在数字经济时代,无孔不入的商业电子信息给个人生活空间造成了极具存在感的恶性侵扰,由于非应邀商业电子信息指向具有强个人可识别性的接收人电子地址,在未获得接收人同意的情形下,该信息的发送无疑构成对个人信息安全和自由的侵害。越来越多的理性消费者开始强调个人在商业环境下的“被遗忘权”,呼吁建立健全个人信息保护机制,并对野蛮生长的非应邀商业电子信息进行规制。 随着2020年11月15日亚太地区15国共同签署了《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership,简称“RCEP”),个人信息保护和非应邀商业电子信息规制已经成为国际性贸易协定中的重点关切,为符合RCEP对于缔约方在电子商务章节项下的义务,各国针对个人信息处理行为的监管和规范也将日益收紧,并进一步向RCEP规则靠拢。如何把握个人信息处理行为在规范框架内的合规性和灵活性,也将成为野心勃勃的电子商务企业在快速扩张市场过程中需要加以重视的问题。 本文拟从RCEP出发,主要对第十二章电子商务章节与我国2020年10月21日发表的《中华人民共和国个人信息保护法(草案)》(以下简称“《个人信息保护法(草案)》”)进行分析,讨论我国如何在法律层面符合RCEP对于个人信息保护和非应邀商业电子信息规制方面的合规要点。 保护个人信息 RCEP采用“线上个人信息”描述电子商务领域的个人信息,该章节的第八条规定的是线上个人信息保护方面的内容,RCEP呼吁各缔约方参照相关国际标准、原则、指南和准则制定本国的个人信息保护法律框架,并要求缔约方向电子商务用户公布个人信息保护方面与个人救济及企业合规指南相关的信息。 为响应国际社会对于个人信息保护的关切,并创造更有利于电子商务发展的环境,在建立健全个人信息保护机制方面,我国全国人大常委会发布《个人信息保护法(草案)》,拟针对个人信息的处理行为进行规范。虽然还处在征求意见稿阶段,但该法已经为我国个人信息保护设立了初步法律框架,相信随着RCEP的签署以及充分吸收大众意见之后,《个人信息保护法》将得到正式颁布实施。根据目前的草案,个人信息保护法的规制对象是个人信息的处理行为,包括境内外个人信息处理活动。对于个人信息处理者,则提出了征得同意义务、告知目的义务、安全保护义务等合规要求。 内容 合规要点 备注 规制对象: 个人信息处理行为 【个人信息】 ①个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名处理后的信息。 ②敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息。 【个人信息的处理】 包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。 规制范围: 境内外信息处理活动 【中国境内】 在中国境内处理自然人个人信息的活动。 规制主体既包括境内信息处理者,也包括境外处理者。 【中国境外】 在中国境外处理中国境内自然人个人信息,以向境内自然人提供产品或服务为目的的,或为分析、评估境内自然人的行为,或法律、法规规定的其他情形 个人信息处理者合规 【征得同意义务】 ①除合同约定、法律规定及公共利益要求之外,需取得个人在充分知情的前提下,自愿做出处理个人信息的明示同意。 ②个人有权撤回其同意。 ③处理未满十四周岁的未成年人个人信息的,应当取得其监护人的同意。 ④个人信息处理者向第三方提供个人信息的,应当向个人告知第三方及其处理行为的相关信息。 ⑤个人信息的处理目的、方式和信息种类发生变更的,应当重新向个人告知并取得个人同意。 【告知目的义务】 ①目的限定:不得进行与处理目的无关的个人信息处理。 ②除法律法规规定情形外,应当以显著方式、清晰易懂的语言向个人告知规定事项;发生事项变更的,需将变更部分告知个人。 ③处理敏感个人信息的,除告知规定事项外,还应向个人告知处理敏感个人信息的必要性及对个人的影响。 【安全保护义务】 ①采取必要措施。 ②建立个人信息保护负责人制度。 ③建立特定事项风险评估机制。 ④建立信息泄露事件应对机制。 由此可见,《个人信息保护法(草案)》充分吸取了RCEP在谈判过程中对于电子商务章节信息保护的法律框架要求。 非应邀商业电子信息 在规制非应邀商业电子信息方面,RCEP将“非应邀商业电子信息”定义为,出于商业或营销目的,未经接收人同意或接收人已明确拒绝,仍向其电子地址发送的电子信息,并在第九条中提出如下要求: (一)非应邀商业电子信息提供者:①应为接收人提升阻止该类信息的能力提供便利;②根据法律和法规规定,获得接收人的接收同意;③将此类信息减少到最低程度。 目前《个人信息保护法(草案)》框架下提升接收人阻止非应邀商业电子信息能力的规定主要体现在以下方面: 明确个人的知情权。表现为必须通过合理通知的方式告知个人信息的处理目的和方式,接收者必须知晓其个人信息将被用于接受商业信息。 明确个人对个人信息具有决定权。表现为“限制或拒绝他人处理”。即个人在收到非应邀商业信息后,有权拒绝个人信息处理者将其信息用于接收商业信息。 明确个人的同意权。非应邀商业电子信息并未获得接收人的同意,个人信息处理者应当征得接收人的同意,个人亦有权撤回其同意。 明确个人的删除权。个人信息处理者不得非法定理由持有、保留个人信息,减少个人信息日后遭到进一步侵犯的可能性。 对于减少非应邀商业电子信息至最低程度,《个人信息保护法(草案)》主要通过规定信息处理“必要性”进行限制:处理个人信息应限于实现个人信息处理目的的最小范围,不得进行与处理目的无关的个人信息处理。本所律师认为获得同意的处理范围不包括商业信息,不得夸张至发送商业信息,即使同意接收商业信息,商业信息的范围也应限制于最小范围。 (二)法律救济:各缔约方应保留对未遵守前述规定的信息提供者的相关追索权。 目前的《个人信息保护法(草案)》在明确侵犯个人信息权益的个人信息处理者应当承担民事责任,保证了个人的追索权以外,更规定了行政责任乃至刑事责任,形成了完整的责任体系,对侵犯个人信息的行为是极大的警示和震慑。相关责任体系归纳如下: 法律责任 【行政责任】 责令改正,没收违法所得,给予警告; 违反该法规定进行个人信息处理,或处理行为未按规定采取必要安全保护措施 根据情节,并处最高五千万元或者上一年度营业额百分之五的罚款; 责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照; 对直接负责的主管人员和其他直接责任人员处最高一百万元罚款; 构成违反治安管理行为的,依法给予治安管理处罚。 【信用公示】 违法行为计入信用档案,并予以公示。 【民事责任】 ①侵害个人信息权益的,按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任; ②集体诉讼风险:违法违规处理行为侵害众多个人利益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼。 【刑事责任】 构成犯罪的,依法追究刑事责任。 RCEP《电子商务》章节必然要求缔约国国内法体现和符合RCEP中的倡议或规定,虽然《个人信息保护法(草案)》目前还处于酝酿阶段,但其规定已基本符合RCEP的要求,我们相信正式颁布的《个人信息保护法》将确立起我国与协定要求相对应的个人信息保护法律框架。
陈路翔
陈路翔,广西万益律师事务所涉外及海商海事部副部长。擅长领域:企业并购、海外及外商投资、金融与银行。
黄海源
黄海源,广西万益律师事务所涉外及海商海事部实习律师。擅长领域:公司法律顾问、涉外民商事。
联系客服
