【相关概念】
本法下列用语的含义:
(一)个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
(二)自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。
(三)去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。
(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。
【条文主旨】
本条是关于个人信息处理者、自动化决策、去标识化和匿名化定义的规定。
【条文理解】
一、个人信息处理者
个人信息保护法第七十三条第一款明确了什么是个人信息处理者。
首先,个人信息保护法第七十三条第一项并未对“个人信息处理者”进行类型化区分。相较而言,GDPR将有关主体分为了两类:“控制者(controller)”和“处理者(processor)”。GDPR在关于控制者的定义中同样提到,其可以“单独或与他方共同决定个人信息处理的目的和方式”,而处理者则为代表控制者处理个人信息的主体。不过,在现实生活中,除了少部分极端情况以外,“处理者(processor)”亦可以自行决定对某些个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等;如出现违规情况,显然不能以其“代表控制者”而规避责任——换言之,大部分情况下,有关主体既是处理者,又是控制者。因此,并不一定要对有关主体进行类型化的分割。并且,由于个人信息保护法第七十三条第一项并未就组织或个人的具体种类、注册地或所在地、国籍等进行限定,加之当前个人信息处理活动的普遍性,任何组织或个人都有可能成为个人信息处理者。个人信息保护法作出如此规定,目的在于通过扩大个人信息处理者范围,更好地保护个人信息权益。
其次,该项强调了“自主决定”这一要素。这一要素在实践中存在较大弹性,如前文所述,除非某一主体对开展个人信息处理活动的主体提出了详细而全面的要求,以至于后者的个人信息处理活动只能严格按照既定的步骤展开,否则很难排除其“自主决定”的存在。
最后,“自主决定”并不意味着个人信息处理者需要亲自处理个人信息。个人信息保护法第二十一条规定:“个人信息处理者委托处理个人信息的……未经个人信息处理者同意,受托人不得转委托他人处理个人信息。”可见,个人信息处理者不一定需要自己着手处理个人信息,而是可以委托他人开展个人信息处理活动,在获得其同意的情况下,受托人亦可转委托他人进行处理。这一规定可防止部分不直接处理个人信息的主体以此规避自身责任,从而更好地保障个人信息权益。
二、自动化决策
个人信息保护法第七十三条第二项关于自动化决策的定义突出了以下两个要素:一是“通过计算机程序自动分析、评估”,二是“进行决策”。
在当前各产业持续推动数字化背景下,个人信息处理者如仅凭人力,难以在短时间内处理大量的个人信息,无法满足自身需要;与此同时,人力处理个人信息势必会导致直接开展处理活动的个人接触到未曾去标识化或匿名化的个人信息,增大了这些信息泄露或被非法使用的风险。基于以上原因,在个人信息处理者决定了所要处理个人信息的目的、收集的个人信息范围以及个人信息处理的方式后,通过计算机程序进行处理既可以提高个人信息处理的效率,又可以降低风险。
从这个部分来看,“自动化决策”与GDPR第四条中所规定的用户“画像”(Profiling)具有类似之处。二者均强调了对于个人信息的自动化分析以及对自然人某些方面指标的评估。但是,自动化决策并不仅仅是“通过计算机程序自动分析、评估”,其还包括“(通过计算机程序自动)进行决策”。与自动分析、评估不同,这一决策将会直接影响个人所收到的信息推送、服务项目或其他相关事项。
三、去标识化与匿名化
个人信息保护法第七十三条第三项和第四项对去标识化和匿名化的定义进行了明确。从构成上看,这两种处理过程均具有“无法识别特定自然人”这一共同特点;但是,相较于经过匿名化处理的信息,任意一方对于仅进行去标识化的个人信息,仍可在借助额外信息的情况下进行一定程度的还原,并识别到特定的自然人。因此,个人信息保护法第四条虽然将“匿名化处理后的信息”排除在“个人信息”的范围外,但并未排除仅经过去标识化的信息。我国民法典第一千零三十八条第一款规定“信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外”,此处的除外内容亦为匿名化处理的信息。
与我国法律规定相类似,GDPR在其引言部分第二十六条同样规定,“通过使用额外信息可识别到自然人的假名化(pseudonymisation)信息应当被视为个人信息”,并且,基于“是否可能使用合理的手段识别自然人”(whether means are reasonably likely to be used to identify the natural person),GDPR“不适用于匿名化信息(anonymous information)的处理”。从GDPR第四条“定义”之第五款“假名化(pseudonymisation)”的有关规定来看,GDPR中的“假名化”与我国个人信息保护法中的“去标识化”所指一致,均提及“借助额外信息”内容;但不少GDPR的中文译本将“假名化”与“匿名化”混为一谈,给个人信息保护工作的开展造成了一定的不良影响。
【适用指南】
企业在开展与个人信息处理有关的经营活动时,不能以自身并未直接对个人信息进行处理为由,不开展有关个人信息保护的合规审查工作。与此同时,由于个人信息保护法出台时日尚短,如何认定“自主决定”在实践中尚未有统一定论,直接处理个人信息的主体意欲凭“未能自主决定”而提出在个人信息处理活动中不承担责任的主张未必能够成立。因而,即便受到了来自其他主体关于个人信息处理目的或处理方式的指引,有关主体仍应将自身视为个人信息处理者,进行合规性审查,以避免出现法律风险。
与之相类似,企业在处理个人信息时选择或编写计算机软件进行自动化决策的过程应当被认为是企业“自主决定处理目的、处理方式”,因此企业难以凭“特定个人信息处理结果是由自动化决策所作出的”而主张不承担相应责任,并且应当按照个人信息保护法第二十四条等相关规定提供相应措施。
此外,企业在运营过程中应当做好个人信息的去标识化和匿名化工作。去标识化的信息仍处于个人信息保护法的调整范围以内,企业需做好信息保护工作。即便企业综合考虑各种客观因素,例如通过特定信息识别特定自然人的成本和时间过高,或以现有技术难以实施,以此认定特定信息已经是匿名化信息,也不可放松警惕。
【相关规定】
《中华人民共和国民法典》第一千零三十八条。