來源:中倫文德網絡安全與數據合規 ,作者徐雲飛律師團隊
轉自:最高人民法院司法案例研究院
特别提示:凡本号注明“來源”或“轉自”的作品均轉載自媒體,版權歸原作者及原出處所有。所分享内容為作者個人觀點,僅供讀者學習參考,不代表本号觀點
《中華人民共和國個人信息保護法》(下稱《個人信息保護法》)曆經三次審議及兩次公開征求意見後,于2021年8月20日由第十三屆全國人民代表大會常務委員會第三十次會議通過,将于2021年11月1日起施行。《個人信息保護法》作為個人信息保護領域的基礎性法律,其出台解決了個人信息層面法律法規散亂不成體系的問題,與《數據安全法》《網絡安全法》《密碼法》共同構建了我國的數據治理立法框架。
《個人信息保護法》厘清了個人信息、敏感個人信息、個人信息處理者、自動化決策、去标識化、匿名化的基本概念,從适用範圍、個人信息處理的基本原則、個人信息及敏感個人信息處理規則、個人信息跨境傳輸規則、個人信息保護領域各參與主體的職責與權力以及法律責任等方面對個人信息保護進行了全面規定,建立起個人信息保護領域的基本制度體系。
《個人信息保護法》堪稱中國首部個人信息保護單獨立法,翻開了我國個人信息保護法治事業的新篇章。本文将結合我們對《個人信息保護法》的理解,對《個人信息保護法》的主要内容進行要點解讀,供各方參考。
一、适用範圍及核心概念
(一)明确适用範圍,設定域外适用效力
在《個人信息保護法》頒布以前,關于個人信息保護的規定散落于《電信和互聯網用戶個人信息保護規定》《網絡安全法》《刑法》等法律法規中。其中,2013年生效的《電信和互聯網用戶個人信息保護規定》的适用範圍為“在中華人民共和國境内提供電信服務和互聯網信息服務過程中收集、使用用戶個人信息的活動”,即該規定僅适用于在境内提供服務的主體,不産生域外效力。2017年6月生效的《網絡安全法》沿用了《電信和互聯網用戶個人信息保護規定》的适用範圍,即在中華人民共和國境内建設、運營、維護和使用網絡,以及網絡安全的監督管理的,适用《網絡安全法》。因此,《網絡安全法》也沒有域外效力。
《個人信息保護法》破舊立新,在一定程度上借鑒了《通用數據保護條例》(下稱GDPR)及多數國家與地區相關法律的立法思路,以屬地原則、屬人原則為基礎,首次将适用範圍擴展至域外,産生了“長臂管轄”的效果。根據《個人信息保護法》第三條規定,在境内處理自然人個人信息的活動應适用本法,在境外處理境内自然人個人信息的活動,有下列情形之一的,也适用本法:(1)以向境内自然人提供産品或服務為目的 (2)為分析、評估境内自然人的行為(3)法律、行政法規規定的其他情形。根據該規定,适用範圍不僅包括在中國境内處理自然人個人信息的活動,還包括特定情形下在境外處理境内自然人個人信息的活動,此處特定情形既包括個人信息處理者因提供産品或服務而産生的直接信息處理活動,也包括行為分析和評估等企業常見的間接信息處理行為。為與域外管轄相呼應,《個人信息保護法》第五十三條進一步要求境外的個人信息處理者在境内設立專門機構或者指定代表,負責處理個人信息保護相關事務,并将有關信息報送履行個人信息保護職責的部門。
但上述關于域外适用效力的條款也存在待進一步明确之處,如《個人信息保護法》第三條關于“在中華人民共和國境内處理自然人個人信息”的判斷标準仍不明确。同時,《個人信息保護法》并未針對境外個人信息處理者在境内所設的專門機構或指定代表未履行相關義務的情形制定相應的法律責任。因此,域外管轄效力能否在實踐中得到有效實施還需相關部門後續出台實施細則進一步明确。
(二)明确核心概念,擴大敏感信息範圍
《個人信息保護法》中個人信息的定義采用準“識别 關聯”的認定标準,并将經匿名化處理後的信息排除在外。同時,參考了《個人信息安全規範》相關規定,将不滿十四周歲未成年人的個人信息列入敏感個人信息。
二、個人信息處理的基本原則
(一)合法、正當、必要、誠信原則
《個人信息保護法》第五條規定,處理個人信息應當遵循合法、正當、必要和誠信原則,不得通過誤導、欺詐、脅迫等方式處理個人信息。《個人信息保護法》在沿用《民法典》《網絡安全法》和《個人信息安全規範》關于合法、正當、必要原則規定的基礎上,增加了誠信原則,并禁止采取“誤導、欺詐、脅迫”等方式處理個人信息。
(二)目的明确和最小必要原則
《個人信息保護法》第六條規定,處理個人信息應當具有明确、合理的目的,并應當與處理目的直接相關,采取對個人權益影響最小的方式。收集個人信息,應當限于實現處理目的的最小範圍,不得過度收集個人信息。該條沿用了《個人信息安全規範》關于目的明确原則(即具有明确、清晰、具體的個人信息處理目的)和最小必要原則(即隻處理滿足個人信息主體授權同意的目的所需的最少個人信息類型和數量)的規定,并首次在法律層面提出了直接相關、最小影響、最小範圍的要求。
(三)公開透明原則
《個人信息保護法》第七條規定,處理個人信息應當遵循公開、透明原則,公開個人信息處理規則,明示處理的目的、方式和範圍。該條沿用了《個人信息安全規範》關于公開透明原則(即以明确、易懂和合理的方式公開處理個人信息的範圍、目的、規則等,并接受外部監督)的規定,保障了個人信息主體的知情權,與第十七條第二款規定的“個人信息處理者通過制定個人信息處理規則的方式告知第一款規定事項的,處理規則應當公開,并且便于查閱和保存”相呼應。
(四)質量及安全保障原則
除上述原則外,《個人信息保護法》第八條、第九條還規定了處理個人信息應當保證個人信息的質量,避免因個人信息不準确、不完整對個人權益造成不利影響;個人信息處理者應當對其個人信息處理活動負責,并采取必要措施保障所處理的個人信息的安全。《個人信息保護法》第五十一條、第五十二條進一步細化了個人信息處理者在該等原則下的義務,如制定内部管理制度、實行分類管理、采取安全技術措施、确定個人信息處理的操作權限、定期進行安全教育和培訓、制定并組織實施個人信息安全事件應急預案以及指定個人信息保護負責人等法律、行政法規規定的措施,确保個人信息處理活動符合法律、行政法規的規定,并防止個人信息的洩漏、篡改或丢失。
三、個人信息處理的規則
(一)擴大合法性基礎
《網絡安全法》将個人信息主體的“同意”視為個人信息處理的唯一合法性基礎,這一規定雖然體現了對個人信息主體權利的尊重和保障,但是忽略了實務中大量存在的涉及訂立或履行合同所必需、自然人的重大利益、公共利益等多種個人信息處理場景。《民法典》雖然在法律層級規定了“同意的例外”,但僅限于處理已公開信息的情形以及維護公共利益或者自然人合法權益的情形。《個人信息保護法》在延續《民法典》立法思路并借鑒GDPR相關規則的基礎上,增加了處理個人信息的其他合法情形,将訂立或履行合同所必需、保護自然人的重大利益以及公共利益等情形作為例外情況納入合法性基礎場景,并結合我國新冠疫情防控的現狀,增加了突發公共衛生事件的例外情形,為疫情防控時期基礎電信企業、地圖平台等企業收集疫情信息提供法律依據。具體如下:
第十三條 符合下列情形之一的,個人信息處理者方可處理個人信息:
(一)取得個人的同意;
(二)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需;
(三)為履行法定職責或者法定義務所必需;
(四)為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和财産安全所必需;
(五)為公共利益實施新聞報道、輿論監督等行為,在合理的範圍内處理個人信息;
(六)依照本法規定在合理的範圍内處理個人自行公開或者其他已經合法公開的個人信息;
(七)法律、行政法規規定的其他情形。
值得注意的是,《個人信息保護法》在二審稿的基礎上,新增了“按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需”的情形,為用人單位處理員工個人信息提供了相應的法律依據。此外,雖然個人信息處理者可以在合理的範圍内處理個人自行公開或者其他已經合法公開的個人信息,但根據《個人信息保護法》第二十七條規定,如個人明确拒絕則不得處理其公開個人信息,并且個人信息處理者處理已公開的個人信息,對個人權益有重大影響的,還應當取得個人同意。
(二)明确撤回同意權
《個人信息保護法》第十五條規定了個人信息主體的撤回同意權,即基于個人同意處理個人信息的,個人有權撤回其同意,個人信息處理者應當提供便捷的撤回同意的方式;個人撤回同意的,不影響撤回前基于個人同意已進行的個人信息處理活動的效力。此外,《個人信息保護法》對個人信息處理者響應個人信息主體關于撤回同意的要求也進行了規定,即除處理個人信息屬于提供産品或者服務所必需的以外,個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供産品或者服務。此前,《個人信息安全規範》雖然就撤回同意權進行規定,但該規範在法律上并無強制執行力。《個人信息保護法》的出台,不僅完善了撤回同意權的規定,還将該權利上升至法律高度,有利于保障個人信息主體的相關權益。
(三)共同處理和委托處理
《個人信息保護法》第二十條規定了共同處理個人信息的規則,“兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的,應當約定各自的權利和義務。但是,該約定不影響個人向其中任何一個個人信息處理者要求行使本法規定的權利。個人信息處理者共同處理個人信息,侵害個人信息權益造成損害的,應當依法承擔連帶責任。”在實務中,數據處理過程可能涉及多方主體,要求共同處理者承擔連帶責任有利于多個個人信息處理者相互監督、督促對方及時整改違規行為。
《個人信息保護法》第二十一條第一款就個人信息處理者與受委托處理個人信息主體(受托人)之間的委托合同的内容進行規定,即合同應包括委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等。同時,還進一步規定了受托人的義務,詳細如下:
(1)受托人應當按照約定處理個人信息,不得超出約定的處理目的、處理方式等處理個人信息;
(2)委托合同不生效、無效、被撤銷或者終止的,受托人應當将個人信息返還個人信息處理者或者予以删除,不得保留;
(3)未經個人信息處理者同意,受托人不得轉委托他人處理個人信息。
此外,《個人信息保護法》第五十九條規定了受托人的個人信息保護義務,“接受委托處理個人信息的受托人,應當依照本法和有關法律、行政法規的規定,采取必要措施保障所處理的個人信息的安全,并協助個人信息處理者履行本法規定的義務。”根據該規定,受托人應同樣遵循《個人信息保護法》第五章關于個人信息處理者的義務的規定。
(四)明确采用自動化決策情形下的處理規則
《個人信息保護法》吸納了《電子商務法》第十八條和《個人信息安全規範》第7.5條關于定向推送和個性化展示的規定,在第二十五條新增了對自動化決策的規定,一定程度上保障了個人信息主體的選擇權、知情權和決定權,并針對公衆熱議的“大數據殺熟”問題進行回應。即個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差别待遇。通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。此外,《個人信息保護法》進一步規定,通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。
(五)明确公共場所監控設備的使用規則和限制性規定
《個人信息保護法》第二十六條規定,在公共場所安裝圖像采集、個人身份識别設備,應當為維護公共安全所必需,遵守國家有關規定,并設置顯著的提示标識。所收集的個人圖像、身份識别信息隻能用于維護公共安全的目的,不得用于其他目的;取得個人單獨同意的除外。本條明确了公共場所的視頻監控和個人身份識别設備的安裝規則,所收集個人信息的使用目的的限制性規定。
(六)關于敏感個人信息處理規則
根據《個人信息保護法》第二十九條和第三十條規定,處理敏感個人信息應當取得個人的單獨同意,并向個人告知處理敏感個人信息的必要性以及對個人權益的影響。此外,根據上文可知,不滿十四周歲未成人年的個人信息被列入敏感個人信息範圍,《個人信息保護法》第三十一條進一步規定,對于不滿十四周歲未成年人的個人信息處理活動,個人信息處理者應取得其父母或其他監護人的同意,并制定專門的個人信息處理規則。
(七)單獨同意的情形
《個人信息安全規範》僅對“授權同意”進行定義,即授權同意包括明示同意和通過消極的不作為而作出的授權,而《個人信息保護法》首次提出了“單獨同意”的概念,并規定了許多個人信息處理者需要取得單獨同意的情形。我們總結了需要單獨同意的具體情形,具體如下。
上述情形下《個人信息保護法》對個人信息處理者提出更高的合規要求,其中,“向第三方提供其處理的個人信息”和“處理敏感個人信息”的應用場景較多。關于“單獨同意”的含義,《個人信息保護法》未進行進一步解釋,根據《個人信息安全規範》第5.4條c)關于收集個人生物識别信息時應單獨向個人信息主體告知收集規則的規定,我們理解,《個人信息保護法》項下“單獨同意”指單獨向個人告知上述具體情形的個人信息處理目的,處理方式,處理個人信息的種類、保存期限,個人信息處理者的名稱或者姓名和聯系方式等,并單獨取得個人的同意。
三、澄清個人信息跨境傳輸規則
《網絡安全法》就關鍵信息基礎設施運營者的個人信息出境問題進行了明确,即原則上應當存儲在境内,确需向境外提供的,應進行安全評估,但該法提出的合規要求僅适用于關鍵信息基礎設施運營者。需注意的是,2017年發布的部門規章《個人信息和重要數據出境安全評估辦法(征求意見稿)》(下稱17年征求意見稿)将個人信息出境安全評估義務主體從關鍵信息基礎設施運營者擴大至所有網絡運營者。2019年6月發布的《個人信息出境安全評估辦法(征求意見稿)》(下稱19年征求意見稿)維持了此項規定,即主要義務主體仍為網絡運營者,并且由于19年征求意見稿要求境外網絡運營者收集境内用戶個人信息也應履行網絡運營者的責任和義務,因此相當于進一步擴大了17年征求意見稿項下的義務主體。
《個人信息保護法》作為個人信息保護領域的基礎性法律,在沿用《網絡安全法》監管思路的基礎上,擴大了個人信息本地化存儲的義務主體範圍。即關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當将在中華人民共和國境内收集和産生的個人信息存儲在境内。确需向境外提供的,應當通過國家網信部門組織的安全評估;法律、行政法規和國家網信部門規定可以不進行安全評估的,從其規定。
同時,《個人信息保護法》第三十八條建立了分類分級制的個人信息跨境傳輸規則,即除上述情形外,對于按照國家網信部門規定、需經專業機構進行個人信息保護認證的情形,應當通過專業機構的個人信息保護認證;對于其他個人信息出境的情形,個人信息處理者可以通過與境外接收方訂立合同的方式或在符合法律、行政法規、國家網信部門規定的其他條件的情形下向境外傳輸個人信息。該規定為其他類型的個人信息跨境提供更多的裁量空間和合法場景。
但是,關于處理個人信息達到國家網信部門規定數量的個人信息處理者的概念、具體的數量标準(如根據個人信息的性質、個人信息處理者所處行業的不同的數量标準)、具體的出境安全評估辦法等問題還有待相關部門、行業出台相應文件進一步明确。
四、個人信息主體的權利
《個人信息保護法》從法律層面賦予了個人信息主體關于個人信息保護的相關權利,如個人對其個人信息的處理享有知情權、決定權,有權限制或者拒絕他人對其個人信息進行處理,有權查閱、複制其個人信息,有權請求将個人信息轉移至其指定的個人信息處理者(可攜帶權),有權要求個人信息主體更正、補充、删除其個人信息。
其中,《個人信息保護法》第四十七條在沿用《網絡安全法》第四十三條的基礎上,對個人信息的删除權進行了補充和完善,即個人信息處理者應當主動删除個人信息,個人信息處理者未删除的,個人有權在本條規定的五種情形下請求删除。同時,考慮到實踐中可能存在無法完全、徹底删除特定個人信息主體的個人信息的技術障礙,《個人信息保護法》增加了個人信息處理者停止處理時的除外情形,即法律法規規定的保存期限未屆滿,或者删除個人信息從技術上難以實現的,個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。上述規定在完善删除權的同時,也增強了對個人信息的安全保障,具有一定的可操作性。
此外,就自然人死亡的情形,《個人信息保護法》第四十九條規定保障了其近親屬的權利,即其近親屬為了自身的合法、正當利益,可以對死者的相關個人信息行使本章規定的查閱、複制、更正、删除等權利。
五、個人信息處理者的義務
(一)安全保障義務
根據《個人信息保護法》第五十一條規定,個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,采取下列安全保障措施确保個人信息處理活動符合法律、行政法規的規定,并防止未經授權的訪問以及個人信息洩露、篡改、丢失:
(一)制定内部管理制度和操作規程;
(二)對個人信息實行分類管理;
(三)采取相應的加密、去标識化等安全技術措施;
(四)合理确定個人信息處理的操作權限,并定期對從業人員進行安全教育和培訓;
(五)制定并組織實施個人信息安全事件應急預案;
(六)法律、行政法規規定的其他措施。
(二)合規審計義務
根據《個人信息保護法》第五十四條規定,個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。
(三)個人信息保護影響評估義務
《個人信息保護法》第五十五條、第五十六條規定了個人信息處理者在特定情形下的個人信息保護影響評估義務以及具體評估内容,并明确個人信息保護影響評估報告和處理情況記錄應當至少保存三年。
需要評估的特定情形:
• 處理敏感個人信息;
• 利用個人信息進行自動化決策;
• 委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息;
• 向境外提供個人信息;
• 其他對個人權益有重大影響的個人信息處理活動。
影響評估應包含的内容:
• 個人信息的處理目的、處理方式等是否合法、正當、必要;
• 對個人權益的影響及安全風險;
• 所采取的保護措施是否合法、有效并與風險程度相适應。
(四)安全事件通知義務
根據《個人信息保護法》第五十七條規定,如發生或者可能發生個人信息洩露、篡改、丢失的,個人信息處理者應立即采取補救措施,并通知履行個人信息保護職責的部門和個人。但是,個人信息處理者采取措施能夠有效避免信息洩露、篡改、丢失造成危害的,個人信息處理者可以不通知個人;履行個人信息保護職責的部門認為可能造成危害的,有權要求個人信息處理者通知個人。
(五)平台特殊義務
根據《個人信息保護法》第五十八條規定,提供重要互聯網平台服務、用戶數量巨大、業務類型複雜的個人信息處理者,應建立健全個人信息保護合規制度體系,制定平台規則、明确産品或者服務提供者義務,停止向嚴重違法産品或者服務提供者提供平台服務,定期發布個人信息保護社會責任報告等。需要關注的是,相較于二審稿采用的“基礎性互聯網平台服務”的表述,終稿采用了“重要互聯網平台服務”的概念,但該概念的具體含義有待有關部門進一步明确。
六、履行個人信息保護職責的部門
根據《個人信息保護法》第六十條規定,履行個人信息保護職責的部門為國家網信部門、國務院有關部門以及縣級以上地方人民政府有關部門。上述部門的職責如下:
• 國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。
• 國務院有關部門依照本法和有關法律、行政法規的規定,在各自職責範圍内負責個人信息保護和監督管理工作。
• 縣級以上地方人民政府有關部門的個人信息保護和監督管理職責,按照國家有關規定确定。
履行個人信息保護職責的部門可以采取的執法措施包括詢問調查與個人信息處理活動有關的情況,查閱、複制當事人與個人信息處理活動有關的合同、記錄、賬簿以及其他有關資料,實施現場檢查、對涉嫌違法的活動進行調查,檢查與個人信息處理活動有關的設備、物品,并向本部門主要負責人書面報告并經其批準後,對有證據證明用于違法個人信息處理活動的設備、物品進行查封或者扣押。
此外,履行個人信息保護職責的部門在履行職責中,發現個人信息處理活動存在較大風險或者發生個人信息安全事件的,可以對該個人信息處理者的法定代表人或者主要負責人進行約談,或者要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。
七、法律責任
《個人信息保護法》第六十六條就違反本法規定處理個人信息或者處理個人信息未履行本法規定的個人信息保護義務時的法律責任進行了規定,即由履行個人信息保護職責的部門責令改正,給予警告,沒收違法所得,對違法處理個人信息的應用程序,責令暫停或者終止提供服務;拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。同時,進一步補充了對情節嚴重行為的處罰,即由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限内擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。
本條在延續《網絡安全法》第六十四條關于個人信息違法行為的行政處罰規定(即處一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款)的基礎上,借鑒了GDPR第八十三條的監管思路,大幅提高了罰款上限金額和個人信息違法成本,即對于情節嚴重的個人信息違法行為,規定了五千萬元以下或上一年度營業額百分之五以下罰款的罰款上限,并可以采取責令暫停相關業務、停業整頓等措施,且可對直接負責的主管人員和其他直接責任人員處以罰款。此外,《個人信息保護法》在二審稿基礎上,增加了“禁止直接負責的主管人員和其他責任人員在一定期限内擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人”的規定。
結語
《個人信息保護法》的出台是我國個人信息保護立法史的重要裡程碑,為監管機關的執法活動和企業的合規體系建設提供了重要指引。
注:
[i]根據歐盟數據保護委員會的指南, 判斷《通用數據保護條例》的适用範圍主要有兩個标準:設立地标準以及“目标”标準。就“目标”标準而言, 如果非歐盟實體的個人信息處理與“向歐盟境内的主體提供商品或服務”或“監控歐盟境内主體以及行為”相關的, 則該非歐盟實體的個人信息處理活動應适用《通用數據保護條例》。
[ii]《信息安全技術 數據出境安全評估指南(征求意見稿)》第3.2條 境内運營 注1:判斷網絡運營者是否在中華人民共和國境内開展業務,或向中華人民共和境内提供産品或服務的參考因素包括但不限于:使用中文;以人民币作為結算貨币;向中國境内配送物流等。
注:案例君對原文已作删改。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
