2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,自2021年11月1日起施行。
《个人信息保护法》的发布,使得网络安全与数据保护在法律法规层面得到进一步完善,与《网络安全法》、《数据安全法》共同构成了我国网络安全与数据保护领域的基本法律框架。
立法背景
随着互联网络的发展,以及5G、人脸识别、移动支付等技术的普及,我国已步入数字化时代。数据成为了关键的生产要素,作为数据中重要组成部分的个人信息,不可避免地被收集、整理成数据并被分析。数字诊疗、人工智能、大数据分析等领域的技术发展给人们生活带来便捷的同时,也使得个人信息遭受侵害的风险成几何量级增大,导致泄露事件层出不穷、愈演愈烈。
为此,国家出台《个人信息保护法》,对于收集、使用、分析个人信息的行为进行规范,为个人信息处理活动提供了明确的法律依据,为个人维护其个人信息权益提供了充分保障,为企业合规处理提供了操作指引。
要点解读
专业术语
个人信息:是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理:包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
敏感个人信息:一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
1. 确立个人信息保护原则
个人信息保护的原则是收集、使用个人信息的基本遵循,是构建个人信息保护具体规则的制度基础。
《个人信息保护法》中强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等。
2. 明确个人信息处理活动中个人的权利
《个人信息保护法》中规定处理个人信息应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。同时,针对现实生活中社会反映强烈的一揽子授权、强制同意等问题,个人信息保护法特别要求,个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意,明确个人信息处理者不得过度收集个人信息,不得以个人不同意为由拒绝提供产品或者服务,并赋予个人撤回同意的权利,在个人撤回同意后,个人信息处理者应当停止处理或及时删除其个人信息。
此外,《个人信息保护法》还对死者个人信息的保护作了专门规定,明确在尊重死者生前安排的前提下,其近亲属为自身合法、正当利益,可以对死者个人信息行使查阅、复制、更正、删除等权利。
3. 明确个人信息处理活动中处理者义务
个人信息处理者是个人信息保护的第一责任人,《个人信息保护法》要求个人信息处理者按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,指定负责人对其个人信息处理活动进行监督,定期对其个人信息活动进行合规审计,对处理敏感个人信息、利用个人进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估,履行个人信息泄露通知和补救义务等。
同时,《个人信息保护法》对大型互联网平台设定了特别的个人信息保护义务,包括:按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;遵循公开、公平、公正的原则,制定平台规则;对严重违法处理个人信息的平台内产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。《个人信息保护法》的上述规定是为了提高大型互联网平台经营业务的透明度,完善平台治理,强化外部监督,形成全社会共同参与的个人信息保护机制。
此外,针对当前部分企业通过掌握消费者的经济状况、消费习惯、对价格的敏感程度等信息,对消费者在交易价格等方面实行歧视性的差别待遇,误导、欺诈消费者,即所谓的“大数据杀熟”现象。《个人信息保护法》中规定:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
4. 规范国家机关个人信息处理活动
《个人信息保护法》中规定了国家机关为履行法定职责处理个人信息的行为准则,规定其应当依照法律、行政法规规定的权限、程序进行,另外,法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息时,同样适用《个人信息保护法》中的相关规定。
5. 法律责任
《个人信息保护法》针对侵犯个人信息的行为做了相应的处罚规定,包括对个人信息处理者进行严格的行政处罚、计入信用档案并公示、民事赔偿责任、刑事责任等,情节严重的将被没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
同时对国家机关不履行《个人信息保护法》规定个人信息保护义务的,也做了相关处罚条例。