数据保护和网络安全是亚洲不断发展的监管领域。本期文章将介绍专家对于亚洲地区主要法域新兴法学的看法。
如今我们正处于一个艰难的时期。新冠肺炎疫情导致国际交往大幅度减少,许多国家和城市都进入“封闭”状态。为保持社交距离,我们不得不留在家中,依赖线上工具进行工作、交流和娱乐。在此之前,我们从未如此热情地拥抱互联网服务,如此彻底地将自己暴露于网络之中,我们也从未如此认真地对待自己的个人信息和隐私保护问题。
环球律师事务所(上海)合伙人
联系电话:+86 21 2310 9517
电子邮件:vincentwang@glo.com.cn
在此背景下,企业也非常警惕在相关业务中由于使用个人信息而带来的合规风险。放眼全球,作为传统工业巨头,欧盟在数据保护方面出台了《通用数据保护条例》(GDPR);作为互联网的发源地、众多知名互联网企业的根据地,美国加州也在《加州消费者隐私保护法案》(CCPA)中规定了相关内容。反观中国,这一拥有丰富历史的文明古国,近年来已成为全球互联网技术创新发展的试验基地,在数据保护立法上,现在走到哪个阶段了呢?
法规体系
中国目前并未制定、将来也不会制定一部涵盖数据保护所有方面的综合性法律。2019年12月,全国人大常委会发布的2020年度立法计划中,明确包括分别起草《个人信息保护法》与《数据安全法》。这主要是因为立法者希望我国的数据保护机制能够既保护公民个人信息和网络隐私,又保护与政府利益相关的重要数据。在全球化时代背景下,这一强调“双重目的”的立法路径似乎是一种较为保守的选择。然而,随着一些主要西方国家民粹主义上升所掀起的反全球化浪潮,这一立法模式也显得不那么保守了。
在中国现行的数据保护机制下,数据保护的相关要求散见于各层级的法律渊源中,并通过一些国家标准推广数据保护相关的建议性操作实践。具体而言,中国的数据保护法规体系主要由以下四个方面组成:
(1)一般数据安全要求,包括《网络安全法》及其配套法规、规章以及标准;
(2)国家秘密保护,包括《保守国家秘密法》及其配套实施法规;
(3)个人信息保护,包括《民法典》相关规定、《消费者权益保护法》,以及有关的国家标准;
(4)重要数据保护,包括各行业相关部门规章与地方法规。
监管机构
鉴于前述中国数据保护机制的“双重目的”,需要不止一个监管者合力管理,以确保数据保护计划体系下两方面的职能都能得到落实。我国数据保护主要监管机构及其职能如下:
(1)国家互联网信息办公室(网信办),负责领导立法工作,指导、协调有关法律法规实施工作;
(2)公安部,负责打击数据安全犯罪与网络安全违法行为;
(3)国家市场监督管理总局(市监局),监管市场经济活动中涉及个人信息安全的行为,例如非法侵犯消费者隐私的经营行为;
(4)工业和信息化部(工信部),负责电信服务业的数据保护;
(5)其他有关各部门,监管各自负责行业内的数据安全合规情况。
一般规定:个人数据和信息保护
合法、正当、必要原则。法律要求网络运营者合法开展个人信息相关业务,必须具有正当理由,并能够证明其收集、使用个人信息的必要性。合法、正当、必要原则的具体标准可以在全国信息安全标准化技术委员会(TC260)发布的诸部推荐性国家标准中找到,例如《信息安全技术 个人信息安全规范》。
同意原则。根据这一原则,网络运营者应当公布其收集和使用个人信息的规则和政策,并告知个人信息主体收集目的、手段和范围。在收集任何个人敏感信息之前,网络运营者应征得个人信息主体的明示同意,并确保个人信息主体的明示同意是在其完全知情的基础上自主给出的。个人敏感信息包括人脸、银行帐户等敏感信息。
个人信息的全生命周期保护要求。我国法律对个人信息的保护完整覆盖了个人信息的全生命周期,从收集到存储、使用、处理、共享、传输,直到删除。生命周期各阶段个人信息保护的关键要求如下:
收集:网络运营者必须严格遵守合法、正当、必要以及知情同意原则。
使用和处理:使用和处理个人信息不得超出收集前获得的授权范围。若有必要在未获得相应同意的情况下使用和处理个人信息,网络运营者必须就另外增加的使用个人信息的范围取得额外同意。需要额外注意的是,在数据处理外包的情况下,网络运营者必须确保外包商在外包处理活动中严格遵守上述要求。
存储:仅允许在实现主体授权使用目的所必需的最短时间内存储个人信息。建议在存储个人信息时进行去标识化处理,并且将可用于恢复识别个人的信息与去标识化后的信息分开存储。建议采用加密存储措施来存储个人敏感信息。
共享和传输:网络运营者在向第三方共享或传输个人信息之前,必须额外征得个人信息主体的相关同意。网络运营者可能还需要在进行共享和传输之前进行安全影响评估。在进行共享传输之时与完成传输之后,网络运营商应明确个人信息接收者的责任和义务,并合理监督接收者的行为。
尊重个人信息主体的权利:网络运营者必须尊重并响应个人信息主体的请求,例如撤回同意、更正或删除其个人信息、提供存储在网络运营者处的数据副本或注销其账户。
一般规定:重要数据保护
与个人信息保护不同,重要数据保护作为“双重目的”立法体系的另一支柱,在我国仍处于起步阶段。《网络安全法》和一些地方法规仅设置了一些宏观性的原则及参考。而该领域的专门法规——《数据安全管理办法》(征求意见稿)仍未正式出台。
重要数据保护的本地化规则在很大程度上仍不清晰。依据《网络安全法》,关键信息基础设施的运营者(CIIO)有义务将其在中国境内运营中收集和产生的个人信息和重要数据本地化。这一数据本地化的要求包括原则上应在中国境内存储此类重要数据,仅在必要时进行跨境传输;同时,实施数据跨境传输前应通过相关安全评估。
CIIO还应当在重要数据处理过程中采取备份和加密措施。《数据安全管理办法》(征求意见稿)试图为实现数据本地化提出比《网络安全法》更为详细、具体的要求。然而,无论是《网络安全法》还是《数据安全管理办法》(征求意见稿),都没有为“CIIO”和“重要数据”这两个关键概念提供明确的判断路径或决定标准。由于上述法律和规定的模糊性,导致一些行政法规和部门规章试图将数据本地化规则的适用范围延伸至其他数据类型,或是扩张解释CIIO的定义。但这一做法不仅容易引起混淆,也并未取得任何积极成果。
值得肯定的是,若干部委和地方政府已经确定或开始确定其管辖范围内的行业或地区的重要数据。已确定的重要数据包括例如人类遗传资源、人口健康信息、地理测绘信息、个人征信信息和个人财务信息。我们预计,将有越来越多的行业和地方政府采取同样的行动,以明确其管辖范围内重要数据的范围。
近期热门监管话题
APP:2019年,一个引人注目的监管动态是,多个政府机构联合执法打击APP违法违规运营。网信办、工信部、公安部与市场监督管理总局共同发布了《关于开展App违法违规收集使用个人信息专项治理的公告》。此次治理行动贯穿2019年全年,重点针对不当隐私条款、未明示个人信息收集和使用范围、以及个人信息的过度收集。对违法行为施加的处罚种类包括公开曝光、停业整顿、吊销相关业务许可证或者吊销营业执照。
同时,有关部门也发布了一系列APP违法行为评估指南和认定方法,要求APP运营商提供用户友好的隐私条款、充分告知用户个人信息收集的范围和目的、并在收集个人信息之前获得用户的明确同意。
Cookie:Cookie和类似技术通常用于追踪和记录用户状态以及用户在网站上的行为。尽管目前还没有专门的法律来规范Cookie的使用,但司法实践中普遍存在一种共识——Cookie的使用是收集个人信息的一种手段。因此,网络运营者在使用Cookie或类似技术时,应将收集行为及其目的告知个人信息主体,明确需要收集的个人信息的类型,并征得个人信息主体的同意,以最大程度地减少潜在的法律风险和纠纷。
网络爬虫:网络爬虫是一种广泛应用的数据自动采集的技术工具。但是,若网络爬虫工具的使用者未能识别、有意忽略、或甚至故意违反网络服务提供者对网络爬虫的任何使用限制或禁止协议,将会面临重大法律风险。非法使用爬虫的行为可能产生相关行政责任甚至刑事责任。
软件开发工具包(SDK):第三方SDK可能在用户和服务提供者不知情的情况下收集设备信息和其他个人信息。在2019年的一项执法行动中,曾发现同一SDK多次违法收集个人信息。SDK使用过程中的潜在风险也已经引起了立法者的注意。《数据安全管理办法》(征求意见稿)要求网络运营者对SDK提供商制定特定的数据安全要求和责任。
为了避免SDK带来的法律风险,我们建议的做法是:
(1)请求SDK提供商进行陈述和保证,以确保数据保护合规性;
(2)对SDK或使用SDK的应用程序进行合理的技术测试;
(3)对SDK或使用SDK的应用程序进行实时监控,并及时切断SDK对任何个人信息的访问。
人脸识别:人脸识别,以及其他类似的生物特征识别应用程序被广泛运用于个人身份的识别与验证。根据法律规定,人脸作为生物识别信息,是受到严格保护的个人敏感信息。设备运营商可通过其控制的移动设备或其他设备收集和使用个人生物识别信息。但是,不正当收集和使用人脸信息将带来巨大的法律风险。
举例而言,2019年,一款允许用户“换脸”的应用程序Zao,在我国引发了对用户隐私保护的担忧。Zao的用户协议标明,用户只要接受Zao的用户协议,即中允许Zao的开发人员收集和存储其面部图像,并在未经用户进一步同意的情形下,将其出售给第三方。
由此,Zao受到了工信部的公开批评,并被要求更改其用户协议以解决前述个人信息安全问题。2019年6月25日,TC260在其升级的国家标准中专门针对生物识别信息更新了保护要求,正是受到该事件的部分影响。
区块链:区块链是一种安全的分布式账本,可帮助企业安全地记录交易信息。然而,私有区块链有可能被用于收集并储存个人信息。例如,零售商可以利用区块链收集和存储大量有关用户及其消费偏好、购买历史、支付习惯和金额等数据。
2019年2月15日生效的《区块链信息服务管理规定》要求区块链信息服务提供者落实信息内容安全管理责任,建立健全用户注册、信息审核、应急处置、安全防护等管理制度。
尽管自该规定确定区块链信息服务提供者的法定义务以来,目前还没有涉及私有区块链的用户个人信息违规案例公布,但或许很快便会看到相关案例或违规事件的发生。
数据保护合规策略
各国法律采取了不同的个人数据保护策略和路径。其中,美国采取了较为宽松、自由的态度,认为个人数据虽然属于个人利益,应置于数据主体的绝对控制之下,数据主体也由此应承担自我保护的主要责任,而政府仅需承担次要责任。
该规范路径使得大多数高科技公司都将个人数据视为“狂野西部”的“免费”黄金。在这一关键时刻,《加州消费者隐私法案》(CCPA)在高科技公司的摇篮——加州应运而生,其旨在修复数据主体的权利以及其他组织使用个人信息数据的权利之间的平衡。然而,这一自由的规范路径鼓励了新技术的研究发展,其中一些新技术需建立在大量的试验和数据分析基础之上,具有代表性地体现了美国“新技术优先”的政策思想。
相比之下,欧盟则采取了截然不同的做法,认为虽然个人数据属于个人利益,应受到数据主体的绝对控制,但所有欧盟主体的个人数据的汇总,构成了属于欧盟委员会的一种新形式的、有价值的无形资产。因此,欧盟致力于确保这些个人利益得到妥善的保护。
沿着这一监管思路,欧盟为资助政府保护这种个人利益而征收所谓的数字资产税也就不足为奇了。欧盟采取此种相对保守的路径,是因为其抵御来自美国技术巨头入侵的技术能力相对较弱。
中国的数据保护机制仍在发展。中央政府已经意识到正确的数据保护规制路径将决定国家的未来。综合历史因素与中国的政府结构,中国将更多地倾向于采用类似欧盟《通用数据保护条例》(GDPR)的数据保护机制。不过,中国政府也意识到,完全照搬GDPR的数据保护机制可能会在其技术巨头与美国对手之间的竞争中造成不利影响,尤其是在依赖大量数据以支持技术发展的领域,例如人工智能(AI)。
因此,中国为数据保护创造了一个“双重目的”的平行规范结构。一方面,我国个人信息保护的限制不及GDPR严格,以便为技术进步和探索留出空间,同时通过对重要数据加以更严格的限制以平衡个人信息保护和技术发展;另一方面,法律试图定义CIIO和重要数据的概念,为先进技术的入侵设置障碍。这一路径十分具有中国特色,体现了技术发展与个人信息安全之间的竞争利益。
宏观合规建议
如果您是一家完全符合GDPR要求的外国技术公司,那么您很可能已满足了中国的个人信息保护法律法规的要求。
如果您是一家美国公司,并且没有适当的GDPR合规策略,则您现在可能需要做的是:确定您当前基于美国的个人数据保护政策与中国的个人信息保护要求之间的差距,根据中国法律的要求进一步弥补该差距。然而,如果您是符合CCPA规定的美国公司,则您可能已经遵守、或仅需采取很少的步骤就能符合中国个人信息保护的相关要求。
无论您是欧盟公司还是美国公司,为满足重要数据的保护要求,您需要做的是密切关注CIIO和重要数据保护法规的发展情况,并分析您在中国收集的数据是否可以确定为重要数据。如果是,您可能需要制定特殊的合规策略来解决中国重要数据保护的相关问题。如果不是,您已基本满足法规的要求。
赵欣瑶和王旖璞也对本文作出了贡献
环球律师事务所
上海市徐汇区淮海中路999号环贸广场办公楼一期36层
邮编:200031
电话:+86 21 2310 9517
传真:+86 21 2310 8299
