【姊妹篇】申军:《个人信息保护法》与GDPR专门议题的对照解读
作者简介:
申军,法国执业律师。主要业务领域为金融、公司、并购、跨境投资和国际商事合同; 熟稔数据保护、数字货币、区块链与数字资产、人工智能与算法、数字市场竞争、数字领域知识产权、碳交易与碳金融、数字劳动平台等新兴法律领域。工作语言为中文、法文和英文。里昂第三大学商事法博士、商事法硕士,墨尔本大学银行与金融法硕士,华东政法学院法学学士。
《个人信息保护法》(以下称为“个保法”) 即将于2021年11月1日正式施行。与适用已逾3载的欧盟《通用数据保护规章》(以下称为“GDPR”) 相比,个保法的具体内容有何特色及不同?笔者试着择取数个议题进行简析,以期抛砖引玉。特别声明的是,本文仅代表笔者的个人观点,不构成法律意见。
相关阅读
域外管辖
个保法的一般适用原则见诸第3条第1款,即在中华人民共和国境内处理自然人个人信息的活动,均适用该法。此规定并未指明相关处理活动行为人的身份,其可被解读为包括了该法第73条定义的个人信息处理者和第21条述及的处理者的受托人。此外,处理行为人是否应在中国境内设立也未予明确。值得阐明的是,依据前述第21条的规定,受托人可以进行有条件的处理转委托。由此可以合理推断的是,至少在理论上,由转委托的第三人在中国境内进行的处理活动,也或可适用个保法。
个保法的域外管辖效力则由该法第3条第2款框定, 共列有法定的3种情形。据此,如果处理中国境内自然人个人信息的活动发生在中国境外,但是相关处理活动的目的是向中国境内自然人提供产品或服务,或是相关处理活动的内容是评析中国境内自然人的行为 — 是为前2种法定情形之一,该法也将适用。
该法第53条则进一步规定, 上述第2款所规定的中国境外的个人信息处理者, 应在中国境内设立相关机构或指定相关代表, 并向中国履行个保职责的部门进行相关报备。这点无疑是给境外惯常处理中国境内自然人信息的个人或实体施加了合规要求,不论是在形式还是内容上。
前述第3条第2款还规定了第3种可以导致个保法域外适用的情况,即法律、行政法规规定的其他情形。此种笼统化的规定一方面体现了个保法的灵活性,另一方面也实质要求相关法定情形未来须被清晰地界定,以便有的放矢、有规可循。
GDPR治下的域外管辖效力则通过其第3条的相关规定予以展现,围绕的关键点是数据处理活动。具体来说,该条针对的相关处理分为2类。其一,在处理负责人(responsable du traitement)或分包人(sous-traitant)的欧盟机构的业务框架下进行的处理。前述行为人的英文称谓分别是控制人(controller)和处理人(processor)。其二,在欧盟境外设立的处理负责人或分包人对欧盟境内自然人个人数据在某些情形下进行的处理。
根据GDPR第3条第1款的规定,在处理负责人和分包人位于欧盟的机构 (establishment 或établissement) 之业务框架下进行的个人数据处理均要受制于GDPR,而处理是否实际发生在欧盟境内并不重要。因此该款旨在确定的是一项具体的处理活动、而非一个自然人或法人是否适用GDPR,相关处理也并不必然需由相关欧盟机构自身执行。不难看出,处理负责人和分包人是否处于欧盟境内、位于欧盟的机构的界定标准是什么、何为相关机构业务框架下的数据处理,均为实践中应予考虑的问题。
可资参考的是,根据欧盟司法法院于2015年10月1日做出的Weltimmo案的裁决(依据的是后被GDPR替代的1995年欧盟数据保护指令),在欧盟境外设立的处理负责人或分包人,如果藉由“稳定的安设”(stable arrangement或installation stable) 在欧盟一个成员国的领土上执行了真实有效的活动,其就会被视为在该国拥有一个“机构”,机构的法律形式(子公司或分公司)并非决定性因素。相较个保法规定的处理中国境内自然人信息的境外处理者的合规义务,“机构”在欧盟司法实践中的认定,更着重于业务开展的实质性,而个保法则似乎更注重境外处理者在中国境内所设机构的具象化。
GDPR第3条第2款则列明了欧盟境外设立的处理负责人或分包人处理欧盟境内自然人数据时应受约束的场合。具体而言,如果他们的处理活动涉及向欧盟境内自然人提供产品或服务(相涉个人或数据主体有无支付并不重要),或是跟踪(suivi或monitoring)他们在欧盟境内实施的行为,则GDPR同样适用之。
根据GDPR立法动机阐述(considérant或recital)第23条的说法,为了明确欧盟境外的处理负责人或分包人是否向身处欧盟的相涉个人提供产品或服务,应该确定他们是否明显地预想在一个或数个欧盟成员国向相涉个人提供服务,比如要看他们是否使用了欧盟一国或数国的语言或通用货币、以及运用相关语言订购产品或服务的可能性。其动机阐述第24条则指出,一项处理活动是否可被看成是对相涉个人的行为之“跟踪”,应该确定的是自然人是否在互联网上被跟踪,这包括个人数据处理技术或有的嗣后使用,这些技术含有针对自然人进行的“侧写”,尤其是为了分析或预测其偏好、行为和心态。
GDPR第3条第3款的域外管辖规定也不容忽视,值得解读。根据该款的规定,如果进行个人数据处理的处理负责人未在欧盟境内设立,但设立在依照国际公法某个欧盟成员国的法律得以适用之地,那么GDPR同样适用。与此说法相对应的一个例子是,根据国际公法,法国法适用于其驻外使领馆; 因此,如果法国驻华大使馆在北京招募当地雇员,那么该机构在作为处理负责人处理相关个人数据时,GDPR同样对之适用。此种情况下GDPR域外管辖的适用,或许可为未来个保法需要明确的域外适用的其他情形所借鉴。
值得指出的是,在笔者看来,个保法所规定的对中国境内发生的相关处理活动的适用原则,可能会与GDPR的域外适用产生潜在的法律冲突。事实上,依照个保法第3条,在中国境内进行的相关处理活动都适用个保法。基于此,在上例中,由于法国驻华大使馆的数据处理活动发生在中国境内,所以个保法在原则上应该予以适用,而根据GDPR的规定,前述处理活动属于其域外管辖的范围。从此例可以看出,个保法与GDPR在各自适用其管辖规定时确有法律冲突的可能。未来随着个保法的正式施行以及GDPR适用的进一步深化,中国与欧盟的相关机构大抵会就各自法律在对方领土内的顺畅适用进行协商,以求互惠互利。
由此可以概括的是,GDPR的域外适用与否和具体的数据处理活动关联紧密,并且可以适用于数据处理负责人及分包人,无论处理是否发生在欧盟境内,相关行为人是否设立于欧盟境外。
个保法则依照处理活动发生地加以区别,对在中国境内发生的处理即予适用,对某些法定情形下境外处理中国境内自然人信息的活动也具管辖效力,但对相关处理是由信息处理者或其受托人进行未予明确。个保法在框定境外处理中国境内自然人信息的活动时,还特别要求中国境外的个人信息处理者(对应着GDPR中涉及的处理负责人或分包人)在中国境内设立专门机构或指定代表,并依法向有关部门报送相关资料。
此点规定可被解读为是将相关境外处理者在中国境内的“稳定性安设”具体化,也是意图藉此加强对于前者的境内处理活动的管理。而GDPR域外管辖效力与国际公法原则的结合,也或会被个保法域外适用的其他法定情形之设定所借镜。
信息/数据可携带权
个保法第45条规定了个人信息可携带权。GDPR第20条则规定了数据可携带权(right to data portabilty 或droit à la portabilité des données)。值得指出的是,个人信息可携带权是在个保法三审草案时新增的权利,而相对于1995年欧盟数据保护指令而言,个人数据可携带权也是GDPR的新创权利之一,就像限制权、被遗忘权(删除权)一样。
依照个保法的规定,个人有权请求将个人信息转移至其指定的个人信息处理者。按照笔者的理解,此种说法体现了3个层面的权利。
其一,个人面向旧的个人信息处理者的请求权。该权为相关个人的诉权所保障,即后者的拒绝可能导致请求未果的前者依法向法院兴讼(个保法第50条)。
其二,个人针对拟转移信息的控制权,即个人可以自行决定及选择将哪些个人信息转移。这显示了个人至少可以掌控拟被移转的信息。从这个逻辑上讲,个保法至少没有明确排斥或禁止GDPR所倡导的信息自主决定权(此权尤为法国、德国两大欧盟核心成员国所认可)。而这种原则背后体现的是个人性质数据所彰显的人格权、而非财产权的法律特质。
其三,个人面向新的个人信息处理者的选择权。此权意味着个人有权摒弃其不满意的、认为低效的既有信息处理者,而选择新的处理者。此外,该条还规定,在符合国家网信部门规定条件的情况下,个人信息处理者负有提供转移信息的途径之义务。这要求相应的处理者必须具备一定程度的技术能力。不过,拟被转移的信息须以何种格式或形式展现,此条并未点明。实际上,鉴于个保法第45条第3条仅就个人信息可携带权的基本原则予以框定,具体内容还需未来的实施细则得以细化。
GDPR的数据可携带权则见诸其立法动机阐述第68项和正文第20条的规定。依据前述的动机阐述,该项权利可从2个层面加以理解: 一则,当其个人数据被自动化处理时,相涉个人有权从处理负责人那里取回其已提供给后者的个人数据; 数据归还的格式应是结构性的、常被使用的、可由机器阅读和具互操作性的,以确保传输无碍。二则,相涉个人有权将已取回的个人数据转移给另一个处理负责人。此外,在技术可行的情况下,相涉个人有权要求相关数据在初始与后续处理负责人之间被直接传输。
根据GDPR第20条的规定,个人数据可携带权的适用需要同时满足四个条件。
其一,所涉数据是指相涉个人提供的个人数据。其二,所涉数据的处理经由自动化方式执行,因此纸质文档不被涉及。其三,所涉数据的处理所依据的法律基础仅为同意或合约,即须基于相涉个人的事先合意或是其所缔结的合约之执行。其四,鉴于相关第三人的数据或会被涵括在要被传输的数据当中,该权的执行不能损害第三人的权利和自由。
不容忽视的是,GDPR中数据可携带权所涉的数据是指相涉个人提供的数据。这就是说,一方面,其是指由相涉个人积极和有意声称的数据,比如在创立一个线上账户时提供的数据; 另一方面,其是指当相涉个人使用一项服务或设备时,由其活动产生的数据,比如客户忠诚卡上登记的购买数据、电度表收集的初始数据、智能手表上记录的数据,等等,可被视为是其消极提供的个人性质数据。反之,从相涉个人提供的数据中衍生、计算或推论出的数据,比如用于广告目的之侧写,就不被数据可携带权的区域所涵盖。
不难发现,对单独的个人而言,GDPR的数据可携带权向其提供了一种取回部分个人数据的可能性。由于相关被归还的数据必须对应着一定的市场标准格式,比如像CSV和JSON这样的开放格式,相涉个人可以裕如地将之存储或移转,以便出于个人目的将之再行使用,这亦可在一定程度上降低处理负责人和相涉个人之间针对数据控制的不对称性。对诸多的个人而言,数据可携带权则可令他们携带个人数据从一个服务生态系统迁徙到另一个系统(具有或不具有竞争性),从而有利于一项公共利益使命的履行。
从欧盟立法者的角度来说,GDPR中所规定的数据可携带权,实则体现了个人所拥有的信息自主决定权,凸显了这是可令个人控制其自身数据的重要特权,是欧盟在数据保护方面秉持的个人性和非财产性逻辑之延展。从竞争法的角度而言,数据可携带权的意义也不言而喻,因为其在原则上可以改善作为接收方的处理负责人对相关数据的读取,减少个人用户从一个数字服务平台转向另一个平台的迁移成本,因而或可有利于竞争,继而可能将数据所能体现的经济与社会价值最大化。
另外值得一提的是,GDPR所规定的数据可携带权无疑受囿于技术因素。很明显,如果缺乏相关的技术支撑,可被携带的个人数据将不能在新旧处理负责人之间直接得以转移。这反映出他们之间的互操作性很重要: 如果各个处理负责人提供的服务都是标准性的,那么相涉个人对自身数据的输出或输入就会便捷很多; 否则即便数据在理论上可被携带,然在实际操作上不可践行,那么依然会阻碍数据的合法流通,会实质抬高相涉个人的数据迁移成本。基于GDPR体现的是个人法的立法主旨,而可互操作彰显的是经济法,因此其起草者颇为介意对于经济规制领域的公开介入,即介入到系统的互操作性的规制。
这也就不难理解了,GDPR立法动机阐述第68项一方面宣称,有必要鼓励处理负责人发展可互操作的格式,以使数据的可携带性成为可能; 另一方面又强调,相涉个人传送或是收到其个人数据的权利,不应创立针对处理负责人的适用或维持技术相符的处理系统之义务。
实际上,GDPR第20条第1款所规定的对于处理负责人归还数据时的格式要求,显示了GDPR仅仅要求系统间的简单的相符性。值得留意的是,此款与前述第68项的规定相比,格式要求中没有出现“具互操作性”(interoperable或interopérable)的字样。
若将GDPR的数据可携带权与个保法的个人信息可携带权对比,至少可以发现:
其一,相较于GDPR数据可携带权的实施条件之一是相关数据须是经过自动化处理的数据,个保法的条文并未显示可被转移的信息是经由何种方式处理过的信息。
其二,与GDPR的数据可携带权的有关规定相比,个保法的个人信息携带权没有规定个人有权要求从既有的个人信息处理者处取回其已提供的信息。实际上,GDPR的相关规定可被视为是相涉个人的读取权(droit d’accès 或right of access)的延伸,强调的是可携带的数据能被相涉个人再作使用。而个保法对此未做规定,可能是因为该法条文所论及的是信息,而非数据。
其三,GDPR中的处理负责人须在接获个人要求后,在法定的1至3个月期限内向相涉个人提供拟采取的措施信息,并须在知悉要求后1个月内向对方告知不采取行动的动机,告知后者可向监管当局投诉和考虑司法救济(GDPR第12条第3款与第4款)。个保法则规定,个人信息处理者应建立便捷的申请受理和处理机制,以呼应个人权利的行使,但对相关的具体期限未予明确。
此外,个保法中的相关处理者应予说明理由的前提是其拒绝了个人的权利请求,而拒绝意味着明示的不给予,这与GDPR中的不采取行动可由默示方式表达显然有所不同。未来随着其施行细则的出台,个保法的个人信息可携带权还会呈现怎样的特色,值得持续关注。
数据/信息跨境传输
个人数据/信息的跨境传输从法律角度而言堪称复杂。个保法第38条到第43条、GDPR第44至50条对此均有规定。值得说明的是,前者所指的跨境传输是指向中华人民共和国境外提供个人信息,后者所指的则是向欧盟及欧洲经济区(涵括欧盟27国、列支敦士登、挪威和冰岛)以外的第三国或国际组织进行的个人数据传输。
通观个保法第38条规定的向中国境外提供个人信息的条件,可以看出该法框定个人信息跨境传输的法律工具至少有三种,即安全评估、认证机制、标准合同。此外,法律、行政法规或者国家网信部门所规定的其他条件,也或会涉及新的法律工具或机制。
相较而言,GDPR第5章规定的多种法律工具包括了恰当性决定、标准合同条款、具约束力的公司/企业规则、行为典则、认证机制以及行政安排。事实上,GDPR治下的处理负责人和分包人可以进行个人性质数据的国际传输,条件是需要确保足够的、适当的数据保护水准,因此他们应该使用相应的法律工具以界定相关的传输。
这些工具的运用与否涉及到3种情形:
其一,如果跨境传输乃是基于欧盟委员会做出的恰当性决定(adequacy decision 或décision adéquante,GDPR第45条),即欧盟以外的第三国、该国的属地或该国一个或数个特定区域被认为提供了恰当水准的数据保护,那么从欧洲经济区向这些国家或属地传输数据,就和欧盟各国之间的数据传输相似。目前获得欧盟委员会认可的此类国家及领土包括安道尔、加拿大、以色列、巴拉圭、瑞士、新西兰、法罗群岛及曼岛等,日本和英国则被有保留地认可。
其二,如果缺乏恰当性决定,那么就需要提供适合性保障(appropriate safeguard或garanties appropriées,GDPR第46条第2款),条件是相涉个人拥有可抗辩的权利以及有效的法律救济手段。这些保障包括公共当局之间具约束性和可执行性的法律工具、经批准的具约束力的公司/企业规则、经批准的标准数据保护条款、经批准的行为典则以及经批准的认证机制。
其三,如果没有适合性保障,则可以利用例外适用的情形,在特殊的情势与条件下实现传输(GDPR第49条)
由此可以发现,个保法中的安全评估在GDPR中没有相对应的规定,堪称个保法的特色,值得阐释。安全评估有涉该法第40条规定的关键信息基础设施运营者、处理个人信息达到一定数量的个人信息处理者。前述运营者是《关键信息基础设施安全保护条例》所规定的关键信息设施的运营人,因此涉及的不仅仅是个人信息(与公共通信和信息服务、交通、金融等行业有关),还涉及到与国家安全有关的数据(比如国防科技工业领域)。故而相关数据不仅依法被要求存储在中国境内,对确需向国外提供的个人信息,还须预先通过国家网信部门组织的安全评估。此类规定若从法国法的视角来看,大抵应被涵盖在法国参议院2019年建议起草的有关数字主权的法案当中。
至于大规模个人信息处理者,依照《信息安全技术个人信息安全规范》第11条的规定,应该是指处理超过100万人的个人信息的处理者。根据个保法第52条的规定,此类处理者应当指定个人信息保护负责人,后者堪比GDPR规定的英文版的data protection officer (DPO) 或法文版的délégué à la protection des données(DPD),即数据保护干员或数据保护代表。
此外,由于个保法第55条规定向境外提供个人信息属于事先进行影响评估的法定情形之一,因此该类处理者显然还要预先履行相应的评估。可以与此对照的是GDPR立法动机阐述第91条述及的大规模的数据处理运作,后者旨在处理地区、国家、超国家层面的数量可观的个人性质数据; 相关数据可能影响数量众多的相涉个人,可能产生高昂的风险,因此也须对之进行影响评估。
反之,GDPR所规定的行为典则(code of conduct或code de conduite) 则是个保法条文中未有论及的法律工具。该典则是GDPR治下新的合规工具之一,可被用于协调一个行业的跨境数据传输的实践,对所有遵循之的成员均具法律约束力。这类典则可由数据处理负责人或分包人的协会或代表机构撰写。
如果其只涉及在一个欧盟成员国的有限处理活动的规则,则应被该国的监管当局单独批准及公布; 如果其涉及到数个欧盟成员国的处理活动,则相关成员国的监管当局还需听取欧洲数据保护委员会(EDPB或CEPD)的意见,以与GDPR第63条规定的协调控制机制相符,EDPB其后再将相关意见提交给欧盟委员会,由后者宣布所涉典则在欧盟全境的适用。值得一提的是,2021年6月3日,法国国家信息技术与自由委员会(CNIL)批准了针对作为处理分包人的云基础设施服务供应商(Cloud infrastructure service providers) 的第一个欧洲行为典则。
除此之外,GDPR中所规定的具约束力的公司/企业规则(binding corporate rules或règles d'entreprise contraignantes,以下称为BCR)也是GDPR的特色之一。总体来说,BCR是指一个跨国公司或国际企业集团的内部企业规则,可以确保其内部的个人性质数据的传输达到足够的保护水平,不管该集团是否处于欧洲经济区。BCR具有法律约束力,须被相涉集团的所有实体、所有雇员所遵守; 适用之前必须得到有关数据保护当局的授权,且只是适用于从欧盟传输出去的数据。
虽然目前个保法对BCR没有任何规定,但考虑到中国数据企业的海外拓展前景,尤其是未来可能会有越来越多的相关企业在欧盟乃至全球布局,中国企业的国内总部与散布于全球各地的子公司、分公司、办事处之间的跨境个人数据传输可能会愈发频繁。因此,未来个保法在实施细则上可能需要考虑打造中国版的BCR,允许相关中国企业集团在其内部使用经由国家网信部门批准的此类规则,也藉此可在日后占据国际数据传输规则领域的一席之地。
BCR实则是GDPR所规定的标准合同条款(standard contractual clause, SCC或clauses contractuelles types, CCT)的替代选项。前述的标准合同条款由欧盟委员会制定,或由一国监管当局采用、但经由欧盟委员会批准。此类条款所对应的是个保法规定的涉及个人信息处理者与境外接收方的标准合同,后者仅限由中国国家网信部门制定。
与个保法标准合同只涉及个人信息处理者的使用相比(相关条文没有论及处理者的受托人),欧盟委员会的标准合同条款可供处理负责人及分包人使用,因此相应的版本也对相关情况加以区分。自欧盟司法法院于2020年7月16日做出有关欧美“隐私盾”无效的Schrems II裁决以来,欧盟委员会于2021年6月更新的标准合同条款涵盖了四种跨境传输的情势,分别是欧盟处理负责人和非欧盟处理负责人之间进行的数据传输、欧盟处理负责人向非欧盟分包人进行的数据传输、欧盟分包人向非欧盟处理负责人进行的数据传输、欧盟分包人与非欧盟分包人之间进行的数据传输。
值得一提的是,欧盟司法法院在上述裁决中指出,标准合同条款从总体来说可被一直用于向第三国传输数据,不管是向美国或一个其它的第三国。该法院亦强调,应由数据的出口者与进口者实际评估第三国的立法是否能够遵守欧盟法所要求的数据保护水准,遵守由标准合同条款提供的保障。如果相关水准未被遵守,企业应该采取补充性措施以兹确保。如果依然不能达致目标,那么企业必须搁置或终止个人数据的跨境传输。这就意味着,数据出口者应该考虑到适用于第三国数据进口者的立法,以确定标准合同条款是否可以产生完全的效力。
目前个保法对国家网信部门制定的标准合同的内容未作说明,加上该法针对的是个人信息处理者,因而可以预期的是,该合同拟规范的是中国法中个人信息处理者与诸如GDPR立法中处理负责人或分包人之间的权责关系。为了更好地适用数据跨境传输的国际情势,未来的个保法标准合同中,或许亦可考虑设定个人信息处理者分别向类似数据处理负责人或分包人等行为人跨境传输个人信息的情形。
除此之外,个保法与GDPR均设定了认证机制。前者所称的认证是指由中国国家网信部门认可的机构对个人信息处理者进行的个保认证,后者规定的是由欧盟各国监管当局认可的认证机构进行的认证。GDPR治下的认证意味着: 与产品、服务、流程或数据系统相连的个人数据处理已经依照一项参照标准被予评估; 相关标准由各国监管当局或欧洲数据保护委员会事先批准。
评估则由一个第三方认证人执行,后者本身也须被相关监管当局或依法指定的国家认证机构所认可。据此,意图跨境传输个人数据的处理负责人或分包人可以借此机制展示其能提供GDPR所要求的适合性保障。该机制也构成了处理负责人与分包人之间的增补性信心工具,因为后者可以藉此显示其可在特殊的数据处理活动中提供足够的保障。和行为典则一样,认证对适用此项机制的所有行为人均具法律约束力。
最后值得补充的是,由于欧盟委员会目前尚未对中国做出数据保护方面的“恰当性决定”,因此在可预见的未来,在既有的法律框架之下,有关个人信息/数据的中欧跨境传输可能将在很大程度上诉诸标准合同。由此看来,如何细化个保法标准合同的具体内容、细分个人信息处理者可能面临的情势、在专业、对等的基础上与GDPR的标准合同条款互通有无,从而有效促进中国及欧盟双边个人数据的跨境传输,无疑值得不断的深入探讨。
综上所述,对个保法与GDPR一些专门议题的比照解读,可以使得我们了解它们的专有特色,发现可以相互借鉴的地方。随着未来个保法的施行及相关细则的陆续出台,让我们一则期待个保法与GDPR之间的良性互动,二则期待它们能为促进个人数据保护与流通的全球规制各显其能。
推荐阅读
中国法律评论
我刊由中华人民共和国司法部主管、法律出版社有限公司主办。国家A类学术期刊,中文社科引文索引(CSSCI)来源期刊,人大复印报刊资料重要转载来源期刊。我刊秉持“思想之库府,策略之机枢”之理念,立足于大中华,聚焦中国社会的法治问题,检视法治缺失与冲突,阐释法律思想,弘扬法律精神,凝聚法律智慧,研拟治理策略,为建设法治中国服务,为提升法治效能服务,为繁荣法学服务。
《中国法律评论》唯一投稿邮箱:
chinalawreview@lawpress.com.cn
中法评微信公众号投稿邮箱:
stonetung@qq.com
刊号:CN10-1210/D.
订刊电话:010-83938198
订刊传真:010-83938216