《个人信息保护法》重点制度解析:聚焦数字经济发展新挑战,开启个人信息保护新篇章
“《个人信息保护法》进一步明确了个人信息处理活动应遵循的原则,完善了个人信息处理规则,保障了个人在个人信息处理活动中的各项权利,强化了个人信息处理者的义务,并设置了严格的法律责任。”
2021年8月20日,《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)由第十三届全国人大常委会第三十次会议通过,自2021年11月1日起施行。《个人信息保护法》聚焦个人信息保护领域的突出问题和人民群众的重大关切,尤其关注随着数字经济发展出现的随意收集、违法获取、过度使用、非法买卖个人信息等突出问题,在《网络安全法》《民法典》等现行有关法律的基础上,进一步完善了个人信息保护制度规则,全面规范了个人信息处理活动,为我国个人信息保护和数字经济发展提供了更加完备、更加有力的法律保障。
《个人信息保护法(草案)》(以下简称“《草案》”),经过第十三届全国人大常委会2020年10月、2021年4月和2021年8月的三次审议,最终获得通过。前两次审议的《草案》文本(以下简称为“一审稿”和“二审稿”)都曾公开征求意见,引起了各界的广泛关注和讨论。以下结合《草案》历次审议的讨论完善情况,对《个人信息保护法》的重点制度设计做一简要解析。
01
确立个人信息处理应遵循的基本原则
《个人信息保护法》规定了个人信息处理应遵循的基本原则,包括合法正当原则、诚信原则、目的明确合理原则、最小必要原则、公开透明原则、保证质量原则、主体负责原则、安全保障原则,并将这些原则要求贯穿于个人信息处理的全过程、各环节。
针对《草案》审议中比较关注的个人信息收集、使用规则不透明及过度收集、使用等突出问题,《个人信息保护法》对《草案》相关规定进行了相应的修改完善:
对于合法正当原则,增加规定不得通过“胁迫”方式处理个人信息;对于目的明确合理原则,明确处理个人信息“应当与处理目的直接相关”;
对于最小必要原则,增加规定处理个人信息应当“采取对个人权益影响最小的方式”,“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息”;
对于公开透明原则,明确公开个人信息处理规则,应当明示处理目的、方式和范围;对于保证质量原则,明确应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
这些修改完善,既有利于进一步与《网络安全法》等既有法律规定做好衔接,也有利于充分维护个人信息主体的合法权益,彰显该法保护个人信息的价值取向。
02
明确个人信息处理的多元合法基础
为保护个人信息主体的合法权益,《个人信息保护法》确立了以“告知—同意”为核心的个人信息处理规则。但考虑到经济社会生活的复杂性和个人信息处理的不同情况,不同于《网络安全法》将同意作为处理个人信息的唯一合法基础,《个人信息保护法》还规定了基于个人同意以外合法处理个人信息的情形。
《草案》一审稿最初规定了同意以外的五种合法基础,包括:为订立、履行合同所必需、为履行法定职责或者法定义务所必需、应对突发公共卫生事件或者紧急情况下保护自然人生命健康和财产安全所必需、为公共利益实施新闻报道等行为在合理范围内处理个人信息以及法律、行政法规规定的其他情形。二审稿新增了“依照本法规定在合理的范围内处理已公开的个人信息”这一合法基础。
《个人信息保护》在此基础上进一步进行了完善:一是完善了合理利用已公开的个人信息的规则,明确个人信息处理者虽然可以在合理的范围内处理已公开的个人信息,但个人明确拒绝的除外,如果对个人权益有重大影响的,应当取得个人同意。二是在“订立、履行合同所必需”项下增加了“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”的情形。
03
严格保护敏感个人信息和儿童个人信息
《个人信息保护法》对敏感个人信息予以严格保护,要求个人信息处理者只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息,同时应当事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响。主要考虑是此类信息一旦泄露或者被非法使用,极易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
相较于二审稿,《个人信息保护法》将“不满十四周岁未成年人的个人信息”即国家网信办《儿童个人信息网络保护规定》所指的“儿童个人信息”纳入了敏感个人信息的范围,并明确要求个人信息处理者应该制定专门的个人信息处理规则,有利于对儿童个人信息权益予以充分保护。
04
规范新技术新应用对个人信息的处理
面对自动化决策、移动应用程序(APP)等新技术新应用带来的个人信息保护新挑战,《个人信息保护法》作出了针对性规范。
对于利用个人信息进行自动化决策带来的信息骚扰、“大数据杀熟”等新问题,明确规定:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇;通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
对于移动应用程序(APP)过度收集个人信息等新问题,在总结国家网信办等四部门开展APP违法违规收集使用个人信息专项治理经验基础上,除了进一步完善个人信息处理应当遵循的基本原则之外,还明确规定履行个人信息保护职责的部门应当组织对应用程序等个人信息保护情况进行测评、公布测评结果,对违法处理个人信息的应用程序,应当责令暂停或者终止提供服务。
05
规定个人信息跨境流动的法治框架
随着数字经济全球化的快速发展,个人信息的跨境流动日益普遍频繁,如何确保跨境个人信息的有效保护,成为各国面临的时代性议题。对此,《个人信息保护法》提出了一个风险可控、平等互惠的法治框架。
一是,明确以向境内自然人提供产品或者服务为目的,或者分析、评估境内自然人的行为等,在我国境外处理境内自然人个人信息的活动适用本法。
二是,明确个人信息跨境提供的合法途径,包括特定情形通过国家网信部门组织的安全评估、经专业机构进行个人信息保护认证、订立标准合同、按照我国缔结或参加的国际条约、协定的有关规定等。
三是,要求个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
四是,对跨境提供个人信息的“告知—同意”作出更严格的规定,要求应当取得个人的单独同意。
五是,明确外国司法或者执法机构要求提供存储于我国境内的个人信息的,非经我国主管机关批准,个人信息处理者不得提供。
六是,对从事损害我国公民个人信息权益等活动的境外组织、个人,以及在个人信息保护方面对我国采取不合理措施的国家和地区,规定了可以采取的相应措施。
06
明确个人在个人信息处理活动中的权利
《个人信息保护法》明确了个人在个人信息处理活动中的各项权利,包括知情权、决定权、查询权、更正权、删除权等,并要求个人信息处理者建立个人行使权利的申请受理和处理机制。
相较于二审稿,《个人信息保护法》有三方面的修改完善:
一是为满足跨平台转移个人信息的需求,增加规定了个人信息可携带权,即个人请求将其个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
二是为保障个人行使上述权利,要求个人信息处理者应当建立“便捷的”个人行使权利的申请受理和处理机制,并规定个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。
三是完善了死者个人信息保护的规定,明确在尊重死者生前安排的前提下,其近亲属为自身合法、正当利益,可以对死者个人信息行使查阅、复制、更正、删除等权利。
07
强化个人信息处理者的保护义务
《个人信息保护法》设专章明确了个人信息处理者的合规管理和保障个人信息安全等义务,要求其按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,并指定负责人对个人信息处理活动进行监督;定期对个人信息活动进行合规审计;对处理敏感个人信息、向境外提供个人信息等高风险处理活动,事前进行个人信息保护影响评估;履行个人信息泄露通知和补救义务等。
此外,就《草案》审议中比较关注的大型互联网平台个人信息保护问题,《个人信息保护法》对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者设定了特别的个人信息保护义务,包括:
按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
对严重违法处理个人信息的平台内产品或者服务提供者,停止提供服务;
定期发布个人信息保护社会责任报告,接受社会监督。
07
加大违法处理个人信息的法律责任
《个人信息保护法》对违法处理个人信息规定了较为严厉的行政处罚。一方面,对于一般违法行为,延续了《网络安全法》相关规定,规定了责令改正,给予警告,没收违法所得;拒不改正的,并处100万元以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。另一方面,规定了违法行为情节严重时高达5000万元以下或者上一年度营业额5%以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款,并可以对相关责任人员作出相关从业禁止的处罚。
对于民事责任,《个人信息保护法》明确了过错推定责任原则,即处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。此外,还规定了公益诉讼制度,个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
总之,《个人信息保护法》进一步明确了个人信息处理活动应遵循的原则,完善了个人信息处理规则,保障了个人在个人信息处理活动中的各项权利,强化了个人信息处理者的义务,并设置了严格的法律责任。
相信随着《个人信息保护法》的颁行实施和有关配套规定的制定落地,必将极大增强我国个人信息保护法律规范的系统性、针对性和可操作性,有力推动我国形成完备的个人信息保护制度体系,进而有利于实现在保障个人信息权益的基础上,促进信息数据依法合理有效利用,推动我国数字经济持续健康发展。