- 引 言 -
在《安全法下的涉外數(shù)據(jù)保護(hù)和涉外個人信息保護(hù)(上)》一文中��,筆者對《數(shù)據(jù)安全法》的相關(guān)要點(diǎn)已做解讀����。本文將繼續(xù)探討《個人信息保護(hù)法》的相關(guān)要點(diǎn)。
- 探 討 -
一����、《個人信息保護(hù)法》的簡要解讀和重要性
《個人信息保護(hù)法》的基本情況
《個人信息保護(hù)法》對個人信息權(quán)益保護(hù)�、信息處理者的義務(wù)以及主管機(jī)關(guān)的職權(quán)范圍進(jìn)行了全面的體系化的規(guī)定�����。
在《網(wǎng)絡(luò)安全法》第41-45���、76條等已經(jīng)規(guī)定了個人信息的定義和部分保護(hù)��;在《民法典》的人格權(quán)編的第六章中規(guī)定了隱私權(quán)和個人信息保護(hù)���,并規(guī)定了對個人信息處理的原則“合法、正當(dāng)��、必要”���;在《數(shù)據(jù)安全法》也涉及個人信息的少量具體保護(hù)制度。
所述各部法律相結(jié)合�,切實(shí)保護(hù)個人信息權(quán)益,并明確了經(jīng)營者行為的合法性邊界���。
個人信息主要指所記錄的能夠識別自然人個人身份的各種信息����。這里要進(jìn)一步明確“信息”和“數(shù)據(jù)”的區(qū)別,個人數(shù)據(jù)與個人信息不同�,但存在轉(zhuǎn)化關(guān)系,個人信息被商業(yè)化后會轉(zhuǎn)化成商業(yè)數(shù)據(jù)[1]�����。
《個人信息保護(hù)法》出臺的重要性
個人信息保護(hù)是人類文明發(fā)展的一項(xiàng)重要成果���,并且其重要性被逐步體現(xiàn)���。
隨著技術(shù)發(fā)展,個人信息可容易地利用人臉識別等技術(shù)獲得��,確實(shí)有安全隱患�,并且如果這些信息被境外掌握,可能相應(yīng)的犯罪率會攀升��,并且懲罰犯罪的難度會加大����。
下面給出兩個案例進(jìn)行說明。
① 在2019年的人臉識別第一案中����,個人向野生動物世界購買年卡�,被要求留存了個人身份信息�����、照片和指紋�,后野生動物世界要將入園方式由指紋識別變更為人臉識別,引發(fā)糾紛�����。
二審法院認(rèn)定�,生物識別信息作為敏感的個人信息,具備較強(qiáng)的人格屬性�����,如果被泄露或者非法使用���,則可能導(dǎo)致個人受到歧視����,甚或引起人身��、財(cái)產(chǎn)安全���,應(yīng)嚴(yán)格保護(hù)���。
② 特別值得注意的是,在2016年微軟因被要求獲取個人信息起訴美國政府�����,聲稱根據(jù)憲法在政府要求獲取用戶個人資料時���,要保證用戶的知情權(quán)����,因此其不能為政府獲取私人資料的要求保密����。
最后,法院判決微軟勝訴����,美國政府不能強(qiáng)迫微軟提交存儲在海外服務(wù)器上的客戶郵件。這對于個人信息的處理提出了更高要求����。
二�����、《數(shù)據(jù)安全法》與《個人信息保護(hù)法》的側(cè)重點(diǎn)區(qū)別
相對于《數(shù)據(jù)安全法》��,《個人信息保護(hù)法》主要關(guān)注數(shù)據(jù)微觀層面的安全�。
《數(shù)據(jù)安全法》不僅重視規(guī)范數(shù)據(jù)安全�,同時注重?cái)?shù)據(jù)的開放與利用,體現(xiàn)了依托數(shù)字經(jīng)濟(jì)的發(fā)展和創(chuàng)新����,服務(wù)于國家社會經(jīng)濟(jì)的發(fā)展的主旨。
在關(guān)于個人信息的管轄����、跨境提供、對等處置方面����,《個人信息保護(hù)法》與《數(shù)據(jù)安全法》有諸多相似之處,并結(jié)合個人信息的特點(diǎn)進(jìn)行了細(xì)化規(guī)定����,這里簡要說明如下。
關(guān)于個人信息的管轄
與《數(shù)據(jù)安全法》類似,在《個人信息保護(hù)法》第3條中明確了更為廣泛的境外司法管轄�。
個人信息作為數(shù)據(jù)安全的重要保護(hù)對象��,在境外處理我國境內(nèi)個人信息受《個人信息保護(hù)法》的管轄��。
此外�,在第53條規(guī)定要求境外的個人信息處理者應(yīng)在中國有聯(lián)絡(luò)機(jī)構(gòu),并確保能夠被聯(lián)系到�。
關(guān)于我國的個人信息的跨境提供
在《個人信息保護(hù)法》中專門設(shè)置第三章來規(guī)定“個人信息跨境提供的規(guī)則”,足以看出對個人信息出境的重視��。這是因?yàn)?��,一旦個人信息出境�����,則相關(guān)各方難以控制對個人信息的處理和使用���,所以要謹(jǐn)慎提供。
在該第三章中��,從個人信息處理者����、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者��、中國主管機(jī)關(guān)的角度進(jìn)行了規(guī)定����。
對于境內(nèi)的個人信息處理者而言
需要保證個人的知情權(quán)�、并取得個人同意,在經(jīng)過安全評估�、個人信息保護(hù)認(rèn)證、根據(jù)標(biāo)準(zhǔn)合同與境外接收方訂立合同之后�����,才能向境外提供個人信息���,并且需要保障境外接收方對個人信息的處理達(dá)到中國標(biāo)準(zhǔn)要求[2]���;而且,在個人信息數(shù)量達(dá)到一定數(shù)量的情況下��,必須將在境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)����。
對于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者而言
必須將在境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi),并且除非按規(guī)定不需要,否則一般需要經(jīng)過安全評估后才能向境外提供�。
對于中國的官方主管機(jī)關(guān)而言
其對接外國司法或者執(zhí)法機(jī)構(gòu),根據(jù)國際條約����、協(xié)定��,或者按照平等互惠原則來處理提供存儲于境內(nèi)個人信息的請求��。只有經(jīng)過主管機(jī)關(guān)批準(zhǔn)之后��,個人信息處理者才能向外國司法或者執(zhí)法機(jī)構(gòu)提供存儲于境內(nèi)的個人信息��。
要注意的是��,對于個人信息跨境傳輸?shù)南拗剖菃蜗虻?��,個人信息的流出被監(jiān)管���,個人信息的流入則沒有限制。
關(guān)于個人信息保護(hù)方面的對等原則
在《個人信息保護(hù)法》第43條規(guī)定了我國在個人信息保護(hù)中遭遇外國或地區(qū)的歧視性禁止或限制時��,可以對等采取措施�。對等原則是國際貿(mào)易中常用的原則。
- 結(jié) 語 -
當(dāng)今數(shù)字技術(shù)快速發(fā)展、全球互聯(lián)互通��,《國家安全法》�����、《民法》��、《網(wǎng)絡(luò)安全法》�����、《數(shù)據(jù)安全法》和《個人信息保護(hù)法》從不同的角度對涉及不同國家的數(shù)據(jù)流轉(zhuǎn)等做出規(guī)定�����,從而維護(hù)國家和個人的安全����。
在本文與上篇文章中,筆者簡要說明了國外的相關(guān)規(guī)定和趨勢���,并且分析了數(shù)據(jù)或個人信息的涉外管轄���、跨境提供�����、對等處置等內(nèi)容����,有助于讀者更清楚地理解加強(qiáng)數(shù)據(jù)/個人信息保護(hù)的必要性����、以及當(dāng)前從不同維度加強(qiáng)數(shù)據(jù)保護(hù)的趨勢����。
[1] 馮曉青,數(shù)據(jù)財(cái)產(chǎn)化法律規(guī)制的理論闡釋與構(gòu)造�����,《政法論叢》���,2021年8月���。
[2] 參見《個人信息保護(hù)法》第38-39條。
