新经济与法｜《个信法》生效，互联网平台该如何保护用户隐私

2021年11月1日，《中华人民共和国个人信息保护法》（下称“《个信法》”）正式实施，占据了中国个人信息保护领域专门立法的头把交椅。面对《个信法》的正式生效，Apple（于2021 年10月27日更新了《Apple 隐私政策》）、腾讯（于2021 年10月29日更新了《微信隐私保护指引》）等平台均已给出了答卷（见下图），而你的答卷上交了吗？你真的准备好了吗？

《Apple 隐私政策》

《微信隐私保护指引》
注：所涉截图仅为本文举例展示之用，不视为对所涉主体个人信息处理合规性的任何评价。

我们特此梳理并凝练了《个信法》项下，作为个人信息处理者的互联网平台不得不回答的七个核心问题（见下表），并对应凝练核心合规要点，望能为企业提供参考和借鉴。

一、你真的受《个信法》规制吗？

是否受《个信法》的规制，可分“三步走”进行判断（详见下表）：

第一步，看行为，即是否存在处理个人信息的行为。核心关键词为“个人信息”与“处理”：其一，标的应属于《个信法》规定的“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”，其中匿名化处理后的信息非个人信息；其二，行为应属于《个信法》规定的“处理”行为，包括收集、存储、使用、加工、传输、提供、公开、删除等。

第二步，看地域，即该行为的发生地，若属于在中国境内处理个人信息的活动，应受《个信法》规制；若属于在中国境外处理个人信息，只有在满足下述情形下才受《个信法》管辖：个人信息的主体在为“境内自然人”，同时，存在“以向境内自然人提供产品或者服务为目的”、“分析、评估境内自然人的行为”或“法律、行政法规规定的其他情形”（下称“三种情形”）中的任一情形。

第三步，看例外情形，《个信法》规定了两种例外情形，其一，自然人因个人或者家庭事务处理个人信息的，不适用《个信法》；其二，法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的，适用其规定。

综上，可以得出：1、标的为“个人信息”，2、存在“处理”行为，3、该处理行为发生在中国境内或发生在境外，但对象为境内自然人。存在三种情形中的任一情形 ，并不存在例外情形的，就要受《个信法》规制。

二、你真的知晓违规处理个人信息的罚则吗？

《个信法》项下，罚则的规定（详见下表）呈现出“双罚制”“两级制”以及“处罚措施多维度”的显著特点，具体如下：

其一，采取“双罚制”。针对违反《个信法》规定处理个人信息的，或未履行《个信法》规定个人信息保护义务的，除了针对单位进行处罚外，亦明确了责任人（直接负责的主管人员和其他直接责任人）应承担的行政责任；

其二，采取“两级制”。《个信法》区分违规的“一般情形”与“情节严重”分别设置两级处罚，其中，罚款最高可达5000万元或上一年度营业额5%；

其三，“处罚措施多维度”。除罚款外，亦规定了责令改正，给予警告，没收违法所得，责令暂停或者终止提供服务等以及针对负责人的“行业禁止令”等处罚措施，该等措施与罚款可为“并处”关系。

三、你真的享有处理个人信息的合法性基础吗？

处理个人信息，应当具备《个信法》规定的合法性基础，详见下表：

由此可见，《个信法》确立了“告知—同意”为核心的个人信息处理系列规则：

其一，显著告知，个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知有关个人信息处理者和信息处理的相关事项，通过制定个人信息处理规则的方式告知的，该处理规则应当予以公开，并便于查阅和保存；

其二，取得同意，除法定情形（如为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需等情形）外，取得个人在充分知情的前提下的自愿同意。

其三，单独同意，若涉及到向第三方个人信息处理者提供个人信息、公开个人信息、公共场所安装图像采集、个人身份识别设备，用于维护公共安全以外目的收集个人图像、身份识别信息、处理敏感个人信息、向境外提供个人信息等上表所列的“单独同意”事项，则应当取得个人的单独同意；

其四，特殊同意，若涉及针对不满十四周岁未成年人的个人信息处理，应当取得该个人的单独同意（该类信息属于敏感个人信息）并取得未成年人的父母或者其他监护人的同意。

平台可根据自身处理的个人信息类别及处理情形，对应采取上述措施取得处理个人信息的合法性基础。

四、你真的知晓怎么合规处理个人信息吗？

合规处理个人信息，单单获得个人的同意，还远远不够。《个信法》吸收GDPR等国际经验，并基于中国国情确立了处理个人信息的一般原则：

个人信息处理者应对照上述原则逐一核对，并将上述原则贯穿于个人信息处理的全过程与各环节。以最小必要原则为例，落实该原则，分三点内容：

其一，最小影响，处理个人信息应当采取对个人权益影响最小的方式；

其二，最小范围，收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息；

其三，最短时间，除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。

除上述原则性内容判断方式外，针对该最小必要原则，可依据《常见类型移动互联网应用程序必要个人信息范围规定》（国信办秘字〔2021〕14号）列举的常见类型App予以对照，或可参考国家标准《信息安全技术个人信息安全规范》中对收集个人信息的最小必要的释明：“收集的个人信息的类型应与实现产品或服务的业务功能有直接关联；直接关联是指没有该等信息的参与，产品或服务的功能无法实现；自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率；间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。”予以判断，以确保处理个人信息符合该原则。

五、你真的依法保障了个人的法定权益吗？

在处理个人信息过程中，个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制，保障个人行使其法定权益。而机制的建立需要以知悉个人信息主体所享有的法定权利为前提，详见下表：

针对上述权利的行使与保障，以社会广泛关注的自动化决策为例，《个信法》生效后，平台利用个人信息进行自动化决策，应注意下述要点：

其一，禁止“大数据杀熟”，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇；

其二，提供备选或便捷的拒绝方式，通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。其中，不针对个人特征的选项，根据《信息安全技术 个人信息安全规范》（GB/T 35273—2020）第7.5条第b)项注释，基于个人信息主体所选择的特定地理位置进行展示、搜索结果排序，且不因个人信息主体身份不同展示不一样的内容和搜索结果排序，则属于不针对其个人特征的选项；

其三，拒绝自动化决策权，若作出对个人权益有重大影响的决定的(针对对个人权益有重大影响的决定，《信息安全技术 个人信息安全规范》列举了如下情形：自动决定个人征信及贷款额度，或用于面试人员的自动化筛选等)，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定；

其四，履行评估义务，应当事前进行个人信息保护影响评估，详见本文“七、你真的准备好自证清白了吗？”。 

六、你跨境提供了个人信息吗？

若平台涉及个人信息跨境传输的，应关注下述合规要点： 

七、你真的准备好自证清白了吗？

《个信法》确立了个人信息处理侵权纠纷的举证责任倒置原则，处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

这就倒逼平台来留存对应能证明自身没有过错的证据，对此，平台应该如何自证清白？

我们团队根据既往的个人信息保护合规的项目经验，提炼上述个人信息处理者的法定义务，总结出“MACTOP”合规“武器”，帮助平台进行“自证清白”：

（1） M：即“Management”，平台需要建立与个人信息保护相关的内部管理制度和管理规程，落实个人信息保护负责人岗位设置，申请获得ISO27001信息安全管理体系认证、网络安全等级保护等资质，从系统资质、人员岗位设置及管理细则等方面“自外而内”管理职责和要求；

（2） A：即“Authorization” & “Assessment”，其一，平台需要合理确定个人信息处理的操作权限，根据业务流、个人信息流，授权不同部门、人员进行相应的处理；其二，平台需要依法定期进行合规审计，并依法履行个人信息保护影响评估义务，予以记录与流痕；

（3） C：即“Category”，平台需要对个人信息进行分类管理，根据不同的类别赋予不同的数据保护工具。如区分一般个人信息、敏感个人信息等类别给予不同维度的保护层级；

（4） T：即“Technology”，平台需要采取相应的加密、去标识化等安全技术措施，来保护经分类和授权处理的个人信息；

（5） O：即“Organization”，平台需要定期对从业人员进行安全教育和培训。如通过签署保密协议、进行背景调查、定期安全教育、定期培训等方式，增强平台从业人员对于个人信息保护的合规意识，亦可以进一步明确内部涉及个人信息处理不同岗位的职责和处罚机制；

（6） P：即“Plan”，平台需要建立个人信息安全事件应急预案并定期组织相关人员进行演练，履行个人信息泄露通知、补救等各项义务与流程，明确各主体责任。

除通过上述“MACTOP”建立合规体系外，若属于大型网络平台（即重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者），还应依法履行下述法定义务并对应留存有效证明：(a)建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；(b)遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；(c)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；(d)定期发布个人信息保护社会责任报告，接受社会监督，从而得以“自证清白”。 

结语

良好的信息保护是数据共享与数字资源最大化利用的基本前提。我们相信，通过前述七大核心问题，互联网平台能明晰自身是否受《个信法》管辖、违规成本、处理个人信息的合法性基础、合规方式、个人享有的法定权益、跨境传输的合规要点以及在举证责任倒置下的合规应对，让广大互联网用户重拾信心，激发网络数据共享与利用的活力，从而营造出数字经济的良好生态环境，最终反作用于平台的商业发展，由此循环往复，使得《个信法》真正为数字经济发展保驾护航。