《中華人民共和國個人信息保護法》解讀

發(fā)布時間 2021-08-29

2021年8月20日,廣受中外關注的《中華人民共和國個人信息保護法》由十三屆全國人大常委會第三十次會議正式通過,于2021年11月1日起施行。標志著翻開了我國個人信息立法保護的歷史新篇章,也是全球個人信息法治發(fā)展的重大里程碑。

《個人信息保護法》全文篇幅總計8章74條,在總則、個人信息處理規(guī)則、個人信息跨境提供的規(guī)則、個人在個人信息處理活動中的權利、個人信息處理者的義務、履行個人信息保護職責的部門、法律責任以及附則等多個層面設計和建構個人信息保護的立法框架,在條文內容上反映了立法者吸收接軌國際立法、探索開創(chuàng)中國路徑的制度努力,特別是在規(guī)范設計上呈現(xiàn)了眾多亮點。

2017年3月全國人大代表、全國人大常委、財經委副主任委員吳曉靈,全國人大代表、中國人民銀行營業(yè)管理部主任周學東以及45位全國人大代表當年兩會提交《關于制定<中華人民共和國個人信息保護法>的議案》,建議盡快制定《中華人民共和國個人信息保護法》。

2018年9月10日,《個人信息保護法》(草案)被列入《十三屆全國人大常委會立法規(guī)劃》第一類項目,即條件比較成熟、任期內擬提請審議,爾后經多次調研、討論、修改等形成正式提請審議的草案,2020年10月13日,第十三屆全國人大常委會第二十二次會議對《中華人民共和國個人信息保護法(草案)》進行了首次正式審議并于2020年10月21日發(fā)布公開征求意見稿。

2021年4月,第十三屆全國人大常委會第二十八次會議對《中華人民共和國個人信息保護法(草案二次審議稿)》進行了審議并于2021年4月29日發(fā)布草案二次審稿公開征求意見,歷經多次提案、二次公開征求意見、三次正式審議后,《中華人民共和國個人信息保護法》(簡稱《個人信息保護法》)最終于2021年8月20日經中華人民共和國第十三屆全國人民代表大會常務委員會第三十次會議通過并予以發(fā)布。至此,《個人信息保護法》與《網絡安全法》、《數(shù)據安全法》共同構成了我國網絡安全與數(shù)據保護領域的基本法律框架,使網絡安全與數(shù)據保護在上位法層面得到完善,為數(shù)據安全釋放價值提供了合規(guī)指引,為“我的數(shù)據信息我做主”保駕護航。

一、《個人信息保護法》三次審議變化

(一)2020年10月《個人信息保護法(草案)》(首次審議稿公開征求意見)

1. 《草案》吸收了《網絡安全法》、《消費者權益保護法》、《廣告法》、《電子商務法》、《關于加強網絡信息保護的決定》、《電信和互聯(lián)網用戶個人信息保護規(guī)定》、《信息技術安全個人信息安全規(guī)范》等法律文件對個人信息保護的相關規(guī)定,并結合實踐經驗,同時吸收了GDPR等國際經驗,形成了一部相對完善的立法草案。

2. 根據全國人大常委會法制工作委員會副主任劉俊臣《關于<中華人民共和國個人信息保護法(草案)>的說明》,草案共八章七十條,主要內容包括:

(1)明確本法適用范圍

一是,對本法相關用語作出界定,規(guī)定:個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息;個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。

二是,明確在我國境內處理個人信息的活動適用本法的同時,借鑒有關國家和地區(qū)的做法,賦予本法必要的域外適用效力,以充分保護我國境內個人的權益,規(guī)定:以向境內自然人提供產品或者服務為目的,或者為分析、評估境內自然人的行為等發(fā)生在我國境外的個人信息處理活動,也適用本法;并要求境外的個人信息處理者在境內設立專門機構或者指定代表,負責個人信息保護相關事務。

(2)健全個人信息處理規(guī)則

一是,確立個人信息處理應遵循的原則,強調處理個人信息應當采用合法、正當?shù)姆绞?,具有明確、合理的目的,限于實現(xiàn)處理目的的最小范圍,公開處理規(guī)則,保證信息準確,采取安全保護措施等,并將上述原則貫穿于個人信息處理的全過程、各環(huán)節(jié)。

二是,確立以“告知-同意”為核心的個人信息處理一系列規(guī)則,要求處理個人信息應當在事先充分告知的前提下取得個人同意,并且個人有權撤回同意;重要事項發(fā)生變更的應當重新取得個人同意;不得以個人不同意為由拒絕提供產品或者服務。考慮到經濟社會生活的復雜性和個人信息處理的不同情況,草案還對基于個人同意以外合法處理個人信息的情形作了規(guī)定。

三是,根據個人信息處理的不同環(huán)節(jié)、不同個人信息種類,對個人信息的共同處理、委托處理、向第三方提供、公開、用于自動化決策、處理已公開的個人信息等提出有針對性的要求。

四是,設專節(jié)對處理敏感個人信息作出更嚴格的限制,只有在具有特定的目的和充分的必要性的情形下,方可處理敏感個人信息,并且應當取得個人的單獨同意或者書面同意。

五是,設專節(jié)規(guī)定國家機關處理個人信息的規(guī)則,在保障國家機關依法履行職責的同時,要求國家機關處理個人信息應當依照法律、行政法規(guī)規(guī)定的權限和程序進行。

在應對新冠肺炎疫情中,大數(shù)據應用為聯(lián)防聯(lián)控和復工復產提供了有力支持。為此,草案將應對突發(fā)公共衛(wèi)生事件,或者緊急情況下保護自然人的生命健康,作為處理個人信息的合法情形之一。需要強調的是,在上述情形下處理個人信息,也必須嚴格遵守本法規(guī)定的處理規(guī)則,履行個人信息保護義務。

(3)完善個人信息跨境提供規(guī)則

一是,明確關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規(guī)定數(shù)量的處理者,確需向境外提供個人信息的,應當通過國家網信部門組織的安全評估;對于其他需要跨境提供個人信息的,規(guī)定了經專業(yè)機構認證等途徑。

二是,對跨境提供個人信息的“告知-同意”作出更嚴格的要求。

三是,對因國際司法協(xié)助或者行政執(zhí)法協(xié)助,需要向境外提供個人信息的,要求依法申請有關主管部門批準。

四是,對從事?lián)p害我國公民個人信息權益等活動的境外組織、個人,以及在個人信息保護方面對我國采取不合理措施的國家和地區(qū),規(guī)定了可以采取的相應措施。

(4)明確個人信息處理活動中個人的權利和處理者義務

一是,與民法典的有關規(guī)定相銜接,明確在個人信息處理活動中個人的各項權利,包括知情權、決定權、查詢權、更正權、刪除權等,并要求個人信息處理者建立個人行使權利的申請受理和處理機制。

二是,明確個人信息處理者的合規(guī)管理和保障個人信息安全等義務,要求其按照規(guī)定制定內部管理制度和操作規(guī)程,采取相應的安全技術措施,并指定負責人對其個人信息處理活動進行監(jiān)督;定期對其個人信息活動進行合規(guī)審計;對處理敏感個人信息、向境外提供個人信息等高風險處理活動,事前進行風險評估;履行個人信息泄露通知和補救義務等。

(5)關于履行個人信息保護職責的部門

個人信息保護涉及各個領域和多個部門的職責。草案根據個人信息保護工作實際,明確國家網信部門負責個人信息保護工作的統(tǒng)籌協(xié)調,發(fā)揮其統(tǒng)籌協(xié)調作用;同時規(guī)定:國家網信部門和國務院有關部門在各自職責范圍內負責個人信息保護和監(jiān)督管理工作。

此外,草案還對違反本法規(guī)定行為的處罰及侵害個人信息權益的民事賠償?shù)茸髁艘?guī)定。

(二)2021年4月《個人信息保護法(草案)》(二次審議稿公開征求意見)二審在一審基礎上主要做了以下方面修訂:

1. 進一步完善處理個人信息的合法情形。

(1)新增“依照本法規(guī)定在合理的范圍內處理已公開的個人信息”作為處理個人信息的合法情形。

(2)明確例外情形下處理個人信息,無需取得個人同意。

2. 完善個人撤回同意的要求。

(1)新增提供便捷撤回同意方式的要求,直指實踐中出現(xiàn)的撤回同意的方式隱藏過深、過于復雜等問題。

(2)明確“個人撤回同意,不影響撤回前基于個人同意已進行的個人信息處理活動的效力”。

3. 新增對具有管理公共事務職能的組織為履行法定職責處理個人信息適用于《個人信息保護法》關于國家機關處理個人信息的規(guī)定。

4. 強化對個人信息跨境提供的要求。新增要求與境外接收方訂立合同應為“國家網信部門制定的標準合同”,有助于統(tǒng)一、規(guī)范合同內容,防止企業(yè)自行起草相關合同時可能產生的流于形式、內容不完善、要求不到位等問題。

5. 加強對向境外司法或執(zhí)法機構提供個人信息的監(jiān)管。

(1)將條文規(guī)定調整為禁止性規(guī)定。

(2)擴大了向境外提供個人信息的監(jiān)管適用情形。

(3)將“從其規(guī)定”調整為“可以按照其規(guī)定執(zhí)行”,意味著可以按照本條規(guī)定而不按照相關國際條約、協(xié)定的規(guī)定執(zhí)行。

6. 新增規(guī)定自然人死亡的,個人在個人信息處理活動中的權利由近親屬行使。

7. 新增提供基礎性互聯(lián)網平臺服務、用戶數(shù)據巨大、業(yè)務數(shù)據類型復雜的個人信息處理者的特定義務。

8. 新增強調接受委托處理個人信息的受托方對個人信息安全保護義務。

9. 明確國家網信部門統(tǒng)籌協(xié)調的權限及強化新技術、新應用的立法和研究工作。

(1)明確國家網信部門統(tǒng)籌協(xié)調的權限。

(2)強化新技術、新應用的立法和研究工作。

10. 明確個人信息侵權行為的歸責原則為過錯推定。

(三)2021年8月《個人信息保護法》(三次審議通過終稿)

進一步明確個人信息處理的合法、正當、必要原則外,還主要增加了:

1. 處理數(shù)據應當限于實現(xiàn)處理目的的最小范圍。

2. 按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需情況下可依法處理個人信息。

3. 不得對交易價格等交易條件上實行不合理差別對待。

4. 在合理范圍內處理個人自行公開或已合法公開的個人信息,個人明確拒絕的除外情形。

5. 不得非法買賣和泄露個人信息。

6. 個人請求將個人信息轉移至指定處理者時應提供轉移的合規(guī)途徑。

7. 明確不滿14周歲兒童個人信息為敏感個人信息并要求制定專門的處理規(guī)則。

8. 進一步明確對個人信息的跨境提供的條件及要求等。

二、《個人信息保護法》十大主要亮點

(一)明確“個人信息”界定

在《網絡安全法》基礎上,《個人信息保護法》對“個人信息”做出了更為嚴謹?shù)亩x及列舉。匿名化處理后的信息被明確不屬于個人信息,此界定的明確,將進一步推進個人信息匿名化處理技術在數(shù)據安全保護方面的研發(fā)、應用及革新。

(二)明確較全面的處理原則

《個人信息保護法》從法律層面較為全面地規(guī)定了處理個人信息的基本原則,包括遵循合法、正當、必要和誠信原則、最小范圍收集原則、公開、透明原則、保證個人信息的質量、信息安全、禁止非法取得及提供等。為個人信息處理范圍的最小化控制提供了上位法指引。

(三)明確“告知-同意-撤回同意/拒絕”的處理規(guī)則

《個人信息保護法》進一步明確了個人信息處理的前提條件及要求。個人信息處理者僅可在取得個人同意或法定例外情形下可處理個人信息。個人信息處理者在處理個人信息前應履行充分告知義務,包括以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知處理者的名稱或姓名和聯(lián)系方式、處理目的、處理方式、處理的個人信息種類、保存期限、個人行使法定權利的方式和程序及其他依法應告知事項;另一方面,該法對個人同意的方式、撤回同意或拒絕權利進行了明確規(guī)定,形成了以“告知-同意-撤回同意/拒絕”為邏輯主線的處理規(guī)則。

(四)確立了自動化決策對數(shù)據處理的基本規(guī)則

《個人信息保護法》確定了算法自動化決策治理的基本框架,為自動化決策應用于電商平臺經濟、數(shù)字政府運行劃定了合法邊界。對于決策方法的透明度及結果公平、公正性、以自動決策方式進行信息推送、商業(yè)營銷的規(guī)范、個人知情權及拒絕權、事先個人信息保護影響評估等進行了明確規(guī)定。從上位法層面,確立了算法等自動化決策治理的基本框架,對自動化決策的商業(yè)利用行為提出了合規(guī)要求。

(五)明確個人多項權利且確立了個人信息可攜帶權

《個人信息保護法》確立了個人對個人信息的多方面權利,包括對個人信息處理的知情權、決定權、要求解釋說明權、拒絕權等;在個人信息處理過程中享有要求更正、補充權、刪除權等;對處理者所掌握的個人信息享有查閱、復制權、承繼行使權、可攜帶權等。特別是,可攜帶權為個人信息在不同互聯(lián)網平臺間進行指定轉移、數(shù)據互聯(lián)互通提供了合規(guī)路徑。

(六)加強了對敏感個人信息的保護

《個人信息保護法》對敏感個人信息進行了定義,是指一旦泄露或非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。該法對敏感個人信息的處理規(guī)定更加嚴格,包括明確“特定目的和充分必要性”的處理前提條件、告知處理敏感個人信息的必要性及對個人的影響、要求取得個人的單獨同意等。

(七)規(guī)范國家機關處理個人信息行為

《個人信息保護法》對國家機關為履行法定職責處理個人信息進行了明確規(guī)定,包括權限范圍限制、告知義務及境外提供的安全評估義務、懲罰規(guī)定等,另外,法律、法規(guī)授權的具有管理公共事務職能的組織為履行法定職責處理個人信息,適用《個人信息保護法》處理個人信息的規(guī)定。本條與《數(shù)據安全法》結合,完善了政務數(shù)據的處理規(guī)則。

(八)加強重要互聯(lián)網平臺的義務

《個人信息保護法》對提供重要互聯(lián)網平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者進行了四項義務規(guī)定,包括建立健全個人信息保護合規(guī)制度體系、制定平臺規(guī)則、對違法違規(guī)者停止服務義務、定期發(fā)布個人信息保護社會責任報告義務等。另外,對于小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術、新應用,將由國家網信部門統(tǒng)籌協(xié)調有關部門依據本法推進。

(九)強化了侵犯個人信息的懲罰機制和力度

在《網絡安全法》、《數(shù)據安全法》基礎上,《個人信息保護法》加大了侵犯個人信息的懲罰力度,對個人信息處理者規(guī)定了較嚴格的行政處罰、計入信用檔案并公示、民事賠償責任、刑事責任等;并且對國家機關不履行個人信息保護義務,也明確了懲罰措施。進一步加強了對侵犯個人信息的立法保護,并注意與其他法律間銜接。

(十)確定了特定公權力機構及公益組織對個人信息處理者侵權案提起公益訴訟的權利

《個人信息保護法》確立了人民檢察院、法律規(guī)定的消費者組織和由國家網信部門確定的組織對個人信息處理者違法處理個人信息侵害眾多個人權益的案件,可以依法提起公益訴訟的法定權利。2021年8月21日最高人民檢察院下發(fā)《關于貫徹執(zhí)行個人信息保護法推進個人信息保護公益訴訟檢察工作的通知》,規(guī)范相關公益訴訟案件辦理,切實履行好公益訴訟檢察的法定職責。

除此之外,《個人信息保護法》在個人信息跨境提供規(guī)則、個人信息處理合規(guī)管理及保護負責人機制、統(tǒng)一工作協(xié)調與統(tǒng)籌機制等方面均有突破性規(guī)定,有利于個人信息保護機制的完善,該法對個人信息處理業(yè)務起到關鍵性指引作用,對隱私計算等人工智能技術商業(yè)利用的合規(guī)性操作具有重大意義。