2021年8月20日,备受关注的《中华人民共和国个人信息保护法》(简称“个人信息保护法”)由十三届全国人大常委会第三十次会议正式通过,将于2021年11月1日起施行。个人信息保护法共8章74条,在有关法律的基础上,进一步细化完善了个人信息保护应遵循的原则和个人信息处理规则,明确了个人信息处理活动中的权利义务边界,健全了个人信息保护工作体制机制等,为个人信息织密了保护之网,亮点多多。
(一)对“个人信息”进行更为严谨的定义和列举。2016年11月7日,十二届全国人大常委会第二十四次会议通过的网络安全法对“个人信息”的定义和列举是:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”(第七十六条之规定)在此基础上,个人信息保护法对“个人信息”做出了更为严谨的定义及列举:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”(第四条第一款之规定)匿名化处理后的信息被明确不属于个人信息,将进一步推进个人信息匿名化处理技术在数据安全保护方面的研发、应用及革新。
(二)明确处理个人信息应遵循的基本原则。个人信息保护法在总则(第一章)中明确:“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”(第四条第二款)应遵循以下基本原则:一是遵循合法、正当、必要和诚信的原则。依据个人信息保护法第五条之规定,“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。”二是遵循最小范围收集的原则。依据个人信息保护法第六条之规定,“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。”(第一款)“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”(第二款)三是遵循公开、透明的原则。依据个人信息保护法第七条之规定,“处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。”四是遵循保证个人信息质量的原则。依据个人信息保护法第八条之规定,“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。”五是遵循保障个人信息安全的原则。依据个人信息保护法第九条之规定,“个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。”六是遵循禁止非法取得及提供的原则。依据个人信息保护法第十条之规定,“任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。”以上基本原则,是收集、使用个人信息的基本遵循,是构建个人信息保护具体规则的制度基础。
(三)构建以“告知-同意”为核心的个人信息处理规则。个人信息保护法单列专门章节(第二章第一节)对个人信息处理规则做出了一般性规定。依据个人信息保护法第十三条之规定,个人信息处理的前提条件是“应当取得个人同意”(第二款),但是法定情形除外(有第一款第二项至第七项规定情形的,不需取得个人同意)。对处理个人信息的基本要求是个人信息处理者要事前“告知”并获得“同意”或依法定情形(第十三条),并明确个人信息处理者在处理个人信息前应履行充分告知义务(第十七条),当“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。”(第十四条第二款)“基于个人同意处理个人信息的,个人有权撤回其同意。”(第十五条第二款)“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务。”(第十六条之规定),形成了以“告知-同意-撤回同意/拒绝”为逻辑主线的处理规则。
(四)确立自动化决策对数据处理的基本规则。当前,越来越多的企业用大数据分析和评估消费者的个人特征用于商业营销,最典型的就是社会反映突出的“大数据杀熟”。对此,个人信息保护法第二十四条规定,“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。”(第一款)同时明确:“通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。”(第二款)“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”(第三款之规定)这一基本规则,确定了算法自动化决策治理的基本框架,为自动化决策应用于电商平台经济、数字政府运行划定了合法边界。
(五)确立敏感个人信息的处理规则。个人信息保护法单列专门章节(第二章第二节)确立了敏感个人信息的处理规则。个人信息保护法对“敏感个人信息”进行定义和列举,即:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”(第二十八条之规定)依据个人信息保护法之规定,“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”(第二十八条第二款)处理敏感个人信息应当取得同意(第二十九条);应当事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响(第三十条);处理不满十四周岁未成年人个人信息的,“应当取得未成年人的父母或者其他监护人的同意。”(第三十一条第一款)并“应当制定专门的个人信息处理规则。”(第二款之规定)
(六)规范国家机关处理个人信息的行为。个人信息保护法单列专门章节(第二章第三节)对国家机关为履行法定职责处理个人信息进行了特别规定,包括:“应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度”(第三十四条)、“应当依照本法规定履行告知义务”(第三十五条)、“应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估”(第三十六条之规定)。此外,依据个人信息保护法第三十七条之规定,“法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息,适用本法关于国家机关处理个人信息的规定。”该条款之规定与数据安全法相结合,完善了政务数据的处理规则。
(七)设立个人信息跨境提供的规则。当今个人信息的跨境流动日益频繁,但由于遥远的地理距离以及不同国家法律制度、保护水平之间的差异,个人信息跨境流动风险越来越难以控制。为此,个人信息保护法设立专章(第三章)构建了一套清晰、系统的个人信息跨境流动规则,以满足保障个人信息权益和安全的客观要求,适应国际经贸往来的现实需要。个人信息保护法对个人信息跨境提供设定了应具备的条件和应采取的必要措施(第三十八条)、应向个人告知相关事项并得到同意(第三十九条);个人信息一般应储存在境内,确需向境外提供应进行安全评估(第四十条);非经主管机关批准,不得向外国机构提供存储于境内的个人信息(第四十一条);并对境外侵害行为采取限制或者禁止(第四十二条)、对等措施(第四十三条之规定)等。
(八)确立个人在个人信息处理活动中的权利。个人信息保护法单列专章(第四章)确立了个人对个人信息的多方面权利,包括:“个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理”(第四十四条)、“个人有权向个人信息处理者查阅、复制其个人信息”(第四十五条)、“个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充”(第四十六条)、“个人有权请求删除”(第四十七条)、“个人有权要求个人信息处理者对其个人信息处理规则进行解释说明”(第四十八条)、“自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利”(第四十九条之规定)。为保障个人在个人信息处理活动中的权利,个人信息保护法特别规定:“个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供”(第四十五条第二款)、“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”(第三款之规定),这种可携带权为个人信息在不同互联网平台间进行指定转移、数据互联互通提供了合规路径。
(九)设定个人信息处理者的义务。个人信息保护法设立专章(第五章)明确了个人信息处理者的合规管理和保障个人信息安全等义务。个人信息保护法第五十一条列举了个人信息处理者应采取六个方面措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失;第五十五条列举了具有五个方面情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录;第五十六条列举了个人信息保护影响评估应当包括的三个方面内容;第五十七条就发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并列举了三个方面事项通知履行个人信息保护职责的部门和个人。个人信息保护法还特别设定大型网络平台的义务。依据个人信息保护法第五十八条之规定,“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;(四)定期发布个人信息保护社会责任报告,接受社会监督。”个人信息保护法还规定,“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。”(第五十二条第一款)“个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。”(第二款)“境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。”(第五十三条)“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”(第五十四条之规定)
(十)设定履行个人信息保护职责的部门。个人信息保护法设立专章(第六章)明确了国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作,同时对个人信息保护和监管职责作出规定。依据个人信息保护法第六十条之规定,“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。”(第一款)“县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。”(第二款)列举了以上这些这些部门的五个方面个人信息保护之责(第六十一条),并可以采取四个方面的措施依法履行职责(第六十三条);列举了国家网信部门统筹协调有关部门依法推进五个方面的个人信息保护工作(第六十二条之规定)。个人信息保护法还规定,履行个人信息保护职责的部门发现问题,可以对个人信息处理者进行约谈,或者进行合规审计(第六十四条),受理投诉、举报(第六十五条之规定)等。
(十一)强化对侵犯个人信息的惩罚力度。在网络安全法、数据安全法的基础上,进一步加强了对侵犯个人信息的立法保护,并注意与其他法律之间的衔接。个人信息保护法设立“法律责任”专章(第七章)强化了侵犯个人信息的惩罚机制和力度。对个人信息处理者规定了较严格的行政处罚(第六十六条)、计入信用档案并公示(第六十七条)、公益诉讼(第七十条)、民事赔偿责任(第六十九条)、刑事责任(第七十一条之规定);对国家机关不履行个人信息保护义务,也明确了惩罚措施(第六十八条之规定)。(安徽芜湖三山经济开发区人大工委 汪洋 滕修福)
