8章74條,個人信息保護法來了!權威解讀十大亮點
2021-09-14
經(jīng)過(guò)三次審議,8月20日,十三屆全國(guó)人大常委會第三十次會議表決通過(guò)了《中華人民共和國(guó)個人信息保護法》,將(jiāng)于2021年11月1日起(qǐ)施行。
在信息化時代,個人信息保護已成(chéng)爲廣大人民群衆最關心最直接最現實的利益問題之一。個人信息保護法堅持和貫徹以人民爲中心的法治理念,牢牢把握保護人民群衆個人信息權益的立法定位,聚焦個人信息保護領域的突出問題和人民群衆的重大關切。
個人信息保護法共8章74條。在有關法律的基礎上,該法進(jìn)一步細化、完善個人信息保護應遵循的原則和個人信息處理規則,明确個人信息處理活動中的權利義務邊界,健全個人信息保護工作體制機制。
“個人信息保護法切實將(jiāng)廣大人民群衆網絡空間合法權益維護好(hǎo)、保障好(hǎo)、發(fā)展好(hǎo),使廣大人民群衆在數字經(jīng)濟發(fā)展中享受更多的獲得感、幸福感、安全感。”全國(guó)人大常委會法工委經(jīng)濟法室副主任楊合慶對(duì)個人信息保護法進(jìn)行了權威解讀。
亮點一:
确立個人信息保護原則
個人信息保護的原則是收集、使用個人信息的基本遵循,是構建個人信息保護具體規則的制度基礎。
個人信息保護法借鑒國(guó)際經(jīng)驗并立足我國(guó)實際,确立了個人信息處理應遵循的原則,強調處理個人信息應當遵循合法、正當、必要和誠信原則,具有明确、合理的目的并與處理目的直接相關,采取對(duì)個人權益影響最小的方式,限于實現處理目的的最小範圍,公開(kāi)處理規則,保證信息質量,采取安全保護措施等。
“這(zhè)些原則應當貫穿于個人信息處理的全過(guò)程、各環節。”楊合慶說。
亮點二:
規範處理活動保障權益
個人信息保護法緊緊圍繞規範個人信息處理活動、保障個人信息權益,構建了以“告知-同意”爲核心的個人信息處理規則。
“‘告知-同意’是法律确立的個人信息保護核心規則,是保障個人對(duì)其個人信息處理知情權和決定權的重要手段。”楊合慶說。
個人信息保護法要求,處理個人信息應當在事(shì)先充分告知的前提下取得個人同意,個人信息處理的重要事(shì)項發(fā)生變更的應當重新向(xiàng)個人告知并取得同意。同時,針對(duì)現實生活中社會反映強烈的一攬子授權、強制同意等問題,個人信息保護法特别要求,個人信息處理者在處理敏感個人信息、向(xiàng)他人提供或公開(kāi)個人信息、跨境轉移個人信息等環節應取得個人的單獨同意,明确個人信息處理者不得過(guò)度收集個人信息,不得以個人不同意爲由拒絕提供産品或者服務,并賦予個人撤回同意的權利,在個人撤回同意後(hòu),個人信息處理者應當停止處理或及時删除其個人信息。
此外,考慮到經(jīng)濟社會生活的複雜性,個人信息處理的場景日益多樣(yàng),個人信息保護法從維護公共利益和保障社會正常生産生活的角度,還(hái)對(duì)取得個人同意以外可以合法處理個人信息的特定情形作了規定。
此外,個人信息保護法還(hái)分别對(duì)共同處理、委托處理等實踐中較爲常見的處理情形作出有針對(duì)性規定。
亮點三:
禁止“大數據殺熟”規範自動化決策
當前,越來越多的企業利用大數據分析、評估消費者的個人特征用于商業營銷。有一些企業通過(guò)掌握消費者的經(jīng)濟狀況、消費習慣、對(duì)價格的敏感程度等信息,對(duì)消費者在交易價格等方面(miàn)實行歧視性的差别待遇,誤導、欺詐消費者。其中,最典型的就是社會反映突出的“大數據殺熟”。
“‘大數據殺熟’行爲違反了誠實信用原則,侵犯了消費者權益保護法規定的消費者享有公平交易條件的權利,應當在法律上予以禁止。”楊合慶說。
對(duì)此,個人信息保護法明确規定:個人信息處理者利用個人信息進(jìn)行自動化決策,應當保證決策的透明度和結果公平、公正,不得對(duì)個人在交易價格等交易條件上實行不合理的差别待遇。
亮點四:
嚴格保護敏感個人信息
值得關注的是,個人信息保護法將(jiāng)生物識别、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌迹等信息列爲敏感個人信息。個人信息保護法要求,隻有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,方可處理敏感個人信息,同時應當事(shì)前進(jìn)行影響評估,并向(xiàng)個人告知處理的必要性以及對(duì)個人權益的影響。
“這(zhè)主要是考慮到此類信息一旦洩露或者被(bèi)非法使用,極易導緻自然人的人格尊嚴受到侵害或者人身、财産安全受到危害,因此,對(duì)處理敏感個人信息的活動應當作出更加嚴格的限制。”楊合慶說。
值得關注的是,爲保護未成(chéng)年人的個人信息權益和身心健康,個人信息保護法特别將(jiāng)不滿十四周歲未成(chéng)年人的個人信息确定爲敏感個人信息予以嚴格保護。同時,與未成(chéng)年人保護法有關規定相銜接,要求處理不滿十四周歲未成(chéng)年人個人信息應當取得未成(chéng)年人的父母或者其他監護人的同意,并應當對(duì)此制定專門的個人信息處理規則。
亮點五:
規範國(guó)家機關處理活動
爲履行維護國(guó)家安全、懲治犯罪、管理經(jīng)濟社會事(shì)務等職責,國(guó)家機關需要處理大量個人信息。保護個人信息權益、保障個人信息安全是國(guó)家機關應盡的義務和責任。但近年來,一些個人信息洩露事(shì)件也反映出有些國(guó)家機關存在個人信息保護意識不強、處理流程不規範、安全保護措施不到位等問題。
對(duì)此,個人信息保護法對(duì)國(guó)家機關處理個人信息的活動作出專門規定,特别強調國(guó)家機關處理個人信息的活動适用本法,并且處理個人信息應當依照法律、行政法規規定的權限和程序進(jìn)行,不得超出履行法定職責所必需的範圍和限度。
亮點六:
賦予個人充分權利
個人信息保護法將(jiāng)個人在個人信息處理活動中的各項權利,包括知悉個人信息處理規則和處理事(shì)項、同意和撤回同意,以及個人信息的查詢、複制、更正、删除等總結提升爲知情權、決定權,明确個人有權限制個人信息的處理。
同時,爲了适應互聯網應用和服務多樣(yàng)化的實際,滿足日益增長(cháng)的跨平台轉移個人信息的需求,個人信息保護法對(duì)個人信息可攜帶權作了原則規定,要求在符合國(guó)家網信部門規定條件的情形下,個人信息處理者應當爲個人提供轉移其個人信息的途徑。
此外,個人信息保護法還(hái)對(duì)死者個人信息的保護作了專門規定,明确在尊重死者生前安排的前提下,其近親屬爲自身合法、正當利益,可以對(duì)死者個人信息行使查閱、複制、更正、删除等權利。
亮點七:
強化個人信息處理者義務
個人信息處理者是個人信息保護的第一責任人。據此,個人信息保護法強調,個人信息處理者應當對(duì)其個人信息處理活動負責,并采取必要措施保障所處理的個人信息的安全。
在此基礎上,個人信息保護法設專章明确了個人信息處理者的合規管理和保障個人信息安全等義務,要求個人信息處理者按照規定制定内部管理制度和操作規程,采取相應的安全技術措施,指定負責人對(duì)其個人信息處理活動進(jìn)行監督,定期對(duì)其個人信息活動進(jìn)行合規審計,對(duì)處理敏感個人信息、利用個人進(jìn)行自動化決策、對(duì)外提供或公開(kāi)個人信息等高風險處理活動進(jìn)行事(shì)前影響評估,履行個人信息洩露通知和補救義務等。
亮點八:
賦予大型網絡平台特别義務
互聯網平台服務是數字經(jīng)濟區别于傳統經(jīng)濟的顯著特征。互聯網平台爲商品和服務的交易提供技術支持、交易場所、信息發(fā)布和交易撮合等服務。
“在個人信息處理方面(miàn),互聯網平台爲平台内經(jīng)營者處理個人信息提供基礎技術服務、設定基本處理規則,是個人信息保護的關鍵環節。”楊合慶指出,提供重要互聯網平台服務、用戶數量巨大、業務類型複雜的個人信息處理者對(duì)平台内的交易和個人信息處理活動具有強大的控制力和支配力,因此在個人信息保護方面(miàn)應當承擔更多的法律義務。
據此,個人信息保護法對(duì)這(zhè)些大型互聯網平台設定了特别的個人信息保護義務,包括:按照國(guó)家規定建立健全個人信息保護合規制度體系,成(chéng)立主要由外部成(chéng)員組成(chéng)的獨立機構對(duì)個人信息保護情況進(jìn)行監督;遵循公開(kāi)、公平、公正的原則,制定平台規則;對(duì)嚴重違法處理個人信息的平台内産品或者服務提供者,停止提供服務;定期發(fā)布個人信息保護社會責任報告,接受社會監督。個人信息保護法的上述規定是爲了提高大型互聯網平台經(jīng)營業務的透明度,完善平台治理,強化外部監督,形成(chéng)全社會共同參與的個人信息保護機制。
亮點九:
規範個人信息跨境流動
随著(zhe)經(jīng)濟全球化、數字化的不斷推進(jìn)以及我國(guó)對(duì)外開(kāi)放的不斷擴大,個人信息的跨境流動日益頻繁,但由于遙遠的地理距離以及不同國(guó)家法律制度、保護水平之間的差異,個人信息跨境流動風險更加難以控制。
“個人信息保護法構建了一套清晰、系統的個人信息跨境流動規則,以滿足保障個人信息權益和安全的客觀要求,适應國(guó)際經(jīng)貿往來的現實需要。”楊合慶介紹說,一是明确以向(xiàng)境内自然人提供産品或者服務爲目的,或者分析、評估境内自然人的行爲等,在我國(guó)境外處理境内自然人個人信息的活動适用本法,并要求符合上述情形的境外個人信息處理者在我國(guó)境内設立專門機構或者指定代表,負責個人信息保護相關事(shì)務;二是明确向(xiàng)境外提供個人信息的途徑,包括通過(guò)國(guó)家網信部門組織的安全評估、經(jīng)專業機構認證、訂立标準合同、按照我國(guó)締結或參加的國(guó)際條約和協定等;三是要求個人信息處理者采取必要措施保障境外接收方的處理活動達到本法規定的保護标準;四是對(duì)跨境提供個人信息的“告知-同意”作出更嚴格的要求,切實保障個人的知情權、決定權等權利;五是爲維護國(guó)家主權、安全和發(fā)展利益,對(duì)跨境提供個人信息的安全評估、向(xiàng)境外司法或執法機構提供個人信息、限制跨境提供個人信息的措施、對(duì)外國(guó)歧視性措施的反制等作了規定。
亮點十:
健全個人信息保護工作機制
個人信息保護涉及的領域廣,相關制度措施的落實有賴于完善的監管執法機制。
根據個人信息保護工作實際,個人信息保護法明确,國(guó)家網信部門和國(guó)務院有關部門在各自職責範圍内負責個人信息保護和監督管理工作,同時,對(duì)個人信息保護和監管職責作出規定,包括開(kāi)展個人信息保護宣傳教育、指導監督個人信息保護工作、接受處理相關投訴舉報、組織對(duì)應用程序等進(jìn)行測評、調查處理違法個人信息處理活動等。
此外,爲了加強個人信息保護監管執法的協同配合,個人信息保護法還(hái)進(jìn)一步明确了國(guó)家網信部門在個人信息保護監管方面(miàn)的統籌協調作用,并對(duì)其統籌協調職責作出具體規定。
