欢迎您的咨询:+86-10-57058508
《中华人民共和国个人信息保护法》解读
时间:2021年12月20日
2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),并于2021年11月1日起生效实施。《个人信息保护法》集中体现了以人民为中心的立法理念,并在国家层面建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为。
一、立法背景
截至2020年12月,我国互联网用户已达9.89亿,互联网网站超过443万个、应用程序数量超过345万个,网络已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带。现实生活中,一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,个人信息成为经营者手中用于交换利益的廉价或免费的筹码(如2020年中信银行泄露脱口秀演员池子个人信息案件、“大数据杀熟”、“3·15”爆出的各种个人隐私泄露事件等)。
为进一步加强个人信息保护、维护网络空间良好生态、促进数字经济健康发展,《个人信息保护法》应运而生。
二、即有的包含个人信息保护的相关法律规定
1. 中华人民共和国民法典;
2. 中华人民共和国数据安全法;
3. 中华人民共和国网络安全法;
4. 中华人民共和国刑法;
5. 中华人民共和国电子商务法;
6. 中华人民共和国统计法;
7. 中华人民共和国密码法;
8. 中华人民共和国广告法;
9. 中华人民共和国治安管理处罚法;
10. 中华人民共和国反洗钱法;
《个人信息保护法》颁布实施前,我国关于个人信息保护的相关规定散见于以上法律法规中,《个人信息保护法》是中国第一部专门规范个人信息保护的法律,并与《网络安全法》、《数据安全法》共同构架出我国数据安全的法律体系。
三、《个人信息保护法》结构
《个人信息保护法》共八章,七十四条。八章分别为总则(12条)、个人信息处理规则(25条)、个人信息跨境提供的规则(6条)、个人在个人信息处理活动中的权利(7条)、个人信息处理者的义务(9条)、履行个人信息保护职责的部门(6条)、法律责任(6条)和附则(3条)。
四、《个人信息保护法》适用范围
依《个人信息保护法》第3条,组织、个人在中华人民共和国境内处理自然人个人信息的活动,适用本法。在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列三种情形之一的,也适用本法:
一是“以向境内自然人提供产品或者服务为目的”;如Amazon,美国运营,向中国境内的自然人(包括本国人、外国人和无国籍人)提供产品或服务;
二是“分析、评估境内自然人的行为”;如Facebook,每年发布专门的用户行为习惯(境内自然人)研究分析报告;
三是法律、行政法规规定的其他情形;如我国《数据安全法》第二条关于“在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。”的规定。
提示:2018年的欧盟GDPR率先确立了个人数据保护的域外效力;我国的《个人信息保护法》亦借鉴了GDPR域外效力的立法例。境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
五、《个人信息保护法》的立法目的是“保护”和“利用”,同步推进
依《个人信息保护法》第1条,为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。
六、《个人信息保护法》的保护对象--个人信息释义
依《个人信息保护法》,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
依《个人信息保护法》,“匿名化”是指个人信息经过处理无法识别特定自然人且不能复原的过程。
“不能复原”一般包括:一是删除个人信息包含的个人描述部分,包括将描述部分替换为其他描述部分,或者使用具有不可恢复的方法等;二是删除所述个人信息中所包含的全部标识符,包括将标识符替换为其他描述部分,或者使用具有不可恢复的方法等。
提示:在《网络安全法》、《民法典》以及最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中的“个人信息”定义基础上,《个人信息保护法》对“个人信息”的定义增加了“不包括匿名化处理后的信息”内容,即匿名化处理后的信息不属于个人信息,不适用《个人信息保护法》规定。
来源:法制网
七、个人信息处理的基本原则
《个人信息保护法》第五条至第九条明确了处理个人信息的基本原则,是贯穿个人信息处理活动的总体指引,包括:合法、正当、必要和诚信原则;明确性和相关性原则;最小程度原则;公开透明原则;完整性和准确性原则;安全保证原则。在当前云环境和平台经济的背景下,很多新型和疑难的个人信息保护案件很难精准地适用具体相应的法律条款,此时,基本原则将充分发挥协调、补漏重要作用。
上述原则中,“合法、正当、必要”、“公开、透明”以及“保障个人信息安全”在《网络安全法》、《民法典》、《消费者权益保护法》及《全国人民代表大会常务委员会关于加强网络信息保护的决定》等相关立法中均有体现,是我国个人信息处理应遵循的通用规则。
《个人信息保护法》第六条规定的“对个人权益影响最小的方式”“限于实现处理目的的最小范围”是个人信息处理的核心原则,即“最小程度原则”,是禁止“过度收集个人信息”的关键,个人信息处理者只有在“非必要不收集”的情况下,才能确保其采取对个人权益影响最小的方式。但实际上,大部分类别的应用程序都有获取非必要信息的情况(见下图):
各类APP信息获取情况表,来源: 澎湃统计。
来源:法制网
八、个人信息处理规则“告知-知情-同意”为核心
“告知-同意”这一个人信息处理规则,在《网络安全法》、《消费者权益保护法》及《民法典》中均有规定。《个人信息保护法》在此基础上增加了“知情”内容,要求处理个人信息应当在事先充分告知、个人在充分知情的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。
九、敏感个人信息的认定与处理的特别规则
依《个人信息保护法》第28条,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
以上定义采用“个人信息被泄露或者非法使用+危害后果+列举重要敏感个人信息”的立法技术,同时将不满十四周岁未成年人的个人信息也纳入了“敏感个人信息”给予重点保护。
提示:依《民法典》第1034条,个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。故,《个人信息保护法》没有对自然人的隐私信息做出专门规定,而是将个人信息分为敏感信息和非敏感信息,并设专节设置了“敏感个人信息的处理规则”。
《个人信息保护法》对处理敏感个人信息作出了严格的限制性规定,即在履行“告知-知情-同意”原则的基础上,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
特别是处理敏感个人信息应当取得个人的单独同意,如果法律、行政法规规定处理敏感个人信息应当取得书面同意的,应当从其规定。
在告知内容方面,需特别向个人告知处理敏感个人信息的必要性以及对个人权益的影响。
十、跨境提供规则
在数字和网络时代,特别是疫情引发的非接触式经济,使个人信息的跨境流动日益频繁,但是由于不同国家的个人信息法律制度存在差异,个人信息跨境流动的规则也有所不同。我国《个人信息保护法》立足我国实际,并借鉴了国际立法经验,确立了一套完善的个人信息跨境提供规则。
《个人信息保护法》明确了个人信息处理者向境外提供个人信息应当具备的基本条件,明确:关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估;对于其他需要跨境提供个人信息的,规定了经专业机构认证等途径;对跨境提供个人信息的 “告知-同意”作出更严格的“应告知接收方详细信息,并取得单独同意”要求;未经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息;对从事损害我国公民个人信息权益或者危害我国国家安全、公共利益等活动的境外组织、个人,以及在个人信息保护方面对我国采取不合理措施的国家和地区,规定了相应的限制或者禁止措施。
十一、个人在个人信息处理活动中的权利
1. 知情同意权,收集和使用公民个人信息必须遵循合法、正当、必要原则,且目的必须明确并经用户的知情、同意;
2. 决定权,有权限制、拒绝或撤回他人对其个人信息的处理;
3. 查阅复制权,个人有权向个人信息处理者查阅、复制其个人信息;
4. 个人信息移转权,个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径;
5. 更正补充权,个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充;
6. 删除权,1)处理目的已实现、无法实现或者为实现处理目的不再必要,2)个人信息处理者停止提供产品或者服务,或者保存期限已届满,3)个人撤回同意,4)个人信息处理者违反法律、行政法规或者违反约定处理个人信息,5)法律、行政法规规定的其他情形;在以上情形下,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权要求删除:
7. 规则解释权,个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。
十二、自动化决策-明确禁止“大数据杀熟”以及为“用户画像”
针对当前社会各方面对于用户画像、算法推荐等新技术新应用高度关注,对相关产品和服务中存在的信息骚扰、“大数据杀熟”等问题,《个人信息保护法》立足于维护广大人民群众的网络空间合法权益,对利用个人信息进行自动化决策作出有针对性的规范(第24条):“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。提供其他选项或拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定”。具体而言:
首先,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇;
其次,通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式(精准广告推送及退出机制情况见附图);
第三,通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
收到精准广告推送情况,来源:《全国网民网络安全感满意度调查统计报告》2020
精准广告提供退出机制的情况,来源:《全国网民网络安全感满意度调查统计报告》2020
十三、重要互联网平台的“守门人”制度
重要互联网平台提供平台服务涉及的用户数量巨大、业务类型复杂,其做为个人信息处理者对平台内的交易和个人信息处理活动具有强大的控制力和支配力,因此在个人信息保护方面应当承担更多的法律义务。《个人信息保护法》个人信息保护法对这些大型互联网平台设定了特别的个人信息保护义务,要求其履行“守门人”义务,主要包括:
1.应按照国家规定建立健全个人信息保护合规制度体系;
2..成立主要由外部成员组成的独立机构进行监督;
3.遵循公开、公平、公正的原则制定平台规则;
4.对严重违法处理个人信息的平台内产品或服务提供者停止提供服务;
5..定期发布个人信息保护社会责任报告并接受社会监督等。
2021年10月29日,国家市场监督管理总局就《互联网平台分类分级指南(征求意见稿)《互联网平台落实主体责任指南(征求意见稿)》公开征求意见。
《互联网平台分类分级指南(征求意见稿)》根据用户规模、业务种类、限制能力,将互联网平台分为以下三级:超级平台、大型平台和中小平台,其中“超级平台”超级平台指同时具备超大用户规模、超广业务种类、超高经济体量和超强限制能力的平台。其中,超大用户规模,即平台上年度在中国的年活跃用户不低于5亿;超广业务种类,即平台核心业务至少涉及两类平台业务,该业务涉及网络销售、生活服务、社交娱乐、信息资讯、金融服务、计算应用等六大方面;超高经济体量,即平台上年底市值(估值)不低于10000亿人民币;超强限制能力,即平台具有超强的限制商户接触消费者(用户)的能力。
《互联网平台落实主体责任指南(征求意见稿)》明确了超大型平台经营者的八大主体责任,一是公平竞争的示范责任;二是平等治理的责任;三是开放生态,推动其提供的服务与其他平台经营者提供的服务具有互操作性的责任;四是数据管理的责任;五是内部治理的责任;六是风险评估的责任;七是安全审计的责任,超大型平台经营者应定期委托第三方独立机构对《互联网平台落实主体责任指南》所规定的主体责任的遵守情况进行审计,并由第三方独立机构发布书面审计报告;八是促进创新的责任。
十四、法律责任
《个人信息保护法》第66条对违法处理个人信息,或者处理个人信息未履行法定的个人信息保护义务设置了三项法律责任,一是由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;二是拒不改正的,并处一百万元以下罚款;三是对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的,一是由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;二是对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
“徒法不足以自行”,个人信息保护法颁布实施后,有待司法、行政、执法等相关机关多角度协同发力,并适时出台配套的政策法规以最终成为护持个人权益、激励稳健发展、连接国家命运的数字时代基本法。
