作者:蔣虹
機關:彙業律師事務所
編者按
随着大資料技術與資訊化社會發展,個人資訊與隐私的保護問題頻繁出現在公衆視野,成為社會熱點。由于 “隐私”與“個人資訊”二者的範圍有重合,人們常将“個人資訊”與“隐私”混為一談。“個人資訊”與“隐私”是同一個概念嗎?個人資訊和隐私存在什麼差別?中美對于二者的保護有何差異?對于個人資訊的保護與處理如何進行?本文對前述問題進行了梳理。
✨溫馨提示:
文末附「中美歐個人資訊保護法比較報告」(近80頁)&《個人資訊保護&出境法規政策大全》(最新版),全面且系統,如有需要,可前往「iLaw合規」公衆号自行擷取!
一 基礎梳理
個人資訊:以電子或者其他方式記錄的與已識别或者可識别的自然人有關的各種資訊。
隐私:私人生活安甯以及不願為他人知曉的私密空間、私密活動、私密資訊。
《中華人民共和國民法典》(下稱《民法典》)第一編“總則”第一百一十條規定:“自然人享有人格權。人格權是自然人在生活中尊嚴、名譽、肖像、隐私等方面所享有的權益。自然人的人格權不受侵犯。”這裡明确了隐私權是一種人格權,應當受到法律保護。
《民法典》第一千零三十二條第一款規定:“自然人享有隐私權。任何組織或者個人不得以刺探、侵擾、洩露、公開等方式侵害他人的隐私權”。
綜上,隐私和個人資訊有交集的地方,但是不完全重合。一般來說,從美國立法來看敏感個人資訊(sensitive personal data)屬于隐私。隐私中又有超越個人資訊的部分,比如,有的人喜歡開快車,或者收集特定的物品是屬于隐私但是不見得屬于個人資訊。
二 立法背景
01 美國的相關規定
美國由于是聯邦政體,每個州有自己的獨立的立法權和執法權。
在聯邦層面有,《聯邦兒童線上隐私保護法》Children's Online Privacy Protection Act (COPPA) 和《健康保險流通與問責法》Health Insurance Portability and Accountability Act (HIPAA)。
在州層面有,《加州消費者隐私法案》(the California Consumer Privacy Act ,CCPA) (以下簡稱加州法案),和the Virginia (弗吉尼亞州)消費者資料保護法案 (VCDPA),還有馬上就要生效的Colorado科羅拉多州的消費者保護條例。美國的其他州也有自己的相關的法律,隻是由于CCPA和VCDPA是規定相對比較全面而且比較嚴格的法律并且已經生效,大部分企業都是用2個州的法律來指導自己的合規。
02 中國的相關規定
中國相關規定主要展現在幾部法律:《中華人民共和國網絡安全法》(2017年)、《中華人民共和國民法典》(2020年)、《中華人民共和國個人資訊保護法》(下稱《個保法》)(2021年)、《資料安全法》(2021年)。
相關國家标準:GB/T 35273-2020《資訊安全技術 個人資訊安全規範》、GB/T 22239-2008《資訊安全技術 資訊系統安全等級保護基本要求》、GB/T 25070-2020《資訊安全技術 個人資訊去辨別化規範》、GB/T 22667-2019《資訊安全技術 資訊系統風險評估規範》等等。
可見二者的差異比較大。在中國方面,中國的法規是原則性規範和定義,具體的規定和操作指南可在相關國家标準中找到。美國的立法就包含了很多具體的操作指南。
三 資料法的管轄
中國簡單的可以歸納基本都可以歸為大陸管轄。
《個保法》第三條:
在中華人民共和國境内處理自然人個人資訊的活動,适用本法。在中華人民 共和國境外進行中華人民共和國境内自然人個人資訊的活動,有下列情形之一的, 也适用本法: (一)以向境内自然人提供産品或者服務為 目的; (二)為分析、評估境内自然人的行為; (三)法律、行政法規規定的其他情形。
美國加州法案規定如下:
CCPA:1798.140.Definitions (d) “Business” means:
一個獨資企業、合夥企業、有限責任公司、股份公司、協會或其他法人實體,其組織或營運是為了其股東或其他所有者的利潤或财務利益,收集消費者個人資訊,或者代表收集此類資訊的實體,并單獨或與他人共同确定處理消費者個人資訊的目的和方式,該實體在加州開展業務,并滿足以下一個或多個門檻:
1)公司年總收入超過$25,000,000;
2)每年購買、出售或共享100,000名或更多的加州居民的個人資料;或
3)至少有半年的年收入自售或共享加州居民的個人資料(此包包括所有資料經公司)。
這表明小型公司是不受法律規範的,但是對于企業的形式是不限制的,隻要盈利并且滿意一定的條件都要被其規範。
在實踐中,遇到最常見的問題就是對于控股和合營的疑問。美國的CCPA說明了關于控股公司,合資方面的規定,非常具有參考性。(1798.140.d)
1)控制或受到業務控制的實體是指對另一個業務具有相當程度的影響或權威的組織。控制可以通過擁有或擁有投票權的超過50%的任何類别的投票證券的權益、以任何方式控制董事或行使類似職能的個人的選舉的絕大多數,或對公司管理行使控制影響的權力來建立。"共同品牌"是指共享名稱、服務标志或商标,普通消費者會了解兩個或多個實體是共同擁有的。
2)一個由各自擁有至少40%權益的企業組成的合資企業或合夥企業。在本法律條款中,合資企業或合夥企業以及組成合資企業或合夥企業的每個企業都應單獨視為一個獨立的企業。但是,每個企業擁有的個人資訊并向合資企業或合夥企業披露的資訊不應與其他企業共享。
為了規避股東風險,國内常用的做法是幾個企業投資成立一個新的企業。美國這條規定穿透了企業的面紗:企業内部股東如果都獨立的企業,企業之間的資料不能互通。簡短的概述下就是資料可以給父母,但是孩子之間不能互通。
大陸立法其實沒有直接規定合營和控制的相關問題,我們可以參考美國的立法,綜合考慮投票權或者直接控制權,或者股份包括直接和間接的情況。值得借鑒的是,美國立法提供了共享通用品牌的思路,其實實作了一種既沒有人員也沒有股份交叉的合營。
四 個人資訊的定義
美國加州法案具體定義了資料主體為消費者,規範的是居住在加州的居民。無論以何種方式識别,包括任何唯一辨別符(後文會詳細闡述)。美國此立法突破了個人的限制,包含了家庭為機關的資料主體。
美國加州法案中,“個人資訊”是指可識别、與之相關、可描述、合理地可與之關聯,或者可以合理地直接或間接與特定消費者或家庭聯系的資訊。個人資訊包括但不限于以下資訊,如果它可識别、與之相關、可描述、合理地可與之關聯,或者可以合理地直接或間接與特定消費者或家庭聯系。
中國《個保法》第四條規定,個人資訊是以電子或者其他方式記錄的與已識别或者可識别的自然人有關的各種資訊,不包括匿名化處理後的資訊。
在中華人民共和國國家标準GB/T 35273—2020裡面示範了個人資訊:
個人資訊就是可以識别到具體的個人或者聯系其他的要素可以聯系到具體的一個人的資訊,随着資料法的實踐和科技的日新月異,資訊載體的形式呈現多樣化。在早幾年,cookie到底是否屬于個人資料還存在争議,到今日cookie基本全球達成一緻是屬于個人資料的一類。
為了對定義進一步解讀,美國加州法案通過列舉了一些資料都屬于個人資料,包括:
1) 諸如真實姓名、别名、郵政位址、唯一個人辨別符、線上辨別符、IP位址、電子郵件位址、帳戶名、社會保障号、駕駛執照号、護照号等類似的辨別符。
2)商業資訊,包括個人财産記錄、購買的産品或服務、獲得的産品或服務、正在考慮的産品或服務,或其他購買或消費曆史或趨勢。
3)生物識别資訊。
4)網際網路或其他電子網絡活動資訊,包括但不限于浏覽曆史、搜尋曆史以及消費者與網際網路網站應用程式或廣告的互動資訊,等等。
對于“曆史搜尋記錄”在中國早幾年的司法案例中也不認可為個人資料,美國立法明确了此為個人資料。
在個人資料中,一個人的種族、信仰、心理和身體的健康診斷、性取向、公民的身份、移民狀況、生物資料、孩子的資料、包括精确的位址位置資訊都屬于個人敏感資料。我們可以把個人敏感資料認為是個人資料中的重要資料,或者隐私性更強的資料,立法對于此類資料的保護要求更加嚴苛。
由于智能汽車的崛起,各國立法意識到位置軌迹也成為了個人資料,通常稱之為“地理位置資料”。因為位置軌迹可以輕易的揭示一個人的喜好:學校,家庭,工作的具體位置,甚至是性取向。單獨看定義,位置軌迹是不可以定位到具體的人,如果結合其他因素是其實可以的。比如時間,比如車輛資訊等就可以定位到一個具體的人,符合個人資料的定義。
可以看出美國對個人資料的解釋具有擴張性,比如浏覽曆史、搜尋曆史、正在考慮的産品或服務,或其他購買或消費曆史或趨勢都成為了個人資料。這類資料的特點是不借助或者結合其他的特征,以上資料并沒有追溯到具體的人。
個人資訊是不包括合法公開的資訊,但是如果公開的資訊是通過違法途徑獲得的是不屬于合法公司的資訊,不可使用。
假名化和聚合後的資料同樣是不被保護。是以資料經過處理或者銷售的就是一個聚合的資料,可以不适用相關的資料保護法規。
在對個人資料的了解中,美國立法還有個特别明顯的擴張性解釋:
1.Professional or employment-related information"(專業或與就業相關的資訊)是指與個人的職業、工作或雇傭有關的資訊。這可能包括,但不限于:
- 職位或職務名稱:個人在公司或組織中擔任的職位。
- 工作經曆:個人過去的工作、實習或志願者經曆。
- 行業或專業領域:個人從事的行業或專業領域,例如金融、醫療、教育等。
- 教育背景:個人所獲得的學位、證書或其他教育資格。
- 技能和專長:個人在職業生涯中積累的技能、知識或專長。
- 薪資或薪酬資訊:個人的工資、獎金或其他與工作相關的收入。
- 工作評估或表現評價:與個人在工作場所的表現或評價相關的資訊。
- 雇傭狀态:個人是全職、兼職、臨時或獨立承包商等。
- 工作許可或簽證資訊:個人在特定國家或地區工作所需的許可或簽證。
這類資訊可能被收集、存儲和分析,以評估個人的職業能力、雇傭适用性或為了滿足法規要求。
2)教育資訊是指在《家庭教育權利和隐私法案》(Family Educational Rights and Privacy Act,20 U.S.C. Sec. 1232g;34 C.F.R. Part 99)中定義的非公開個人身份資訊。這類資訊可能包括學生的成績、課程安排、考試成績和其他教育記錄,這些資訊受到法律保護,不允許未經授權就公開披露。
同時美國立法對于家庭為機關的消費者也立法進行了規範,增加了一個叫做辨別符的規定,這也是美國立法的标志性特點。
“唯一辨別符”或“唯一個人辨別符”的例子包括:
1)裝置辨別符:用于識别特定裝置的代碼或序列号。
2)IP位址(Internet Protocol位址):用于在網際網路上識别裝置的數字位址。
3)Cookie:存儲在使用者裝置上的小型文本檔案,通常用于跟蹤使用者在網站上的行為和偏好。
4)信标(beacon):通常用于追蹤網站或應用程式中使用者活動的一種技術。
5)像素标簽(pixel tag):一種通常用于跟蹤使用者在網頁或電子郵件中的行為的透明圖像。
6)移動廣告辨別符:智能手機和其他移動裝置上用于跟蹤使用者行為和廣告活動的辨別符。
7)客戶編号:用于識别特定客戶的唯一編号。
8)唯一化名(unique pseudonym)或使用者别名:用于在網絡服務中識别特定使用者的名稱或代碼。
9)電話号碼:用于識别個人的電話号碼。
10)其他持久性或機率性辨別符:可用于識别特定消費者或與消費者或家庭相關的裝置的其他類型的辨別符。
這些辨別符可用于識别和跟蹤消費者、家庭或裝置在不同服務中的行為和活動。
五 關于處理
美國加州法案使用的描述方法是“收集”、“已收集”或“搜集”是指通過各種方式擷取、租賃、組裝、擷取、接收或通路與消費者有關的任何個人資訊的過程。這可能涉及直接從消費者那裡擷取資訊,無論是主動(如通過表格、調查或訪談)還是被動(如通過cookies、裝置辨別符或IP位址),還可以間接地通過監測和分析消費者的行為(如浏覽習慣、線上活動等)。
中國《個保法》第四條:
個人資訊是以電子或者其他方式記錄的與已識别或者可識别的自然人有關的各種資訊,不包括匿名化處理後的資訊。個人資訊的處理包括個人資訊的收集、存儲、使用、加工、 傳輸、提供、公開、删除等。
如此看來,美國的規定更為具體。其實“處理”一般含義大家都能明白,關鍵是幾個具體的行為在實踐中比較模糊,主要是委托處理和合作處理,筆者認為對比行為模式可以參考歐盟的GDPR。
01 委托處理與共同處理
委托處理(Data Processing on Behalf)是指一家公司(資料控制者)将其資料處理任務交給另一家公司(資料處理者)來執行的過程。在這種情況下,資料處理者會按照資料控制者的訓示處理個人資料,例如存儲、整理、分析或删除這些資料。這樣的安排通常基于雙方簽訂的合同或其他法律協定。
委托處理的一個典型例子是,一家公司可能将客戶資料交給第三方雲服務提供商進行存儲和管理。在這種情況下,雲服務提供商作為資料處理者,需要確定處理資料的安全性和合規性。同時,資料控制者(委托方)有責任確定所選資料處理者符合相關的資料保護法規。
共同處理(Joint Processing)是指兩個或多個實體(資料控制者)共同确定個人資料處理目的和手段的情況。這些實體在處理資料時需要共同承擔責任,并確定遵守相關的資料保護法規。
在共同處理的情況下,各資料控制者之間通常需要簽訂一項協定,明确各自的角色、責任以及資料處理活動的分工。協定還應包括處理資料的目的、手段以及資料保護措施。此外,資料主體(即個人資料涉及的個人)應該被告知哪些實體是共同處理者,以及他們可以向哪個實體行使自己的資料保護權利。
共同處理的一個例子是,兩家公司合作開展營銷活動,并共享潛在客戶的資料。在這種情況下,兩家公司需要共同确定資料處理的目的和方式,并確定遵守适用的資料保護法規。
值得一提的是歐盟GDPR中提到了處理者(processor)和管理者/控制者(controller)的概念,美國立法也沿用這2個概念。中國的相關立法中隻規定了處理者的權利和義務。管理者和處理者的概念其實對企業提供了一個較好的視角來管理企業。
02 資料管理者/控制者與處理者
資料管理者/控制者(Data Controller):資料管理者/控制者是負責确定資料處理目的和手段的個體或組織。他們對資料的收集、存儲、使用和删除等方面具有決策權。資料管理者通常需要確定資料的安全性和合規性,以遵守相關的法律法規,指導并且管理資料處理者。
資料處理者(Data Processor):資料處理者是為資料管理者執行實際的資料處理工作的個體或組織。他們按照資料管理者的訓示來處理資料,例如資料的收集、存儲、分析和删除等。資料處理者通常不對資料處理的目的和手段做出決策,但需要遵循資料管理者的要求和法律法規來保護資料安全。
美國立法突出特點展現在其對資料管理者對消費者資料的處理上,立法态度是商家可以銷售(sales)消費者的資料。當然立法要求資料處理者在網站顯眼的地方一定要清晰的提供一個按鍵可以供資料主體要求資料處理者停止銷售資料主題的資料。(DO NOT SALE MY PERSONAL DATA)。其實就是我們常說的opt out,退出的權利。
在這點上,弗吉尼亞州和加州的規定略有不同。前者含有三個分支:
(i) 定向廣告 (Targeted Advertising)
(ii) 出售個人資料 (The sale of personal data)
(iii) 為産生與消費者相關的法律或類似重大影響的決策而進行的畫像分析。
而加州隻規定了2種。具體的法條為要求選擇退出消費者個人資訊的出售或共享 (Opt-out of the sale or sharing of the consumer's personal information)。實際上法條後續要求除了以上,還要有 “限制使用我的敏感個人資訊 (Limit the use of my sensitive personal information)”同上面要求一樣的按鍵設定。
何為出售,美國法規也給出了清晰的規定:"出售"、"銷售"或"已售",指将消費者的個人資訊通過口頭、書面、電子或其他方式,由業務方向第三方出售、租賃、釋出、披露、傳播、提供、轉讓或以其他方式傳遞,以擷取金錢或其他有價物作為報酬。
在實踐中,在隐私條款中,我們一般都能清楚的知道要告訴資料主體,在收集資訊時其具體的權利。在中國的GB/T35273-2020中,筆者認為最大的差別在于中國提到了我們如何委托處理、共享、轉讓、公開披露您的個人資訊。在美國法規中,委托處理其實就是資訊處理者processor,或者說資訊的收集和processor分開了。并沒有要求要披露,隻是要求對于委托處理者controller應該稽核雙方的合同,保證委托處理者的資料合規性。但是對于分享,美國規定如下,如果存在分享的情形下,企業應該主動披露:
1)控制者處理的個人資料類别;
2)處理個人資料的目的;
3)消費者如何依據 § 59.1-577 行使他們的消費者權利,包括消費者如何就控制者關于消費者請求的決定提出申訴;
4)控制者與第三方分享的個人資料類别(如有);
5)控制者與之分享個人資料的第三方類别(如有)。
六 資料主體享有的權利
資料主體享有的權利主要包括:
1、獲得通知自己的資料是否被處理和對自己資料的通路權
2、錯誤資料的糾正
3、要求删除資料的權利
4、可攜權
5、退出消費者個人資訊的出售或共享等的權利
對于第5項内容,在中國沒有相關規定,可以看出美國立法态度是資料主體的資料是可以被銷售的,甚至還立法規定可以提供一些金融上的便利來吸引消費者出售自己的資料。
美國立法提出:“跨場景行為廣告”指基于從消費者在不同企業、獨特品牌的網站、應用程式或服務中擷取的消費者個人資訊(而非消費者有意互動的企業、獨特品牌的網站、應用程式或服務)來針對消費者投放廣告。并且要求 “不出售/不共享我個人資訊以進行跨場景行為廣告”作為和第5項一樣的權利。
七 回應資料主體要求的豁免權
資料主體享有的權利其實已經說的很多,我們主要讨論一下豁免的情況。
如果消費者的請求明顯沒有根據或過分,尤其是因為其重複性質,企業可以選擇收取合理費用(考慮到提供資訊或溝通或采取請求行動的行政成本),或者拒絕采取行動并告知消費者拒絕請求的原因。企業應承擔證明任何可驗證消費者請求明顯沒有根據或過分的責任。
在實踐中,此類要求比較難定義。中國曾經有案例表明:企業基于資料量過于龐大拒絕了使用者要求删除的要求,但是法院沒有支援企業的說法。這個案例說明在實操中,技術是個很重要的衡量手段。法院會考量企業是否已經采用了市場上可能的手段來排序資料和檢索資料。
八 救濟方法
救濟方法可以分為事前和事後。事前主要是法規對市場上的APP進行抽查。要求企業備案,獲得資質。
美國立法首先強調的就是商家對消費者的告知義務展現在提供2個直接的途徑來友善其實作權利。其要求為消費者提供兩種或更多指定的送出方式。這些送出方式應至少包括一個免費電話号碼。對于那些僅線上營運且與提供個人資訊的消費者有直接關系的企業,隻需提供一個用于送出請求的電子郵件位址。如果企業擁有一個網際網路網站,應允許消費者通過網站送出請求。
事後的做法就是執法機構的執法了。
消費者可以提起民事訴訟,但是如果企業糾正了違規行為,可以得到一個豁免機會。具體條文如下:
根據本節規定,消費者在對企業提起個人或集體法定損害賠償訴訟之前,應向企業提供30天書面通知,明确指出消費者聲稱已經或正在違反的本法規定。如果可以進行補救,那麼如果企業在30天内實際解決了通知中提到的違規行為,并向消費者提供了明确的書面聲明,表示違規行為已得到糾正,且不會再發生類似違規行為,那麼就不得針對企業發起針對個人法定損害賠償或集體法定損害賠償的訴訟。
最佳的補救手段就是罰款了,美國顯然罰得比歐盟輕多了。
任何違反本法規定的企業、服務提供商、承包商或其他人應承擔最高不超過2,500美元($2,500)的行政罰款,對于故意違規行為或涉及企業、服務提供商、承包商或其他人實際知悉的16周歲以下消費者個人資訊的違規行為,每項違規行為的罰款最高不超過7,500美元($7,500)。
中國對此則規定:
第六十六條 違反本法規定處理個人資訊,或者處理個人資訊未履行本法規定的個人資訊保護義務的,由履行個人資訊保護職責的部門責令改正,給予警告,沒收違法所得,對違法處理個人資訊的應用程式,責令暫停或者終止提供服務;拒不改正的, 并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。有前款規定的違法行為,情節嚴重的,由省級以上履行個人資訊保護職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限内擔任相關企業的董事、監事、進階管理人員和個人資訊保護負責人。
筆者在對比了美國、中國、歐盟的相關立法之後,發現每個國家的立法氣質都盡顯國家的曆史和國家文化氣勢。美國盡顯商業氣質,中國和歐盟自然保守一些。
作者介紹
蔣虹律師主要的執業領域為網絡、資料安全與新技術領域,主要解決網際網路技術、資料安全等新技術領域糾紛及合規問題。蔣律師具有法學、金融學專業教育背景在SAP、SSA solution等軟體公司有超過10年技術工作背景,熟知複雜IT架構、資料安全、網際網路技術,同時有多年國外 (美國、印度、蒙古等) 工作經曆、跨國團隊合作經驗豐富,能提供全英文法律服務。客戶包含知名央企,海外投資企業,某行業頭部企業等。
文末福利
為了便利讀者朋友查閱參考,iLaw特别收集了「中美歐個人資訊保護法比較報告」(近80頁)&《個人資訊保護&出境法規政策大全》,彙編中收錄了個人資訊保護&個人資訊出境相關的法律、行政法規、部門規章、地方性法規以及規範檔案、标準檔案等近百份最新檔案,含最新《個人資訊出境标準合同備案指南(第一版)》、個人資訊保護影響評估報告(官方模闆)(出境版)等,提供個人資訊合規指引,相關監管要求與要點一目了然,如有需要,歡迎掃描下方二維碼,發送關鍵詞【個人資訊】到「iLaw合規」公衆号領取壓縮包完整版!