張雅婷

10月21日，備受矚目的《個人信息保護法（草案）》（以下簡稱“草案”）在中國人大網公佈，開始向社會徵求意見，意見反饋時間截至2020年11月19日。

草案吸納了國內個人信息保護的監管實踐，並借鑑“GDPR”等域外法規的經驗，注重與《民法典》《數據安全法》《電子商務法》等規範的協調，明確了個人信息的定義及處理原則，並對自動化決策、跨境流動等熱點話題進行回應。

當前網絡信息時代，個人信息與商業的聯繫程度愈發緊密。多位專家認爲，此次立法將直接服務個人用戶的企業影響深遠，金融、醫療、教育類的企業因涉及收集敏感個人信息也將面臨更嚴格的規制。

面對基於大數據進行用戶畫像等商業行爲，草案在自動化決策上對個人信息使用者提出了更高要求。個性化商業營銷及廣告投放、提供數據處理服務等業務均會受到影響。

對於日漸增多的跨境業務，草案被賦予了必要的域外適用效力，以保護中國境內個人的權益，也使外來跨境企業及中國出海企業需要面對多個法域的監管。

儘管《個人信息保護法》尚未最終確立，企業加強個人信息保護已是大勢，與大數據利用之間的關係如何平衡、如何適應法律合規經營將成爲關鍵。

在當前的徵求意見階段，多位專家表示，在個人信息的定義、自動化決策、個人信息使用者的各項規範以及監管體制方面，還有待進一步商榷。 

哪些企業將受影響？

此次立法目的，重點在於規制個人信息的處理行爲，對個人信息權益進行保護。

個人信息和個人信息的處理因此有了界定：個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理後的信息。個人信息的處理包括個人信息的採集、存儲、使用、加工、傳輸、提供、公開等活動。

此前尚未被明確定位的敏感個人信息，則表述爲一旦泄露或者非法使用，可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息，包括種族、民族、宗教信仰、個人生物特徵、醫療健康、金融賬戶、個人行蹤等信息。

“從草案來看，包括敏感個人信息的定義等，均充分借鑑了國外的一些經驗。”中國政法大學法律碩士學院院長、教授許身健認爲，草案借鑑了較多歐盟2018年5月實施的《通用數據保護條例》（以下簡稱“GDPR”）的相關規範。“GDPR”被業內認爲是目前全球主要經濟體中對數據信息保護管轄範圍最寬、立法新意最多、處罰最爲嚴厲的規範。

面對新規，當前經營何種業務的企業將受到重要影響？

“該法對直接服務C端用戶且需要處理用戶個人信息的企業影響更大，各類互聯網服務提供者，如電商平臺、社交平臺、直播平臺、遊戲服務商等。”浙江墾丁律師事務所合夥人王瓊飛介紹，這些企業可能會大規模收集用戶個人信息並進行精準化營銷等商業用途或利用大數據建模用於用戶管理等。

“從法律適用而言，受影響最大的企業類型是直接面向個人用戶的企業。從規則變化來看，金融、醫療、教育類的企業也會受到不小的影響，這類企業涉及收集敏感個人信息，將面對更嚴格的規則，需要考慮更多合規因素。”北京安理律師事務所高級合夥人王新銳向21世紀經濟報道記者分析，一些服務器在國外的跨境企業涉及個人信息的跨境提供，同樣需要考慮跨境方面的特殊規則。

在個人信息保護法草案徵求意見稿公佈的同一天，3家國有銀行的6家分支機構喫到了“侵害消費者個人信息”的罰單。因侵害消費者個人信息依法得到保護的權利，違反反洗錢管理規定，泄露客戶信息等違法違規行爲，這些機構被處罰金額超4000萬元。

“與數據聯繫緊密的互聯網新經濟相關企業會受到較大影響，但是受影響的企業不限於互聯網新經濟，傳統經濟中涉及到個人信息處理的一些企業也將會受到影響。”西南政法大學民商法學院副教授曹偉舉例，公交車的付費系統（包括手機支付、刷公交卡支付等）因涉及到對個人信息的採集，也將受到影響。

同時，立法規定，在公共場所安裝圖像採集、個人身份識別設備，應當爲維護公共安全所必需。上海交通大學數據法律研究中心執行主任何淵告訴21世紀經濟報道記者，“公共安全”一詞含義較廣，依照草案，佈局在各個場所的智能攝像頭如若使用都將徵得用戶同意，甚至與公安系統合作的相關科技企業都將受到影響。

簡言之，一切涉及到個人信息的採集、存儲、使用、加工、傳輸、提供、公開等活動的企業都會受到此法的影響，與個人信息處理的關係越密切的企業受到影響越大。

對於個人信息“不包括匿名化處理後的信息”的定義，何淵認爲還待商討，有必要對“匿名化”作擴大化和寬鬆化的解釋，強調“去標識化”也符合“不能識別特定個人且不能復原”的規定，絕對的“匿名化”從技術角度來看不可能實現，將會嚴重阻礙數據的流動及利用。

“醫療行業處理信息時，普遍是用的‘去標識化’而不是用‘匿名化’。”王新銳介紹，因爲醫療行業出於科研考慮對數據有一定要求，需要數據具有可追溯性、統一性、連續性，因此國內外的醫療數據基本是將相關數據去標識化處理，往往做不到匿名化。

哪些商業行爲將被規制？

對於上網痕跡被平臺收集分析推送廣告等商業行爲，草案規定，通過自動化決策方式進行商業營銷、信息推送，應當同時提供不針對個人特徵的選項。此外，對於可能對個人權益造成重大影響的自動化決策活動，個人有拒絕權。

王新銳表示，依據上述條例，常見的個性化商業營銷、個性化廣告投放、提供數據處理服務等業務，都會或多或少受到影響。

“這裏既包括廣告，也涉及‘大數據殺熟’。如何從個人信息中剝離出大數據進行合法使用，是草案的重要意義之一。”中國政法大學傳播法研究中心副主任朱巍此前告訴21世紀經濟報道記者，在使用網絡過程中，用戶的權益相對而言變得很小，而且被侵權的方式很隱晦，如果沒有一個原則性的法律去保障，企業可能將隨着科技的進一步發展而開啓“潘多拉魔盒”，對用戶造成不利影響。

如何處理用戶信息成爲關鍵，此前立法已明確，原則上需要獲得個人信息主體的同意。草案同意貫徹以“告知—同意”爲核心的處理規則，但強調了個人有權撤回同意、重要事項發生變更的應當重新取得個人同意、處理敏感個人信息應取得單獨同意或書面同意。

“採用大數據技術來分析特定用戶的消費習慣，從而進行差異化定價，應該被限制於用戶知情同意以及法律允許的範圍之內，保障消費者的知情權與選擇權。”北京大學電子商務法研究中心主任薛軍向21世紀經濟報道記者表示，不應對企業收集使用用戶信息簡單地貼上合法與否的標籤，而是需要回到數字時代的數據治理以及個人信息保護的源頭來判別。

以此次立法對於“用戶同意”規則的細化爲例，薛軍提到，法條涉及是否需要明示同意、是否需要單獨同意、具體場景採用何種方式、場景轉化時是否需要再次同意等，均對用戶擁有的權限進行了具體表述，豐富了信息主體受保護的權益。

與“GDPR”相比，草案中有關自動化決策的內容對個人信息處理者提出了更高的要求。王新銳表示，“GDPR”規定，在履行合同必要、法律授權要求且採取恰當措施、數據主體明示同意的三種情況下，個人沒有針對自動化決策的拒絕權。但草案未對個人針對自動化決策的拒絕權進行限制，相較於“GDPR”，個人權利範圍更廣，處理者的義務也相應更重。

對於個人信息處理者，草案要求“利用個人信息進行自動化決策，應當保證決策的透明度和處理結果的公平合理”，但未進一步解釋應如何履行。王新銳認爲，這種情況下，差異化的理解可能導致實踐中對該義務的履行程度不一。

針對“透明度”，“GDPR”明確規定控制者應明確告知數據主體使用了自動化決策（包括用戶畫像），此類情形下涉及的相關邏輯，以及此類處理對於數據主體的重要性和可能產生的後果，相較於草案更加細化。在確保“結果公平合理”方面，“GDPR”則通過數據主體的反對權、豁免情形下施與控制者特定義務（例如採取適當措施保障數據主體的權利、自由、正當利益）等制度設計來間接達到這一效果。

何淵表示，在涉及自動化決策的商業行爲中，相關數據是否被定義爲個人信息還有待商榷。“立法應列舉‘個人信息’是否包含一些易產生爭議的數據類型，如‘消費歷史記錄或消費趨勢’‘瀏覽記錄、搜索記錄，以及網站及應用程序等網絡活動信息’‘視覺、熱量、嗅覺’等。”何淵表示，明確之後則可按照重要數據、敏感數據及一般數據等對個人信息進行分級，並提供不同程度的相應保護。 

跨境企業將面臨多法域規則

當前，數據安全也成爲國家安全的一部分，成爲國際競爭間的關鍵，草案借鑑有關國家和地區的做法，賦予了必要的域外適用效力，以充分保護中國境內個人的權益。

“草案可以視爲與國際接軌的一個延伸，美國、澳大利亞、新西蘭、新加坡等地均修改了個人信息保護法，因此我們如何完善、適用法律與國際接軌，也是個人信息保護法出臺的一個重要原因。”朱巍表示。

在此基礎上，將對於外來跨境企業及中國企業出海分別產生哪些影響？

“對於外來跨境企業而言，無論其是在中國境內處理個人信息，還是在境外向境內自然人提供服務，都被納入草案的適用範圍。”王新銳分析，這些企業首先面臨的是個人信息跨境的問題，需要選擇適當的跨境傳輸合法基礎。如果其未在中國境內處理個人信息，還應在境內設立專門機構或指定代表。

曹偉認爲，這意味着外來跨境企業的合規管理成本將增加，要對境內外進行個人信息處理的行爲均合規管理。如果數據處理行爲同時發生在歐盟境內，則將受到草案和歐盟“GDPR”的約束，合規管理將變得更加複雜。

同樣，對於出海的中國企業而言，如果在境內處理海外的個人信息，也會受到草案的相關規制。這種情況下，出海企業可能需要面臨不同的法域規則，有較大的合規負擔。

對跨境企業進行規制的另一面則是，個人信息保護法也成爲中國企業出海發展的強有力後盾，呼應了網絡信息時代對中國經濟保護的相關訴求。

例如，草案第43條規定，任何國家和地區在個人信息保護方面對中國採取歧視性的禁止、限制或者其他類似措施的，中國可以根據實際情況對該國家或者該地區採取相應措施。

如何平衡數字經濟發展與個人信息保護？

儘管草案還在審議階段，最終版可能在某些規則上有調整，但已極大程度上體現了國家對個人信息的立法保護趨勢。

“當前，以數據爲新生產要素的數字經濟蓬勃發展，數據的競爭已成爲國際競爭的重要領域，而個人信息數據是大數據的核心和基礎。”在立法的必要性上，官方介紹這是促進數字經濟健康發展的重要舉措，在保障個人信息權益的基礎上，促進信息數據依法合理有效利用。

個人信息保護與大數據利用之間的關係如何平衡成爲關鍵。企業此時應如何適應法律，在應用數據的基礎上保證自身行爲合規？

“作爲企業而言，隨着個人信息保護的立法從模糊變得越來越清晰，應將法律法規明確的個人信息保護義務落到實處，做到合法合規經營，尤其要避免企業因爲刑事和行政風險而陷入生存發展的危機，甚至面臨刑事處罰。”王瓊飛認爲，對於法律沒有明確賦予企業的義務，企業可以根據自身發展需求爭取合理的空間，不應當過於縛手縛腳。例如，此次立法並沒有照搬“GDPR”規定可攜帶權，便是結合數字經濟發展實際情況的考量。

王新銳建議，在個人信息保護法最終出臺前，企業應提前開展合規性審查。具體而言，應梳理、識別企業中涉及個人信息處理的各類業務類型；針對涉及個人信息處理的業務類型，從信息收集、使用、加工、存儲、傳輸、提供等各個環節進行排查，例如，個人信息處理活動是否有合法性基礎、處理活動是否符合個人的通常預期、是否涉及個人信息跨境提供、是否涉及事前風險評估等；針對審查中發現的問題，儘快制定相應的改正措施，降低合規風險。

“企業進行合規管理時，應當堅持‘非脫敏信息授權使用，已脫敏信息自由使用，不確定時謹慎使用’的原則。”曹偉表示，除非公務部門因必要之使用外，對非脫敏個人信息的使用應取得該個人信息指向的自然人授權；已經脫敏個人信息的使用無需授權，可以自由使用；在無法確定該個人信息是否已經脫敏時，應當採取謹慎的原則，即最好不使用，以免個人信息權益遭受侵害。

曹偉強調，政府對於非脫敏個人信息的使用也應當取得授權，只是在極少數公務活動中，無法或來不及或者不宜取得授權，而使用該個人信息的使用爲必要時，才能不經授權而使用非脫敏信息。此時，公務部門能夠未經授權使用非脫敏個人信息的特殊情形、某些必須對該無法確定是否脫敏的個人信息使用的特殊情形均應由法律進一步規定。

對於草案中對個人信息使用者的各項規範及其可能帶來的影響，薛軍建議，應審慎評估其合理性及必要性，如對個人信息的行使範圍及方式、進行合規管理後增加的費用負擔、監管體制能否落實等問題均需要被納入立法考慮中。