作者:刘婷 胡冰心 金杜律师事务所合规业务部

引言

作为“数据合规,深圳先行”系列文章的第一篇,本文将从个人数据保护方面梳理《深圳经济特区数据条例》(下称“《条例》”)对企业提出的合规要求与相关的违规责任,以期协助企业在《条例》正式实施前做好相应的准备。

《条例》将于2022年1月1日起在深圳正式实施。作为数据领域第一部综合的地方性立法,《条例》分七章,共100条,内容涵盖了个人数据保护,公共数据共享、开放和利用,数据要素市场的培育和保障,数据安全及监督及法律责任等,不仅对现行《民法典》《网络安全法》《数据安全法》等上位法以及《个人信息保护法(草案二次审议稿)》(下称“《个人信息保护法》(二审稿)”)进行了更为细致的补充规定,还对数据权益、数据交易、数据要素市场体系建设等尚存在立法空白的领域进行了突破与先试。首先,《条例》第一次在立法层面对数据权益进行确认,明确自然人对个人数据享有人格权益,自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有财产权益。第二,在认可数据财产权益以及国家推动建立数据要素市场的大背景下,《条例》对数据交易制度进行了初次探索,明确规定合法处理形成的数据产品和服务可以依法交易,从而更好地实现数据要素价值。第三,鉴于目前数据领域维权困难的现状,《条例》以地方立法形式第一次提出数据领域的公益诉讼制度。

一、基本定义

(一)个人数据

《条例》第二条第(二)项首创性地使用了“个人数据”这一概念,即“载有可识别特定自然人信息的数据,不包括匿名化处理后的数据”,而非沿用此前《民法典》《网络安全法》《数据安全法》以及《个人信息保护法》(二审稿)中采用的“个人信息”这一说法。值得注意的是,“个人数据”这一概念与General Data Protection Regulation (GDPR)中“personal data”表述一致。

(二)数据处理

根据《条例》第二条第(六)项,数据处理是指 “数据的收集、存储、使用、加工、传输、提供、开放等活动”,与《个人信息保护法》(二审稿)中对于个人信息的处理的定义基本一致。

二、企业处理个人数据的合规义务

《条例》第二章对企业在收集、存储、使用、加工、传输、提供、开放个人数据时,提出了以下基本原则和要求:

(一)处理个人数据的基本原则

自《民法典》正式实施以来,合法、正当、必要已经成为了处理个人信息的三大基本原则。而《条例》第十条对处理个人数据的合法、正当、必要原则进行了进一步明确与扩充:

  • 处理个人数据的目的明确、合理,方式合法、正当;
  • 限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人数据处理(即“最小必要”);
  • 依法告知个人数据处理的种类、范围、目的、方式等,并依法征得同意;
  • 保证个人数据的准确性和必要的完整性,避免因个人数据不准确、不完整给当事人造成损害;
  • 确保个人数据安全,防止个人数据泄露、毁损、丢失、篡改和非法使用。

《条例》第十一条上述“最小必要”的具体内涵作了进一步阐明,列举了五种“实现处理目的所必要的最小范围,采取对个人权益影响最小的方式”的情形,为企业的个人数据处理活动提供了较为清晰的行为指引:

  • 处理个人数据的种类、范围应当与处理目的有直接关联,不处理该个人数据则处理目的无法实现;
  • 处理个人数据的数量应当为实现处理目的所必需的最少数量;
  • 自动处理个人数据的频率应当为实现处理目的所必需的最低频率;
  • 存储的期限应当为实现处理目的所必需的最短时间,超出存储期限的,应当对个人数据予以删除或者匿名化,法律、法规另有规定或者经自然人同意的除外;
  • 建立最小授权的访问控制策略,使被授权访问个人数据的人员仅能访问完成职责所需的最少个人数据,且仅具备完成职责所需的最少数据处理权限。

(二)处理个人数据的具体义务

《条例》第二章在前述处理个人数据基本原则的基础上,对进行个人数据处理活动的企业设置了以下具体的义务:

1. 不得拒绝提供核心功能与服务的义务:数据处理者不得以自然人不同意处理其个人数据为由,拒绝向其提供相关核心功能或者服务(第十二条)。

2. 明示告知义务

(1)处理个人数据应当在处理前以通俗易懂、明确具体、易获取的方式向自然人完整、真实、准确地告知下列事项:数据处理者的姓名或者名称以及联系方式;处理个人数据的种类和范围;处理个人数据的目的和方式;存储个人数据的期限;处理个人数据可能存在的安全风险以及对其个人数据采取的安全保护措施;自然人依法享有的相关权利以及行使权利的方式;法律、法规规定应当告知的其他事项(第十四条第一款)。

(2)处理敏感个人数据[1]的,应当前述规定,以更加显著的标识或者突出显示的形式告知处理敏感个人数据的必要性以及对自然人可能产生的影响(第十四条第二款)。

(3)数据处理者基于提升产品或者服务质量的目的,对自然人进行用户画像[2]的,应当向其明示用户画像的具体用途和主要规则。自然人可以拒绝数据处理者根据前述规定对其进行用户画像或者基于用户画像推荐个性化产品或者服务,数据处理者应当以易获取的方式向其提供拒绝的有效途径(第二十九条)。

3. 征得同意的义务及除外情形:

(1)数据处理者应当在处理个人数据前,征得自然人的同意,并在其同意范围内处理个人数据,但是法律、行政法规以及本条例另有规定的除外。前述应当征得同意的事项发生变更的,应当重新征得同意(第十六条)。

(2)处理敏感个人数据的,应当在处理前征得该自然人的明示同意(第十八条)。

(3)处理生物识别数据[3]的,应当在征得该自然人明示同意时,提供处理其他非生物识别数据的替代方案(第十九条)。

(4)处理无民事行为能力或者限制民事行为能力的成年人个人数据的,应当在处理前征得其监护人的明示同意(第二十条第二款)。

(5)征得同意的除外情形,即处理个人数据有以下情形之一的,可以在处理前不征得自然人同意:(一)处理自然人自行公开或者其他已经合法公开的个人数据,且符合该个人数据公开时的目的;(二)为了订立或者履行自然人作为一方当事人的合同所必需;(三)数据处理者因人力资源管理、商业秘密保护所必需,在合理范围内处理其员工个人数据;(四)公共管理和服务机构为了依法履行公共管理职责或者提供公共服务所必需;(五)新闻单位依法进行新闻报道所必需;(六)法律、行政法规规定的其他情形(第二十一条)。

4. 提供撤回同意的途径:处理个人数据应当采用易获取的方式提供自然人撤回其同意的途径,不得利用服务协议或者技术等手段对自然人撤回同意进行不合理限制或者附加不合理条件(第二十三条)。

5. 对处理未成年人个人数据的特别要求:

  • 处理未满十四周岁的未成年人个人数据的,按照处理敏感个人数据的有关规定执行,并应当在处理前征得其监护人的明示同意(第二十条第一款)。
  • 数据处理者不得基于用户画像向未满十四周岁的未成年人推荐个性化产品或者服务。但是,为了维护其合法权益且征得其监护人明示同意的除外(第三十条)。

6. 及时删除义务:数据处理者在以下情况下应当及时删除个人数据:法律、法规规定或者约定的存储期限届满;处理个人数据的目的已经实现或者处理个人数据对于处理目的已经不再必要;自然人撤回同意且要求删除个人数据;数据处理者违反法律、法规规定或者双方约定处理数据,自然人要求删除;法律、法规规定的其他情形。

7. 去标识化及匿名化义务:数据处理者向他人提供其处理的个人数据,应当对个人数据进行去标识化处理,使得被提供的个人数据在不借助其他数据的情况下无法识别特定自然人。法律、法规规定或者自然人与数据处理者约定应当匿名化的,数据处理者应当依照法律、法规规定或者双方约定进行匿名化处理(第二十六条)。

8. 构建投诉举报机制的义务:数据处理者应当建立自然人行使相关权利和投诉举报的处理机制,并以易获取的方式提供有效途径(第三十一条)。

三、违反处理个人数据合规义务的相关法律责任

目前《个人信息保护法》仍在制定过程中,为保持对违规处理个人数据处罚的统一性,避免与上位法规定不一致,《条例》第九十二条规定,违反本条例规定处理个人数据的,依照个人信息保护有关法律、法规规定处罚。

若根据现行《消费者权益保护法》、《网络安全法》以及目前《个人信息保护法》(二审稿)的内容,企业违规处理个人数据可能会导致以下法律责任:

(一)民事责任

    1. 《个人信息保护法》(二审稿)第六十八条:个人信息权益因个人信息处理活动受到侵害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
    2. 《消费者权益保护法》第五十条:经营者侵害消费者的人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的,应当停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失。

(二)行政处罚

违规行为 基础处罚 情节严重的处罚 其他 法律依据
违规处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的

Ÿ   责令改正,给予警告,没收违法所得;拒不改正的,并处100万元以下罚款

Ÿ   对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款

Ÿ   责令改正,没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照

Ÿ   对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款

记入信用档案,并予以公示 《个人信息保护法》(二审稿)第六十五条、第六十六条
侵害消费者个人信息依法得到保护的权利的

Ÿ   其他有关法律、法规对处罚机关和处罚方式有规定的,依照法律、法规的规定执行

Ÿ   法律、法规未作规定的,责令改正,可以根据情节单处或者并处警告、没收违法所得、处以违法所得1倍以上10倍以下的罚款,没有违法所得的,处以50万元以下的罚款

责令停业整顿、吊销营业执照 记入信用档案,向社会公布 《消费者权益保护法》第五十六条
网络产品、服务具有收集用户信息功能的,其提供者未能向用户明示并取得同意;涉及用户个人信息的,未能遵守《网络安全法》和有关法律、行政法规关于个人信息保护的规定

Ÿ   责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得1倍以上10倍以下罚款,没有违法所得的,处100万元以下罚款

Ÿ   对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款

并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照 / 《网络安全法》第六十四条
网络运营者收集、使用个人信息,未能遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。收集与其提供的服务无关的个人信息,违反法律、行政法规的规定和双方的约定收集、使用个人信息,未能依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
网络运营者泄露、篡改、毁损其收集的个人信息;未经被收集者同意,向他人提供个人信息(经过处理无法识别特定个人且不能复原的除外)。未能采取技术措施和其他必要措施,确保其收集的个人信息安全。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,未能立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
网络运营者未能采取措施按照个人信息主体的要求予以删除或者更正个人信息。
窃取或者以其他非法方式获取个人信息,非法出售或者非法向他人提供个人信息。 尚不构成犯罪的,由公安机关没收违法所得,并处违法所得1倍以上10倍以下罚款,没有违法所得的,处100万元以下罚款

(三)治安管理处罚

《个人信息保护法》(二审稿)第七十条规定,违规处理个人信息,构成违反治安管理行为的,依法给予治安管理处罚。

现行《治安管理处罚法》中并未对针对违反个人数据保护义务提供具体的处罚依据。根据我们对近三年涉及个人信息的典型处罚案例的调研(见下表),实践中主管部门进行处罚的主要是侵犯隐私以及涉嫌侵犯公民个人信息罪的行为,依据为第《治安管理处罚法》第四十二条:“有下列行为之一的,处五日以下拘留或者五百元以下罚款;情节较重的,处五日以上十日以下拘留,可以并处五百元以下罚款:……(六)偷窥、偷拍、窃听、散布他人隐私的。”

处罚决定书 处罚事由 处罚结果
祁公(刑)决字〔2021〕第0232号 2020年11份至2021年4月份,违法行为人于某某在祁阳县白水镇××××手机城利用自己工作之便,利用客户的手机号码和个人信息注册账号,然后将账号、验证码提供给他人从中获利。期间于某某非法获取、出售、向他人提供个人信息大约350条左右,从中获利3600元左右。 罚款500元
清公(长)行罚决字〔2020〕0980号 张x将栾xx的调查报告信息转到自己同事的14人微信群中,造成栾xx的个人信息泄露。 行政拘留7日
杭江公(凯)行罚决字〔2021〕01843号 2021年05月04日23时31分许,杭州市公安局江干区分局治安大队辅警孙某接受雷某某私人请求,在杭州市公安局江干区分局治安大队情报研判中心使用民警数字证书违规查询他人个人信息,并将所查内容发送给雷某某,造成他人隐私泄露。 行政拘留3日
台公(黄)(城东)行罚决字〔2020〕00261号 2020年2月17日下午,王某在黄岩东城街道方山路63弄4幢2单元101室家中,在微信上收到一份名为“(核查通知第64号附件1)2.15买鱼名单”的文件,后其将该文件转发在其与朋友王某某、江某三个人组成的微信群中,造成名单内公民个人信息等隐私泄露。 行政拘留7日
杭公交治(刑)行罚决字〔2019〕00001号 2018年04月27日15时许,黄某在何某的要求下,联系俞某,俞某在运河水上派出所通过公安网电脑,私自查阅公民个人信息,并通过手机拍照、微信传送的方式将获得的公民个人信息传送给黄某。黄某再将非法获得公民个人信息,发布在微信朋友圈,并通过微信传给何奕,何奕以相同方式传给陈某。黄某从中获利人民币1000元,其中600元支付给俞某,200元退还给何某。黄某的行为构成散布他人隐私的违法行为。 行政拘留7日,并追缴违法所得人民币200元
西公(振)行罚决字〔2020〕0080号 2020年02月22日18时许,耿xx在xxxx小区x区微信群里转发他人个人信息。 罚款500元
迁公(城)行罚决字〔2020〕0655号 2020年1月初,纪xx在微信中发布含有何xx手机号码(xxxxxx)的朋友圈,泄露何xx个人信息,造成何xx手机号以及微信号被多人骚扰。 行政拘留8日,罚款400元
诸公(工)行罚决字〔2020〕01810号 2020年04月03日早上8时45分左右,翁某某从一微信群中看到关于“俞某语”的一些个人信息,其中包含年龄、性别、婚姻状况、职业、入院时间、行程轨迹等,翁某某在明知这些信息属于个人隐私的情况下,在未经“俞某语”的同意下,便将以上信息转发到自己“一家人”的微信群(群内成员11人),已对“俞某语”的个人隐私造成侵犯。 行政拘留3日
慈公(逍)行罚决字〔2020〕02727号 2018年2月至今,犯罪嫌疑人党某通过微信等方式多次从上家处查询他人信息,后向其下家出售开房记录、人员信息、财产信息等公民个人信息,从中获利。党某获取的信息经查证信息属实的行为有以下8项,党某收款总金额为4735.76,能认定贩卖的事实的金额人民币1100元,党政非法出售公民个人信息违法所得可以认定的金额,只有非法所得人民币1100元,不足5000元的刑事追诉标准,根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条之规定,违法所得不足五千元,不构成情节严重,亦无其他情节严重的事实存在,因此不构成侵犯公民个人信息罪。虽然党某的行为不构成侵犯公民个人信息罪,但仍构成侵犯公民隐私的治安违法行为,且党某系在互联网上散布他人隐私,属于情节较重。 行政拘留10日
穗公云行罚决〔2018〕16278号 侵犯公民个人信息罪 行政拘留10日并处罚款500元

(四)刑事责任

违规处理个人数据,情节严重的可能涉嫌《刑法》第二百五十三条之一规定的侵犯公民个人信息罪,即违反国家有关规定,向他人出售或者提供公民个人信息(包括窃取或者以其他方法非法获取公民个人信息的),情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。

单位犯侵犯公民个人信息罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。

根据前述《刑法》二百五十三条之一的规定,“情节严重”是衡量侵犯个人信息的行为是否入罪的要件,而“情节特别严重”则是是否加重处罚的量刑情节。

根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条,侵犯公民个人信息罪规定的“情节严重”包括以下情形:(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;(七)违法所得五千元以上的;(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;(十)其他情节严重的情形。

第二百五十三条之一规定的“情节特别严重”包括以下情形:(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;(二)造成重大经济损失或者恶劣社会影响的;(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;(四)其他情节特别严重的情形。

(五)公益诉讼

现行《民事诉讼法》第五十五条为我国公益诉讼制度提供了基本的法律依据,规定“对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为,法律规定的机关和有关组织可以向人民法院提起诉讼。人民检察院在履行职责中发现破坏生态环境和资源保护、食品药品安全领域侵害众多消费者合法权益等损害社会公共利益的行为,在没有前款规定的机关和组织或者前款规定的机关和组织不提起诉讼的情况下,可以向人民法院提起诉讼。前款规定的机关或者组织提起诉讼的,人民检察院可以支持起诉。” 《消费者权益保护法》《环境保护法》《未成年人保护法》《安全生产法》 等实体法均设置了公益诉讼条款。

就个人信息及数据领域而言,由于实践中数据侵权具有较高的隐秘性,即便被侵权人察觉,鉴于取证难度,以及出于时间或经济成本的考量,往往难以进行维权。为缓解当前这种数据维权艰难的现状,《个人信息保护法》(二审稿)第六十九条便尝试对个人信息领域公益诉讼制度提供法律基础:“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼”。

而《条例》从地方立法的层面首次确立了数据领域的公益诉讼制度。《条例》第九十八条规定:“违反本条例规定处理数据,致使国家利益或者公共利益受到损害的,法律、法规规定的组织可以依法提起民事公益诉讼。法律、法规规定的组织提起民事公益诉讼,人民检察院认为有必要的,可以支持起诉。法律、法规规定的组织未提起民事公益诉讼的,人民检察院可以依法提起民事公益诉讼。人民检察院发现履行数据监督管理职责的部门违法行使职权或者不作为,致使国家利益或者公共利益受到损害的,应当向有关行政机关提出检察建议;行政机关不依法履行职责的,人民检察院可以依法提起行政公益诉讼。”

四、合规建议

基于以上对于处理个人数据的义务以及违规责任的梳理,我们对于企业如何合法、合规地处理个人数据提出以下建议:

(一)及时梳理、识别适用的合规义务,并定期进行更新

目前我国的个人数据保护立法和实践还处在初级阶段,顶层法律框架还在搭建中,而相关部门、地方根据所属领域、行业以及地区的实际需要,制定了适用于特定领域、行业、地域的法规、规章、标准、政策、指导性文件等。因此,对于企业而言,合法、合规地处理个人数据的首要前提便是及时梳理、识别适用于企业自身的合规义务。考虑到数据领域立法动态性较强,适用的立法文件及相关政策不断更新,对于企业的合规义务也会不断产生新的要求及调整,因此企业必须定期对已识别的义务及风险进行更新。

(二)制定和完善处理个人数据相关的内部规章制度

在识别出适用的合规义务后,企业应该根据公司的实际情况,结合相关法律法规的要求制订和完善企业内部处理个人数据相关的管理制度、操作规程、格式文本等,规范员工处理个人数据的行为,将处理个人数据相关的合规义务落实到企业的日常生产经营活动中。

(三)在处理个人数据的过程中注意保留相关记录

关于处理个人数据可能导致的民事责任,《个人信息保护法》(二审稿)第六十八条创设了个人信息处理者“过错推定”的归责原则,意味着个人信息权益因个人信息处理活动受到侵害时,企业如果不能证明自己没有过错,就应当承担损害赔偿等侵权责任。若《个人信息保护法》正式出台时保留该等原则,为防止在日后争议中被推定存在过错而承担侵权责任,企业应当在个人数据处理过程中注意保留相关的处理记录,以便在万一发生争议时能够举证自己是依法合规地处理个人数据,履行了相关的合规义务,从而证明不存在过错。

[1] 《条例》第二条第(三)项:敏感个人数据,是指一旦泄露、非法提供或者滥用,可能导致自然人受到歧视或者人身、财产安全受到严重危害的个人数据,具体范围依照法律、行政法规的规定确定。

[2] 《条例》第二条第(八)项:用户画像,是指为了评估自然人的某些条件而对个人数据进行自动化处理的活动,包括为了评估自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、可靠性、行为方式、位置、行踪等进行的自动化处理。

[3] 《条例》第二条第(四)项:生物识别数据,是指对自然人的身体、生理、行为等生物特征进行处理而得出的能够识别自然人独特标识的个人数据,包括自然人的基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等数据。