其具有域外效力。

處理的基本原則

《個人信息安全規(guī)范》規(guī)定個人信息處理的基本原則包括權責一致、目的明確、選擇同意、最少夠用/最小必要、公開透明、確保安全和主體參與原則。

以上原則在GDPR中也得以規(guī)定和體現(xiàn)。除此之外GDPR還提出了“準確性原則”，即要求個人數(shù)據(jù)應是準確的，且若有必要應保持適時更新，采取一切合理措施確保與數(shù)據(jù)處理目的相悖的錯誤數(shù)據(jù)被及時清除或更正。該項原則在中國個人信息保護法中未做規(guī)定。

個人信息主體的同意

(1)明示同意

中國個人信息保護法下，并非所有的個人信息處理行為都必須取得個人信息主體的明示同意。《個人信息安全規(guī)范》10月版特別明確了授權同意的范圍包括默許同意，其規(guī)定，個人信息主體對其個人信息進行特定處理作出明確授權的行為，包括通過積極的行為作出授權（即明示同意），或者通過消極的不作為而作出授權（例如信息采集區(qū)域內的個人信息主體在被告知信息收集行為后沒有離開該區(qū)域）。

GDPR將“數(shù)據(jù)主體的同意”定義為“數(shù)據(jù)主體依據(jù)其個人意愿，自由、明確、知情并清楚地通過陳述或積極行為表示對其個人數(shù)據(jù)進行處理的同意”，相當于中國個人信息保護法所定義的“明示同意”。基于這一定義，在GDPR下取得個人信息主體的同意必須是明示同意，排除了默許同意的適用。

(2)自愿原則

中國個人信息保護法和GDPR均規(guī)定，個人信息主體的同意應由其自愿給出，不得強迫個人信息主體作出同意。

《個人信息安全規(guī)范》僅規(guī)定了自愿原則在平等主體之間的適用，如產(chǎn)品或服務的提供者收集客戶個人信息時，不得違背個人信息主體的自主意愿，強迫個人信息主體接受產(chǎn)品或服務所提供的業(yè)務功能及相應的個人信息收集請求。

而GDPR在適用自愿原則時則考慮到更多情況。根據(jù)《歐盟第二十九條工作組關于 2016/679條例下同意的指引》 （“GDPR指引”），數(shù)據(jù)主體的同意是否自愿給出，還需考慮數(shù)據(jù)控制者和數(shù)據(jù)主體是否存在權力不對等的情況，例如政府機關和個人、用人單位和雇員。

處理的合法基礎

按照中國個人信息保護法，除為行政執(zhí)法和司法目的外，控制者收集、共享、轉讓、公開披露或以其他方式處理個人信息的，必須以取得個人信息主體的同意作為其處理行為的合法基礎。

《個人信息安全規(guī)范》對此規(guī)定了例外情形，例如，通過合法公開渠道獲取個人信息以及新聞單位為開展合法的新聞報道所必需而處理個人信息。但是我國強制性法律法規(guī)中并無對該等同意的例外情形的規(guī)定。

GDPR允許控制者除基于個人信息主體同意之外，還可以基于其他多種合法基礎處理個人數(shù)據(jù)，但通過合法公開渠道獲取個人信息以及新聞單位為開展合法的新聞報道所必需而處理個人信息并不在此列。

因此，即使數(shù)據(jù)主體主動公開個人信息，也不代表其默認同意任何數(shù)據(jù)控制者基于任何目的對其個人信息的處理；除非有法定依據(jù)，新聞單位也不能以開展合法新聞報道為由未經(jīng)個人信息主體同意而處理個人信息。

披露義務

中國個人信息保護法和GDPR在控制者對個人信息主體的披露義務方面也存在一些不同的規(guī)定。

以自動決策機制為例，《個人信息安全規(guī)范》未就涉及自動決策情形下的披露義務作出專門規(guī)定。GDPR則明確規(guī)定，如果控制者采取包括用戶畫像在內的自動決策機制，則其應向個人信息主體披露決策中所運用的邏輯以及該處理行為對個人信息主體的重要性和可能產(chǎn)生的后果。

兒童個人信息收集

收集個人信息主體需遵循授權同意原則，針對兒童，則需要其監(jiān)護人代為做出授權同意的動作。但是中國個人信息保護法目前對監(jiān)護人授權同意并無實質審查要求。

GDPR則要求數(shù)據(jù)控制者應當考慮可利用的技術并做出合理的努力，對兒童監(jiān)護人授權同意的真實性進行實質審查。例如，根據(jù)GDPR指引，注冊者如承認自己在兒童年齡線以下，則注冊者應提供家長的電子郵箱地址，數(shù)據(jù)控制者應聯(lián)系家長以取得同意，并確認家長的監(jiān)護責任。

個人信息主體的權利

從個人信息主體享有的權利類型來看，與中國個人信息保護法相比，GDPR另賦予個人信息主體對其個人數(shù)據(jù)享有限制處理權和反對權。

此外，二者在個人信息主體的具體權利內容上也有所不同。以個人信息主體的刪除權為例，《個人信息安全規(guī)范》對個人信息的刪除權做了一定的條件限制，即僅在控制者違法違規(guī)或違反與個人信息主體的約定收集、使用個人信息時，個人信息主體才可行使刪除權。

GDPR取消了類似的權利行使的限制條件，即使對個人信息的處理并不違反法律規(guī)定，個人信息主體仍可基于個人信息對行使目的的不必要性、撤銷同意、反對權等法定情形行使刪除權。

個人信息安全事件處置

中國個人信息保護法和GDPR均要求控制者在出現(xiàn)個人信息安全事件時上報監(jiān)管部門，但《個人信息安全規(guī)范》對于控制者的報告期限未做規(guī)定，僅規(guī)定“按照《國家網(wǎng)絡安全事件應急預案》等有關規(guī)定及時上報”，而現(xiàn)行的《國家網(wǎng)絡安全事件應急預案》亦未對報告期限作出規(guī)定。

GDPR則明確要求控制者在發(fā)現(xiàn)個人數(shù)據(jù)泄漏事故起72小時內通知監(jiān)管機構，除非該個人數(shù)據(jù)的泄露不太可能會對自然人的權利和自由造成風險；未能在72小時內報告的，需要說明未及時報告的理由。

組織管理要求

此外，在組織管理要求方面，中國個人信息保護法和GDPR也有諸多差異，如個人信息保護負責人的設置和職責、個人信息處理活動的記錄、向主管部門的事先咨詢機制等。

數(shù)據(jù)跨境傳輸方面存沖突

如上所述，基于GDPR的域外管轄權，中國境內的控制者向歐盟境內的個人信息主體收集個人信息后，須滿足個人信息主體在GDPR項下的權利要求。

在此情形下，根據(jù)GDPR相關規(guī)定，中國境內的控制者有義務響應個人信息主體行使訪問權或可攜帶權的要求，包括向個人信息主體提供個人信息副本。

同時，GDPR授予歐盟各監(jiān)管機構的調查權也允許各監(jiān)管機構“命令數(shù)據(jù)控制者或數(shù)據(jù)處理者、其代表人（如有）提供其履行職責所必要的所有信息”以及“以數(shù)據(jù)保護審計的形式實施調查”。

我國網(wǎng)絡安全法規(guī)定，關鍵信息基礎設施的運營者確需向境外提供個人信息和重要數(shù)據(jù)的，須進行安全評估；《個人信息出境安全評估辦法（征求意見稿）》規(guī)定，網(wǎng)絡運營者向境外提供個人信息的，應當按照該辦法進行安全評估，經(jīng)安全評估認定個人信息出境可能影響國家安全、損害公共利益，或者難以有效保障個人信息安全的，不得出境。

如果中國境內的控制者需要滿足GDPR下個人信息主體的權利請求或配合歐盟監(jiān)管機構調查，但在提交我國監(jiān)管機構評估后，監(jiān)管機構決定該等個人信息不得出境的，則在此情形下，中國個人信息保護法和GDPR將存在實質性沖突。

如上所述，對于中國企業(yè)特別是有出海業(yè)務的中國企業(yè)而言，僅遵守中國的個人信息保護法不足以滿足歐盟的監(jiān)管要求，還可能因法域沖突面臨兩難的局面。建議此類企業(yè)全面梳理不同法域的數(shù)據(jù)合規(guī)要求，明確差異與沖突，并基于此制定有針對性的解決方案。

對于與歐盟境內主體有數(shù)據(jù)交換業(yè)務的企業(yè)而言，有必要盡早與境外主體就數(shù)據(jù)交換業(yè)務展開溝通，提前準備數(shù)據(jù)傳輸協(xié)議等文件，以免我國個人信息出境安全評估機制一旦落地后，因不能履行向境外主體提供個人信息而承擔違約責任，或因無法取得對方的配合而難以完成我國個人信息保護法所要求的個人信息出境安全評估程序。