第一节 摸排场景:识别个人信息和主体身份
1.识别业务活动中处理的个人信息
识别业务活动中处理的信息是否属于个人信息是判断是否适用《个人信息保护法》的前提要件。
根据《个人信息保护法》第4条,个人信息是指是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括“匿名化处理后的信息”。该定义与《信息安全技术 个人信息安全规范》《民法典》中对“个人信息”的定义大体相近。总体而言,《个人信息保护法》下的“个人信息”是非常宽泛的,既能够从“个人”指向“信息”,也包括从“信息”直接识别或结合识别到“个人”。
进一步地,敏感个人信息是个人信息中需要重点保护的一类。企业还需要了解有关于敏感个人信息的规定以及进一步识别所处理的数据是否属于敏感个人信息。《个人信息保护法》第28条规定,敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。《儿童个人信息网络保护规定》将不满十四周岁的未成年人定义为儿童,因此,处理儿童的个人信息既要满足有关敏感个人信息的规定,也要满足有关儿童个人信息保护的特殊规定。
进一步而言,企业还须判断所处理的个人信息属于敏感个人信息下的哪个具体类别,如是否涉及人脸数据等。《个人信息保护法》第26条对人脸信息也进行了专门规定,即在公共场所安装采集人脸图像或用以识别个人身份的设备,只能用于维护公共安全的目的,不得用于其他目的,除非取得个人的单独同意。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《人脸识别司法解释》)在第2条第1款中规定,在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析的,属于侵害自然人人格权益的行为。对此,企业在宾馆、商场、车站等出于维护公共安全以外的目的使用人脸识别技术收集人脸信息时,应当以显著方式告知收集、使用人脸信息的目的、方式、范围。例如,在摄像头安装显著处张贴告知,提示“此处摄像头用于人脸识别,以便实现某某目的,我们承诺会保护您的人脸等信息安全,详情可咨询前台或扫描二维码”。
同时也需要了解“处理”的概念。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。由此可见,数据的处理已经包含了整个数据生命周期,因此要避免出现“数据的收集及处理”等错误表达。与《数据安全法》(以下简称《数安法》)比较,《个人信息保护法》的规定更加详细,并把数据的删除也涵盖在数据处理活动的外延中。
个人信息处理活动中经常会采取“去标识化”的方式,就是指个人信息经过处理,使个人信息在不借助额外信息的情况下,例如跨库与其他字段进行匹配,无法识别特定自然人。但“去标识化”后的个人信息还是个人信息,如果要让个人信息脱离《个人信息保护法》的适用范围,则必须把该类信息匿名化——经过处理无法识别特定自然人且不能复原。但在实践中,“匿名化”并非是绝对、静态的状态,随着数据处理技术提升、数据处理活动复杂、数据融合的可能性增加,匿名化数据也可能再反向转为“去标识化”状态。
当然,《个人信息保护法》也对个人信息的保护做了一定的豁免:第72条规定,自然人因个人或者家庭事务处理个人信息不适用本法[1],以及法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定。
总而言之,《个人信息保护法》落地合规的第一步是做好数据地图,全面摸排不同业务线、前台/中台/后台处理的不同数据类型,找出其中处理个人信息的重点场景,如用户注册与登录环节提交的个人信息、应用端主动收集的用户设备信息和行为信息、与第三方共享的敏感个人信息。此外,如果员工较多或涉及跨境传输的,则HR系统也是摸排数据流的重点。
2.识别企业的处理者身份
《个人信息保护法》对于“个人信息处理者”进行了界定,即在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。该个人信息处理者的概念可以与欧盟《通用数据保护条例》(简称GDPR)中“个人信息控制者”的概念相对应。
《个人信息保护法》项下大致分为三类处理者:一般处理者、“守门人”处理者以及受托处理者。
1)《个人信息保护法》下的第一类处理者即为一般处理者,是“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”[2]。
“一般处理者”的适用情况可分为境内和境外两个场景。“境内场景”是指在中华人民共和国境内处理自然人个人信息的活动。《个人信息保护法》和GDPR对境内一般处理者的规制思路有很大的区别。在境内部分,GDPR遵循“属人原则”,即无论欧盟的实体处理的是欧盟境内还是境外的个人信息,都要遵守GDPR的规定。《个人信息保护法》遵循“属地原则”,数据处理者是否是按照中国法律设立的企业不重要,更多关注的还是处理是否发生在中国境内。例如,有一家设立在瑞典斯德哥尔摩的公司,虽然其数据处理的行为发生在新加坡,但该公司还是要受到GDPR的规制。如果按照“属地逻辑”,则因为数据处理行为发生在中国境外,所以该行为不受《个人信息保护法》的约束。鉴于此,《个人信息保护法》第3条第1款中的“自然人”既可以包括中华人民共和国境内的自然人,也可以包括其他国家的自然人。
与之对应的“境外场景”是指在中华人民共和国境外处理境内自然人个人信息的活动,包括以向境内自然人提供产品或者服务为目的,分析、评估境内自然人的行为以及法律、行政法规规定的其他情形。《个人信息保护法》对于境外数据处理行为的规定与GDPR下“Target标准”的规制思路相似。其中,“以向境内自然人提供产品或服务为目的”中的“自然人”不是仅指向中国公民,而是指在中国境内的任何自然人。同时,“以向境内自然人提供产品或服务为目的”应指在主观意愿上为境内的自然人提供服务。例如,某公司开发了一款App,其支付功能仅支持与支付宝和微信支付相联系,则可以合理推定该业务是以向中国境内自然人提供服务或产品为目的。对于境外情景的第二类“为分析、评估境内自然人的行为”,比GDPR第3.2条(b)款关于“监控”的模糊规定更点到了问题的实质[3],而这也与GDPR相关配套指南中的解释一致,即处理活动是否属于对自然人的监控和追踪并非最重要的,其核心是进而发生了评估与分析行为与否。
一般处理者还有一种较为特殊的情况,即“共同处理者”。《个人信息保护法》第20条规定,两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。共同处理者对于侵害个人信息权益造成损害的需要依法承担连带责任。类似GDPR第26条关于Joint controller的规定,“共同处理者”的设定是为了保护个人能够在多方处理其个人信息的情况下,也可以便利地主张权利和获得救济。当然,构成“共同处理者”需要参与处理个人信息的各方有“共同决定了处理目的和方式”的合意行为(如通过合同约定),而不是仅仅存在数据交互或者使用了相同的数据,但却为了各自的目的或自行决定处理方式。
2)《个人信息保护法》下的第二类处理者是指“守门人”处理者,也就是大型互联网平台。被认定为大型互联网平台需要满足3个条件:提供重要的互联网平台服务、用户数量巨大以及业务类型复杂。
3)《个人信息保护法》下的第三类处理者是指接受委托处理个人信息的受托人。此类受托处理者不能自行决定处理个人信息的目的和方式,而是必须遵照处理者的要求,以处理者的名义来处理个人信息。受托处理者不仅需要采取必要措施保障所处理的个人信息的安全,同时也有义务协助个人信息处理者履行法定义务。
[1] 这一点与美国《加州消费者隐私法案》(California Consumer Privacy Act,CCPA)的规定有非常大的区别,因为在CCPA的语境下,个人信息还包括与个人相关的设备信息和家庭信息。
[2] 《个人信息保护法》第73条第1项。
[3] GDPR第3.2条(b)款:…the monitoring of their behaviour as far as their behaviour takes place within the Union。