隐私政策ABC(上)——制定隐私政策应该听谁的?
导 语
10月24日、25日,App治理工作组先后发布了新版的《个人信息安全规范(征求意见稿)》和《App收集个人信息基本规范(草案)》,这意味着又有两个关于个人信息保护的重磅规范将要落地。事实上,自2017年《网络安全法》(“《网安法》”)出台后,关于个人信息保护的立法一直呈现井喷的态势——根据不完全统计,截至2019年10月31日,关于个人信息保护的法律法规和地方规定已经有47部,国家、行业标准和规范性文件有46部,此外还有4部个人信息保护有关的法规和部门规章以及6部有关个人信息保护的国家或行业标准正在或已经结束征求意见,正待有关部门发布。
立法的不断完善给涉及收集和使用个人信息的公司经营行为提供了指引。但另一方面,在立法井喷之下,已发布的法规和标准数量众多、立法者众多,各规定之间的层级、效力比较复杂,这也给各公司的个人信息保护合规体系的建立带来了难度和挑战。尤其在公司制定个人信息收集和处理规则方面,公司是否应当遵循上述所有已发布的规定和标准中的要求?公司行为的边界在哪里,在哪些方面公司可以具备一定的灵活性?要解答这些问题,需要首先对当前的个人信息保护(尤其是有关个人信息收集与使用的规则,即俗称的“隐私政策”[1])法规的立法体系进行梳理和厘清。有鉴于此,我们系统梳理了与隐私政策有关的立法进展、体系、以及已发布文件的效力层级,并对未来的立法趋势进行展望。鉴于相关内容篇幅较长,我们将相关内容分为上下两部分,本文系上篇,将系统性地梳理介绍在隐私政策领域活跃的立法者和有关组织。
1
立法者一览
隐私政策并非《网安法》引进的新概念,事实上,早在2012年12月28日由全国人大常委会发布的《关于加强网络信息保护的决定》(“《信息保护决定》”)中就已经明确了经营者需要公示隐私政策这一原则,其后的《网安法》承继了这一原则性规定,在《信息保护决定》以及《网安法》的基础上,各个层级、地域的政府机构(“立法者”)也在其制定法律法规和规章等效力性文件的过程中对隐私政策进行了进一步的规范。立法者大致可以分为以下三类:
1.1 顶层监管框架制定者——全国人大及其常务委员会:
作为行使国家立法权的最高权力机构,全国人大及其常务委员会所制定和颁布的一系列法律为个人信息保护奠定了顶层制度要求,就隐私政策的制定、公示确立了原则性、框架性规范。全国人大及其常务委员会的相关重要立法包括:2012年12月28日起施行的《信息保护决定》、2014年3月15日起施行的修正后的《消费者权益保护法》、2017年6月1日起施行的《网安法》、2019年1月1日起施行的《电子商务法》等。除立法外,全国人大常委会对于法律履行情况的监督活动也值得关注,因为这体现了立法者下一步重点关注的立法动态;例如,在全国人大常委会2017年底对《网安法》的实施情况专项执法检查的报告中即提及要“通过专门立法,明确网络运营者收集用户信息的原则、程序”。值得一提的是,最高人民法院和最高人民检察院也在近年来发布了多项有关个人信息案件适用的司法解释(在审判实践中具备等同于法律的效力),本文中不再赘述。
1.2 具体规则制定者——国务院各行政部门:
作为法律的执行者,国务院下辖的多个行政部门已经或者将要出台多项部门规章和规范性文件,就个人信息保护及隐私政策进行具体规制。从规制范围来看,这些行政部门可以细分为两类:
(1)通用性规则制定者
中共中央网络安全和信息化委员会办公室/国家互联网信息办公室(“网信办”):网信办是《网安法》下负责统筹协调网络安全工作和相关监督管理工作的监管部门,在个人信息保护的部门立法方面处于十分核心的地位。在2018年国家机构改革后将“中央网络安全和信息化领导小组”升格为“中央网络安全和信息化委员会”后,网信办统筹协调网络安全与信息化工作的地位得到进一步强化。网信办近年来制定和发布了多项相关部门规章(例如2019年10月1日起开始施行的《儿童个人信息网络保护规定》),并且正在积极推进多项相关部门规章的立法工作(例如《数据安全管理办法》、《个人信息出境安全评估办法》等)。需要提示的是,网信办是在个人信息保护标准制定领域发挥了重要作用的全国信息安全标准化技术委员会(介绍详见下文第2部分)的业务指导部门。
国家市场监督管理总局(“市监总局”):市监总局作为消费者权益保护的主管部门,对与消费者的个人信息保护有关的事项具备广泛的监管权力。2016年其前身国家工商行政管理总局发布了《消费者权益保护法实施条例(征求意见稿)》,尽管至今尚未实际出台,但其中内容仍对消费者个人信息合规工作具备重要的参考意义;与此同时,市监总局也是标准制定和认证认可工作的主管部门,发布了众多与个人信息保护相关的国家标准,并且出台了一系列与个人信息合规认证有关的规范性文件(例如2019年3月13日发布的《市监总局、中央网信办关于开展App安全认证工作的公告》)。此外市监总局还承担着“统一管理、监督和综合协调全国认证认可工作”的职责,主管中国认证认可协会,近年来倡导的App个人信息安全认证制度的落地预计也需要市监总局的密切配合。
公安部:公安机关主司打击、查处侵犯公民个人信息的犯罪行为,目前公安部尚未发布关于个人信息保护的专门部门规章,但在2019年4月19日会同北京网络行业协会发布了《互联网个人信息安全保护指南》。这一指南并不具备法律强制效力,但考虑到其为公安机关结合办案经验及安全监管工作情况形成,不排除各级公安机关在未来的个人信息保护执法办案活动中将其作为参照性的标准,因此对企业的个人信息保护合规工作具备重要参考意义。
(2)行业规则制定者
与个人信息频繁交互的行业是一直以来的监管重点,对应的行业主管部门也通过部门规章/规范性文件等方式对本行业的个人信息合规进行规制,以下是我们整理的互联网、金融、网约车、快递等个人信息合规热点行业的主管部门一览。
工业和信息化部(“工信部”):作为电信和互联网行业主管部门,早在《网安法》发布前工信部即已在2013年发布了《电信和互联网用户个人信息保护规定》,对电信业务经营者和互联网信息服务提供者收集用户信息行为提出许多原则和要求,并规定了行政处罚措施。在《电信个人信息规定》发布后的次年(2014年第二季度),工信部开始在其季度发布的电信服务质量通告中披露个人信息保护的执法情况,自2018年第四季度开始,工信部在通告中开始设专章披露执法中涉及的个人信息保护问题,2019年11月4日,工业和信息化部发布《关于开展APP侵害用户权益专项整治工作的通知》,就APP违规收集个人信息等问题进行专项整治。从中也可以一窥监管对这一领域的关注重点在不断加强。此外,值得注意的是,工信部也是在个人信息保护行业规范制定方面发挥了重要作用的中国互联网协会的业务主管单位。
中国银行保险监督管理委员会(“银保监会”)和中国人民银行(“人行”):考虑到内容的敏感性(包括征信数据、收入信息、交易记录等敏感信息),金融机构的个人信息保护一直以来均是社会关注的热点议题,作为行业主管机关的银保监会和人行也相应发布了部门规章,对金融机构的个人信息保护进行明确规制,2016年12月27日人行发布了《中国人民银行金融消费者权益保护实施办法》,2018年5月21日,银保监会发布了《银行业金融机构数据治理指引》,这两部重要的部门规章对于相关金融机构均具备强制约束力。
交通运输部:近年来飞速发展的网约车行业中出现的不少恶性案件均与个人信息的不当使用存在关联,在涉及大量个人信息处理的网约车商业模式中如何更好地保护个人信息也一直受到社会的广泛关注;作为这一新兴业态的主管部门,交通运输部亦在其连同工信部、网信办等六部委联合制定的《网络预约出租汽车经营服务管理暂行办法》中就网约车平台的个人信息保护进行了规范。
国家邮政局:快递是与每个人生活密切相关又涉及大量个人信息的行业之一,作为邮政快递业的主管部门,国家邮政局早在2014年即发布了《寄递服务用户个人信息安全管理规定》,对行业内个人信息安全保护进行了专项规制。
(3)区域规则主导者
除中央政府外,某些地区的地方政府部门也先行发布了关于个人信息保护的专项规定,例如,陕西省网信部门即在2016年12月发布了《陕西省网络个人信息保护暂行规定》。
2
立法者之外——
标准制定组织、行业协会和自律组织
除了上述立法者之外,多个标准制定组织、行业协会和自律组织也进行了大量与隐私政策有关的文件起草工作,制定发布了多个标准、指南性文件,以下罗列了其中的一些代表:
2.1 全国信息安全标准化技术委员会(“TC260”):
TC260是在信息安全专业领域内从事全国标准化工作的技术工作组织,负责全国信息安全标准化的技术归口工作,其发布的与隐私政策有关的重要文件包括2018年5月1日起开始生效的推荐性国家标准《个人信息安全规范(GB/T 35273—2017)》、2019年6月发布的指导性文件《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》等。目前TC260也正在积极推进对前述文件的修订和标准化工作。
此外,TC260也在隐私条款的审议方面积极发挥作用,在2017年网信办、工信部、公安部、国家标准委等四部委联合组织隐私政策专项评审后,2018年度的隐私条款集中评审工作即由TC260组织开展。
2.2 App违法违规收集使用个人信息专项治理工作组(“App治理工作组”):
2019年1月,中央网信办、工信部、公安部、市监总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称《公告》),对App违法违规收集使用个人信息行为进行为期一年的专项治理。为落实《公告》相关部署,受四部门委托,由TC260、中国消费者协会、中国互联网协会、中国网络空间安全协会联合成立了工作小组。尽管App治理工作组并不具备执法权限,但考虑到其与前述四部门的紧密联系,其发布的文件对App运营者具备高度参考价值。App治理工作组发布的重要文件主要包括2019年3月发布的《App违法违规收集使用个人信息自评估指南》、2019年5月发布的《App违法违规收集使用个人信息行为认定方法(征求意见稿)》,除此以外,App治理工作组不时发布的工作通报也值得关注——在其通报中明确载明没有按照工作组要求整改的App运营者可能会被移交给相关部门处置,因此其通报中体现的整改要点值得从业者提高优先级,重点对待。
2.3 中国消费者协会(“消协”):
消协对于App违法违规使用个人信息的情况也一直保持着高度的关注,2018年8-10月消协开展了App个人信息保护情况测评活动,发布了《100款App个人信息收集与隐私政策测评报告》,其中总结的隐私政策合规重点问题以及良好实践的归纳总结对于隐私政策的起草和改进具备较强的实操参考意义。
2.4 中国互联网协会(“互联网协会”):
互联网协会对互联网行业的个人信息保护活动也一直在积极参与,除了通过App治理工作组参与专项治理活动之外,互联网协会还通过专项评议、自律协议等方式来推进业内的个人信息保护工作。2019年1月8日,互联网协会发布了《网络数据和用户个人信息收集、使用自律公约》,大部分知名互联网企业均已经签署了该公约,因此其中规定的关于隐私政策的内容也值得作为行业实践参考借鉴。
2.5 中国支付清算协会:
作为中国支付清算服务行业自律组织,早在2016年6月14日,中国支付清算协会就发布了《个人信息保护技术指引》,作为行业自律文件,前述指引将对其会员单位具备一定约束力。
[注]
[1] 需要首先说明的是,尽管个人信息和隐私的法律含义并非完全等同,但实践中一般将个人信息收集和使用的规则通称为“隐私政策”,这一通称也被有关的标准制定机构所采纳,例如在《个人信息安全规范(GB/T 35273—2017)》中,即把个人信息收集和使用的规则称为“隐私政策”。因此,为简便起见,本文也将使用隐私政策一词以代指个人信息收集和使用的规则。
预
告
在回顾完在隐私政策领域活跃的立法者和有关组织之后,本文下篇将对前述立法者和有关组织发布的各类文件按照效力层级和重要程度进行梳理,并根据最新动态展望未来的立法趋势。
The End
作者简介
李瑞 律师
北京办公室 合伙人
业务领域:收购兼并, 合规/政府监管, 反垄断与竞争法
邹燚 律师
北京办公室 公司部
作者往期文章推荐:
《〈外商投资法〉审议通过!中外合资经营企业法人治理结构亟待变革》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。