動(dòng)態(tài)與觀點(diǎn)
- 引 言 -
在《安全法下的涉外數(shù)據(jù)保護(hù)和涉外個(gè)人信息保護(hù)(上)》一文中,筆者對(duì)《數(shù)據(jù)安全法》的相關(guān)要點(diǎn)已做解讀。本文將繼續(xù)探討《個(gè)人信息保護(hù)法》的相關(guān)要點(diǎn)。
- 探 討 -
一、《個(gè)人信息保護(hù)法》的簡(jiǎn)要解讀和重要性
《個(gè)人信息保護(hù)法》的基本情況
《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息權(quán)益保護(hù)、信息處理者的義務(wù)以及主管機(jī)關(guān)的職權(quán)范圍進(jìn)行了全面的體系化的規(guī)定。
在《網(wǎng)絡(luò)安全法》第41-45、76條等已經(jīng)規(guī)定了個(gè)人信息的定義和部分保護(hù);在《民法典》的人格權(quán)編的第六章中規(guī)定了隱私權(quán)和個(gè)人信息保護(hù),并規(guī)定了對(duì)個(gè)人信息處理的原則“合法、正當(dāng)、必要”;在《數(shù)據(jù)安全法》也涉及個(gè)人信息的少量具體保護(hù)制度。
所述各部法律相結(jié)合,切實(shí)保護(hù)個(gè)人信息權(quán)益,并明確了經(jīng)營(yíng)者行為的合法性邊界。
個(gè)人信息主要指所記錄的能夠識(shí)別自然人個(gè)人身份的各種信息。這里要進(jìn)一步明確“信息”和“數(shù)據(jù)”的區(qū)別,個(gè)人數(shù)據(jù)與個(gè)人信息不同,但存在轉(zhuǎn)化關(guān)系,個(gè)人信息被商業(yè)化后會(huì)轉(zhuǎn)化成商業(yè)數(shù)據(jù)[1]。
《個(gè)人信息保護(hù)法》出臺(tái)的重要性
個(gè)人信息保護(hù)是人類(lèi)文明發(fā)展的一項(xiàng)重要成果,并且其重要性被逐步體現(xiàn)。
隨著技術(shù)發(fā)展,個(gè)人信息可容易地利用人臉識(shí)別等技術(shù)獲得,確實(shí)有安全隱患,并且如果這些信息被境外掌握,可能相應(yīng)的犯罪率會(huì)攀升,并且懲罰犯罪的難度會(huì)加大。
下面給出兩個(gè)案例進(jìn)行說(shuō)明。
① 在2019年的人臉識(shí)別第一案中,個(gè)人向野生動(dòng)物世界購(gòu)買(mǎi)年卡,被要求留存了個(gè)人身份信息、照片和指紋,后野生動(dòng)物世界要將入園方式由指紋識(shí)別變更為人臉識(shí)別,引發(fā)糾紛。
二審法院認(rèn)定,生物識(shí)別信息作為敏感的個(gè)人信息,具備較強(qiáng)的人格屬性,如果被泄露或者非法使用,則可能導(dǎo)致個(gè)人受到歧視,甚或引起人身、財(cái)產(chǎn)安全,應(yīng)嚴(yán)格保護(hù)。
② 特別值得注意的是,在2016年微軟因被要求獲取個(gè)人信息起訴美國(guó)政府,聲稱(chēng)根據(jù)憲法在政府要求獲取用戶(hù)個(gè)人資料時(shí),要保證用戶(hù)的知情權(quán),因此其不能為政府獲取私人資料的要求保密。
最后,法院判決微軟勝訴,美國(guó)政府不能強(qiáng)迫微軟提交存儲(chǔ)在海外服務(wù)器上的客戶(hù)郵件。這對(duì)于個(gè)人信息的處理提出了更高要求。
二、《數(shù)據(jù)安全法》與《個(gè)人信息保護(hù)法》的側(cè)重點(diǎn)區(qū)別
相對(duì)于《數(shù)據(jù)安全法》,《個(gè)人信息保護(hù)法》主要關(guān)注數(shù)據(jù)微觀層面的安全。
《數(shù)據(jù)安全法》不僅重視規(guī)范數(shù)據(jù)安全,同時(shí)注重?cái)?shù)據(jù)的開(kāi)放與利用,體現(xiàn)了依托數(shù)字經(jīng)濟(jì)的發(fā)展和創(chuàng)新,服務(wù)于國(guó)家社會(huì)經(jīng)濟(jì)的發(fā)展的主旨。
在關(guān)于個(gè)人信息的管轄、跨境提供、對(duì)等處置方面,《個(gè)人信息保護(hù)法》與《數(shù)據(jù)安全法》有諸多相似之處,并結(jié)合個(gè)人信息的特點(diǎn)進(jìn)行了細(xì)化規(guī)定,這里簡(jiǎn)要說(shuō)明如下。
關(guān)于個(gè)人信息的管轄
與《數(shù)據(jù)安全法》類(lèi)似,在《個(gè)人信息保護(hù)法》第3條中明確了更為廣泛的境外司法管轄。
個(gè)人信息作為數(shù)據(jù)安全的重要保護(hù)對(duì)象,在境外處理我國(guó)境內(nèi)個(gè)人信息受《個(gè)人信息保護(hù)法》的管轄。
此外,在第53條規(guī)定要求境外的個(gè)人信息處理者應(yīng)在中國(guó)有聯(lián)絡(luò)機(jī)構(gòu),并確保能夠被聯(lián)系到。
關(guān)于我國(guó)的個(gè)人信息的跨境提供
在《個(gè)人信息保護(hù)法》中專(zhuān)門(mén)設(shè)置第三章來(lái)規(guī)定“個(gè)人信息跨境提供的規(guī)則”,足以看出對(duì)個(gè)人信息出境的重視。這是因?yàn)?,一旦個(gè)人信息出境,則相關(guān)各方難以控制對(duì)個(gè)人信息的處理和使用,所以要謹(jǐn)慎提供。
在該第三章中,從個(gè)人信息處理者、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、中國(guó)主管機(jī)關(guān)的角度進(jìn)行了規(guī)定。
對(duì)于境內(nèi)的個(gè)人信息處理者而言
需要保證個(gè)人的知情權(quán)、并取得個(gè)人同意,在經(jīng)過(guò)安全評(píng)估、個(gè)人信息保護(hù)認(rèn)證、根據(jù)標(biāo)準(zhǔn)合同與境外接收方訂立合同之后,才能向境外提供個(gè)人信息,并且需要保障境外接收方對(duì)個(gè)人信息的處理達(dá)到中國(guó)標(biāo)準(zhǔn)要求[2];而且,在個(gè)人信息數(shù)量達(dá)到一定數(shù)量的情況下,必須將在境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)。
對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者而言
必須將在境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi),并且除非按規(guī)定不需要,否則一般需要經(jīng)過(guò)安全評(píng)估后才能向境外提供。
對(duì)于中國(guó)的官方主管機(jī)關(guān)而言
其對(duì)接外國(guó)司法或者執(zhí)法機(jī)構(gòu),根據(jù)國(guó)際條約、協(xié)定,或者按照平等互惠原則來(lái)處理提供存儲(chǔ)于境內(nèi)個(gè)人信息的請(qǐng)求。只有經(jīng)過(guò)主管機(jī)關(guān)批準(zhǔn)之后,個(gè)人信息處理者才能向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于境內(nèi)的個(gè)人信息。
要注意的是,對(duì)于個(gè)人信息跨境傳輸?shù)南拗剖菃蜗虻?,個(gè)人信息的流出被監(jiān)管,個(gè)人信息的流入則沒(méi)有限制。
關(guān)于個(gè)人信息保護(hù)方面的對(duì)等原則
在《個(gè)人信息保護(hù)法》第43條規(guī)定了我國(guó)在個(gè)人信息保護(hù)中遭遇外國(guó)或地區(qū)的歧視性禁止或限制時(shí),可以對(duì)等采取措施。對(duì)等原則是國(guó)際貿(mào)易中常用的原則。
- 結(jié) 語(yǔ) -
當(dāng)今數(shù)字技術(shù)快速發(fā)展、全球互聯(lián)互通,《國(guó)家安全法》、《民法》、《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》從不同的角度對(duì)涉及不同國(guó)家的數(shù)據(jù)流轉(zhuǎn)等做出規(guī)定,從而維護(hù)國(guó)家和個(gè)人的安全。
在本文與上篇文章中,筆者簡(jiǎn)要說(shuō)明了國(guó)外的相關(guān)規(guī)定和趨勢(shì),并且分析了數(shù)據(jù)或個(gè)人信息的涉外管轄、跨境提供、對(duì)等處置等內(nèi)容,有助于讀者更清楚地理解加強(qiáng)數(shù)據(jù)/個(gè)人信息保護(hù)的必要性、以及當(dāng)前從不同維度加強(qiáng)數(shù)據(jù)保護(hù)的趨勢(shì)。
[1] 馮曉青,數(shù)據(jù)財(cái)產(chǎn)化法律規(guī)制的理論闡釋與構(gòu)造,《政法論叢》,2021年8月。
[2] 參見(jiàn)《個(gè)人信息保護(hù)法》第38-39條。