《中华人民共和国个人信息保护法》(以下简称“《个保法》”,英文为PIPL) 于2021年11月1日正式生效,将与早先实施的中国网络安全法与电商法来袭,服务器部署与数据安全必须注意哪些问题?伴随中国网络安全法和电子商务法正式颁布,在中国的国际企业都将面临诸多法律合规问题必须处理,尤其是服务器部署、数据存储与安全方面。否则最高可受高达200万人名币甚至吊销营业执照的严重处罚。然中国电商法律环境复杂多变,那么在华的服务器部署、数据存储与安全方面,您必须注意哪些问题?《中华人民共和国网络安全法》(以下简称“《网络安全法》”,英文为CSL) 、《中华人民共和国数据安全法》DSL,共同构成中国管理数据处理和网络安全问题的综合框架。
《个保法》有些类似于欧盟的史上最严GDPR信息安全条例将如何影响跨境电商市场走向?GDPR条例(一般数据保护条例),将于2018年5月25日正式生效。旨在进一步加强用户数据及隐私的保护政策。此规定不仅适用于欧盟公司,但凡涉及欧盟公民信息的非欧盟公司也同样适用。鉴于现代商业的全球化发展,GDPR条例的颁布无疑具有深远意义。GDPR。GDPR是最早颁布并在世界范围被广泛使用的数据安全法,为欧洲企业所熟知,但是这两个法规之间还是存在一些重要差异。
这次TMO邀请上海汉盛律师事务所共同对《个保法》进行了解读。在本文中我们将介绍关于法规基本术语和概念;与GDPR 进行比较深入研究关键条款;最后,我们将提供一份操作清单,帮助您最大化地合规。由于TMO专注在电子商务领域,在解读《个保法》法规时,我们将重点放在对电子商务企业影响最大的条例,以及如何处理的具体建议。您也可以结合往期关于重磅 | 解读「中国电子商务法」的实施对整个电商行业的重要规则变化以及对企业的影响18年8月31日,备受瞩目的「中国电子商务法」经全国人大会议正式通过,并将于19年1月1日起正式实施,且跨境电商适用。作为中国第一部最全面针对电子商务的成文条款,重塑了对于中国电商乱象的处罚条件,从各个方面规范电商运营秩序,并将消费者权益保护放到了至关重要的位置!《中国电子商务法》的内容进行理解。
如果您需要关于电商领域的《个保法》合规审计, 无论是技术功能层面,或是法律支持,请随时联系 TMO Group 或上海汉盛律师事务所,获取最新的合规电商功能列表与法规模板。
点击下方目录直接查阅对应内容:
个人信息保护法的背景
基本术语
《个保法》的核心规则
《个保法》合规检查表
个人信息保护法的背景
中国拥有世界上最大网民群体—大约有 8 亿用户,截至 2020 年底,中国拥有 9.89 亿在线用户,这意味几乎每 5 个互联网用户就有一个从中国连接到网络。 在过去的20年中,中国互联网飞速发展; 数字经济占中国GDP的近40%,位居全球第二;IT 巨头迅速赶上西方同行,2020 年腾讯的市值超过了 Facebook。
这个对中国经济产生重大影响的领域,中国政府之前一直给予宽松和鼓励的政策。数字技术领域的飞速发展,数据驱动的商业模式变得常态化,随之而来的数据安全与泄露事件开始时有发生,对整个社会和个人产生的影响不容忽视,数据隐私成为社会日益关注的领域。虽然企业通过使用数据改进服务和个性化体验,但必需确保用户在线信息的安全性和隐私性。 2016 年中国政府正式出台了《网络安全法》CSL, 规范了涉及互联网基础设施、互联网服务提供商和国家网络安全,今年(2021年)的《数据安全法》DSL,从总体上规范了数据的处理。
《个保法》将与《网络安全法》CSL、《数据安全法》DSL一起,共同构成中国管理数据处理和网络安全问题的综合框架。
基本术语
《个保法》定义了整个法规中使用的几个关键术语。 让我们看看这些条款。
个人信息
《个保法》第四条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
从法律的角度来看,电子邮件、电话、信用卡号或地址等这些在电子商务中经常使用的信息都是个人信息。从技术上讲,任何特定格式的个人信息都是个人信息。如果您收集个人图像、视频、生物性声音或面容,那么您就在处理个人信息,它不只限于电子形式:法律也适用于任何包含个人信息的硬拷贝。
值得注意的是,《个保法》的“个人信息”同欧盟GDPR规定的“个人数据“是同等概念,但是同《数据安全法》中的“数据”却不相同,后者所称的“数据”,“是指任何以电子或者其他方式对信息的记录”(《数据安全法》第三条),是信息的表现形式。
匿名化和去标识化
这里还应该区分去标识化和匿名化(《个保法》第七十三条):去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。如果个人信息经过匿名化处理,它就不再是《个保法》所规范的范畴,例如您不必担心百度统计等服务会在您的网站上收集用户行为数据。
敏感个人信息
《个保法》第二十八条定义的“敏感个人信息”是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。敏感个人信息的处理适用更为严格的处理规则。
如果您的企业需要处理医疗信息或未成年人的信息;或您使用和存储任何用户基于位置追踪的数据:如帮助用户通过定位获取最近的网站/店铺/商品,或跟踪实体店的客流量,您都将面临额外的挑战,您需要先获得同意才能处理此类数据并执行更严格的保护措施。
个人信息处理者
《个保法》第七十三条中定义的个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
这相当于 GDPR 中的“数据控制者”一词:它被定义为决定收集和处理个人信息、制定规则和定义程序的组织或个人。GDPR 的“数据处理者”,在 《个保法》中被称为“受托方”。当 GDPR 大量讨论“数据处理者”和“数据控制者”的不同功能和职责时,PIPL 就简单多了。 从本质上讲,它说“受托方”应该按照与“个人信息处理者”的协议来处理所有事情,但受托方应当审核该协议是否符合PIPL关于信息处理者的基本要求。
适用于何处和适用于谁?
《个保法》第三条所述,该法令适用于在中国境内收集和处理中华人民共和国境内自然人个人信息的活动。然而,法律并不止于此:它也适用于在中国境外收集个人信息的任何企业或个人,如涉及以下的情况:
- 该信息用于为中国的“自然人”提供服务
- 信息用于分析和评估中国“自然人”的行为
这些条件似乎排除了个人使用或偶然使用个人信息的情况,如有中国人时常使用的境外照片库。只有任何与业务相关的个人信息使用才是《个保法》关注的问题。
域外方法是 GDPR 和《个保法》之间的重要相似之处。当处理欧盟公民的数据时,GDPR 适用于非欧盟数据运营商。同样,《个保法》 适用于非中国实体,只要它们是在中国处理任何“自然人”的个人信息时。我们将在后面章节单独解读这类从中国境外处理信息的例子。
《个保法》的核心规则
处理个人信息的先决条件
根据《个保法》第十三条,除非以下的情况, 当企业开始收集、处理个人信息时应当先征得同意:
- 您与此人签订了法律合同,处理他们的个人信息是履行合同的一部分
- 公共卫生/安全紧急情况
- 个人已披露此信息
- 基于公共利益的新闻报道/民意调查
- 履行法定职责/义务
同意
告知 - 同意 是《个保法》的核心原则。
《个保法》第十四条规定,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。
“明示同意”是指个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。“肯定性动作”包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。目前虽没有任何明令规范哪种实用形式达到告知-同意,《信息安全技术 个人信息告知同意指南》国家标准的讨论稿已经发布,生效后将作为依法“告知-同意”的重要依据。
此外,在您开始处理个人信息之前,您需要以显著方式、清晰易懂的语言真实、准确、完整地向个人提供以下信息,引自《个保法》第 十七 条:
- 个人信息处理者的姓名或名称以及联系方式;
- 个人信息处理的目的和处理方式、处理的个人信息的类别、保存期限;
- 个人行使本法令规定的权利、方法和程序;
从实践上来看,需要在指引格式旁边提供所有以上这些点的内容,如果是一大段文字的话,就提供可以指引去相关文件的链接。当这些事项发生变更的,应当将变更部分告知个人。同时这些事项应当公开,并且便于个人查阅和保存。
单独同意
《个保法》规定了应该取得个人单独同意的5种法定情形:处理敏感个人信息(第二十九条)、向其他个人信息处理者提供个人信息(第二十三条)、公开个人信息(第二十五条)、将公共场所收集的个人身份识别信息用于非公共安全之目的(第二十六条)、向境外提供个人信息(第三十九条),应当单独取得客户的同意。
单独同意的标准目前并没有法律法规或国家标准的规定,但有一些行政规章的规定可以参考,比如2021年5月1日实施的《网络交易监督管理办法》第十三条的规定:“收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的,应当逐项取得消费者同意。”就目前的实践要求来看,构成《个保法》要求的单独同意至少应该做到明示、逐项、不捆绑、不概括。
再次同意
此外《个保法》还规定了两类“再次同意”(重新取得个人同意)的场景,包括第22条规定的个人信息转移时,接收方变更原先处理目的、处理方式的情形,以及第23条规定的个人信息对外提供时,接收方变更原先处理目的、处理方式的情形。
保留期
虽然法律没有对保留期限的长度作出任何硬性限制,但在第十九条中规定:个人信息保留期限为实现个人信息处理目的所需的最短期限。《个保法》对保留期限没有硬性限制,但在某些行业会有具体的行业要求,比如《劳动合同法》要求单位对于离职员工的劳动合同文本,至少保存2年等。建议在遵守强制性规定的情况下,以“最短时间”标准保存个人信息。
个人信息保护原则
《个保法》设定了一些企业在处理个人信息时应遵守的原则。这些原则与 GDPR 颇为相似,而后者是继承了公平信息实践原则—1980 年代制定的国际标准。
以下是《个保法》中列出的原则:
- 处理个人信息时应遵循“合法”和“诚信”的原则,禁止以“误导”方式处理(第五条)。
- 个人信息的处理应“明确、合理”,并限于达到目的所需的最小范围(第六条)。
- “公开透明”,披露处理个人信息的目的、范围和规则(第七条)。
- 个人信息的处理应确保信息的质量,个人不应因信息不准确或不完整而遭受不利后果(第 八条)。
- 处理者应采取适当的安全措施来保护他们收集的个人信息(第九条)。
- 最后,禁止非法收集、处理、出售、购买、披露个人信息(第十条)。
信息主体的合法权利
与 GDPR 类似,《个保法》确立了信息主体(被收集信息的人)的基本权利。本质上,每个人都有权访问、删除或修改部分或全部个人信息,和完全撤回处理个人信息的同意。
作为一家企业,您有责任:个人信息处理者应当建立便民机制,受理和处理个人行使权利的申请。(第五十条)
具体应该如何处理这些申请,法律没有具体要求。可以通过网站上的表格、通过电子邮件、或通过纸质申请,当然从避免任何争议的角度来说,为用户提供在其个人账户中管理此类需求是最理想的方式。 它没有对处理此类申请设定任何具体的时间限制,只是提到应该“及时”进行。
个人信息跨境提供
如果境外企业计划处理中国个人信息,《个保法》第三十八 - 四十三条中对此有附加规定,除了常规要求,您还需要具备以下条件:
- 获取单独同意跨境转移个人信息
- 披露个人信息的境外接收者的信息:接收方的名称、他们处理的方法和目的、向该境外处理者行使个人信息权利(审查、修改、删除其个人数据)的方式
- 此外,对于“关键信息基础设施运营商”(指通信、能源、金融、交通、供水等行业,可能影响国家安全的企业),以及信息传输量超过规定数量的情况,企业必须先接受政府安全评估,然后才能开始传输任何信息。
在其他情况下(对于非关键的、低于限制的信息传输),企业应该:
- 通过政府特别机关的“个人信息保护认证”
- 确保与处理信息的境外企业的合同“符合国家网信部门制定的标准合同”。此类认证或标准合同的细节目前尚无法获得,可以参考GDPR的部分内容。
最后,境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
跨境个人信息传输的替代解决方案
与跨境个人信息传输相关的规定可能是最令人头疼的规定之一。因为大多数国际企业目前使用的的解决方案在开发之初,并没有关于“个人信息驻留”的法律要求。因此,您有可能在不知不觉中将个人信息传输到国外,例如,如果您的云 CRM 解决方案托管在中国境外。
从技术层面来说,市场上已逐渐开发出关于“个人信息驻留”问题的解决方案。在被开发解决这种新的问题。例如SalesForce 推出了 HyperForce:一种可以从主要公共云交付的解决方案。有些企业提供驻留即服务解决方案,将敏感个人信息复制或限制到位于本国的服务器。
自动化决策
《个保法》中有一项引人注目的规定是涉及所谓的“自动决策”。
随着机器学习和人工智能技术在电子商务领域变得越来越普遍,它们最常见的实际实现是人工智能驱动的“推荐产品”和“动态定价”的功能(一种基于客户某些行为特征和其他信息动态调整价格以实现利润最大化的做法)。
《个保法》第七十三条将自动化决策定义为:是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。
《个保法》第二十四条规定了自动化决策的规则:“ 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”
自动化决策是否就是大数据杀熟?在没有人工干预的情况下,以计算机技术算法、大数据、人工智能作出决策。根据自动化决策实行合理的差别对待是允许的,利用自动化决策在交易价格上实行不合理差别待遇,才是通常说的大数据杀熟。因此,个人信息处理者利用自动化决策处理个人信息时,应做出合理化解释。
除了对自动化决策进行评估和制定并公开自动化决策的规则外, 企业需要对差异性进行合理化解释,保证公平公正;不能单纯只依靠自动化决策,最终决策应由人工做出;提供非自动化决策的选项或提供便捷的拒绝方式;记录个人的选择,个人拒绝自动化决策的,不再向其推送自动化决策信息。
个人信息处理者的其他职责
让我们来看看《个保法》提到个人信息处理者的一些其他职责。
处理个人信息的企业,应制定和完善相应的内部组织结构,设置必要的规则和协议,并就此主题进行员工培训。它必须采取适当的技术安全措施,制定安全事件计划等。如果信息量达到一定限制,企业应任命一名个人信息保护官,监督所有与个人信息相关的活动。
如果企业处理敏感的个人信息,或者个人信息被转移到国外,个人信息处理者需要进行个人信息保护影响评估。此类评估应提前进行,并应保存记录。
违反《个保法》面临什么处罚
在轻微违规的情况下作为初犯,政府相关部门将给予其警告并责令改正,并没收与违规相关的任何非法收入。如果企业拒绝纠正问题,将会带来更严重的后果。企业最高可处以 100 万元人民币(15 万美元)的罚款;负责任的个人最高 10万 人民币(15,000 美元),加上特定的惩罚:社会征信体系的记录。
在“严重违规”的情况下,罚款金额可高达 5000 万元人民币(750 万美元),或企业收入的 5%。有趣的是,法律并没有明确规定是在中国产生的收入,还是在全球产生的收入,将作为罚款计算的基础。关于合规性的最后说明,根据法律规定,违法并不一定意味着您非法处理或处理了个人信息,如果您未能采取必要措施保护数据,也可能被视为违规。
关于Cookie
《个保法》中没有明确提到Cookie的使用。Cookie是否属于个人信息的问题曾被讨论多年,随着《网络安全法》和2017年12月29日发布国家标准《信息安全技术-个人信息安全规范》的出台,cookie是否属于个人信息的判断有了较为明确的官方意见。
《个人信息安全规范》附录A将包括网站浏览记录、软件使用记录、点击记录在内的个人上网记录均列明为个人信息。《网安法》和《个人信息安全规范》对于个人信息的认定一定程度上参考了国际上普遍被认可的学说,同时也充分认可大数据关联分析技术能够通过结合多类数据提高指定特定个人的可能性。
所以在当今的技术水平下,用户的网站浏览记录等追踪缓存信息与终端设备信息、账户信息等相结合即可很容易地识别到特定个人,可能会被认定为个人信息。在目前虽无针对cookie的特殊规则的情况下,对其进行收集、使用和任何处理,但理论上均应遵守《网安法》及其他相关法律法规、国家标准对个人信息保护的一般要求。
《个保法》合规检查表
下面有一个简短的清单,您可以使用它来检测您企业是否符合新的《个保法》,作为一个开始,虽然我们相信今后一定会有更多详细信息和最佳实践。
1. 检测该法令是否适用于您
- 您是否收集或处理来自中国自然人的信息?
- 这些信息可以用来识别一个人吗?
- 是匿名的吗?
- 你在中国境内还是境外?
- 您是否使用它来为中国客户提供服务或分析?
回答这些问题将帮助您确定《个保法》是否适用于您的目前运营。
2. 确定您处理个人信息的法律依据
告知-同意应是您处理个人信息的法律依据。您还必须确保个人可以随时访问有关收集个人信息的原因和方式的必要信息,提供针对个人信息收集的细则具体告知和同意选项,在用户进入网站,注册或购买的时刻展现并得到有效同意, 如个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。同时对5种法定情形取得个人的单独同意。
3. 您是否遵循主要的个人信息保护原则?
重新评估您关于个人信息处理相关的操作,根据《个保法》中概述的原则衡量它们,确保您有“清晰合理”的流程,寻求法律合规度,在网站上发布相关信息“公开透明”,并致力于保持个人信息质量。
特别注意必要的安全措施,如果您处理“敏感的个人信息”,则要加倍注意。无论有没有《个保法》的要求,个人信息安全都应该是任何企业的一个重要方面。这也许是一个很好的机会,弥补您在这方面的不足与松懈。
最后,我们不得不说,要远离“误导”行为,不要从事非法个人信息收集、销售或购买活动。
4. 尊重消费者对其个人信息的权利
技术和管理挑战之一是,现在您应该有一个程序来允许用户查看、修改和删除他们的个人。联系TMO为您的电商平台评估并提供此项的技术方案。
5. 制定内部流程与人员架构
制定和完善相应的内部组织结构,设置必要的规则和协议,并就此主题进行员工培训。它必须采取适当的技术安全措施,制定安全事件计划等。如果信息量达到一定限制,企业应任命一名个人信息保护官,监督所有与个人信息相关的活动。
6. 跨境个人信息传输的要求
如果您需要将个人信息传输到国外,《个保法》有一些特殊规则需要您遵守。正如我们所讨论的,“个人信息驻留”有可能成为合规性中最具技术挑战性的部分,尽管《个保法》并没有作出全面的规定,但是在很多行业领域, 中国的法律法规对于个人信息跨境传输已经作出了明确的规定,比如在金融领域、网约车、医疗行业等,均有个人信息本地化的要求,这些地方需要密切关注。
境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务。
7. 监控更新和未来的发展
您可能已经注意到《个保法》发布了最高原则和方针,接下还会有很多细则将被发布。建议您密切关注中国个人信息保护的主题,根据新法令实施或调整您的解决方案。
结论
一方面,《个保法》更严格的规范了企业在运营其在线业务时的职责与管控力度,如近期的雅虎和领英都将“具有挑战性的法律环境”作为退出中国的原因之一。另一方面,它确实为我们每一个互联网用户提供了防止滥用和错误处理个人信息的保护。如果没有法规加以制止,那么在如此丰富的数字生态系统中,个人信息窃取和非法个人信息交易将会蓬勃发展。
《个保法》超过9000字,与GDPR相比有个显著的字数上的差异,“庞大”的 GDPR 有超过50,000 个字。然而简洁意味着相当多的点仍然不清楚。在接下来的几个月里,我们可以期待更多细节和实施法律的建议。
如您需要在中国收集和处理自然人的个人信息,我们强烈建议您执行本文所述的步骤。如果您需要关于电商领域的《个保法》合规审计, 无论是技术功能层面,或是法律支持,请随时联系 TMO Group,和上海汉盛律师事务所获取最新的合规电商功能列表与法规模板。或,讨论如何帮助您建立和增强您的电子商务业务,同时符合新的《个保法》。
文本链接: 中华人民共和国个人信息保护法
上海汉盛律师事务所为一家大型综合性律师事务所,成立于1996年,总部位于上海,在境内有19家分支机构,境外有6家分支机构以及20余家战略合作机构。目前在境内拥有员工800余名,执业律师200余名。在上海排名前十,在全国排名前二十。汉盛的执业领域包括跨境交易、国际个人数据合规、出口管制及制裁、争议解决、资本市场等,服务的客户包括众多跨国公司、国有企业、互联网企业、高科技、人工智能、新能源企业等。汉盛办公地址位于上海市浦东新区杨高南路729号陆家嘴世纪金融广场1号楼22层-23层。
