|
在數(shù)字經(jīng)濟(jì)時(shí)代����,無孔不入的商業(yè)電子信息給個(gè)人生活空間造成了極具存在感的惡性侵?jǐn)_����,由于非應(yīng)邀商業(yè)電子信息指向具有強(qiáng)個(gè)人可識(shí)別性的接收人電子地址,在未獲得接收人同意的情形下���,該信息的發(fā)送無疑構(gòu)成對個(gè)人信息安全和自由的侵害����。越來越多的理性消費(fèi)者開始強(qiáng)調(diào)個(gè)人在商業(yè)環(huán)境下的“被遺忘權(quán)”,呼吁建立健全個(gè)人信息保護(hù)機(jī)制�����,并對野蠻生長的非應(yīng)邀商業(yè)電子信息進(jìn)行規(guī)制�����。 隨著2020年11月15日亞太地區(qū)15國共同簽署了《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》(Regional Comprehensive Economic Partnership���,簡稱“RCEP”)���,個(gè)人信息保護(hù)和非應(yīng)邀商業(yè)電子信息規(guī)制已經(jīng)成為國際性貿(mào)易協(xié)定中的重點(diǎn)關(guān)切,為符合RCEP對于締約方在電子商務(wù)章節(jié)項(xiàng)下的義務(wù)��,各國針對個(gè)人信息處理行為的監(jiān)管和規(guī)范也將日益收緊�����,并進(jìn)一步向RCEP規(guī)則靠攏���。如何把握個(gè)人信息處理行為在規(guī)范框架內(nèi)的合規(guī)性和靈活性�����,也將成為野心勃勃的電子商務(wù)企業(yè)在快速擴(kuò)張市場過程中需要加以重視的問題��。 本文擬從RCEP出發(fā)�,主要對第十二章電子商務(wù)章節(jié)與我國2020年10月21日發(fā)表的《中華人民共和國個(gè)人信息保護(hù)法(草案)》(以下簡稱“《個(gè)人信息保護(hù)法(草案)》”)進(jìn)行分析,討論我國如何在法律層面符合RCEP對于個(gè)人信息保護(hù)和非應(yīng)邀商業(yè)電子信息規(guī)制方面的合規(guī)要點(diǎn)�����。
RCEP采用“線上個(gè)人信息”描述電子商務(wù)領(lǐng)域的個(gè)人信息��,該章節(jié)的第八條規(guī)定的是線上個(gè)人信息保護(hù)方面的內(nèi)容�,RCEP呼吁各締約方參照相關(guān)國際標(biāo)準(zhǔn)、原則�����、指南和準(zhǔn)則制定本國的個(gè)人信息保護(hù)法律框架�,并要求締約方向電子商務(wù)用戶公布個(gè)人信息保護(hù)方面與個(gè)人救濟(jì)及企業(yè)合規(guī)指南相關(guān)的信息。 為響應(yīng)國際社會(huì)對于個(gè)人信息保護(hù)的關(guān)切����,并創(chuàng)造更有利于電子商務(wù)發(fā)展的環(huán)境,在建立健全個(gè)人信息保護(hù)機(jī)制方面�����,我國全國人大常委會(huì)發(fā)布《個(gè)人信息保護(hù)法(草案)》�,擬針對個(gè)人信息的處理行為進(jìn)行規(guī)范。雖然還處在征求意見稿階段����,但該法已經(jīng)為我國個(gè)人信息保護(hù)設(shè)立了初步法律框架,相信隨著RCEP的簽署以及充分吸收大眾意見之后��,《個(gè)人信息保護(hù)法》將得到正式頒布實(shí)施����。根據(jù)目前的草案,個(gè)人信息保護(hù)法的規(guī)制對象是個(gè)人信息的處理行為��,包括境內(nèi)外個(gè)人信息處理活動(dòng)����。對于個(gè)人信息處理者,則提出了征得同意義務(wù)����、告知目的義務(wù)、安全保護(hù)義務(wù)等合規(guī)要求。 內(nèi)容 | 合規(guī)要點(diǎn) | 備注 | 規(guī)制對象: 個(gè)人信息處理行為 | 【個(gè)人信息】 | ①個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息��,不包括匿名處理后的信息�����。 |
| ②敏感個(gè)人信息是一旦泄露或者非法使用����,可能導(dǎo)致個(gè)人受到歧視或者人身、財(cái)產(chǎn)安全受到嚴(yán)重危害的個(gè)人信息��。 | 【個(gè)人信息的處理】 包括個(gè)人信息的收集��、存儲(chǔ)��、使用�����、加工�����、傳輸�����、提供���、公開等活動(dòng)���。 | 規(guī)制范圍: 境內(nèi)外信息處理活動(dòng) | 【中國境內(nèi)】 在中國境內(nèi)處理自然人個(gè)人信息的活動(dòng)。 | 規(guī)制主體既包括境內(nèi)信息處理者���,也包括境外處理者�����。 | 【中國境外】 在中國境外處理中國境內(nèi)自然人個(gè)人信息��,以向境內(nèi)自然人提供產(chǎn)品或服務(wù)為目的的�����,或?yàn)榉治?��、評估境內(nèi)自然人的行為,或法律����、法規(guī)規(guī)定的其他情形 | 個(gè)人信息處理者合規(guī) | 【征得同意義務(wù)】 | ①除合同約定����、法律規(guī)定及公共利益要求之外�,需取得個(gè)人在充分知情的前提下,自愿做出處理個(gè)人信息的明示同意���。 |
| ②個(gè)人有權(quán)撤回其同意�����。 | ③處理未滿十四周歲的未成年人個(gè)人信息的�����,應(yīng)當(dāng)取得其監(jiān)護(hù)人的同意��。 | ④個(gè)人信息處理者向第三方提供個(gè)人信息的�,應(yīng)當(dāng)向個(gè)人告知第三方及其處理行為的相關(guān)信息����。 | ⑤個(gè)人信息的處理目的、方式和信息種類發(fā)生變更的��,應(yīng)當(dāng)重新向個(gè)人告知并取得個(gè)人同意。 | 【告知目的義務(wù)】 | ①目的限定:不得進(jìn)行與處理目的無關(guān)的個(gè)人信息處理�����。 | ②除法律法規(guī)規(guī)定情形外����,應(yīng)當(dāng)以顯著方式��、清晰易懂的語言向個(gè)人告知規(guī)定事項(xiàng)�;發(fā)生事項(xiàng)變更的,需將變更部分告知個(gè)人�����。 | ③處理敏感個(gè)人信息的��,除告知規(guī)定事項(xiàng)外���,還應(yīng)向個(gè)人告知處理敏感個(gè)人信息的必要性及對個(gè)人的影響���。 | 【安全保護(hù)義務(wù)】 | ①采取必要措施。 | ②建立個(gè)人信息保護(hù)負(fù)責(zé)人制度�。 | ③建立特定事項(xiàng)風(fēng)險(xiǎn)評估機(jī)制����。 | ④建立信息泄露事件應(yīng)對機(jī)制�����。 |
由此可見�,《個(gè)人信息保護(hù)法(草案)》充分吸取了RCEP在談判過程中對于電子商務(wù)章節(jié)信息保護(hù)的法律框架要求。 在規(guī)制非應(yīng)邀商業(yè)電子信息方面����,RCEP將“非應(yīng)邀商業(yè)電子信息”定義為,出于商業(yè)或營銷目的���,未經(jīng)接收人同意或接收人已明確拒絕���,仍向其電子地址發(fā)送的電子信息,并在第九條中提出如下要求: (一)非應(yīng)邀商業(yè)電子信息提供者:①應(yīng)為接收人提升阻止該類信息的能力提供便利���;②根據(jù)法律和法規(guī)規(guī)定��,獲得接收人的接收同意�����;③將此類信息減少到最低程度�����。 目前《個(gè)人信息保護(hù)法(草案)》框架下提升接收人阻止非應(yīng)邀商業(yè)電子信息能力的規(guī)定主要體現(xiàn)在以下方面: 明確個(gè)人的知情權(quán)����。表現(xiàn)為必須通過合理通知的方式告知個(gè)人信息的處理目的和方式,接收者必須知曉其個(gè)人信息將被用于接受商業(yè)信息��。 明確個(gè)人對個(gè)人信息具有決定權(quán)��。表現(xiàn)為“限制或拒絕他人處理”�。即個(gè)人在收到非應(yīng)邀商業(yè)信息后����,有權(quán)拒絕個(gè)人信息處理者將其信息用于接收商業(yè)信息。 明確個(gè)人的同意權(quán)���。非應(yīng)邀商業(yè)電子信息并未獲得接收人的同意���,個(gè)人信息處理者應(yīng)當(dāng)征得接收人的同意,個(gè)人亦有權(quán)撤回其同意�����。 明確個(gè)人的刪除權(quán)。個(gè)人信息處理者不得非法定理由持有��、保留個(gè)人信息��,減少個(gè)人信息日后遭到進(jìn)一步侵犯的可能性�����。 對于減少非應(yīng)邀商業(yè)電子信息至最低程度�����,《個(gè)人信息保護(hù)法(草案)》主要通過規(guī)定信息處理“必要性”進(jìn)行限制:處理個(gè)人信息應(yīng)限于實(shí)現(xiàn)個(gè)人信息處理目的的最小范圍����,不得進(jìn)行與處理目的無關(guān)的個(gè)人信息處理。本所律師認(rèn)為獲得同意的處理范圍不包括商業(yè)信息��,不得夸張至發(fā)送商業(yè)信息����,即使同意接收商業(yè)信息,商業(yè)信息的范圍也應(yīng)限制于最小范圍。 (二)法律救濟(jì):各締約方應(yīng)保留對未遵守前述規(guī)定的信息提供者的相關(guān)追索權(quán)���。 目前的《個(gè)人信息保護(hù)法(草案)》在明確侵犯個(gè)人信息權(quán)益的個(gè)人信息處理者應(yīng)當(dāng)承擔(dān)民事責(zé)任��,保證了個(gè)人的追索權(quán)以外�����,更規(guī)定了行政責(zé)任乃至刑事責(zé)任�����,形成了完整的責(zé)任體系�,對侵犯個(gè)人信息的行為是極大的警示和震懾�。相關(guān)責(zé)任體系歸納如下: 法律責(zé)任 | 【行政責(zé)任】 | 責(zé)令改正,沒收違法所得��,給予警告�����; | 違反該法規(guī)定進(jìn)行個(gè)人信息處理�,或處理行為未按規(guī)定采取必要安全保護(hù)措施 | 根據(jù)情節(jié)���,并處最高五千萬元或者上一年度營業(yè)額百分之五的罰款����; | 責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓��、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照��; | 對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處最高一百萬元罰款��; | 構(gòu)成違反治安管理行為的�����,依法給予治安管理處罰�。 | 【信用公示】 | 違法行為計(jì)入信用檔案,并予以公示����。 | 【民事責(zé)任】 | ①侵害個(gè)人信息權(quán)益的,按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得的利益承擔(dān)賠償責(zé)任���; ②集體訴訟風(fēng)險(xiǎn):違法違規(guī)處理行為侵害眾多個(gè)人利益的�,人民檢察院�、履行個(gè)人信息保護(hù)職責(zé)的部門和國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟���。 | 【刑事責(zé)任】 | 構(gòu)成犯罪的,依法追究刑事責(zé)任��。 |
RCEP《電子商務(wù)》章節(jié)必然要求締約國國內(nèi)法體現(xiàn)和符合RCEP中的倡議或規(guī)定����,雖然《個(gè)人信息保護(hù)法(草案)》目前還處于醞釀階段,但其規(guī)定已基本符合RCEP的要求�,我們相信正式頒布的《個(gè)人信息保護(hù)法》將確立起我國與協(xié)定要求相對應(yīng)的個(gè)人信息保護(hù)法律框架。 
陳路翔 陳路翔��,廣西萬益律師事務(wù)所涉外及海商海事部副部長�����。擅長領(lǐng)域:企業(yè)并購�、海外及外商投資、金融與銀行�。 
黃海源 黃海源,廣西萬益律師事務(wù)所涉外及海商海事部實(shí)習(xí)律師���。擅長領(lǐng)域:公司法律顧問、涉外民商事���。
|
