动态与观点
- 引 言 -
在《安全法下的涉外数据保护和涉外个人信息保护(上)》一文中,笔者对《数据安全法》的相关要点已做解读。本文将继续探讨《个人信息保护法》的相关要点。
- 探 讨 -
一、《个人信息保护法》的简要解读和重要性
《个人信息保护法》的基本情况
《个人信息保护法》对个人信息权益保护、信息处理者的义务以及主管机关的职权范围进行了全面的体系化的规定。
在《网络安全法》第41-45、76条等已经规定了个人信息的定义和部分保护;在《民法典》的人格权编的第六章中规定了隐私权和个人信息保护,并规定了对个人信息处理的原则“合法、正当、必要”;在《数据安全法》也涉及个人信息的少量具体保护制度。
所述各部法律相结合,切实保护个人信息权益,并明确了经营者行为的合法性边界。
个人信息主要指所记录的能够识别自然人个人身份的各种信息。这里要进一步明确“信息”和“数据”的区别,个人数据与个人信息不同,但存在转化关系,个人信息被商业化后会转化成商业数据[1]。
《个人信息保护法》出台的重要性
个人信息保护是人类文明发展的一项重要成果,并且其重要性被逐步体现。
随着技术发展,个人信息可容易地利用人脸识别等技术获得,确实有安全隐患,并且如果这些信息被境外掌握,可能相应的犯罪率会攀升,并且惩罚犯罪的难度会加大。
下面给出两个案例进行说明。
① 在2019年的人脸识别第一案中,个人向野生动物世界购买年卡,被要求留存了个人身份信息、照片和指纹,后野生动物世界要将入园方式由指纹识别变更为人脸识别,引发纠纷。
二审法院认定,生物识别信息作为敏感的个人信息,具备较强的人格属性,如果被泄露或者非法使用,则可能导致个人受到歧视,甚或引起人身、财产安全,应严格保护。
② 特别值得注意的是,在2016年微软因被要求获取个人信息起诉美国政府,声称根据宪法在政府要求获取用户个人资料时,要保证用户的知情权,因此其不能为政府获取私人资料的要求保密。
最后,法院判决微软胜诉,美国政府不能强迫微软提交存储在海外服务器上的客户邮件。这对于个人信息的处理提出了更高要求。
二、《数据安全法》与《个人信息保护法》的侧重点区别
相对于《数据安全法》,《个人信息保护法》主要关注数据微观层面的安全。
《数据安全法》不仅重视规范数据安全,同时注重数据的开放与利用,体现了依托数字经济的发展和创新,服务于国家社会经济的发展的主旨。
在关于个人信息的管辖、跨境提供、对等处置方面,《个人信息保护法》与《数据安全法》有诸多相似之处,并结合个人信息的特点进行了细化规定,这里简要说明如下。
关于个人信息的管辖
与《数据安全法》类似,在《个人信息保护法》第3条中明确了更为广泛的境外司法管辖。
个人信息作为数据安全的重要保护对象,在境外处理我国境内个人信息受《个人信息保护法》的管辖。
此外,在第53条规定要求境外的个人信息处理者应在中国有联络机构,并确保能够被联系到。
关于我国的个人信息的跨境提供
在《个人信息保护法》中专门设置第三章来规定“个人信息跨境提供的规则”,足以看出对个人信息出境的重视。这是因为,一旦个人信息出境,则相关各方难以控制对个人信息的处理和使用,所以要谨慎提供。
在该第三章中,从个人信息处理者、关键信息基础设施运营者、中国主管机关的角度进行了规定。
对于境内的个人信息处理者而言
需要保证个人的知情权、并取得个人同意,在经过安全评估、个人信息保护认证、根据标准合同与境外接收方订立合同之后,才能向境外提供个人信息,并且需要保障境外接收方对个人信息的处理达到中国标准要求[2];而且,在个人信息数量达到一定数量的情况下,必须将在境内收集和产生的个人信息存储在境内。
对于关键信息基础设施运营者而言
必须将在境内收集和产生的个人信息存储在境内,并且除非按规定不需要,否则一般需要经过安全评估后才能向境外提供。
对于中国的官方主管机关而言
其对接外国司法或者执法机构,根据国际条约、协定,或者按照平等互惠原则来处理提供存储于境内个人信息的请求。只有经过主管机关批准之后,个人信息处理者才能向外国司法或者执法机构提供存储于境内的个人信息。
要注意的是,对于个人信息跨境传输的限制是单向的,个人信息的流出被监管,个人信息的流入则没有限制。
关于个人信息保护方面的对等原则
在《个人信息保护法》第43条规定了我国在个人信息保护中遭遇外国或地区的歧视性禁止或限制时,可以对等采取措施。对等原则是国际贸易中常用的原则。
- 结 语 -
当今数字技术快速发展、全球互联互通,《国家安全法》、《民法》、《网络安全法》、《数据安全法》和《个人信息保护法》从不同的角度对涉及不同国家的数据流转等做出规定,从而维护国家和个人的安全。
在本文与上篇文章中,笔者简要说明了国外的相关规定和趋势,并且分析了数据或个人信息的涉外管辖、跨境提供、对等处置等内容,有助于读者更清楚地理解加强数据/个人信息保护的必要性、以及当前从不同维度加强数据保护的趋势。
[1] 冯晓青,数据财产化法律规制的理论阐释与构造,《政法论丛》,2021年8月。
[2] 参见《个人信息保护法》第38-39条。
