《中華人民共和國個人信息保護(hù)法》解讀

發(fā)布時間 2021-08-29

2021年8月20日,廣受中外關(guān)注的《中華人民共和國個人信息保護(hù)法》由十三屆全國人大常委會第三十次會議正式通過,于2021年11月1日起施行。標(biāo)志著翻開了我國個人信息立法保護(hù)的歷史新篇章,也是全球個人信息法治發(fā)展的重大里程碑。

《個人信息保護(hù)法》全文篇幅總計8章74條,在總則、個人信息處理規(guī)則、個人信息跨境提供的規(guī)則、個人在個人信息處理活動中的權(quán)利、個人信息處理者的義務(wù)、履行個人信息保護(hù)職責(zé)的部門、法律責(zé)任以及附則等多個層面設(shè)計和建構(gòu)個人信息保護(hù)的立法框架,在條文內(nèi)容上反映了立法者吸收接軌國際立法、探索開創(chuàng)中國路徑的制度努力,特別是在規(guī)范設(shè)計上呈現(xiàn)了眾多亮點(diǎn)。

2017年3月全國人大代表、全國人大常委、財經(jīng)委副主任委員吳曉靈,全國人大代表、中國人民銀行營業(yè)管理部主任周學(xué)東以及45位全國人大代表當(dāng)年兩會提交《關(guān)于制定<中華人民共和國個人信息保護(hù)法>的議案》,建議盡快制定《中華人民共和國個人信息保護(hù)法》。

2018年9月10日,《個人信息保護(hù)法》(草案)被列入《十三屆全國人大常委會立法規(guī)劃》第一類項目,即條件比較成熟、任期內(nèi)擬提請審議,爾后經(jīng)多次調(diào)研、討論、修改等形成正式提請審議的草案,2020年10月13日,第十三屆全國人大常委會第二十二次會議對《中華人民共和國個人信息保護(hù)法(草案)》進(jìn)行了首次正式審議并于2020年10月21日發(fā)布公開征求意見稿。

2021年4月,第十三屆全國人大常委會第二十八次會議對《中華人民共和國個人信息保護(hù)法(草案二次審議稿)》進(jìn)行了審議并于2021年4月29日發(fā)布草案二次審稿公開征求意見,歷經(jīng)多次提案、二次公開征求意見、三次正式審議后,《中華人民共和國個人信息保護(hù)法》(簡稱《個人信息保護(hù)法》)最終于2021年8月20日經(jīng)中華人民共和國第十三屆全國人民代表大會常務(wù)委員會第三十次會議通過并予以發(fā)布。至此,《個人信息保護(hù)法》與《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》共同構(gòu)成了我國網(wǎng)絡(luò)安全與數(shù)據(jù)保護(hù)領(lǐng)域的基本法律框架,使網(wǎng)絡(luò)安全與數(shù)據(jù)保護(hù)在上位法層面得到完善,為數(shù)據(jù)安全釋放價值提供了合規(guī)指引,為“我的數(shù)據(jù)信息我做主”保駕護(hù)航。

一、《個人信息保護(hù)法》三次審議變化

(一)2020年10月《個人信息保護(hù)法(草案)》(首次審議稿公開征求意見)

1. 《草案》吸收了《網(wǎng)絡(luò)安全法》、《消費(fèi)者權(quán)益保護(hù)法》、《廣告法》、《電子商務(wù)法》、《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》、《信息技術(shù)安全個人信息安全規(guī)范》等法律文件對個人信息保護(hù)的相關(guān)規(guī)定,并結(jié)合實(shí)踐經(jīng)驗,同時吸收了GDPR等國際經(jīng)驗,形成了一部相對完善的立法草案。

2. 根據(jù)全國人大常委會法制工作委員會副主任劉俊臣《關(guān)于<中華人民共和國個人信息保護(hù)法(草案)>的說明》,草案共八章七十條,主要內(nèi)容包括:

(1)明確本法適用范圍

一是,對本法相關(guān)用語作出界定,規(guī)定:個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息;個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。

二是,明確在我國境內(nèi)處理個人信息的活動適用本法的同時,借鑒有關(guān)國家和地區(qū)的做法,賦予本法必要的域外適用效力,以充分保護(hù)我國境內(nèi)個人的權(quán)益,規(guī)定:以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的,或者為分析、評估境內(nèi)自然人的行為等發(fā)生在我國境外的個人信息處理活動,也適用本法;并要求境外的個人信息處理者在境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表,負(fù)責(zé)個人信息保護(hù)相關(guān)事務(wù)。

(2)健全個人信息處理規(guī)則

一是,確立個人信息處理應(yīng)遵循的原則,強(qiáng)調(diào)處理個人信息應(yīng)當(dāng)采用合法、正當(dāng)?shù)姆绞?,具有明確、合理的目的,限于實(shí)現(xiàn)處理目的的最小范圍,公開處理規(guī)則,保證信息準(zhǔn)確,采取安全保護(hù)措施等,并將上述原則貫穿于個人信息處理的全過程、各環(huán)節(jié)。

二是,確立以“告知-同意”為核心的個人信息處理一系列規(guī)則,要求處理個人信息應(yīng)當(dāng)在事先充分告知的前提下取得個人同意,并且個人有權(quán)撤回同意;重要事項發(fā)生變更的應(yīng)當(dāng)重新取得個人同意;不得以個人不同意為由拒絕提供產(chǎn)品或者服務(wù)??紤]到經(jīng)濟(jì)社會生活的復(fù)雜性和個人信息處理的不同情況,草案還對基于個人同意以外合法處理個人信息的情形作了規(guī)定。

三是,根據(jù)個人信息處理的不同環(huán)節(jié)、不同個人信息種類,對個人信息的共同處理、委托處理、向第三方提供、公開、用于自動化決策、處理已公開的個人信息等提出有針對性的要求。

四是,設(shè)專節(jié)對處理敏感個人信息作出更嚴(yán)格的限制,只有在具有特定的目的和充分的必要性的情形下,方可處理敏感個人信息,并且應(yīng)當(dāng)取得個人的單獨(dú)同意或者書面同意。

五是,設(shè)專節(jié)規(guī)定國家機(jī)關(guān)處理個人信息的規(guī)則,在保障國家機(jī)關(guān)依法履行職責(zé)的同時,要求國家機(jī)關(guān)處理個人信息應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限和程序進(jìn)行。

在應(yīng)對新冠肺炎疫情中,大數(shù)據(jù)應(yīng)用為聯(lián)防聯(lián)控和復(fù)工復(fù)產(chǎn)提供了有力支持。為此,草案將應(yīng)對突發(fā)公共衛(wèi)生事件,或者緊急情況下保護(hù)自然人的生命健康,作為處理個人信息的合法情形之一。需要強(qiáng)調(diào)的是,在上述情形下處理個人信息,也必須嚴(yán)格遵守本法規(guī)定的處理規(guī)則,履行個人信息保護(hù)義務(wù)。

(3)完善個人信息跨境提供規(guī)則

一是,明確關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的處理者,確需向境外提供個人信息的,應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估;對于其他需要跨境提供個人信息的,規(guī)定了經(jīng)專業(yè)機(jī)構(gòu)認(rèn)證等途徑。

二是,對跨境提供個人信息的“告知-同意”作出更嚴(yán)格的要求。

三是,對因國際司法協(xié)助或者行政執(zhí)法協(xié)助,需要向境外提供個人信息的,要求依法申請有關(guān)主管部門批準(zhǔn)。

四是,對從事?lián)p害我國公民個人信息權(quán)益等活動的境外組織、個人,以及在個人信息保護(hù)方面對我國采取不合理措施的國家和地區(qū),規(guī)定了可以采取的相應(yīng)措施。

(4)明確個人信息處理活動中個人的權(quán)利和處理者義務(wù)

一是,與民法典的有關(guān)規(guī)定相銜接,明確在個人信息處理活動中個人的各項權(quán)利,包括知情權(quán)、決定權(quán)、查詢權(quán)、更正權(quán)、刪除權(quán)等,并要求個人信息處理者建立個人行使權(quán)利的申請受理和處理機(jī)制。

二是,明確個人信息處理者的合規(guī)管理和保障個人信息安全等義務(wù),要求其按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程,采取相應(yīng)的安全技術(shù)措施,并指定負(fù)責(zé)人對其個人信息處理活動進(jìn)行監(jiān)督;定期對其個人信息活動進(jìn)行合規(guī)審計;對處理敏感個人信息、向境外提供個人信息等高風(fēng)險處理活動,事前進(jìn)行風(fēng)險評估;履行個人信息泄露通知和補(bǔ)救義務(wù)等。

(5)關(guān)于履行個人信息保護(hù)職責(zé)的部門

個人信息保護(hù)涉及各個領(lǐng)域和多個部門的職責(zé)。草案根據(jù)個人信息保護(hù)工作實(shí)際,明確國家網(wǎng)信部門負(fù)責(zé)個人信息保護(hù)工作的統(tǒng)籌協(xié)調(diào),發(fā)揮其統(tǒng)籌協(xié)調(diào)作用;同時規(guī)定:國家網(wǎng)信部門和國務(wù)院有關(guān)部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)個人信息保護(hù)和監(jiān)督管理工作。

此外,草案還對違反本法規(guī)定行為的處罰及侵害個人信息權(quán)益的民事賠償?shù)茸髁艘?guī)定。

(二)2021年4月《個人信息保護(hù)法(草案)》(二次審議稿公開征求意見)二審在一審基礎(chǔ)上主要做了以下方面修訂:

1. 進(jìn)一步完善處理個人信息的合法情形。

(1)新增“依照本法規(guī)定在合理的范圍內(nèi)處理已公開的個人信息”作為處理個人信息的合法情形。

(2)明確例外情形下處理個人信息,無需取得個人同意。

2. 完善個人撤回同意的要求。

(1)新增提供便捷撤回同意方式的要求,直指實(shí)踐中出現(xiàn)的撤回同意的方式隱藏過深、過于復(fù)雜等問題。

(2)明確“個人撤回同意,不影響撤回前基于個人同意已進(jìn)行的個人信息處理活動的效力”。

3. 新增對具有管理公共事務(wù)職能的組織為履行法定職責(zé)處理個人信息適用于《個人信息保護(hù)法》關(guān)于國家機(jī)關(guān)處理個人信息的規(guī)定。

4. 強(qiáng)化對個人信息跨境提供的要求。新增要求與境外接收方訂立合同應(yīng)為“國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同”,有助于統(tǒng)一、規(guī)范合同內(nèi)容,防止企業(yè)自行起草相關(guān)合同時可能產(chǎn)生的流于形式、內(nèi)容不完善、要求不到位等問題。

5. 加強(qiáng)對向境外司法或執(zhí)法機(jī)構(gòu)提供個人信息的監(jiān)管。

(1)將條文規(guī)定調(diào)整為禁止性規(guī)定。

(2)擴(kuò)大了向境外提供個人信息的監(jiān)管適用情形。

(3)將“從其規(guī)定”調(diào)整為“可以按照其規(guī)定執(zhí)行”,意味著可以按照本條規(guī)定而不按照相關(guān)國際條約、協(xié)定的規(guī)定執(zhí)行。

6. 新增規(guī)定自然人死亡的,個人在個人信息處理活動中的權(quán)利由近親屬行使。

7. 新增提供基礎(chǔ)性互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)據(jù)巨大、業(yè)務(wù)數(shù)據(jù)類型復(fù)雜的個人信息處理者的特定義務(wù)。

8. 新增強(qiáng)調(diào)接受委托處理個人信息的受托方對個人信息安全保護(hù)義務(wù)。

9. 明確國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)的權(quán)限及強(qiáng)化新技術(shù)、新應(yīng)用的立法和研究工作。

(1)明確國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)的權(quán)限。

(2)強(qiáng)化新技術(shù)、新應(yīng)用的立法和研究工作。

10. 明確個人信息侵權(quán)行為的歸責(zé)原則為過錯推定。

(三)2021年8月《個人信息保護(hù)法》(三次審議通過終稿)

進(jìn)一步明確個人信息處理的合法、正當(dāng)、必要原則外,還主要增加了:

1. 處理數(shù)據(jù)應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍。

2. 按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需情況下可依法處理個人信息。

3. 不得對交易價格等交易條件上實(shí)行不合理差別對待。

4. 在合理范圍內(nèi)處理個人自行公開或已合法公開的個人信息,個人明確拒絕的除外情形。

5. 不得非法買賣和泄露個人信息。

6. 個人請求將個人信息轉(zhuǎn)移至指定處理者時應(yīng)提供轉(zhuǎn)移的合規(guī)途徑。

7. 明確不滿14周歲兒童個人信息為敏感個人信息并要求制定專門的處理規(guī)則。

8. 進(jìn)一步明確對個人信息的跨境提供的條件及要求等。

二、《個人信息保護(hù)法》十大主要亮點(diǎn)

(一)明確“個人信息”界定

在《網(wǎng)絡(luò)安全法》基礎(chǔ)上,《個人信息保護(hù)法》對“個人信息”做出了更為嚴(yán)謹(jǐn)?shù)亩x及列舉。匿名化處理后的信息被明確不屬于個人信息,此界定的明確,將進(jìn)一步推進(jìn)個人信息匿名化處理技術(shù)在數(shù)據(jù)安全保護(hù)方面的研發(fā)、應(yīng)用及革新。

(二)明確較全面的處理原則

《個人信息保護(hù)法》從法律層面較為全面地規(guī)定了處理個人信息的基本原則,包括遵循合法、正當(dāng)、必要和誠信原則、最小范圍收集原則、公開、透明原則、保證個人信息的質(zhì)量、信息安全、禁止非法取得及提供等。為個人信息處理范圍的最小化控制提供了上位法指引。

(三)明確“告知-同意-撤回同意/拒絕”的處理規(guī)則

《個人信息保護(hù)法》進(jìn)一步明確了個人信息處理的前提條件及要求。個人信息處理者僅可在取得個人同意或法定例外情形下可處理個人信息。個人信息處理者在處理個人信息前應(yīng)履行充分告知義務(wù),包括以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地向個人告知處理者的名稱或姓名和聯(lián)系方式、處理目的、處理方式、處理的個人信息種類、保存期限、個人行使法定權(quán)利的方式和程序及其他依法應(yīng)告知事項;另一方面,該法對個人同意的方式、撤回同意或拒絕權(quán)利進(jìn)行了明確規(guī)定,形成了以“告知-同意-撤回同意/拒絕”為邏輯主線的處理規(guī)則。

(四)確立了自動化決策對數(shù)據(jù)處理的基本規(guī)則

《個人信息保護(hù)法》確定了算法自動化決策治理的基本框架,為自動化決策應(yīng)用于電商平臺經(jīng)濟(jì)、數(shù)字政府運(yùn)行劃定了合法邊界。對于決策方法的透明度及結(jié)果公平、公正性、以自動決策方式進(jìn)行信息推送、商業(yè)營銷的規(guī)范、個人知情權(quán)及拒絕權(quán)、事先個人信息保護(hù)影響評估等進(jìn)行了明確規(guī)定。從上位法層面,確立了算法等自動化決策治理的基本框架,對自動化決策的商業(yè)利用行為提出了合規(guī)要求。

(五)明確個人多項權(quán)利且確立了個人信息可攜帶權(quán)

《個人信息保護(hù)法》確立了個人對個人信息的多方面權(quán)利,包括對個人信息處理的知情權(quán)、決定權(quán)、要求解釋說明權(quán)、拒絕權(quán)等;在個人信息處理過程中享有要求更正、補(bǔ)充權(quán)、刪除權(quán)等;對處理者所掌握的個人信息享有查閱、復(fù)制權(quán)、承繼行使權(quán)、可攜帶權(quán)等。特別是,可攜帶權(quán)為個人信息在不同互聯(lián)網(wǎng)平臺間進(jìn)行指定轉(zhuǎn)移、數(shù)據(jù)互聯(lián)互通提供了合規(guī)路徑。

(六)加強(qiáng)了對敏感個人信息的保護(hù)

《個人信息保護(hù)法》對敏感個人信息進(jìn)行了定義,是指一旦泄露或非法使用,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。該法對敏感個人信息的處理規(guī)定更加嚴(yán)格,包括明確“特定目的和充分必要性”的處理前提條件、告知處理敏感個人信息的必要性及對個人的影響、要求取得個人的單獨(dú)同意等。

(七)規(guī)范國家機(jī)關(guān)處理個人信息行為

《個人信息保護(hù)法》對國家機(jī)關(guān)為履行法定職責(zé)處理個人信息進(jìn)行了明確規(guī)定,包括權(quán)限范圍限制、告知義務(wù)及境外提供的安全評估義務(wù)、懲罰規(guī)定等,另外,法律、法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織為履行法定職責(zé)處理個人信息,適用《個人信息保護(hù)法》處理個人信息的規(guī)定。本條與《數(shù)據(jù)安全法》結(jié)合,完善了政務(wù)數(shù)據(jù)的處理規(guī)則。

(八)加強(qiáng)重要互聯(lián)網(wǎng)平臺的義務(wù)

《個人信息保護(hù)法》對提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者進(jìn)行了四項義務(wù)規(guī)定,包括建立健全個人信息保護(hù)合規(guī)制度體系、制定平臺規(guī)則、對違法違規(guī)者停止服務(wù)義務(wù)、定期發(fā)布個人信息保護(hù)社會責(zé)任報告義務(wù)等。另外,對于小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術(shù)、新應(yīng)用,將由國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門依據(jù)本法推進(jìn)。

(九)強(qiáng)化了侵犯個人信息的懲罰機(jī)制和力度

在《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》基礎(chǔ)上,《個人信息保護(hù)法》加大了侵犯個人信息的懲罰力度,對個人信息處理者規(guī)定了較嚴(yán)格的行政處罰、計入信用檔案并公示、民事賠償責(zé)任、刑事責(zé)任等;并且對國家機(jī)關(guān)不履行個人信息保護(hù)義務(wù),也明確了懲罰措施。進(jìn)一步加強(qiáng)了對侵犯個人信息的立法保護(hù),并注意與其他法律間銜接。

(十)確定了特定公權(quán)力機(jī)構(gòu)及公益組織對個人信息處理者侵權(quán)案提起公益訴訟的權(quán)利

《個人信息保護(hù)法》確立了人民檢察院、法律規(guī)定的消費(fèi)者組織和由國家網(wǎng)信部門確定的組織對個人信息處理者違法處理個人信息侵害眾多個人權(quán)益的案件,可以依法提起公益訴訟的法定權(quán)利。2021年8月21日最高人民檢察院下發(fā)《關(guān)于貫徹執(zhí)行個人信息保護(hù)法推進(jìn)個人信息保護(hù)公益訴訟檢察工作的通知》,規(guī)范相關(guān)公益訴訟案件辦理,切實(shí)履行好公益訴訟檢察的法定職責(zé)。

除此之外,《個人信息保護(hù)法》在個人信息跨境提供規(guī)則、個人信息處理合規(guī)管理及保護(hù)負(fù)責(zé)人機(jī)制、統(tǒng)一工作協(xié)調(diào)與統(tǒng)籌機(jī)制等方面均有突破性規(guī)定,有利于個人信息保護(hù)機(jī)制的完善,該法對個人信息處理業(yè)務(wù)起到關(guān)鍵性指引作用,對隱私計算等人工智能技術(shù)商業(yè)利用的合規(guī)性操作具有重大意義。