引言
數字經濟方興未艾, 正在日益與互聯網、人工智能、云計算等行業深度融合發展。數據是數字經濟的重要支撐, 已成為除土地、勞動力、資本和技術外的第五類“生產要素”。數據保護與規范亟需法律從個人信息與隱私保護、企業數據權益、國家安全與監管等維度作出系統性的制度安排。作為數據保護制度的基礎法律, 《個人信息保護法》和《數據安全法》的重要性毋庸置疑。2021年4月29日, 《個人信息保護法(草案二次審議稿)》《數據安全法(草案二次審議稿)》公布。從企業使用數據和合規遵從的視角, 通力網安數據業務小組對審議稿作出系列解讀, 本文為第五篇《敏感個人信息的處理要點》。
相比于一般的個人信息, 敏感個人信息一旦遭到泄露或濫用, 可能對個人人身或財產安全造成更大的損害, 因此敏感個人信息亦應受到更加嚴格的保護。正因如此, 《個人信息保護法(草案二次審議稿)》(以下簡稱“《二審稿》”)設專節對于敏感個人信息及其處理規則作出了規定。本文試從《二審稿》的規定出發, 梳理現行法律法規下不同行業下敏感個人信息的處理要點, 并結合我們的執業經驗就敏感個人信息的處理提供實務見解與建議。
一
《二審稿》對敏感個人信息處理提出的要求
作為中國個人信息保護領域的首部綜合性法律, 基于現行個人信息保護要求和實踐中的監管經驗, 《二審稿》對于敏感個人信息的處理提出了更高的要求。依據《二審稿》第二章第二節以及第五章規定, 處理敏感個人信息應當同時滿足下列條件:
1) 具有“特定的目的”和“充分的必要性”;
2) 基于個人同意處理敏感個人信息時, 應當取得單獨同意;
3) 處理敏感個人信息的告知事項, 除一般個人信息相關告知事項以外, 還包括處理敏感個人信息的必要性以及對個人的影響; 以及
4) 對敏感個人信息處理活動進行事前的風險評估, 并妥善保管風險評估報告和處理情況記錄。
1. 充分的必要性
《民法典》和《網絡安全法》均對個人信息處理提出了“正當、合法、必要”的原則性要求。但是《民法典》和《網絡安全法》均未對處理敏感個人信息時的“充分的必要性”要求進行進一步解釋。從文義解釋的角度來看, “必要”原則指的是在處理個人信息時應限定于實現目的所需最少個人信息和對個人主體影響最低的方式。在這一方面, 2019年11月發布的《App違法違規收集使用個人信息行為認定方法》(“《違法違規認定方法》”)將“收集的個人信息類型或打開的可收集個人信息權限與現有業務功能無關”、“收集個人信息的頻度等超出業務功能實際需要”, “因用戶不同意收集非必要個人信息或打開非必要權限, 拒絕提供業務功能”, “要求用戶一次性同意打開多個可收集個人信息的權限, 用戶不同意則無法使用”等行為認定為“違反必要原則, 收集與其提供服務無關的信息”的違法行為。《違法違規認定方法》不僅僅從收集信息的類型這一層面進行“必要性”的認定, 還從處理頻率、收集方式等層面考慮, 意味著除了收集個人信息的范圍之外, “必要”原則亦對個人信息的處理行為進行限制。2021年5月1日生效的《常見類型移動互聯網應用程序必要個人信息范圍規定》(以下簡稱“《必要個人信息規定》”)則進一步規定39類服務收集的“必要個人信息”的范圍, 同時《必要個人信息規定》亦對收集“非必要個人信息”的行為作出限制, 不允許因用戶不同意提供非必要個人信息而拒絕用戶使用其基本功能服務。我們理解, 《必要個人信息規定》亦遵循了《違法違規認定方法》的精神, 從收集個人信息范圍和處理個人信息行為兩方面對“必要性”原則進行解釋。在實踐中, 監管部門亦從“范圍”和“行為”兩方面進行考察, 例如上海市通信管理局在2021年2月25日通報的一批侵害用戶權益典型案例中, 曾將“社交類App應用嵌入的SDK插件存在高頻率收集讀取手機狀態和身份等個人隱私信息行為, 收集個人信息的頻度超出業務功能實際需要”認定為“違反必要原則, 收集與其提供的服務無關的個人信息”的行為。
而關于如何理解“充分的必要性”以及其具體判斷方法, 歐洲數據保護專員公署(European Data Protection Supervisor, 簡稱“EDPS”)2019年發布的《關于評估限制隱私權和個人數據基本權利的措施必要性的指南》 可資借鑒[1]。依據上述指南的規定, 在判斷必要性時, 首先應說明待議的個人信息處理行為如何能實現處理目的, 再將待議方案與對個人信息主體權益侵害更小的替代方案進行比較, 說明侵害更小的替代方案不能同樣有效地實現個人信息處理目的, 方可證明必要性的存在。
綜上所述, 雖然現行中國法律對“充分的必要性”并未進行進一步的解釋, 但是結合已有的法律規定和監管實踐, 我們理解在判斷“充分的必要性”時不僅僅需要考慮收集個人信息的范圍的“必要性”, 處理個人信息行為的“必要性”亦需要進行考察。而《二審稿》提出處理敏感個人信息應基于“充分的必要性”, 則必然會對“必要”原則提出更高的要求, 我們期待監管部門在此方面給予進一步的回應。
2. 單獨同意
根據《二審稿》第30條要求, 基于個人同意處理敏感個人信息的, 個人信息處理者應當取得個人的單獨同意。也就是說, 在獲取個人信息主體同意時, 個人信息處理者應當首先區分一般個人信息與敏感個人信息, 并就敏感個人信息處理獲取個人單獨同意。
但令人遺憾的是, 《二審稿》仍然未能明確“單獨同意”實現的具體方式, 給組織和企業處理敏感個人信息帶來不確定性。根據我們的觀察, 為盡可能地實現“單獨同意”的要求, 企業往往會采取下列一種或者多種策略:
1) 個人信息處理者在其公示的個人信息保護政策中, 為敏感個人信息處理設置專門的章節;
2) 以彈窗方式單獨顯示敏感個人信息處理的目的、方式和范圍, 例如微信小程序多以彈窗方式向用戶告知收集位置信息并獲取用戶同意;
3) 為敏感個人信息準備單獨的協議, 例如阿里云為其人臉分析服務準備了單獨的《人臉識別服務協議》以向用戶說明處理目的、方式和范圍。
不過上述方式能否滿足處理敏感個人信息的“單獨同意”要求, 仍然有待主管部門給予進一步的解釋。
3. 額外的告知事項
《二審稿》第17條對處理個人信息的告知義務進行了原則性的規定, 而第31條在此基礎之上對“處理敏感個人信息”提出了額外的告知義務。依據第31條的要求, 在處理敏感個人信息時, 相關個人還應當知悉處理敏感個人信息的必要性以及對其個人的影響。
根據該等要求, 我們理解個人信息處理者應當先內部梳理處理敏感個人信息的范圍, 并核實和記錄處理個人敏感信息的“必要性”, 以及對個人主體的影響(例如是否會導致特定服務不能實現或者導致服務的質量下降), 最后在對外公示的《個人信息保護政策》中向相關用戶明示上述內容, 并獲取用戶的單獨同意。
二
其他法律法規對敏感個人信息處理提出的要求
除《二審稿》之外, 許多單行法律法規規定了各個行業和領域的敏感個人信息處理規則。常見的單行法律法規(并非全部)中對處理敏感個人信息提出的要求示例如下:
1. 網絡交易信息
2021年5月1日生效的《網絡交易監督管理辦法》(以下簡稱“《管理辦法》”)對于網絡交易信息的處理提出了特別的要求。
首先, 《管理辦法》第13條定義了網絡交易環境下的“敏感信息”, 包括(但不限于)個人生物特征、醫療健康、金融賬戶、個人行蹤信息。盡管《管理辦法》使用的措辭“敏感信息”不同于《二審稿》中的“敏感個人信息”, 上述四類個人信息不僅符合《二審稿》和《信息安全技術 – 個人信息安全規范 (GB/T 35273-2020)下》(以下簡稱“《個人信息安全規范》”)對于“敏感個人信息”和“個人敏感信息”的定義, 監管部門通常亦將其認定為敏感個人信息。
其次, 《管理辦法》明確了敏感信息獲取“單獨同意”的方式, 即網絡交易經營者收集、使用多種敏感信息, 應就每一種敏感信息逐項取得消費者同意。值得注意的是, 網絡交易語境下對敏感個人信息的“單獨同意”采取了較為嚴格的解釋, 值得網絡交易經營者重視。
2. 消費者金融信息
《中國人民銀行金融消費者權益保護實施辦法》(以下簡稱“《實施辦法》”)適用于金融機構處理消費者個人信息的情形。《實施辦法》將銀行和支付機構通過開展業務等途徑處理的消費者信息稱為消費者金融信息, 并明確列舉消費者金融信息包括個人身份信息、財產信息、賬戶信息、信用信息、金融交易信息等信息。
《實施辦法》關于告知的要求較《二審稿》的規定更為寬松。《實施辦法》允許銀行、支付機構通過格式條款而非單獨的彈窗向消費者告知收集消費者金融信息的目的、方式、內容和使用范圍, 但要求銀行、支付機構以顯著方式提示同意的可能后果。同時, 針對目前金融消費者知情權利沒有得到充分保護的現狀, 《實施辦法》亦對收集消費者金融信息的方式提出特殊要求, 例如“顯著告知”、“業務關聯”和“不得強制收集消費者金融信息”等要求。
值得注意的是, 《個人信息保護法(草案)(一審稿)》規定, 法律、行政法規規定處理敏感個人信息作出更嚴格限制的, 從其規定。《二審稿》將“嚴格”二字刪去, 將上一句改為“法律、行政法規對處理敏感個人信息規定作出其他限制的, 從其規定”。《二審稿》的修改并未明確敏感個人信息保護的一般法和特別法的法律適用規則。其他法律或行政法規就同一敏感個人信息處理事項(例如向個人告知的方式)作出比《二審稿》更為寬松的規定時, 究竟應適用《二審稿》的規定還是其他法律、行政法規的規定, 答案尚不明確。鑒于《實施辦法》關于告知的要求較《二審稿》的規定更為寬松, 并且從法律效力位階的角度來看《實施辦法》并不屬于法律或行政法規, 因此, 如果《個人信息保護法》中關于敏感個人信息處理的法律適用的規定按照《二審稿》第32條的現狀發布, 銀行、支付機構就消費者金融信息處理相關事項的告知方式是否仍然適用《實施辦法》下的規定, 仍有待主管部門給出進一步的解釋。
3. 人類遺傳資源信息
《人類遺傳資源管理條例》(以下簡稱“《管理條例》”)規范在中國境內進行的人類遺傳資源采集、保藏、利用和對外提供等活動。其中, “人類遺傳資源”包括“人類遺傳資源材料”和 “人類遺傳資源信息”。“人類遺傳資源信息”, 根據《管理條例》的規定, 指的是“所有利用含有人體遺傳物質的器官、組織、細胞等遺傳材料產生的信息”。未經匿名化處理的人類遺傳資源信息在一定的條件下能夠識別特定自然人, 或者在特定自然人已識別的情況下屬于與自然人有關的信息, 因此特定的人類遺傳資源信息也屬于“個人信息”的范疇。同時, 此類人類遺傳資源信息擁有“個人生物特征信息”的屬性, 因此能夠作為《二審稿》下的“敏感個人信息”受到法律保護。
《管理條例》對于我國人類遺傳資源信息的采集、保藏、利用、對外提供活動作出了嚴格規范, 包括事前審批制度、對外資的限制、符合倫理原則等。人類遺傳資源信息處理的主要要點如下:
1) 采集人類資源前, 應當全面、完整、真實、準確地向人類遺傳資源提供者告知采集目的、采集用途、采集人類遺傳資源對健康可能產生的影響, 取得人類遺傳資源提供者的書面同意, 保證提供者自愿參與和隨時無條件退出的權利;
2) 保藏我國人類遺傳資源, 僅當科技部批準后方能實施;
3) 利用我國人類遺傳資源開展國際合作科學研究, 僅當科技部批準后方能實施;
4) 向外方單位提供人類遺傳資源信息能影響我國公眾健康、國家安全和社會公共利益的, 應當事先通過科技部的安全審查。將人類遺傳資源信息向外方單位提供或開放使用, 應向科技部備案并提交信息備份;
5) 禁止外方單位在我國境內采集、保藏我國人類遺傳資源、向境外提供我國人類遺傳資源。
4. 個人生物識別信息
個人生物識別信息目前還沒有法律層面的明確定義。依據《個人信息安全規范》的規定, 常見的個人生物識別信息包括人臉識別信息、基因信息、指紋信息、聲紋信息等。《民法典》第1034條明確將生物識別信息列入個人信息的范疇, 而《個人信息安全規范》的附錄B亦將個人生物識別信息列為個人敏感信息。個人生物識別信息的唯一性使得此類信息一旦泄露無法通過修改的方式彌補, 將給個人造成不可逆轉和難以消除的侵害, 因此有必要專門針對個人生物識別信息進行規范。
《個人信息安全規范》對個人生物識別信息這類敏感個人信息在存儲、披露環節提出了特殊要求, 主要處理要點包括:
1) 個人生物識別信息與個人身份信息分開存儲;
2) 原則上不存儲原始的個人生物識別信息, 而應盡可能采取其他對個人權益侵害更小的替代措施, 例如僅存儲摘要信息、利用個人生物識別信息完成認證后刪除原始圖像;
3) 不得公開披露個人生物識別信息。
三
敏感個人信息處理規則對企業的影響
隨著數字化進程的加速, 越來越多的行業開始需要處理敏感個人信息。例如, 人臉信息等個人生物信息在當今社會被廣泛應用于識別和認證自然人的身份, 因此包括App運營者在內收集使用人臉信息的企業, 都屬于敏感個人信息的處理者。再如醫療健康領域, 醫療健康類敏感個人信息的處理則涉及醫療機構、醫藥和醫療器械企業、接受委托處理醫療健康信息的CRO等第三方機構、互聯網醫院、健康醫療信息服務平臺等多方主體。人臉識別、醫療健康、金融、網絡交易、人類遺傳資源等行業均屬于敏感個人信息處理活動受到強監管的重點行業。
敏感個人信息本身的特殊性決定了此類信息處理存在特殊限制, 因此敏感個人信息處理者更應謹慎處理敏感個人信息, 避免承擔更加嚴重的違法責任。例如, 2017年頒布的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》將非法獲取、出售、提供行蹤軌跡信息、通信內容、征信信息、財產信息等敏感個人信息的行為規定為侵犯公民個人信息罪的“嚴重情節”。
《二審稿》的出臺為敏感個人信息重點企業就如何合規處理敏感個人信息提出了若干啟示。我們建議大量處理敏感個人信息的企業提前采取下列合規措施, 以滿足將要適用的合規要求:
1) 識別并判斷企業日常業務中收集處理的敏感個人信息種類和數量, 明確合規義務范圍;
2) 重新審視敏感個人信息保護相關規則, 梳理適用于企業的敏感個人信息處理規則;
3) 根據適用的處理規則與合規要點, 審視現有的敏感個人信息合規實踐是否與法律要求的一致;
4) 對敏感個人信息處理活動在事前進行風險評估, 并妥善保管風險評估報告和處理情況記錄。
