引言
美国东部时间9月27日晚间,美国哥伦比亚特区联邦地区法院法官卡尔·尼科尔斯(Carl Nichols),以特朗普政府的行政令影响“言论自由”,将对企业造成不可弥补的损害为由,裁定暂停实施9月27日在全美应用商城下架TikTok应用程序的行政令。这让TikTok及其母公司字节跳动可以暂时缓一口气。不过,这口气显然不会缓得太久,因为特朗普签署的另一项行政令,即要求字节跳动于11月12日前剥离TikTok美国业务的所有权益,依然存在到期生效的可能性。
在海外,TikTok面临的麻烦远远不止于此。今年五月,法国国家信息与自由委员会表示将就TikTok面临的相关指控展开调查;同月,荷兰隐私监管机构亦表示,将对TikTok处理数百万年轻用户个人信息的方式展开调查;六月,欧洲数据保护委员会(EDPB)紧随其后,表示将调查TikTok在欧盟境内的信息收集与传送。日本自民党内部分议员组成的“规则形成战略议员联盟”也在今年八月提议就“经济安全保障”立法,并主张禁用TikTok等中国App。此外,印度也以所谓的“有损印度主权与完整、印度国防、国家安全与公共秩序”为由,宣布禁止TikTok等118款中国手机应用程序在印度使用。如此种种,使得TikTok及其母公司字节跳动的海外扩张之路道阻且长。
抛开中美大国竞争的政治原因,目前各国禁用TikTok手机App的法律依据,最终大多归结于“个人信息保护”、“隐私安全”、“数据安全”的层面。回首过去数年,各国在“个人信息保护”方面的立法可谓动作频频,其中最引人关注的当属2018年5月欧盟正式实施的《通用数据保护条例》(“GDPR”)。该条例规定,不论数据控制者、处理者,处理行为在欧盟境内还是境外,只要处理的客体是欧盟境内居民的个人数据,均适用该条例。
无独有偶,2018年3月,美国出台的《合法使用境外数据明确法》(“Cloud法”)规定,凡涉及危害美国国家安全的重大案件,无论服务提供者的通信、记录或其他信息是否储存在美国境内,服务商均须依照该法案进行调取并提供相关证据。同年6月,美国加州出台了被视为美国国内最严格隐私法案的《加利福尼亚州消费者隐私保护法》(“CCPA”),该法案规定了一系列的措施,用以防止个人隐私信息在个人消费者不知情的情况下遭到收集或用于商业行为。
毫无疑问,在当今国际社会,个人信息保护已对企业的数据安全合规管理形成了深刻的影响和严峻的挑战。在这样一个大规模采用云储存和分布式系统等技术的大数据时代,以微信、FaceBook、推特、TikTok等为代表的互联网企业,将不得不面对世界各国慢慢筑起并越筑越高的个人信息保护及数据安全壁垒。
在10月13日至17日召开的第十三届全国人大常委会第二十二次会议中,我国的《个人信息保护法》草案即将进行初审。值此我国个人信息保护立法的重要历史时刻,安理东京事务所作为一家常年在日本第一线为投资日本的中外企业提供法律服务的律师事务所,特结合日本在个人信息保护方面的最新立法情况,在本文中就上述问题进行梳理和探讨,抛砖引玉,以期对读者有所裨益。
一、中国的个人信息保护的立法现状
今年5月的全国人大会议上,全国人大常委会在工作报告中正式将《数据安全法》以及《个人信息保护法》列入年度立法工作计划。在现阶段《个人信息保护法》尚未正式出台之时,中国的个人信息安全立法呈现出从宏观到微观的“三层阶梯”式态势,即法律法规、国家标准、行业规范三个层级。以下针对已经正式发布的内容进行简单梳理。
首先,在法律法规层面,即将于2021年生效的《民法典》人格权编第六章“隐私权和个人信息保护”规定了自然人的个人信息保护的基本原则。2017年实施的《网络安全法》以及根据该法制定的《网络安全审查办法》,在“关键信息基础设施的运营者”对个人信息的收集、存储、使用等方面,都提出了与GDRP等境外法规类似的法定义务。《消费者权益保护法》则针对经营者对消费者的个人信息安全保护义务等方面做出了规定。同时,《电信和互联网用户个人信息保护规定》、《儿童个人信息网络保护规定》等部门规章就个人信息保护进行了分场景、分对象的规范。此外,2019年国家互联网信息办公室秘书局、工业和信息化部办公厅等多机关联合发布的《App违法违规收集使用个人信息行为认定方法》,对于实践中互联网企业通过手机App等收集个人信息时的操作规范也具有较强的指导意义。
其次,在国家标准层面,我国密集于2020年出台了多项国家标准,其中的《信息安全技术 个人信息安全规范》(GB/T 35273-2020),相较于此前各版国家标准,对个人数据的收集、存储、使用、共享、转让、公开披露等数据全生命周期的各个环节,都提出了更为细致的合规要求。9月18日,全国信息安全标准化技术委员会秘书处正式发布了《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》(信安秘字〔2020〕58号),该指南就当前 App个人信息保护十大常见问题及典型问题情形给出了相应的处置建议。
再次,在行业标准方面,以金融业为例,《个人金融信息保护技术规范》、《金融数据安全 数据安全分级指南》、《商业银行互联网贷款管理暂行办法》、《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》、《中国人民银行金融消费者权益保护实施办法》等规范及规范性文件,都针对银行等金融机构提出了金融领域个人信息处理的专门性要求,并着重规定了个人金融信息在收集、存储、使用、传输、删除、销毁等数据生命周期各环节的安全防护要求。此外,许多行业协会也发布了相应的行业规范,例如中国软件行业协会就发布了《企业个人信息安全管理规范》。
二、《个人信息保护法》的立法期待
此次《个人信息保护法》的出台,将在法律层面对目前的个人信息保护相关规范进行统合,作为常年处理公司相关的跨境法律事务的法律从业者,我们期待新法的出台可以进一步明确现行法的以下几个问题:
其一,中国现行的各项个人信息保护规定,由于缺少统一的专门性上位法律,而存在规定不统一、标准林立的问题。同时,在执法机构的设置上,目前我国并未专门针对个人信息保护设置统一的监管部门。网信办、工信部、公安部和国家市场监督管理总局、国家药品监督管理局等相关部门,对于各自领域的个人信息保护均负有监管职能,导致实践中存在严重的权责不清。在处理一起药物临床试验数据(包含受试者的个人信息数据)跨境传输案件的过程中,笔者就曾经遭遇了药监局和卫健委之间权责不清、互相推诿的情况。
其二,我国现行的《网络安全法》等相关规定,要求关键信息基础设施的运营者必须将在中国境内收集的个人信息存储在境内,在确因业务需要而对境外提供个人信息之前,必须经过安全评估审查。在《个人信息出境安全评估办法(征求意见稿)》等文件中,个人信息出境安全评估的义务主体扩大到了网络运营者,即网络的所有者、管理者和网络服务提供者。该办法目前由于种种原因尚未正式落地实施,一旦该办法付诸实施,必然将对相关企业造成巨大的合规负担,也可能影响我国相关产业经济的发展。由此看来,如何规范和调整“个人信息的境内存储”和“跨境时的安全评估”,将是《个人信息保护法》亟待明确的内容。
其三,在应对欧盟的GDPR条例、美国的Cloud法案等采取长臂管辖的海外法规时,《网络安全法》等现行法的规定仍存在部分缺位。虽然7月出台的《数据安全法(征求意见稿)》规定了境外执法机构调取我国境内数据应当经过批准,但是并没有进一步明确我国的审查原则。在国际上的保护主义日渐盛行、大国间的对立日渐尖锐的今天,《个人信息保护法》如何避免成为信息交流的壁垒,如何促进信息的合法有序流动,如何为海外企业在我国的合法经营提供制度保障,也是立法者需要面对的课题。
三、日本法在个人信息保护方面的立法考察
日本的《个人信息保护法》发布于2003年,并于2005年4月正式全面施行。该法案正式施行后,历经数次修订,其中最近一次的修订是今年6月日本国会通过的《部分改正个人信息保护相关法律的法律案》。由于该改正法案在个人信息主体对于个人信息的权利、经营者对于个人信息的安全管理义务、跨境提供信息时经营者的义务以及该法的域外适用等方面进行了较大程度的强化,因此也被称为“日本版GDPR/ CCPA”。
日本的《个人信息保护法》作为一部基本法,包含七章八十八个条款(包括总则、国家以及地方公共团体的责任、个人信息保护相关的措施等、处理个人信息经营者的义务等、个人信息保护委员会、杂则、罚则)。该基本法与由日本内阁另行发布的“基本方针”(《个人信息保护基本方针》)、“政令”(《个人信息保护法实施令》,以及统一由日本个人信息保护委员会或发布的“规则”(《个人信息保护法实施规则》、“指引”(《关于个人信息保护法的指引》)及其他相关的“告示”、“通知”等,共同搭建起日本个人信息保护法律体系。同时,日本还颁布有《独立行政法人等个人信息保护法》、《行政机关个人信息保护法》等法律,作为该法律体系的配套法规。
关于规则统一和监管机构设置
日本法通过搭建自上而下、层次分明的法律体系,并由专门机构(个人信息保护委员会)统一发布“指引”等方式,有效避免了中国现行法上存在的规定散乱、标准林立的问题。同时,在监管机构的设置方面,日本在2017年《个人信息保护法》修订时,将监管职能统一归属于个人信息保护委员会。该委员会直接隶属于内阁府,具有高度的独立性,负责监督、监视行政机关、地方公共团体及民间对于个人信息保护法的执行,具体职责范围包含:(1)个人信息保护相关基本方针的制定和推进,(2)个人信息等处理的监督(包括针对处理个人信息的经营者实施指导、建议、强制报告、进场检查等),(3)认定个人信息保护团体相关事务,(4)有关特定个人信息的处理的监事、监督(给与行政机关、经营者、或者特定的个人信息处理者必要的指导、建议或强制报告、进场检查等),(5)个人信息保护法相关解释受理投诉等,(6)国际间协助(包括外国执法机构调取境内个人信息的批准、有关个人信息保护的国际会议的参加等)。由此可知,个人信息保护委员会在日本行政机构中的地位类似于我国机构设置中的议事协调机构,可以协调各部门和地方公共团体的职能,同时,该委员会又具有一定的实际执法职能。
关于个人信息境内利用和跨境的相关规定
日本《个人信息保护法》第23条第1款规定了一般情形下向第三人提供个人信息的限制。该条款要求,除法令要求提供个人信息等特定情形外,个人信息处理经营者向第三人提供个人信息之前,必须取得个人信息主体本人的同意。同时,为了平衡“个人权利”和“产业权利”,第23条第2款规定了向第三者提供个人信息的“opt-out”模式,即个人信息处理经营者可将“向第三人提供个人信息的目的、内容、方法、请求停止提供的方式等事项” 告知个人信息主体,或将该等事项相关信息置于个人信息主体本人容易知晓的环境下,并向个人信息保护委员会备案后,即可在未取得个人信息主体本人同意的情况下,将个人信息提供给第三人。可见,“opt-out”模式的本质是一种默认同意机制。
此外,第23条第5款还就“第三者的除外规则”进行了规定。第23条第5款第1至3项规定了三种“特定情况”作为第23条第2款的例外情况,即(1)个人信息处理经营者在达成利用目的必要范围内提供个人信息的(比如百货店为了配送商品而向快递公司发送个人信息),(2)因公司合并等其他原因向继承主体提供个人信息的,(3)特定的参与者共同利用个人信息,且就该等“共同利用”事宜事先通知个人信息主体本人,或将该等信息置于个人信息主体本人容易知晓的环境下的(比如经营者母子公司之间在利用目的的范围内使用个人信息)。此三种情况下,即便个人信息处理经营者没有取得本人同意或根据“opt-out”要求进行通知或备案,也可以向特定第三人发送个人信息。
在上述第23条的基础上,日本《个人信息保护法》第24条特别针对个人信息的跨境提供,规定了“跨境提供时的本人同意原则”。根据该条,除需要满足第23条规定的向境内第三人提供数据的一般性限制规定外,在跨境提供前,经营者还需要就“向境外主体提供事宜”取得个人信息主体本人同意。而在今年6月日本《个人信息保护法》修订时,又新设了第24条第2款以及第3款,作为跨境提供限制的强化措施。该条款要求经营者除了应当就个人信息跨境事宜取得个人信息主体本人同意外,还负有向相关个人提供对方国家的个人信息保护制度等信息的义务。
应对境外长臂执法
面对境外政府的长臂执法,日本《个人信息保护法》在第78条(向外国执行当局提供信息)中规定了“执行请求审查”制度。该条规定,外国政府向日本政府请求调取日本境内个人信息的,只有经个人信息保护委员会审查并确认其请求满足相关条件,日本政府才可以向其提供相关信息。该条同时要求个人信息保护委员会采取必要的措施,保障所提供信息不被用于调查执法以外的目的。除此之外,法律还明确了“不予提供三原则”,即第一,外国当局以调查政治犯罪为目的请求调取的不予提供;第二,对象犯罪行为发生在日本境内,且依据日本法不认为该等行为构成犯罪的不予提供;第三,外国当局不保证给予日本对等待遇的不予提供。
“数据主权”和“国际接轨”
如引言中所述,各国在立法实践中,存在争夺“数据主权”(即本国政府对于境内个人的信息具有管辖权,对于境外主体在境外实施的处理本国个人信息的不当行为,本国政府可以予以警告、纠正,甚至处罚)的倾向。今年6月的日本《个人信息保护法》修订,也通过增设第75条等条款,将处理日本境内主体个人信息的外国经营者纳入通过罚则担保的报告以及命令的对象,对境外经营者处置境内个人信息的行为实施长臂管辖。
我国7月出台的《数据安全法(征求意见稿)》,也在第二条中明确规定,中国境外组织、个人开展数据活动,损害中国国家安全、公共利益或公民、组织合法权益的,应依法追究其法律责任。可想而知,在即将出台的《个人信息保护法》中,这一点也将进一步得到巩固。但是,在争夺数据主权的浪潮中,如何融入国际个人信息保护体系,是我国个人信息安全立法即将面对的又一重大挑战。
四、结语
从TikTok的海外困局中我们可以看到,“数据”已经成为国家之间竞争的核心资源。在这般风起云涌的大数据时代,我国已将“数据”列为继土地、劳动力、资本、技术之后的第五大生产要素,并定位成“国家基础性战略资源”。从《数据安全法》的草案内容也可以看出,数据既是国家安全问题,也是是主权问题、权益问题,而数据的开发利用更是关乎国家社会经济发展,因此,“数据”相关的立法工作,毫无疑问将深远地影响中国的未来。
《民法典》已为个人信息保护奠定了基础,《个人信息保护法》的成文亦指日可待。笔者坚信,未来《个人信息保护法》等一系列立法工作,将弥补我国现行法中个人信息保护、数据安全保障方面的不足,更好地促进数据合法流动,帮助中国掌握应对境外挑战的主动权,为中国企业的海外发展和外国企业的在华发展提供强大的法律指引和坚实的制度保障。《个人信息保护法》的立法工作可以借鉴他国现有立法中的对中国实践有价值的内容,更好地衔接并融入全球个人信息安全体系,为未来的国际合作指明方向。
同时,对相关企业而言,企业内部的个人信息保护和数据合规必然成为无法回避的重大经营课题。未来,企业需要时刻保持国际化的视野,在充分了解和考虑各个国家和地区的个人信息保护要求和标准的基础上,完善企业内部个人信息保护和数据合规的管理体系。
* 感谢北京安理(上海)律师事务所律师助理包珠娜,徐梦琦对本稿的贡献。
北京
北京市朝阳区东三环中路5号财富金融中心35-36层
电话:+86 10 8587 9199
上海
上海市长宁区遵义路150号虹桥南丰城C栋2006室
电话:+86 21 6289 8808
深圳
广东省深圳市福田区金田路荣超经贸中心4801
电话:+86 0755-82730104
天津
天津市河西区郁江道14号观塘大厦1号楼17层
电话:022-87560066
南京
江苏省南京市江宁区庄排路159号2号楼601室
电话:+025-83708988
郑州
河南省郑州市金水区金融岛华仕中心B座2楼
电话:+86 371 8895 8789
呼和浩特
内蒙古呼和浩特市赛罕区绿地腾飞大厦B座15层
电话:0471-3910106
昆明
云南省昆明市盘龙区恒隆广场11楼1106室
电话:+0871-63306330
西安
陕西省西安市高新区锦业路11号绿地中心B座39层
电话:+029-68273708
杭州
浙江省杭州市西湖区学院路77号黄龙国际中心B座11层
电话:+86 571 8673 8786
重庆
地址:重庆市江北区庆云路江2号国金中心T6写字楼8层8-8
电话:+86 23 67528936
海口
海南省海口市龙华区玉沙路5号国贸中心11楼
电话:0898-68508795
东京
日本国东京都港区虎之门一丁目1番18号HULIC TORANOMON BLDG.
电话:+81 3 3591 3796
加拿大
加拿大爱德华王子岛省夏洛特顿市皇后街160号
电话:001-902-918-0888
Copyright 2001- 2020 Anli Partners. All Rights Reserved 京ICP备05023788号-2 京公网安备11010502032603号
法律咨询电话:400-800-5639
