中国互联网经济发展部分原因是互联网企业能免费接触并使用大量用户数据:淘宝等网络购物平台的推荐建立在对用户数据的分析上;抖音推送算法完全依赖用户数据运营;其他通过互联网在风口起飞的“互联网+”企业均或多或少多少享受过或正享受着个人数据隐性红利;未来人工智能发展需要依赖大量的信息输入训练,其中需要多少个人信息不得而知。

而今中国联网经济发展告一段落,互联网企业的垄断趋势渐显,国际对中国个人信息侵害的诟病一直不曾减弱,多国以侵犯个人数据为由对字节跳动发难,同时ZAO之流在信息保护呈灰色的app的出现带来新问题,在一系列背景下,2020年10月21日中国人大常委会第一次审议并公布了《个人信息保护法草案》对社会公开征求意见。

首先需明确,该草案距作为法律通过还有一段距离,至少还需经3次或以上全国人大常委会审议,届时每次审议法条内容均可能发生修改,因此不应作为企业合规的最终依据,但其所透露的个人信息保护监管趋势确实值得讨论及借鉴。

其次需指出,中国个人信息保护立法自2012年开始,经历了《广告法》2015年、2018年两次修订、2016年《网络安全法》、2017年《民法总则》、2019年《电子商务法》,2020年公布《民法典》(2021年生效),至如今草案的公布,中国在个人信息保护独立部门法上的推进,顺应了社会发展需要同时,也经过了足够的酝酿。

在以上背景下,再审视该草案,我们对将来的立法作为境内境外互联网巨头和信息数据灰色产业的制衡报以期待。

从保护范围来看,草案借鉴国际趋势,对个人信息的定义趋近于国际立法中的个人可识别信息(Personal Identifiable Information / PII)概念,并将“敏感个人信息”概念纳入体系中。草案扩大保护信息范围及加强监管的趋势足够引起对用户信息高依赖的企业的重视。

从管辖范围来看,草案将确立对境外的长臂管辖效力。境外实体将无法直接简单收集境内个人信息,而需在境内设立专门机构或指定代表,负责相关事务,同时需受有关主管部门监管。一般企业要办理个人信息出境应至少具备以下条件之一:(1)通过国家网信部门安全评估;(2)按国家网信部门规定经专业机构进行认证;(3)与境外接收方订立合同,并监督接收方活动达到法定的个人信息保护标准。而关键信息基础设施运营者及处理个人信息达到国家网信部门规定数量的个人信息处理者,需要通过国家网信部门组织的安全评估。就此,有别于原本宽松的监管,显然服务器在境外的运营商,或服务器虽在境内但将用户数据传输给境外第三方的运营商都将面临更严格的监管及注意义务。

信息处理上,草案明确了“单独告知”“明示同意”原则,信息处理者应就个人信息处理向个人详细告知,并获得其单独、明确的同意;草案还规定了数种例外情形,但均属于紧急情况和社会公共利益导向的情形。在企业经营场景下,消费者同意几乎无法绕开。结合信息保护范围扩大,许多业务都将受到影响。

责任和处罚上来看,草案规定了一般情况下违反该法对实体处100万元以下罚款,对主要负责人1万元至10万元的罚款,情节严重的,对实体处五千万元以下或者上一年度营业额百分之五以下罚款,对主要负责人处10万至100万元的罚款,并可能导致停业整顿、吊销相关业务许可或者吊销营业执照。

如境外组织和个人可能对国家安全、公共利益造成危害或侵害中国公民权益的行为,还可被列入清单、予以公告、限制或禁止向其提供个人信息等处罚措施。这显著增加了违法成本,增加了合规必要性。

可预见,在新的趋势下,数据合规的重要性将在企业经营中获得巨大提升。而《个人信息保护法》是否将成为互联网野蛮发展的新制衡,我们拭目以待。如果您正在寻找个人信息保护相关的协助,则D’Andrea和合作伙伴法律顾问以及国际和多语言专家将为您提供支持。不要错过我们网站上有关的文章,或您可通过info@dandreapartners.com与我们联系。