乔丽娅

又一个WordPress站点

赚客大家谈中欧个人信息安全新规之比对-合规视线

2019.03.23 | 23阅读 | 全部文章

中欧个人信息安全新规之比对-合规视线

文/通商律师事务所 王洋
我国国家质检总局和国家标准委共同发布的《信息安全技术个人信息安全规范》(GB/T 35273-2017,以下简称为“《安全规范》”) 将于2018年5月1日生效。该《安全规范》旨在规范开展收集、保存、使用、共享、转让、公开披露个人信息处理活动应遵循的原则和安全要求,起草时参照了APEC隐私框架、OECD隐私框架等国际规则、欧美个人信息保护方面的立法以及ISO/IEC及欧美与个人数据保护相关的标准[1]。但由于其主要框架更接近于欧盟的《通用数据条例》(以下简称“GDPR”),而且二者的生效日期也非常接近,因此很多学者将二者加以比较,并认为我国的《安全规范》比欧盟的GDPR更加严格。
笔者认为,尽管我国《安全标准》在主要原则、思路框架等方面主要参照了欧盟的GDPR,但二者在法律效力、调整范围、利益出发点和某些具体规定上都存在重要差异。对二者加以比对并探讨主要区别,将有助于更加清晰地理解我国《安全规范》的主旨内容和定位。
一、法律效力不同
GDPR的性质是欧盟条例,具有强制力,一旦实施,无需各成员国立法确认,立即在整个欧盟范围内统一推行。GDPR规定有罚则,一旦违反,有关监管机关可以依照相关罚则做出相应的处罚决定;被侵权者也可以GDPR为依据,通过民事诉讼向数据控制者和数据处理者索赔。
《安全规范》的性质为我国推荐性的国家标准,而非强制性国家标准。国家网信办将该《安全规范》定位为“我国个人信息保护工作的基础性文件”。2018年初“支付宝年度账单事件”约谈时,网信也依据《安全规范》对涉事企业提出了要求。可见,虽然对于推荐性标准,国家只是鼓励采用ss同盟,但本《安全规范》的重要性不容小觑。
二、立法背景和作用不同
GDPR被称为史上最严的个人数据安全法规。笔者认为,GDPR是欧盟此前立法的“提练升华”沼泽山雀,在效力上“更高更强”。GDPR出台前,欧盟主要通过各种“指令”[2]对个人数据安全进行调整。“指令”主要对各成员国进行原则性指导,必须通过各成员国的具体立法才能转化为国内法。与这些“指令”相比,在内容上,GDPR是对指令实施过程中的经验加以归纳提炼总结;在法律层级上,GDPR作为“法规”,直接统一适用于各欧盟成员国,无需各国另行转化,规定全面要求高,还对于违反者苛以重罚,显然GDPR法律层级 “更高”,法律效力和威慑力“更强”。
《安全规范》也被称为是迄今为止我国关于保护个人信息的最广泛的文件。笔者认为,《安全规范》既使我国以往个人信息安全立法能够“落地生根”,又能为我国未来个人信息安全系统性立法“投石问路”。首先,《安全规范》贯彻落实了习总书记提出的“网络安全为人民”的重要思想以及《网络安全法》关于规范收集使用个人信息的明确要求。其次,此前我国关于个人信息保护的相关规定零星散落于各个法律、法规和规章[3]纷纷落在晨色里txt下载,不仅不成体系,而且缺乏适用于各个行业或部门的具体落实的实施细则。《安全规范》的出台相当程度上弥补了我国在个人信息保护细则以及实操规范的空白,及时对个人信息保护中诸多技术细节加以规范。此外,《安全规范》还是勇敢的“探路者”,在实施其过程中通过不断试错摸索而积累总结出来的经验,都将成为我国今后出台系统的、有约束力的相关立法经验的重要铺垫决战关东,同时相关实践总结也可以促进推动《安全规范》自身的完善。
三、内容的主要区别
(一)调整范围
我国《安全规范》调整的是利用信息系统对个人信息的处理。从用途角度来说,不仅适用于各类组织利用信息系统处理个人信息的活动,而且适用于网络安全相关主管部门、第三方评估机构等组织开展个人信息安全监督管理、评估等工作。从地域范围来看,《安全规范》并未加以限制,但其目的是贯彻《国家安全法》关于个人信息安全保护的要求,而《国家安全法》的调整范围为:“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理。”从调整对象来看,《安全规范》仅对“信息控制者”(即有权决定个人信息处理目的、方式等的组织或个人)加以规范,而未对“信息处理者”加以定义或特别规范。
欧盟GDPR适用于“个人数据全部或部分通过自动化方式处理个人数据以及通过自动化方式处理个人数据,而个人数据构成备案系统的一部分或旨在构成备案系统的一部分”。从地域范围来说,GDPR不仅适用于位于欧盟内部的组织机构,也适用于位于欧盟以外的组织机构,无论其所在地在哪里,只要其向欧盟数据主体提供产品、服务或监控相关行为忏魂曲,或处理和持有居住在欧盟的数据主体的个人数据。从规范对象来说,GDPR不仅适用于数据控制者,而且还包括数据处理者,即代表控制者处理个人数据的实体。因此,“云”也被划归至GDPR的管辖范围。
(二)同意和例外
个人的“同意”是处理个人信息过程中的核心焦点问题之一家有九凤。
对于“同意”的表述,欧盟GDPR仅使用了“同意”这种单一表述,并未区分不同情况。我国《安全规范》中未对“同意”加以定义,在起草的时候使用了“明示同意”和“授权同意”两种不同的表述,且未对“授权同意”加以定义非仙勿扰,也未对二者进行明确区分,但附录中给出了“保障个人信息主体选择同意权的方法”的范例。
关于同意的例外情况,欧盟GDPR列举了合法个人数据处理的六种情况,数据主体的同意被列为第一种情况。除此之外,只要符合其他的五种情况之一,如履约需要、履行法律义务、维护公共利益等原因对个人数据加以处理,也被GDPR视为合法。而我国《安全规范》并未规定“同意”的例外情况,但列举了征得授权同意例外的具体情形。
(三)关于重大利益/合法利益的相关规定
欧盟GDPR中就合法地对个人数据进行处理的情况规定比较笼统杨巧儿。第6.1条规定了六种合法处理个人数据的情况,除了数据主体同意之外,还将保护资料当事人或其他自然人的“重大利益”(the vital interests)和维护“合法利益”(legitimateinterests)作为控制者或第三方处理数据主体个人数据的合法理由。重大利益郭竞坤,包括天灾人祸时出于人道主义目的处理个人信息;合法利益,包括政府机关等公共管理机构需要执行任务或者为防止欺诈等恶性行为的发生而需要处理数据。
而我国《安全规范》遵循我国《网络安全法》的要求,将“同意”作为处理个人数据的必要前提条件扁鹊三兄弟,因此未规定同意的例外情况,而是在“授权同意”的例外情况上做文章,采取举例的方式,规定得非常具体,包括国家安全、国防安全、公共安全、公共卫生、重大公共利益、犯罪侦查、起诉、审批和判决执行、维护信息主体个人或其他个人的生命财产等重大合法权益但又很难得到本人同意,甚至具体到新闻报道、统计或学术研究等十一种情况,但未采用欧盟GDPR中直接采用“重大利益”或“合法利益”此类宽泛概念的立法方法。
(四)对敏感信息的处理
欧盟GDPR将敏感数据的范围界定以及规则起草留给各成员国,GDPR并不排斥各成员国法律对GDPR的具体执行方法加以规定,包括更明确地规定处理个人数据的合法条件。
我国《安全规范》将个人敏感信息定义为,一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息妻调令。规定14岁以下(含) 儿童的个人信息和自然人的隐私信息属于个人敏感信息。同时,对敏感信息的内容加以列举,并对其收集、传输、存储、访问、修改、加工处理、共享转让和公开披露进行规定。赚客大家谈《安全规范》还对个人敏感信息的收集、传输和存储、访问和修改、加工处理、共享转让和公开披露都做了明确的规定。
(五)罚则
欧盟GDPR的罚则非常有威慑力。一旦违反,企业将面临调查和重闪婚男女罚。根据违规情况分级处理,如果存在最为严重的侵犯个人信息安全的行为,相关企业可能面临高达其全球年营业额的4%或2000万欧元(以较大者为准)的巨额行政罚款。除此之外,欧盟各成员国还可以针对数据保护违规行为,制定本国有效、适当和有威慑力的罚则。
而我国《安全规范》由于是推荐性国家标准,没有规定罚则。但不排除我国规定有相关罚则的法律法规规章在实施过程中,在界定概念或评估事实方面,参照《安全规范》中的规定。而且,由于互联网和大数据的互联互通及全球性需求,以及欧美相关立法的域外效力,规定高额罚则将是不可避免的立法趋势。建立合规体系是一个循序渐进的过程,不能一蹴而就,未雨绸缪才是明智之举。
(六)其他区别
1、获取信息的来源合法性要求不同
欧盟GDPR仅要求数据控制者向数据主体提供其获取数据的来源信息即可。
我国《安全规范》要求对于间接获取的个人信息,不仅要说明来源,而且还应对该来源的合法性进行确认天知恋。
2、响应个人信息主体请求的延期规定不同
根据欧盟GDPR,数据控制人应在收到数据主体请求后一个月内及时提供资料,不得无故拖延。考虑到请求的复杂性和数量,如有必要,向数据主体通报延期及其原因后,时间可再延长两个月。
我国《安全规范》要求,在验证个人信息主体身份后,应及时响应个人信息主体提出的请求胜狮场站,应在三十天内或法律法规规定的期限内做出答复及合理解释王希怡,并告知个人信息主体向外部提出纠纷解决的途径。没有延期的规定。
3、用户画像分类的不同
欧盟GDPR仅对用户画像加以定义而未做区分。
我国《安全规范》将用户画像区分为直接用户画像和间接用户画像。直接用户画像是指直接使用特定自然人的个人信息,形成该自然人的特征模型;间接用户画像是指使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成的该自然人特征模型。
4、未成年人保护的年龄不同
根据欧盟GDPR,对于年龄不满16周岁的儿童,只有在其父母或监护人的同意或授权的情况下,对该儿童的个人信息进行处理才是合法的。
我国的《安全规范》要求,收集年满14的未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。四、我国起草《安全法规》的考量
通过对我国《安全规范》和欧盟GDPR进行上述比对,可以窥见《安全规范》起草者在努力寻求各种需求和利益之间的平衡。
(一) 个人信息保护和互联网扩张需求之间的平衡
我国的《网络安全法》中已经明确规定了收集、使用和向他人提供被收集者的信息时,须经被收集者同意,并且未有除外条款或例外情况的规定。《安全规范》仅为推荐性国家标准,相关条款不得突破国家法律框架的限制。然而实践中,如果每个具体的个人数据收集都须经数据主体本人的明示同意,不仅会耗费信息主体本人大量的时间精力,而且会导致信息控制者的客户减少或丧失。《安全规范》起草者不希望遏制或破坏需要大量数据的互联网或人工智能等对中国经济至关重要的领域的迅猛发展,试图比GDPR更“商业友好”,同时又担心引入“默示同意”的概念会导致实践中对“同意”的滥用,因此创造性地将《网络安全法》规定的“同意”区分为“明示同意”和“授权同意”两种,而且非常具体地列举和限定了十余种授权同意的例外情况。《安全规范》起草者认为,“从这一点上我们的标准实际上比欧盟松得多,跟相对宽松的美国相对是看齐的。”[4]
(二)严格立法与企业合规成本之间的平衡
我国《安全规范》未采用欧盟较为灵活宽泛的“重大利益”或“合法利益”条款,而是通过列举方式具体规定授权同意的十一种例外情况。有学者担忧如此规定过于严格,导致缺乏灵活性。但《安全规范》的起草者认为采取列举式的方法是为了减轻企业的合规和举证成本。因为欧盟GPDR要求信息控制者负有举证义务,须证明其对数据主体个人信息的处理是必要,强制的合法利益确实优于数据主体的利益或基本权利和自由[5]。欧盟公司为证明其行为的合规性,可能面临更高的举证成本和监管风险。我国《安全规范》起草者希望通过模糊同意以及明确列举授权同意例外的方法来降低合规成本和合规风险[6]。
(三)行业规范比法规更加细致具体属于正常现象
从法律效力角度来看,欧盟GDPR是法规,是要求其调整对象必须遵照执行的最低标准。而我国的《标准》为推荐性标准,根据我国《标准化法》,制定推荐性国家标准目的往往是“满足基础通用、与强制性国家标准配套、对各有关行业起引领作用等需要的技术要求”远东狂人,而且推荐性国家标准的技术要求“不得低于强制性国家标准的相关技术要求”。
从历史沿革角度来看,欧盟的个人信息保护体系已经多年的发展,企业已经形成了很强的保护意识、建立了一定的合规体系。而中国由于文化历史等原因以及互联网的迅猛发展和大数据时代的突然降临叶云凤,在个人信息安全方面的建设几乎是“百尺高楼平地起”,企业在开始理解个人信息安全ABC的同时要迅速建立起符合法律要求的合规体系,需要更多的帮助和具体指导。
综上,我国《安全规范》在借鉴各国际组织及主要国家的相关立法基础上,结合我国现有国情,努力平衡各方利益需求,是一部迄今为止最为详细具体、具有承前启作用的个人信息安全保护指南。
由于《安全规范》中某些概念的模糊性以及我国目前个人信息安全保护多头监管的现状,李允熹《安全规范》在具体实施应用时是否会引发争议以及政府或司法机关如何进行权威的解释和裁判,只能在今后的实践中加以检验和校正。
未来已来,我们拭目以待。
[1]参见《国家标准<个人信息安全规范>(征求意见稿)编制说明》
[2]包括欧洲议会和欧盟理事会于 1995 年 10 月 24 日通过的《关于在个人数据处理过程中保护当事人及此类数据自由流通的指令》(Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data); 2000年12月18日,欧洲议会和欧盟理事会通过《关于与欧共体和组织的个人数据处理相关的个人保护以及关于此种数据自由流动的规章》;2002 年 7 月 12 日,欧盟理事会和欧洲议会共同颁布了新的《关于在电子通信领域个人数据处理及保护隐私权的指令》(Directive 2002/58 on Privacy and Electronic Communications)22,简称电子隐私权指令(E-Privacy Directive)等。
[3]如《民法通则》、《网络安全法》、《刑法修正案(九)》和《电信和互联网用户个人信息保护规定》等。
[4]参见洪延青《对<个人信息安全规范>比欧盟与美国更严格”观点的几点回应》。
[5]见欧盟《通用数据保护条例》。
[6]参见Samm Sacks “China’s Emerging Data Privacy System and GDPR”.
[i]王洋(Sabrina WANG)铃科百合子,曾在中国商务部从事涉外经贸法律及争议解决工作十余年,期间曾被派驻中国驻欧盟使团担任商务外交官。2013年后在知名跨国企业担任合规总监等职。现在北京市通商律师事务工作。执业领域涉及反垄断、公司合规、知识产权、贸易救济及仲裁诉讼等。
特别声明:本文仅供读者参考,不作为针对任何个案的法律意见或建议。如需咨询相关问题或对本文有任何意见或建议,请联系wangyang@tongshang.com。如需转载或引用本文任何内容请说明作者和出处。