- 引 言 -
在《安全法下的涉外數(shù)據(jù)保護和涉外個人信息保護(上)》一文中�����,筆者對《數(shù)據(jù)安全法》的相關(guān)要點已做解讀����。本文將繼續(xù)探討《個人信息保護法》的相關(guān)要點。
- 探 討 -
一���、《個人信息保護法》的簡要解讀和重要性
《個人信息保護法》的基本情況
《個人信息保護法》對個人信息權(quán)益保護�、信息處理者的義務(wù)以及主管機關(guān)的職權(quán)范圍進行了全面的體系化的規(guī)定�����。
在《網(wǎng)絡(luò)安全法》第41-45����、76條等已經(jīng)規(guī)定了個人信息的定義和部分保護;在《民法典》的人格權(quán)編的第六章中規(guī)定了隱私權(quán)和個人信息保護,并規(guī)定了對個人信息處理的原則“合法����、正當、必要”����;在《數(shù)據(jù)安全法》也涉及個人信息的少量具體保護制度����。
所述各部法律相結(jié)合,切實保護個人信息權(quán)益����,并明確了經(jīng)營者行為的合法性邊界。
個人信息主要指所記錄的能夠識別自然人個人身份的各種信息�����。這里要進一步明確“信息”和“數(shù)據(jù)”的區(qū)別����,個人數(shù)據(jù)與個人信息不同,但存在轉(zhuǎn)化關(guān)系�����,個人信息被商業(yè)化后會轉(zhuǎn)化成商業(yè)數(shù)據(jù)[1]。
《個人信息保護法》出臺的重要性
個人信息保護是人類文明發(fā)展的一項重要成果��,并且其重要性被逐步體現(xiàn)��。
隨著技術(shù)發(fā)展���,個人信息可容易地利用人臉識別等技術(shù)獲得����,確實有安全隱患���,并且如果這些信息被境外掌握��,可能相應(yīng)的犯罪率會攀升��,并且懲罰犯罪的難度會加大�。
下面給出兩個案例進行說明���。
① 在2019年的人臉識別第一案中����,個人向野生動物世界購買年卡,被要求留存了個人身份信息�����、照片和指紋����,后野生動物世界要將入園方式由指紋識別變更為人臉識別,引發(fā)糾紛�。
二審法院認定,生物識別信息作為敏感的個人信息���,具備較強的人格屬性,如果被泄露或者非法使用��,則可能導(dǎo)致個人受到歧視����,甚或引起人身、財產(chǎn)安全����,應(yīng)嚴格保護。
② 特別值得注意的是����,在2016年微軟因被要求獲取個人信息起訴美國政府�,聲稱根據(jù)憲法在政府要求獲取用戶個人資料時�����,要保證用戶的知情權(quán)�����,因此其不能為政府獲取私人資料的要求保密���。
最后���,法院判決微軟勝訴,美國政府不能強迫微軟提交存儲在海外服務(wù)器上的客戶郵件��。這對于個人信息的處理提出了更高要求����。
二、《數(shù)據(jù)安全法》與《個人信息保護法》的側(cè)重點區(qū)別
相對于《數(shù)據(jù)安全法》��,《個人信息保護法》主要關(guān)注數(shù)據(jù)微觀層面的安全�。
《數(shù)據(jù)安全法》不僅重視規(guī)范數(shù)據(jù)安全��,同時注重數(shù)據(jù)的開放與利用����,體現(xiàn)了依托數(shù)字經(jīng)濟的發(fā)展和創(chuàng)新�,服務(wù)于國家社會經(jīng)濟的發(fā)展的主旨。
在關(guān)于個人信息的管轄�、跨境提供、對等處置方面����,《個人信息保護法》與《數(shù)據(jù)安全法》有諸多相似之處,并結(jié)合個人信息的特點進行了細化規(guī)定�����,這里簡要說明如下�。
關(guān)于個人信息的管轄
與《數(shù)據(jù)安全法》類似�,在《個人信息保護法》第3條中明確了更為廣泛的境外司法管轄。
個人信息作為數(shù)據(jù)安全的重要保護對象�����,在境外處理我國境內(nèi)個人信息受《個人信息保護法》的管轄����。
此外����,在第53條規(guī)定要求境外的個人信息處理者應(yīng)在中國有聯(lián)絡(luò)機構(gòu)�����,并確保能夠被聯(lián)系到�。
關(guān)于我國的個人信息的跨境提供
在《個人信息保護法》中專門設(shè)置第三章來規(guī)定“個人信息跨境提供的規(guī)則”,足以看出對個人信息出境的重視����。這是因為,一旦個人信息出境���,則相關(guān)各方難以控制對個人信息的處理和使用�,所以要謹慎提供�。
在該第三章中��,從個人信息處理者����、關(guān)鍵信息基礎(chǔ)設(shè)施運營者��、中國主管機關(guān)的角度進行了規(guī)定�。
對于境內(nèi)的個人信息處理者而言
需要保證個人的知情權(quán)���、并取得個人同意��,在經(jīng)過安全評估���、個人信息保護認證、根據(jù)標準合同與境外接收方訂立合同之后�����,才能向境外提供個人信息�,并且需要保障境外接收方對個人信息的處理達到中國標準要求[2];而且����,在個人信息數(shù)量達到一定數(shù)量的情況下�����,必須將在境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)���。
對于關(guān)鍵信息基礎(chǔ)設(shè)施運營者而言
必須將在境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)�����,并且除非按規(guī)定不需要����,否則一般需要經(jīng)過安全評估后才能向境外提供。
對于中國的官方主管機關(guān)而言
其對接外國司法或者執(zhí)法機構(gòu)���,根據(jù)國際條約����、協(xié)定���,或者按照平等互惠原則來處理提供存儲于境內(nèi)個人信息的請求����。只有經(jīng)過主管機關(guān)批準之后�����,個人信息處理者才能向外國司法或者執(zhí)法機構(gòu)提供存儲于境內(nèi)的個人信息。
要注意的是����,對于個人信息跨境傳輸?shù)南拗剖菃蜗虻模瑐€人信息的流出被監(jiān)管���,個人信息的流入則沒有限制�。
關(guān)于個人信息保護方面的對等原則
在《個人信息保護法》第43條規(guī)定了我國在個人信息保護中遭遇外國或地區(qū)的歧視性禁止或限制時�,可以對等采取措施。對等原則是國際貿(mào)易中常用的原則����。
- 結(jié) 語 -
當今數(shù)字技術(shù)快速發(fā)展、全球互聯(lián)互通�����,《國家安全法》��、《民法》�����、《網(wǎng)絡(luò)安全法》�、《數(shù)據(jù)安全法》和《個人信息保護法》從不同的角度對涉及不同國家的數(shù)據(jù)流轉(zhuǎn)等做出規(guī)定����,從而維護國家和個人的安全�����。
在本文與上篇文章中�,筆者簡要說明了國外的相關(guān)規(guī)定和趨勢���,并且分析了數(shù)據(jù)或個人信息的涉外管轄����、跨境提供���、對等處置等內(nèi)容�����,有助于讀者更清楚地理解加強數(shù)據(jù)/個人信息保護的必要性�、以及當前從不同維度加強數(shù)據(jù)保護的趨勢��。
[1] 馮曉青���,數(shù)據(jù)財產(chǎn)化法律規(guī)制的理論闡釋與構(gòu)造����,《政法論叢》,2021年8月��。
[2] 參見《個人信息保護法》第38-39條�����。
