作者:蒋虹
单位:汇业律师事务所
编者按
随着大数据技术与信息化社会发展,个人信息与隐私的保护问题频繁出现在公众视野,成为社会热点。由于 “隐私”与“个人信息”二者的范围有重合,人们常将“个人信息”与“隐私”混为一谈。“个人信息”与“隐私”是同一个概念吗?个人信息和隐私存在什么区别?中美对于二者的保护有何差异?对于个人信息的保护与处理如何进行?本文对前述问题进行了梳理。
✨温馨提示:
文末附「中美欧个人信息保护法比较报告」(近80页)&《个人信息保护&出境法规政策大全》(最新版),全面且系统,如有需要,可前往「iLaw合规」公众号自行获取!
一 基础梳理
个人信息:以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。
隐私:私人生活安宁以及不愿为他人知晓的私密空间、私密活动、私密信息。
《中华人民共和国民法典》(下称《民法典》)第一编“总则”第一百一十条规定:“自然人享有人格权。人格权是自然人在生活中尊严、名誉、肖像、隐私等方面所享有的权益。自然人的人格权不受侵犯。”这里明确了隐私权是一种人格权,应当受到法律保护。
《民法典》第一千零三十二条第一款规定:“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权”。
综上,隐私和个人信息有交集的地方,但是不完全重合。一般来说,从美国立法来看敏感个人信息(sensitive personal data)属于隐私。隐私中又有超越个人信息的部分,比如,有的人喜欢开快车,或者收集特定的物品是属于隐私但是不见得属于个人信息。
二 立法背景
01 美国的相关规定
美国由于是联邦政体,每个州有自己的独立的立法权和执法权。
在联邦层面有,《联邦儿童在线隐私保护法》Children's Online Privacy Protection Act (COPPA) 和《健康保险流通与问责法》Health Insurance Portability and Accountability Act (HIPAA)。
在州层面有,《加州消费者隐私法案》(the California Consumer Privacy Act ,CCPA) (以下简称加州法案),和the Virginia (弗吉尼亚州)消费者数据保护法案 (VCDPA),还有马上就要生效的Colorado科罗拉多州的消费者保护条例。美国的其他州也有自己的相关的法律,只是由于CCPA和VCDPA是规定相对比较全面而且比较严格的法律并且已经生效,大部分企业都是用2个州的法律来指导自己的合规。
02 中国的相关规定
中国相关规定主要体现在几部法律:《中华人民共和国网络安全法》(2017年)、《中华人民共和国民法典》(2020年)、《中华人民共和国个人信息保护法》(下称《个保法》)(2021年)、《数据安全法》(2021年)。
相关国家标准:GB/T 35273-2020《信息安全技术 个人信息安全规范》、GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》、GB/T 25070-2020《信息安全技术 个人信息去标识化规范》、GB/T 22667-2019《信息安全技术 信息系统风险评估规范》等等。
可见二者的差异比较大。在中国方面,中国的法规是原则性规范和定义,具体的规定和操作指南可在相关国家标准中找到。美国的立法就包含了很多具体的操作指南。
三 数据法的管辖
中国简单的可以归纳基本都可以归为大陆管辖。
《个保法》第三条:
在中华人民共和国境内处理自然人个人信息的活动,适用本法。在中华人民 共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的, 也适用本法: (一)以向境内自然人提供产品或者服务为 目的; (二)为分析、评估境内自然人的行为; (三)法律、行政法规规定的其他情形。
美国加州法案规定如下:
CCPA:1798.140.Definitions (d) “Business” means:
一个独资企业、合伙企业、有限责任公司、股份公司、协会或其他法人实体,其组织或运营是为了其股东或其他所有者的利润或财务利益,收集消费者个人信息,或者代表收集此类信息的实体,并单独或与他人共同确定处理消费者个人信息的目的和方式,该实体在加州开展业务,并满足以下一个或多个门槛:
1)公司年总收入超过$25,000,000;
2)每年购买、出售或共享100,000名或更多的加州居民的个人资料;或
3)至少有半年的年收入自售或共享加州居民的个人资料(此包包括所有数据经公司)。
这表明小型公司是不受法律规范的,但是对于企业的形式是不限制的,只要盈利并且满意一定的条件都要被其规范。
在实践中,遇到最常见的问题就是对于控股和合营的疑问。美国的CCPA说明了关于控股公司,合资方面的规定,非常具有参考性。(1798.140.d)
1)控制或受到业务控制的实体是指对另一个业务具有相当程度的影响或权威的组织。控制可以通过拥有或拥有投票权的超过50%的任何类别的投票证券的权益、以任何方式控制董事或行使类似职能的个人的选举的绝大多数,或对公司管理行使控制影响的权力来建立。"共同品牌"是指共享名称、服务标志或商标,普通消费者会理解两个或多个实体是共同拥有的。
2)一个由各自拥有至少40%权益的企业组成的合资企业或合伙企业。在本法律条款中,合资企业或合伙企业以及组成合资企业或合伙企业的每个企业都应单独视为一个独立的企业。但是,每个企业拥有的个人信息并向合资企业或合伙企业披露的信息不应与其他企业共享。
为了规避股东风险,国内常用的做法是几个企业投资成立一个新的企业。美国这条规定穿透了企业的面纱:企业内部股东如果都独立的企业,企业之间的数据不能互通。简短的概述下就是数据可以给父母,但是孩子之间不能互通。
大陆立法其实没有直接规定合营和控制的相关问题,我们可以参考美国的立法,综合考虑投票权或者直接控制权,或者股份包括直接和间接的情况。值得借鉴的是,美国立法提供了共享通用品牌的思路,其实实现了一种既没有人员也没有股份交叉的合营。
四 个人信息的定义
美国加州法案具体定义了数据主体为消费者,规范的是居住在加州的居民。无论以何种方式识别,包括任何唯一标识符(后文会详细阐述)。美国此立法突破了个人的限制,包含了家庭为单位的数据主体。
美国加州法案中,“个人信息”是指可识别、与之相关、可描述、合理地可与之关联,或者可以合理地直接或间接与特定消费者或家庭联系的信息。个人信息包括但不限于以下信息,如果它可识别、与之相关、可描述、合理地可与之关联,或者可以合理地直接或间接与特定消费者或家庭联系。
中国《个保法》第四条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
在中华人民共和国国家标准GB/T 35273—2020里面示范了个人信息:
个人信息就是可以识别到具体的个人或者联系其他的要素可以联系到具体的一个人的信息,随着数据法的实践和科技的日新月异,信息载体的形式呈现多样化。在早几年,cookie到底是否属于个人数据还存在争议,到今日cookie基本全球达成一致是属于个人数据的一类。
为了对定义进一步解读,美国加州法案通过列举了一些数据都属于个人数据,包括:
1) 诸如真实姓名、别名、邮政地址、唯一个人标识符、在线标识符、IP地址、电子邮件地址、帐户名、社会保障号、驾驶执照号、护照号等类似的标识符。
2)商业信息,包括个人财产记录、购买的产品或服务、获得的产品或服务、正在考虑的产品或服务,或其他购买或消费历史或趋势。
3)生物识别信息。
4)互联网或其他电子网络活动信息,包括但不限于浏览历史、搜索历史以及消费者与互联网网站应用程序或广告的互动信息,等等。
对于“历史搜索记录”在中国早几年的司法案例中也不认可为个人数据,美国立法明确了此为个人数据。
在个人数据中,一个人的种族、信仰、心理和身体的健康诊断、性取向、公民的身份、移民状况、生物数据、孩子的数据、包括精确的地址位置信息都属于个人敏感数据。我们可以把个人敏感数据认为是个人数据中的重要数据,或者隐私性更强的数据,立法对于此类数据的保护要求更加严苛。
由于智能汽车的崛起,各国立法意识到位置轨迹也成为了个人数据,通常称之为“地理位置数据”。因为位置轨迹可以轻易的揭示一个人的喜好:学校,家庭,工作的具体位置,甚至是性取向。单独看定义,位置轨迹是不可以定位到具体的人,如果结合其他因素是其实可以的。比如时间,比如车辆信息等就可以定位到一个具体的人,符合个人数据的定义。
可以看出美国对个人数据的解释具有扩张性,比如浏览历史、搜索历史、正在考虑的产品或服务,或其他购买或消费历史或趋势都成为了个人数据。这类数据的特点是不借助或者结合其他的特征,以上数据并没有追溯到具体的人。
个人信息是不包括合法公开的信息,但是如果公开的信息是通过违法途径获得的是不属于合法公司的信息,不可使用。
假名化和聚合后的数据同样是不被保护。所以数据经过处理或者销售的就是一个聚合的数据,可以不适用相关的数据保护法规。
在对个人数据的理解中,美国立法还有个特别明显的扩张性解释:
1.Professional or employment-related information"(专业或与就业相关的信息)是指与个人的职业、工作或雇佣有关的信息。这可能包括,但不限于:
- 职位或职务名称:个人在公司或组织中担任的职位。
- 工作经历:个人过去的工作、实习或志愿者经历。
- 行业或专业领域:个人从事的行业或专业领域,例如金融、医疗、教育等。
- 教育背景:个人所获得的学位、证书或其他教育资格。
- 技能和专长:个人在职业生涯中积累的技能、知识或专长。
- 薪资或薪酬信息:个人的工资、奖金或其他与工作相关的收入。
- 工作评估或表现评价:与个人在工作场所的表现或评价相关的信息。
- 雇佣状态:个人是全职、兼职、临时或独立承包商等。
- 工作许可或签证信息:个人在特定国家或地区工作所需的许可或签证。
这类信息可能被收集、存储和分析,以评估个人的职业能力、雇佣适用性或为了满足法规要求。
2)教育信息是指在《家庭教育权利和隐私法案》(Family Educational Rights and Privacy Act,20 U.S.C. Sec. 1232g;34 C.F.R. Part 99)中定义的非公开个人身份信息。这类信息可能包括学生的成绩、课程安排、考试成绩和其他教育记录,这些信息受到法律保护,不允许未经授权就公开披露。
同时美国立法对于家庭为单位的消费者也立法进行了规范,增加了一个叫做标识符的规定,这也是美国立法的标志性特点。
“唯一标识符”或“唯一个人标识符”的例子包括:
1)设备标识符:用于识别特定设备的代码或序列号。
2)IP地址(Internet Protocol地址):用于在互联网上识别设备的数字地址。
3)Cookie:存储在用户设备上的小型文本文件,通常用于跟踪用户在网站上的行为和偏好。
4)信标(beacon):通常用于追踪网站或应用程序中用户活动的一种技术。
5)像素标签(pixel tag):一种通常用于跟踪用户在网页或电子邮件中的行为的透明图像。
6)移动广告标识符:智能手机和其他移动设备上用于跟踪用户行为和广告活动的标识符。
7)客户编号:用于识别特定客户的唯一编号。
8)唯一化名(unique pseudonym)或用户别名:用于在网络服务中识别特定用户的名称或代码。
9)电话号码:用于识别个人的电话号码。
10)其他持久性或概率性标识符:可用于识别特定消费者或与消费者或家庭相关的设备的其他类型的标识符。
这些标识符可用于识别和跟踪消费者、家庭或设备在不同服务中的行为和活动。
五 关于处理
美国加州法案使用的描述方法是“收集”、“已收集”或“搜集”是指通过各种方式获取、租赁、组装、获取、接收或访问与消费者有关的任何个人信息的过程。这可能涉及直接从消费者那里获取信息,无论是主动(如通过表格、调查或访谈)还是被动(如通过cookies、设备标识符或IP地址),还可以间接地通过监测和分析消费者的行为(如浏览习惯、在线活动等)。
中国《个保法》第四条:
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、 传输、提供、公开、删除等。
如此看来,美国的规定更为具体。其实“处理”一般含义大家都能明白,关键是几个具体的行为在实践中比较模糊,主要是委托处理和合作处理,笔者认为对比行为模式可以参考欧盟的GDPR。
01 委托处理与共同处理
委托处理(Data Processing on Behalf)是指一家公司(数据控制者)将其数据处理任务交给另一家公司(数据处理者)来执行的过程。在这种情况下,数据处理者会按照数据控制者的指示处理个人数据,例如存储、整理、分析或删除这些数据。这样的安排通常基于双方签订的合同或其他法律协议。
委托处理的一个典型例子是,一家公司可能将客户数据交给第三方云服务提供商进行存储和管理。在这种情况下,云服务提供商作为数据处理者,需要确保处理数据的安全性和合规性。同时,数据控制者(委托方)有责任确保所选数据处理者符合相关的数据保护法规。
共同处理(Joint Processing)是指两个或多个实体(数据控制者)共同确定个人数据处理目的和手段的情况。这些实体在处理数据时需要共同承担责任,并确保遵守相关的数据保护法规。
在共同处理的情况下,各数据控制者之间通常需要签订一项协议,明确各自的角色、责任以及数据处理活动的分工。协议还应包括处理数据的目的、手段以及数据保护措施。此外,数据主体(即个人数据涉及的个人)应该被告知哪些实体是共同处理者,以及他们可以向哪个实体行使自己的数据保护权利。
共同处理的一个例子是,两家公司合作开展营销活动,并共享潜在客户的数据。在这种情况下,两家公司需要共同确定数据处理的目的和方式,并确保遵守适用的数据保护法规。
值得一提的是欧盟GDPR中提到了处理者(processor)和管理者/控制者(controller)的概念,美国立法也沿用这2个概念。中国的相关立法中只规定了处理者的权利和义务。管理者和处理者的概念其实对企业提供了一个较好的视角来管理企业。
02 数据管理者/控制者与处理者
数据管理者/控制者(Data Controller):数据管理者/控制者是负责确定数据处理目的和手段的个体或组织。他们对数据的收集、存储、使用和删除等方面具有决策权。数据管理者通常需要确保数据的安全性和合规性,以遵守相关的法律法规,指导并且管理数据处理者。
数据处理者(Data Processor):数据处理者是为数据管理者执行实际的数据处理工作的个体或组织。他们按照数据管理者的指示来处理数据,例如数据的收集、存储、分析和删除等。数据处理者通常不对数据处理的目的和手段做出决策,但需要遵循数据管理者的要求和法律法规来保护数据安全。
美国立法突出特点体现在其对数据管理者对消费者数据的处理上,立法态度是商家可以销售(sales)消费者的数据。当然立法要求数据处理者在网站显眼的地方一定要清晰的提供一个按键可以供数据主体要求数据处理者停止销售数据主题的数据。(DO NOT SALE MY PERSONAL DATA)。其实就是我们常说的opt out,退出的权利。
在这点上,弗吉尼亚州和加州的规定略有不同。前者含有三个分支:
(i) 定向广告 (Targeted Advertising)
(ii) 出售个人数据 (The sale of personal data)
(iii) 为产生与消费者相关的法律或类似重大影响的决策而进行的画像分析。
而加州只规定了2种。具体的法条为要求选择退出消费者个人信息的出售或共享 (Opt-out of the sale or sharing of the consumer's personal information)。实际上法条后续要求除了以上,还要有 “限制使用我的敏感个人信息 (Limit the use of my sensitive personal information)”同上面要求一样的按键设置。
何为出售,美国法规也给出了清晰的规定:"出售"、"销售"或"已售",指将消费者的个人信息通过口头、书面、电子或其他方式,由业务方向第三方出售、租赁、发布、披露、传播、提供、转让或以其他方式传递,以获取金钱或其他有价物作为报酬。
在实践中,在隐私条款中,我们一般都能清楚的知道要告诉数据主体,在收集信息时其具体的权利。在中国的GB/T35273-2020中,笔者认为最大的区别在于中国提到了我们如何委托处理、共享、转让、公开披露您的个人信息。在美国法规中,委托处理其实就是信息处理者processor,或者说信息的收集和processor分开了。并没有要求要披露,只是要求对于委托处理者controller应该审核双方的合同,保证委托处理者的数据合规性。但是对于分享,美国规定如下,如果存在分享的情形下,企业应该主动披露:
1)控制者处理的个人数据类别;
2)处理个人数据的目的;
3)消费者如何依据 § 59.1-577 行使他们的消费者权利,包括消费者如何就控制者关于消费者请求的决定提出申诉;
4)控制者与第三方分享的个人数据类别(如有);
5)控制者与之分享个人数据的第三方类别(如有)。
六 数据主体享有的权利
数据主体享有的权利主要包括:
1、获得通知自己的数据是否被处理和对自己数据的访问权
2、错误数据的纠正
3、要求删除数据的权利
4、可携权
5、退出消费者个人信息的出售或共享等的权利
对于第5项内容,在中国没有相关规定,可以看出美国立法态度是数据主体的数据是可以被销售的,甚至还立法规定可以提供一些金融上的便利来吸引消费者出售自己的数据。
美国立法提出:“跨场景行为广告”指基于从消费者在不同企业、独特品牌的网站、应用程序或服务中获取的消费者个人信息(而非消费者有意互动的企业、独特品牌的网站、应用程序或服务)来针对消费者投放广告。并且要求 “不出售/不共享我个人信息以进行跨场景行为广告”作为和第5项一样的权利。
七 回应数据主体要求的豁免权
数据主体享有的权利其实已经说的很多,我们主要讨论一下豁免的情况。
如果消费者的请求明显没有根据或过分,尤其是因为其重复性质,企业可以选择收取合理费用(考虑到提供信息或沟通或采取请求行动的行政成本),或者拒绝采取行动并告知消费者拒绝请求的原因。企业应承担证明任何可验证消费者请求明显没有根据或过分的责任。
在实践中,此类要求比较难定义。中国曾经有案例表明:企业基于数据量过于庞大拒绝了用户要求删除的要求,但是法院没有支持企业的说法。这个案例说明在实操中,技术是个很重要的衡量手段。法院会考量企业是否已经采用了市场上可能的手段来排序数据和检索数据。
八 救济方法
救济方法可以分为事前和事后。事前主要是法规对市场上的APP进行抽查。要求企业备案,获得资质。
美国立法首先强调的就是商家对消费者的告知义务体现在提供2个直接的途径来方便其实现权利。其要求为消费者提供两种或更多指定的提交方式。这些提交方式应至少包括一个免费电话号码。对于那些仅在线运营且与提供个人信息的消费者有直接关系的企业,只需提供一个用于提交请求的电子邮件地址。如果企业拥有一个互联网网站,应允许消费者通过网站提交请求。
事后的做法就是执法机构的执法了。
消费者可以提起民事诉讼,但是如果企业纠正了违规行为,可以得到一个豁免机会。具体条文如下:
根据本节规定,消费者在对企业提起个人或集体法定损害赔偿诉讼之前,应向企业提供30天书面通知,明确指出消费者声称已经或正在违反的本法规定。如果可以进行补救,那么如果企业在30天内实际解决了通知中提到的违规行为,并向消费者提供了明确的书面声明,表示违规行为已得到纠正,且不会再发生类似违规行为,那么就不得针对企业发起针对个人法定损害赔偿或集体法定损害赔偿的诉讼。
最佳的补救手段就是罚款了,美国显然罚得比欧盟轻多了。
任何违反本法规定的企业、服务提供商、承包商或其他人应承担最高不超过2,500美元($2,500)的行政罚款,对于故意违规行为或涉及企业、服务提供商、承包商或其他人实际知悉的16周岁以下消费者个人信息的违规行为,每项违规行为的罚款最高不超过7,500美元($7,500)。
中国对此则规定:
第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的, 并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
笔者在对比了美国、中国、欧盟的相关立法之后,发现每个国家的立法气质都尽显国家的历史和国家文化气势。美国尽显商业气质,中国和欧盟自然保守一些。
作者介绍
蒋虹律师主要的执业领域为网络、数据安全与新技术领域,主要解决互联网技术、数据安全等新技术领域纠纷及合规问题。蒋律师具有法学、金融学专业教育背景在SAP、SSA solution等软件公司有超过10年技术工作背景,熟知复杂IT架构、数据安全、互联网技术,同时有多年国外 (美国、印度、蒙古等) 工作经历、跨国团队合作经验丰富,能提供全英文法律服务。客户包含知名央企,海外投资企业,某行业头部企业等。
文末福利
为了便利读者朋友查阅参考,iLaw特别收集了「中美欧个人信息保护法比较报告」(近80页)&《个人信息保护&出境法规政策大全》,汇编中收录了个人信息保护&个人信息出境相关的法律、行政法规、部门规章、地方性法规以及规范文件、标准文件等近百份最新文件,含最新《个人信息出境标准合同备案指南(第一版)》、个人信息保护影响评估报告(官方模板)(出境版)等,提供个人信息合规指引,相关监管要求与要点一目了然,如有需要,欢迎扫描下方二维码,发送关键词【个人信息】到「iLaw合规」公众号领取压缩包完整版!