观千剑而后识器——中美欧个人信息保护法规比较

编注:本文原文由北京市中伦律师事务所李瑞律师、贾申律师、钟俊鹏律师、李梦涵律师撰写,团队执业领域包括反垄断与竞争法、数据合规与网络安全、跨境投资并购等。少数派经授权在原文基础上修订并转载。


引言

在此前发布的《吹尽狂沙始到金——〈个人信息保护法〉有哪些亮点值得关注?》一文中,我们已经对这一国内首部专门规范个人信息保护的法律做了详细解读。

不过,在信息高速全球互通、网络服务跨越国界的当今,一国用户几乎不可能只跟该国国内的互联网公司打交道;相应地,其个人信息也会被全球各地的公司所收集和处理。在这样的背景下,不仅仅在中国,世界各地的立法和监管部门,都将个人信息相关立法作为高优先级议程。

如果你有浏览国外网站、使用国外应用的经验,一定对如今满天飞的各种「弹窗」「横幅」不陌生。这些元素设计各异,但内容和功能都是告知用户将会收集、处理的个人信息类型,使用 Cookies 的情况,并要求用户同意。不用说,这显然是运营公司适用的当地个人信息法规在发挥威力。

那么,除了中国,世界上目前还有哪些主要的个人信息保护法规,它们与《个人信息保护法》又有哪些异同呢?

首先,在世界范围内谈到个人信息保护,欧盟的《通用数据保护条例》(General Data Protection Regulation, GDPR)一定是无法回避的话题。这部由欧盟制定的 GDPR 已于2018年5月生效,常常被视为世界范围内在隐私保护领域最为权威和细致的立法。

再把目光放到美国。作为一个联邦制国家,美国在联邦层面的个人信息立法相对分散,相关权利义务散见于医疗、金融、儿童保护等方面的专门法规。因此,很多州选择自行制定个人信息保护的专门法规。

其中,推进较快、影响力相对最大的,要数加州于 2018 年颁布的《加州消费者隐私法案》(California Consumer Privacy Act of 2018, CCPA)及其 2020 年的修正案《加州隐私权法案》(California Privacy Rights Act of 2020, CPRA)。尽管看起来管辖范围只有一州,但鉴于加州科技公司扎堆的显赫区位,CPRA 也已成为一部备受关注的重量级法案。

下面,本文就以这三部法律为作为当今世界个人信息保护法规的代表,对比中、美、欧三地个人信息保护制度的联系与区别。

「个人信息」与「个人信息处理活动」:界定方式不谋而合,行为列举异中有同

要谈「个人信息保护」,首先要回答两个门槛性质的问题:一是「什么数据才算个人信息」,二是「什么活动才算处理个人信息。毕竟,只有在判断「个人信息」、界定「个人信息处理活动」的基础上,才有相应的权利义务可言,才能制定具体的行为准则。

先看个人信息的定义。从下图可见,就一般个人信息的定义而言,三部法律不谋而合,都强调个人信息的「可识别性」特征,即能识别特定个人的信息才算个人信息。其中,CPRA 定义的外延略微偏小,进一步通过数据与个人「合理」的「关联性」对其定义进行限缩。

在定义方式上,个保法采取归纳式概括法, GDPR 和CPRA 除概念外还列举了多种满足条件的信息类型。

此外,三部法律都区分了一般类型的个人信息和敏感个人信息(在 GDPR 中被称作「特殊类型个人数据」)。如下图所示,三部法律都对敏感个人信息具体包含的数据类型进行了列举,但其具体涵盖类型存在差异,可谓是既有区别又有联系。

至于针对敏感个人信息的特殊保护方式,个保法和 GDPR 都设置了更高要求的处理条件,如必须用于特定目的、收集处理行为必须是充分必要、必须由信息主体明示或单独同意,以及采取更严格的保护措施等;而 CPRA 则没有做出此类特别规定。

再看个人信息处理的界定。三部法律都选择了列举方式定义,而列举的内容则存在差异且各有特色:

个保法:收集、存储、使用、加工、传输、提供、公开、删除

GDPR:收集,记录,组织,建构,存储,改编或修改,恢复,查询,使用,通过传输、分发方式进行披露或者其他使个人数据可被他人获得、排列或组合、限制、删除或销毁

CPRA :收集、使用、存储、披露、出售、共享

可见,GDPR 所列举的处理方式最多,个保法列举的处理方式次之,但是二者都没有对具体的处理活动进行细致的描述。CPRA 则最为精简,没有详细列举处理活动的类型,仅提及 6 种行为。结合该法上下文,可知加州立法者希望重点规范的是数据的收集、出售和共享行为。

但这并不意味着加州约束的个人信息处理范围就更窄。特别值得关注的是 CPRA 中的「共享」行为——个保法和 GDPR 都没有对此进行规定。根据 CPRA,「共享」应当采取广义上的理解,可指向企业通过任何方式向第三方披露个人信息,并且特别点名包括了所谓「跨场景行为广告」(Cross-context behavioral advertising)。这指的是根据从消费者的跨越场景的行为(例如不同企业、品牌的网站、应用、服务等)中获取的个人信息向消费者投放广告,且不论消费者是否是与之有意互动的。如果你曾经见识过「搜了尿布,全世界都来推销奶粉」的威力,应该能理解这条规定对广告行业的潜在影响。

管辖范围:望洋未必兴叹,鞭长四海可及

本文开头就提到,信息全球流通、服务覆盖各地,是当今互联网的常态。如果你是立法者,肯定不会仅仅因为一家公司注册在境外、或者机房设在境外,就对它收集境内用户数据的行为视而不见。问题是,如何从法律角度涵盖这样的行为呢?

这就要先了解一下「管辖」这个法律概念。你或许听说过某某法院「管辖」某某案件的说法——这就是狭义的管辖,指法院受理案件的权限和分工,换句话说也就是什么样的案子交由哪个法院负责。

不过,在广义上,「管辖」也可以指某部法律的覆盖范围、某个执法机构的权限与范围,换句话说,哪些主体的哪些行为将受到约束。

回到本文涉及的三部法律,它们的管辖范围如下图所总结:

可以看出,三部法律都管辖境外实体在境内的个人信息处理行为,但在具体范围上存在着比较大的差异。

其中,GDPR 的管辖范围非常宽泛,遵循「属地」(即根据个人信息处理行为的发生地判断)加「属人」(即根据个人信息处理主体的注册地判断)的管辖原则,管辖范围广泛、逻辑复杂,一路延伸到境内实体在境外的个人信息处理行为。

个保法对境外数据处理者的管辖较为明确,采取的是「属地」原则为主,例外情形为辅的方法。而 CPRA 的范围最窄,主要聚焦于「属地」原则,仅管辖在加州开展的商业活动,并设置了一定的管辖门槛使符合条件的中小企业的经营活动可以豁免管辖。

处理原则:同意在先,还是选择在后?

在个人信息的保护中,一个非常重要的议题就是尊重用户的选择权——用户有权决定自己的个人信息能否被处理、以什么方式被处理。相应地,三部法律都对于个人信息处理的原则作出了规定。

其中,GDPR 和个保法比较类似,都构建了以「告知—同意」为核心的处理原则,信息主体(用户)的同意是企业处理数据时最重要的合法性基础,且有权随时撤回同意。

而美国的 CPRA 采取「选择退出」机制,除非消费者选择拒绝出售或共享数据,一般默认消费者同意数据的处理。但是在特定情形下,处理个人信息也需要取得个体的同意。

除此之外,三部法律还反映出一些共同原则:

  • 三部法律都规定了目的原则最小必要原则来限制个人信息的收集与处理,以此达到更好保护个人信息的效果。换言之,即使获得了同意,如果其对信息的处理不符合法律限定的目的,或者超出了实现这种目的最小必要的范围,同样也是违法的。
  • 三部法律都认可,有效的同意应当由用户充分知情自愿、明确地作出。CPRA 更是排除了部分互联网场景下的具体情形,强调消费者接受通用条款或悬停、静音、暂停、关闭等行为都不构成同意,暗箱操作模式也会导致获得的同意无效。
  • 三部法律都对处理儿童个人信息时须取得的同意做了特别规定,要求处理低于特定年龄的儿童个人信息时取得监护人同意。其中,GDPR 以 16 周岁为界,中国以 14 周岁为界,CPRA 则区分了13周岁和16周岁两种情况。

处理主体及其义务:该管谁、怎么管

界定了个人信息,明确了处理原则,接下来就该对处理个人信息的主体做出具体规定了。但这同样不是一个简单的问题:随着互联网商业模式的日益复杂,同一则个人信息可能在不同公司之间多次易手,法律到底应该管到什么范围呢?在个人信息处理中扮演不同角色的公司,是否需要区别对待呢?

在这个问题上,个保法形成了「个人—个人信息处理者」两方主体关系, GDPR 则进一步细化,形成了「个人—数据控制者—数据处理者」的三方主体关系。

这里需要注意,GDPR 的「处理者」仅仅表示代表「控制者」处理个人信息的主体,「控制者」则指的是决定个人信息处理目的和方式的主体。其中,数据控制者是 GDPR 下履行义务的主要主体,数据处理者主要根据与数据控制者之间的合同义务行事,GDPR 下的法定义务则相对少一些。相反,我国个保法则没有区分处理者与控制者,而是统称为「个人信息处理者」,两者都要遵守个保法下的各项义务。

CPRA 则采用了另一套分类方法,区分了「企业」、「服务提供商」和「承包商」三类主体。其中,「企业」的定义接近 GDPR 的「数据控制者」,其限定于在加州开展业务的营利组织,且需要在上一年度总收入、处理的个人信息数量及个人信息处理与收入的联系上满足一定的门槛。符合条件企业所控制的实体、合营企业及其他自愿受约束的主体也被囊括在「企业」的范围之内。实际上,只有「企业」承担 CPRA 下的义务;至于「服务提供商」和「承包商」,则只需根据其与「企业」的合同行事,不直接受 CPRA 约束。

上述不同主体区分方式以及相应义务如下图所示:

比较而言,欧盟 GDPR 与美国 CPRA 区分角色的行为能够细化各个主体的义务与责任,更加有利于产业的发展和保护;而我国个保法统一定义为「个人信息处理者」的模式则更加有助于个人信息的保护。

此外,在主体区分问题上,各法规还体现出一些特色:

  • 个保法制定了针对重要互联网平台的特殊义务,这与欧盟《数字市场法案》(Digital Market Act)提案中对于「守门人」数据保护义务的规定相似。
  • GDPR 和个保法均对小型企业进行特别规定。具体而言,GDRP 对于员工少于 250 人的组织放宽了记录保存的相关规定,并鼓励充分考虑微型、小型和中型企业的特殊需求。个保法则规定,将针对「小型个人信息处理者」制定专门的个人信息保护规则、标准,但定义仍有待明确,相应的规则、标准也有待后续制定。

信息主体的权利:框架相似,详略不同

与义务相对的是权利。在之前的文章中,我们已经介绍过个保法赋予信息主体的权利,包括知情权、更正权、限制权、删除权、拒绝权、数据可携权等;这些权利在 GDPR 和 CPRA 中也都有类似的表述。

不过,值得指出,个保法对权利的规定是较为简略,以列举权利名称为主,具体内涵则暂未进一步解释;而 GDPR 和 CPRA 对每种权利都进行了细致规定。

此外,较有特色的是,CPRA 规定了拒绝后不受报复的权利,中国个保法规定了死者近亲属对死者个人信息拥有的权利。

我们在介绍个保法时还讨论过「大数据杀熟」的现象和个保法的相应规定。实际上,这类「自动化决策」问题在全世界都是备受关注的。自动化决策的决策逻辑依托算法等技术,在外界看来具有不透明性,是难以监督的「黑箱」。因此,不论是从企业合规的角度还是政府监管的角度,对这种处理行为的监管都存在着比较大的挑战。

在这样的背景下,个保法之外的两部法律也都对自动化决策作出了规定,也是情理之中的。总结起来,三部法律均关注到了自动化决策中对个人信息的保护问题,总体上都要求决策逻辑需透明,决策结果需公平公正,且需保证用户拥有拒绝权。其中,GDPR 和个保法对用户的拒绝权和处理者的义务做出了一些较为具体的规定,而 CPRA 目前只预留了一个监管空间,将具体合规要求留待后续进一步法令。值得注意的是,我国个保法还规定,不得利用自动化决策进行差别待遇。

个人信息跨境传输:「白名单」与「提条件」

规范数据的跨境传输是目前全球普遍的立法趋势。个人信息是一种重要的数据类型,对此,欧盟和中国都对其跨境传输进行了限制。我们此前已经对我国的管理方式做出过介绍,这里再与 GDPR 做一比较。(CPRA 是州层面的立法,不涉及个人信息的跨国传输。)

首先,个保法和 GDPR 的共同之处在于,对于个人信息跨境传输的限制是单向的,即只监管个人信息的流出,而不监管个人信息的流入。

但两部法律的区别在于,GDPR 采取了一种类似「白名单」的方式,个保法则规定了向境外传输的具体条件。

具体而言,GDPR 首先规定了一个「充分保护水平认定」的名单,向名单上的国家、地区或组织转移数据的,不需要采取特别的保障措施。如果不在名单上,则需要根据 GDPR 的规定,采取适当的保障措施才能够进行个人信息的跨境转移。

除了上述两种基本规则外,GDPR还规定了两个特殊规则:一是在存在有效国际协议的情况下,可以基于司法判决、行政决定等进行跨境传输;二是在满足特定的条件后,即使缺乏充分保护认定以及适当的保障措施,也可以进行跨境转移。

至于个保法,如之前文章所述,其规定满足下列四个条件之一的,方可以向境外转移:

  • 通过网信部门组织的安全评估;
  • 按照网信部门的规定经专业机构进行个人信息保护认证;
  • 按照网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
  • 法律、行政法规或者国家网信部门规定的其他条件。

此外,个保法对涉及一些特殊处理者、接收方的跨境传输提出了专门要求。例如,「关键基础设施」运营者存储于境内的个人信息,确需向境外提供的,必须通过国家网信部门组织的安全评估;境外的司法或者执法机构要求提供存储于境内的个人信息的,应当经主管机关批准等。

法律救济与法律责任:公益诉讼助维权,高额罚款是趋势

权利和义务都要通过责任来保障。对此,三部法律都规定了侵犯个人信息利益的行为,个人有权提起诉讼,而违法主体要承担罚款等后果。

从上图可见,关于救济方式,个保法和 GDPR 在消费者提起民事诉讼的权利基础上,还规定相关组织(个保法规定还包括检察机关)可以就个人信息侵权行为提起公益诉讼,增强了消费者提起诉讼的权利。而 CPRA 则规定,消费者提起诉讼后,企业有 30 天纠错期,期间企业纠正行为并声明后,消费者不得提起诉讼,这则对消费者提起诉讼的权利进行了限制,增强了对企业的保护。

关于法律责任,GDPR、个保法以及 CPRA 都对违法个人信息保护的行为规定了罚款。就罚款额度而言, GDPR 的额度最高,处罚最严厉;个保法次之,而且其规定了多种处罚类型,且采取了双罚制的规定,企业与直接主管人员都要为不当信息处理行为负责。美国 CPRA 规定的罚金数额则比较低,且规定将把罚款存入消费者隐私基金。