引言

2021年11月1日，萬眾矚目的《中華人民共和國個人信息保護法》（下稱“《個信法》”）終于C位出道，占據(jù)了我國個人信息保護領(lǐng)域?qū)ｉT立法的頭把交椅。面對《個信法》的正式生效，Apple（于2021 年10月27日更新了《Apple 隱私政策》[1]）、騰訊（于2021 年10月29日更新了《微信隱私保護指引》[2]）等平臺均已給出了答卷（見下圖），而你的答卷上交了嗎？你真的準備好了嗎？

上：《Apple 隱私政策》；下：《微信隱私保護指引》[3]

我們特此梳理互聯(lián)網(wǎng)平臺（僅針對作為個人信息處理者的情形，下稱“平臺”）從容應(yīng)對《個信法》的“七步”秘訣，幫助平臺為《個信法》交出合格的答卷。

一、你真的受《個信法》規(guī)制嗎？——《個信法》的法律適用

平臺在著急應(yīng)對《個信法》前，別忘記先行確定自身是否真的受《個信法》的規(guī)制，簡單而言，分三小點進行判斷：

第一點，看行為，即是否存在處理個人信息的行為。核心關(guān)鍵詞為“個人信息”與“處理”：其一，標的應(yīng)屬于《個信法》規(guī)定的“以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息”，其中匿名化處理后的信息非個人信息；其二，行為應(yīng)屬于《個信法》規(guī)定的“處理”行為，包括收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

第二點，看地域，即該行為的發(fā)生地，若屬于在我國境內(nèi)處理個人信息的活動，應(yīng)受《個信法》規(guī)制；若屬于在我國境外處理個人信息，只有在滿足下述情形下才受《個信法》管轄：個人信息的主體在為“境內(nèi)自然人”，同時，存在“以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的”“分析、評估境內(nèi)自然人的行為”或“法律、行政法規(guī)規(guī)定的其他情形”（下稱“三種情形”）中的任一情形。

第三點，看例外情形，《個信法》規(guī)定了兩種例外情形，其一，自然人因個人或者家庭事務(wù)處理個人信息的，不適用《個信法》；其二，法律對各級人民政府及其有關(guān)部門組織實施的統(tǒng)計、檔案管理活動中的個人信息處理有規(guī)定的，適用其規(guī)定。

綜上，可以得出，若同時滿足：(1)標的為“個人信息”，存在“處理”行為；(2)行為發(fā)在中國境內(nèi)或發(fā)生在境外，但對象為境內(nèi)自然人且存在三種情形中的任一情形；(3)不存在例外情形，就要受《個信法》的規(guī)制。

二、你真的知曉違規(guī)處理個人信息的罰則嗎？——5000萬或5%最高罰則

《個信法》一大顯著特點就是處罰嚴厲，若受《個信法》規(guī)制，建議平臺先行明晰違規(guī)成本，以為自身行為加上“枷鎖”?！秱€信法》項下的罰則呈現(xiàn)出“雙罰制”“兩級制”以及“處罰措施多維度”的特點，具體如下：

其一，采取“雙罰制”。針對違反《個信法》規(guī)定處理個人信息的，或未履行《個信法》規(guī)定個人信息保護義務(wù)的，除了針對單位進行處罰外，亦明確了責任人（直接負責的主管人員和其他直接責任人）應(yīng)承擔的行政責任；

其二，采取“兩級制”?！秱€信法》區(qū)分違規(guī)的“一般情形”與“情節(jié)嚴重”分別設(shè)置兩級處罰，其中，罰款最高可達5000萬元或上一年度營業(yè)額5%；

其三，“處罰措施多維度”。除罰款外，亦規(guī)定了責令改正，給予警告，沒收違法所得，責令暫?；蛘呓K止提供服務(wù)等以及針對負責人的“行業(yè)禁止令”等處罰措施，該等措施與罰款可為“并處”關(guān)系。

三、你真的享有處理個人信息的合法性基礎(chǔ)嗎？——處理個人信息的依據(jù)

平臺擁有海量的自然人用戶，處理個人信息，應(yīng)當具備《個信法》規(guī)定的合法性基礎(chǔ)。隨著《個信法》的生效，我國確立了以“告知—同意”為核心的個人信息處理系列規(guī)則：

其一，顯著告知，個人信息處理者在處理個人信息前，應(yīng)當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知有關(guān)個人信息處理者和信息處理的相關(guān)事項，通過制定個人信息處理規(guī)則的方式告知的，該處理規(guī)則應(yīng)當予以公開，并便于查閱和保存；

其二，取得同意，除法定情形（如為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需等情形）外，取得個人在充分知情的前提下的自愿同意。

其三，單獨同意，若涉及到向第三方個人信息處理者提供個人信息、公開個人信息、公共場所安裝圖像采集、個人身份識別設(shè)備，用于維護公共安全以外目的收集個人圖像、身份識別信息、處理敏感個人信息、向境外提供個人信息等“單獨同意”事項，則應(yīng)當取得個人的單獨同意；

其四，特殊同意，若涉及針對不滿十四周歲未成年人的個人信息處理，應(yīng)當取得該個人的單獨同意（該類信息屬于敏感個人信息）并取得未成年人的父母或者其他監(jiān)護人的同意。

平臺可根據(jù)自身處理的個人信息類別及處理情形，對應(yīng)采取上述措施取得處理個人信息的合法性基礎(chǔ)。

四、你真的知曉怎么合規(guī)處理個人信息嗎？——處理個人信息的一般原則

合規(guī)處理個人信息，單單獲得個人的同意，還遠遠不夠?！秱€信法》吸收GDPR等國際經(jīng)驗，并基于我國國情確立了處理個人信息的一般原則，包含：合法、正當、必要和誠信原則；目的明確、合理原則；最小必要原則；公開、透明原則；質(zhì)量原則；安全保護原則。個人信息處理者應(yīng)將上述原則貫穿于個人信息處理的全過程與各環(huán)節(jié)。以最小必要原則為例，落實該原則，分三點內(nèi)容：

其一，最小影響，處理個人信息應(yīng)當采取對個人權(quán)益影響最小的方式；

其二，最小范圍，收集個人信息，應(yīng)當限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息；

其三，最短時間，除法律、行政法規(guī)另有規(guī)定外，個人信息的保存期限應(yīng)當為實現(xiàn)處理目的所必要的最短時間。

除上述原則性內(nèi)容判斷方式外，針對該最小必要原則，可依據(jù)《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》（國信辦秘字〔2021〕14號）列舉的常見類型App予以對照，或可參考國家標準《信息安全技術(shù) 個人信息安全規(guī)范》（GB/T 35273—2020，下稱《國標》）中對收集個人信息的最小必要的釋明：“收集的個人信息的類型應(yīng)與實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)；直接關(guān)聯(lián)是指沒有該等信息的參與，產(chǎn)品或服務(wù)的功能無法實現(xiàn)；自動采集個人信息的頻率應(yīng)是實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最低頻率；間接獲取個人信息的數(shù)量應(yīng)是實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最少數(shù)量?！庇枰耘袛?，以確保處理個人信息符合該原則。

五、你真的依法保障了個人的法定權(quán)益嗎？——個人信息主體的權(quán)利

平臺在處理個人信息過程中，除應(yīng)注意自身的處理行為外，更應(yīng)注意保障個人信息主體的法定權(quán)益，建立便捷的個人行使權(quán)利的申請受理和處理機制。

個人信息主體所享有的法定權(quán)利包括知情決定權(quán)、查閱復(fù)制權(quán)、可攜帶權(quán)、更正補充權(quán)、刪除權(quán)、請求解釋說明權(quán)、逝者近親屬權(quán)利、拒絕自動化決策權(quán)等，以社會廣泛關(guān)注的自動化決策為例，《個信法》生效后，平臺利用個人信息進行自動化決策，應(yīng)注意下述要點：

其一，禁止“大數(shù)據(jù)殺熟”，應(yīng)當保證決策的透明度和結(jié)果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇；

其二，提供備選或便捷的拒絕方式，通過自動化決策方式向個人進行信息推送、商業(yè)營銷，應(yīng)當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。其中，不針對個人特征的選項，根據(jù)《國標》第7.5條第b)項注釋，基于個人信息主體所選擇的特定地理位置進行展示、搜索結(jié)果排序，且不因個人信息主體身份不同展示不一樣的內(nèi)容和搜索結(jié)果排序，則屬于不針對其個人特征的選項；

其三，拒絕自動化決策權(quán)，若作出對個人權(quán)益有重大影響的決定的（針對對個人權(quán)益有重大影響的決定，《國標》列舉了如下情形：自動決定個人征信及貸款額度，或用于面試人員的自動化篩選等），個人有權(quán)要求個人信息處理者予以說明，并有權(quán)拒絕個人信息處理者僅通過自動化決策的方式作出決定；

其四，履行評估義務(wù)，應(yīng)當事前進行個人信息保護影響評估，并對處理情況進行記錄。評估應(yīng)當包括下列內(nèi)容：(1)個人信息的處理目的、處理方式等是否合法、正當、必要；(2)對個人權(quán)益的影響及安全風(fēng)險；(3)所采取的保護措施是否合法、有效并與風(fēng)險程度相適應(yīng)。對應(yīng)的個人信息保護影響評估報告和處理情況記錄應(yīng)當至少保存三年。

六、你跨境提供了個人信息嗎？——跨境傳輸?shù)暮弦?guī)要點

若因業(yè)務(wù)等需要，確需向我國境外提供個人信息的，應(yīng)具備下列條件之一：

其一，通過安全評估：關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者（境內(nèi)儲存：應(yīng)當將在我國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)）確需向境外提供的，應(yīng)通過國家網(wǎng)信部門組織的安全評估；

其二，個人信息保護認證：按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證；

其三，訂立標準合同：按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)。

滿足前述任一條件跨境提供個人信息的，平臺應(yīng)當采取必要措施，保障境外接收方處理個人信息的活動達到《個信法》規(guī)定的個人信息保護標準。

七、你真的準備好自證清白了嗎？——舉證責任倒置的應(yīng)對

平臺處理個人信息，做到前六步，還不足為自身建立起“金鐘罩”。

《個信法》確立了個人信息處理侵權(quán)糾紛的舉證責任倒置原則（處理個人信息侵害個人信息權(quán)益造成損害，個人信息處理者不能證明自己沒有過錯的，應(yīng)當承擔損害賠償?shù)惹謾?quán)責任）。這就倒逼平臺來留存對應(yīng)能證明自身沒有過錯的證據(jù)，對此，平臺應(yīng)該如何自證清白？

我們團隊根據(jù)既往的個人信息保護合規(guī)的項目經(jīng)驗，提煉上述個人信息處理者的法定義務(wù)，總結(jié)出“MACTOP”合規(guī)“武器”，幫助平臺進行“自證清白”：

（1） M：即“Management”，平臺需要建立與個人信息保護相關(guān)的內(nèi)部管理制度和管理規(guī)程，落實個人信息保護負責人崗位設(shè)置，申請獲得ISO27001信息安全管理體系認證、網(wǎng)絡(luò)安全等級保護等資質(zhì)，從系統(tǒng)資質(zhì)、人員崗位設(shè)置及管理細則等方面“自外而內(nèi)”管理職責和要求；

（2） A：即“Authorization” & “Assessment”，其一，平臺需要合理確定個人信息處理的操作權(quán)限，根據(jù)業(yè)務(wù)流、個人信息流，授權(quán)不同部門、人員進行相應(yīng)的處理；其二，平臺需要依法定期進行合規(guī)審計，并依法履行個人信息保護影響評估義務(wù)，予以記錄與流痕；

（3） C：即“Category”，平臺需要對個人信息進行分類管理，根據(jù)不同的類別賦予不同的數(shù)據(jù)保護工具。如區(qū)分一般個人信息、敏感個人信息等類別給予不同維度的保護層級；

（4） T：即“Technology”，平臺需要采取相應(yīng)的加密、去標識化等安全技術(shù)措施，來保護經(jīng)分類和授權(quán)處理的個人信息；

（5） O：即“Organization”，平臺需要定期對從業(yè)人員進行安全教育和培訓(xùn)。如通過簽署保密協(xié)議、進行背景調(diào)查、定期安全教育、定期培訓(xùn)等方式，增強平臺從業(yè)人員對于個人信息保護的合規(guī)意識，亦可以進一步明確內(nèi)部涉及個人信息處理不同崗位的職責和處罰機制；

（6） P：即“Plan”，平臺需要建立個人信息安全事件應(yīng)急預(yù)案并定期組織相關(guān)人員進行演練，履行個人信息泄露通知、補救等各項義務(wù)與流程，明確各主體責任。

除通過上述“MACTOP”建立合規(guī)體系外，若屬于大型網(wǎng)絡(luò)平臺（即重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者），還應(yīng) (a)建立健全個人信息保護合規(guī)制度體系，成立主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督；(b)制定平臺規(guī)則，明確平臺內(nèi)產(chǎn)品或者服務(wù)提供者處理個人信息的規(guī)范和保護個人信息的義務(wù)；(c)對嚴重違反法律、行政法規(guī)處理個人信息的平臺內(nèi)的產(chǎn)品或者服務(wù)提供者，停止提供服務(wù)；(d)定期發(fā)布個人信息保護社會責任報告，接受社會監(jiān)督，從而得以“自證清白”。

結(jié)語

良好的信息保護是數(shù)據(jù)共享與數(shù)字資源最大化利用的基本前提。我們相信，通過前述“七步”秘訣，互聯(lián)網(wǎng)平臺能明晰自身是否受《個信法》管轄、違規(guī)成本、處理個人信息的合法性基礎(chǔ)、合規(guī)方式、個人享有的法定權(quán)益、跨境傳輸?shù)暮弦?guī)要點以及在舉證責任倒置下的合規(guī)應(yīng)對，逐步踐行出符合《個信法》要求的合格答卷，讓廣大互聯(lián)網(wǎng)用戶重拾信心，激發(fā)網(wǎng)絡(luò)數(shù)據(jù)共享與利用的活力，從而營造出數(shù)字經(jīng)濟的良好生態(tài)環(huán)境，最終反作用于平臺的商業(yè)發(fā)展，由此循環(huán)往復(fù)，使得《個信法》真正為數(shù)字經(jīng)濟發(fā)展保駕護航！

[注]

[1]《Apple 隱私政策》：https://www.apple.com.cn/legal/privacy/szh/ ，2021 年 11月 1 日第一次訪問

[2]《微信隱私保護指引》：https://weixin.qq.com/cgi-bin/readtemplate?lang=zh_CN&t=weixin_agreement&s=privacy，2021 年 11月 1 日第一次訪問

[3]所涉截圖僅為本文舉例展示之用，不視為對所涉主體個人信息處理合規(guī)性的任何評價。

本文來自微信公眾號“靈工平臺評級”（ID:gh_b40dc7a3106c），作者：高亞平律師團隊，36氪經(jīng)授權(quán)發(fā)布。

關(guān)鍵詞： 互聯(lián)網(wǎng) 從容應(yīng)對 七步