科技革命正在重塑整个人类社会, 数字经济中的个人信息问题已经成为关系到个人隐私安全、 网络安全、 公共安全、 国家安全乃至国际社会安全的重要问题。 数字经济时代, 如果个人信息的合规未能明确落实, 对自然人而言, 个人信息泄露导致的风险在于其可能成为网络黑灰产下游违法犯罪的受害者, 对国家而言, 大量个人信息在境外被非法利用, 可能危及国家安全,而视数据为核心生产资料的企业, 一旦发生与个人信息相关的安全问题, 可能触及民事、 行政乃至刑事责任, 波及正常运营。 个人信息保护事关未来数据社会的公平正义问题, 为此, 明确个人信息权益保障及个人信息合规已经到了刻不容缓的程度。 保障信息的可信, 其根本在于确定何种主体是个人信息的管理者, 企业作为个人信息的处理者, 应当对个人信息主体的权益保障承担责任, 而个人信息保护法律法规体系也确定了企业的过错推定责任, 更加确立了企业进行个人信息保护合规的必要性。
本书第一章是对企业个人信息保护合规体系的概述与整体介绍。本章首先以个人信息保护专门法律法规、 各部门法中的个人信息保护规定、个人信息保护相关的司法解释、个人信息保护相关的规章及规范性文件为线索, 概览我国现有的个人信息保护法律规范体系的建构情况。从个人信息保护合规的企业范围、 个人信息保护合规管理体系中的合规措施, 特别是在企业内部管理制度和操作规程、企业相关岗位设置与权限管理方面, 厘清企业的个人信息保护合规管理体系。个人信息保护合规应遵循的基本原则包括合法、 正当、 必要、诚信、目的限制、公开透明、质量、安全等原则。这些基本原则贯穿App合规、个人信息保护影响评估 (PIA)、个人信息收集处理的合法性基础、保障个人信息权益、履行合规义务的证明、隐私设计、跨境提供个人信息规则、 未成年人个人信息处理规则等个人信息保护的合规重点。
第二章是关于个人信息的界定, 《个人信息保护法》出台后, 将之前立法中 个人数据 电子信息 等不同用语用词统一表述为 个人信息,即以电子或者其他方式记录的与已识别或者可识别的与自然人有关的各种信息, 不包括匿名化处理后的信息。 基于此, 有必要研究个人信息的范围界定、 企业收集个人信息与企业数据的关系等, 明确个人信息保护中个人信息、 敏感个人信息、 去标识化信息、 匿名化信息、 私密信息、 内容信息等各种概念之间的关系, 探究个人信息保护的民事权利基础。
第三章介绍了个人信息收集处理的合法性基础。《个人信息保护法》第十三条第一款规定了七个合法性基础, 是企业自证合规的重要参考。 这些合法性基础均需要满足目的限制原则, 而且其中均隐含着同意的意思, 具体可以分为授权同意、 合同附加同意、 强制同意、 推定同意以及混合同意。 告知同意是目前个人信息收集、 处理过程中最重要的、 最广泛适用的合法性基础,属于授权同意。 除了告知同意之外, 其他合法性基础还包括如下情形: 处理者履行法定义务, 与国家安全、 国防安全、 公共安全、 公共卫生、 重大公共利益相关的义务, 与刑事侦查、 起诉、 审判和判决执行等直接相关的个人信息处理, 以及为了维护个人信息主体或其他生命、 财产等重大合法权益但难以得到本人授权同意的, 所涉及的个人信息是个人信息主体自行向社会公众公开, 根据个人信息主体要求签订和履行合同所必要, 新闻报道、 舆论监督所必要等。
第四章详细叙述个人信息权益体系, 《个人信息保护法》 在立法上首次搭建了一整套个人信息主体的权益体系, 包括知情权、 决定权、 查阅复制权、可携带权、 更正补充权、 删除权、 要求解释与说明权等。 基于此, 用户对于其个人信息的权利通过操作权限、 申诉渠道、 征得同意过程等制度得以受到保障。 数据知情同意权是个人数据权利之起点, 范围包括个人数据的收集方式、收集内容、 存储及处理方式等, 同时也应包括收集的目的、 可能对个人产生的后果以及明确的同意方式及同意效力的覆盖阶段。 个人信息权益主要作为人格权益呈现, 《民法典》 中的相关制度也兼顾了个人信息中的财产价值保护。
第五章选取儿童、 雇员、 死者、 患者、 消费者等对象探讨特殊主体的个人信息保护问题。 通过网络从事收集、 存储、 使用、 转移、 披露儿童个人信息的网络运营者, 应当以显著、 清晰的方式告知儿童监护人, 并征得儿童监护人的同意, 设置专门的儿童个人信息保护规则和用户协议, 并指定专人负责儿童个人信息保护。 在劳动场景中, 具体分析入职过程中单位能否收集生物识别打卡、 婚姻、 生育等信息, 用人单位能否对配发给员工的电脑实施监控、 可否通过 GPS 监控员工位置信息, 能否查询员工、 求职者犯罪记录等问题。 对死者个人信息保护合规的理解, 应当把握代为行使死者个人信息权利的主体、 客体、 条件, 死者个人信息保护的期限, 个人信息处理者的响应机制等。 消费者个人信息保护的合规问题主要包括 App 过度索权、 消费者个人信息泄露、 非法推送商业信息、 大数据杀熟、 敏感个人信息的非法处理等。
第六章尝试厘清个人信息保护合规的关键环节, 首先分析个人信息的全生命周期, 个人信息流转的生命周期主要包括个人信息收集、 保存、 使用、共享以及延伸出的安全事件处理。 个人信息的处置规则包括个人信息的分类处置规则、 个人信息处置的授权规则等, 一方面是要求各类组织切实承担起保障数据安全的责任, 即保密性、 完整性、 可控性; 另一方面是保障个人对其个人信息的安全可控, 亦不应限制用户对于自身个人信息的操作权限。 信息主体对于其个人信息的权利通过操作权限、 申诉渠道、 征得同意过程等制度得以受到保障。 在此基础上, 研究个人信息权利行使的申请受理和处理机制与推荐算法的合规问题, 在企业合规中, 随着自动化决策算法的广泛运用, 应当加强用户模型和用户标签管理, 不得将违法和不良信息关键词记入用户兴趣点或者作为用户标签。
第七章针对特定场景的个人信息保护合规, 选定人脸识别技术应用、 自动驾驶汽车、 失联修复等场景中的个人信息保护问题进行讨论。 人脸识别技术的风险主要在于错误率、 种族偏见、 公平性和透明度等。 企业应当结合生物识别信息的应用场景、 使用目的、 手段必要性、 授权同意的真实意思表示、 双方权利分配等增强合法性基础, 并且在处理行为开始之前, 做好个人信息保护影响评估。 目前的个人信息保护法框架中, 失去联系的隐匿中的债务人, 其个人信息是否能够修复, 处理债务人个人信息是否具备知情、 同意之外的合法性基础, 从而能够豁免对于债务人而言本不可能的征得同意过程, 值得讨论。
第八章介绍个人信息出境的合规措施, 考察规范中的数据跨境合规主体, 出境数据的类型, 跨境数据自评估的评估内容, 评估申报中的受理机构、 申报材料、 受理时限, 评估审查中的审查重点、 审查时限、 有效期等,对于个人信息、 重要数据、 外国司法、 执法机构要求提供的数据等限制出境的数据类型以及不能出境的数据进行列举分析, 区分属于个人信息出境的行为以及不属于个人信息出境的行为。
第九章梳理个人信息保护的监管部门, 个人信息保护监管呈现出明显的部门区隔特征, 在一般消费领域, 工商行政部门和其他有关部门负责保护消费者的个人信息权利, 电信和互联网领域主要由国家网信部门、 电信主管部门、 公安部门和其他有关机关对个人信息保护工作进行监管, 在征信和邮政快递等行业领域,个人信息保护监管分别由行业监管部门负责。 除了在水平层面上不断完善 (自然人的) 个人信息权利和 (信息处理者的) 个人信息保护义务规定, 立法还应当在纵向层面上建立合理和高效的监管制度, 确保关于权利保护、 义务遵守和救济提供的规定能够落到实处。
第十章厘清个人信息保护相关法律责任, 个人信息保护的责任体系包括民事、 行政、 刑事责任。 个人信息侵权责任采取过错推定原则。 能够以自己的名义向人民法院提起个人信息公益诉讼的主体限于人民检察院、 法律规定的消费者组织和由国家网信部门确定的组织三种类型。
新书资讯
