一、《个人信息保护法》
当今世界各国都将个人信息保护置于重要地位,不少国家对个人信息的保护都有专门立法。例如GDPR《一般数据保护法案》,欧盟成员国关于数据保护的法律法规,被视为当前最为全面、严格的数据保护法案。借鉴世界各国的经验,对个人信息保护进行专门立法,使个人信息保护工作有法可依,保障自然人的合法权益,促进信息的合理流通和利用,这是构建完善的个人信息保护机制最重要的一环。在立法层面,强调对个人敏感信息和个人一般信息的概念进行明确,并在法律保护上区别对待。个人敏感信息应限定为个人敏感隐私信息,对此应实施高强度保护,限制收集、加工、流动,及时删除。个人一般信息应强化利用,最大程度地发挥促进其商业和公共管理的作用,但也应防止不当使用。此外,个人信息立法的保护主体不是法人和其他非法人组织,而仅包括自然人。法人以及其他非法人组织的信息应由知识产权法和商业秘密等制度规制。
千呼万唤始出来,2020年10月22日 第十三届全国人大常委会第二十二次会议审议了《中华人民共和国个人信息保护法(草案)》,2021年4月29日,《中华人民共和国个人信息保护法(草案二次审议稿)》在经全国人大常委会会议审议后面向社会公布并征求意见。
第一章 总则
综述
《个人信息保护法(草案)》确立了“告知——同意”为核心的个人信息处理一系列规则,明确了国家机关对个人信息的保护义务,明确了适用范围、个人信息的定义、个人信息处理的过程和个人信息使用的原则。
关键点
-
适用范围
组织、个人在中华人民共和国境内处理自然人个人信息的活动。
-
个人信息定义
是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息(指个人信息经过处理无法识别特定自然人 且不能复原的过程;经过匿名化处理的数据无法用来与任何个人关联到一起)。
-
个人信息的处理
包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。(定义数据安全关注的重点)
-
原则
合法、正当、诚信
有明确、合理的目的,限制实现处理目的的最小范围
公开、透明
第二章 个人信息处理规则
第一节 一般规定
综述
规定个人信息处理者的责任和要求,强调个人存在许可权、拒绝权和访问权,强调受托方与个人信息处理者之间的责任关系。
关键点
-
第十三条:符合下列情形之一的,个人信息处理者方可处理个人信息:
(一) 取得个人的同意;
(二) 为订立或者履行个人作为一方当事人的合同所必需;
(三) 为履行法定职责或者法定义务所必需;
(四) 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五) 为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息;
(六) 法律、行政法规规定的其他情形。
-
第十六条:基于个人同意而进行的个人信息处理活动,个人
有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
-
个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
该规定与《信息安全技术 个人信息安全规范》(GB/T 35273-2020,以下简称“《个人信息安全规范》”)第8.4条规定的“撤回授权同意不影响撤回前基于授权同意的个人信息处理”在精神上保持一致,系将成熟的国标规定上升为法律规定。
-
第十八条:个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言向个人告知下列事项:
(一) 个人信息处理者的身份和联系方式;
(二) 个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三) 个人行使本法规定权利的方式和程序;
(四) 法律、行政法规规定应当告知的其他事项。
建议
本章对数据处理者的要求基本为管理性要求,组织在落实的时候,不仅要考虑自身业务隐私协议或与三方组织签署的协议上是否满足此部分内容要求,也要切实从技术上进行满足和定期验证。
第二节 敏感个人信息的处理规则
综述
对个人信息进一步细化,定义敏感个人信息的内容,规定基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。
关键点
-
第二十九条 个人信息处理者具有特定的目的和充分的必要
性,方可处理敏感个人信息。敏感个人信息是一旦泄露或者非法使用,可能导致个人受到
歧视或者人身、财产安全受到严重危害的个人信息,包括种族、
民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行
踪等信息。
第三章 个人信息跨境提供规则
综述
tiktok和WeChat事件,让我们切实感受到,美国对美国公民数据的管理严格;其实反过来看,我国对国内数据的跨境访问也同样严格,从网络安全法发布以来,国家越来越关注国内数据的跨境传输,很多国外的大公司相继在国内建立单独的公司或数据中心,用以管理中国国内的数据,本章节内容对我国境外提供个人需求的组织,需满足国家相关的评估、认证和备案等要求,且国家层面有权限制或者禁止此类行为。
关键点
-
个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当至少具备下列一项条件:
(一) 依照本法第四十条的规定通过国家网信部门组织的安全评估;
解读:此处可以参考国家已发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》和《个人信息出境安全评估办法(征求意见稿)》。(二) 按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三) 与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准;
(四) 法律、行政法规或者国家网信部门规定的其他条件。
关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
补充说明
2019年的《个人信息出境安全评估办法(征求意见稿)》对个人信息出境的限制做了收紧,未在量化定义哪些数据需要进行评估,个人信息出境前即需要申报评估具体如下:
第三条 个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。
向不同的接收者提供个人信息应当分别申报安全评估,向同一接收者多次或连续提供个人信息无需多次评估。每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。
第四章 个人在个人信息处理活动中的权利
综述
本章节强调个人对个人信息存在知情权、决定权、访问权、拒绝权、被遗忘权和删除权。
关键点
第四十九条 自然人死亡的,本章规定的个人在个人信息处
理活动中的权利,由其近亲属行使。
补充说明
解读:为了便与GDPR对别,综述中我引用了GDPR的部分词语。本章节中,国内的要求相对于GDPR的要求宽松一些,具体有点:(GDPR《一般数据保护法案》欧盟成员国关于数据保护的法律法规,被视为当前最为全面、严格的数据保护法案)
1、被遗忘权,GDPR是一对多的,不仅包含传统的删除权的权利要求,还包括要求数据控制者负责将其已经扩散出去的和提供给第三方的个人数据,采取必要的措施予以消除。而本章节未提及委托方的数据被遗忘权。
2、删除权,本文提到“法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止处理个人信息”,此句话相对于给个人信息删除留有缓和余地的,而GDPR的要求是物理删除,且为强制性要求;具体内容为:数据主体有权要求控制者无不当延误地删除有关其的个人数据;为遵守控制者所受制的联盟或成员国法律规定的法定义务,个人数据必须被删除。
第五章 个人信息处理者的义务
综述
个人信息处理者要采取相应的保护措施、指定个人信息保护负责人、定期做审计、风险评估等方式防治未授权的访问;境外公司在国内要设立专门机构或者指定代表;如出现人信息泄露的,应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。
关键点
-
采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除:
(一) 制定内部管理制度和操作规程;
(二) 对个人信息实行分级分类管理;
(三) 采取相应的加密、去标识化等安全技术措施;
(四) 合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五) 制定并组织实施个人信息安全事件应急预案;
(六) 法律、行政法规规定的其他措施。建议:上述内容从技术和管理层面指导组织内的个人信息防护工作。
-
个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录:
(一) 处理敏感个人信息;
(二) 利用个人信息进行自动化决策;
(三) 委托处理个人信息、向第三方提供个人信息、公开个 人信息;
(四) 向境外提供个人信息;
(五) 其他对个人有重大影响的个人信息处理活动。
-
风险评估的内容应当包括:
(一) 个人信息的处理目的、处理方式等是否合法、正当、 必要;
(二) 对个人的影响及风险程度;
(三) 所采取的安全保护措施是否合法、有效并与风险程度 相适应。
风险评估报告和处理情况记录应当至少保存三年。建议:风险评估从网络安全法开始就一直被要求,且由监管方落实到日常管理中, 企业务必重视定期开展内部的风险评估工作。
-
个人信息处理者发现个人信息泄露的,应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:
(一) 个人信息泄露的原因;
(二) 泄露的个人信息种类和可能造成的危害;
(三) 已采取的补救措施;
(四) 个人可以采取的减轻危害的措施;
(五) 个人信息处理者的联系方式。
-
第五十七条 提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
(一) 成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;
(二) 对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(三) 定期发布个人信息保护社会责任报告,接受社会监督。
第五十七条 接受委托处理个人信息的受托方,应当履行本
章规定的相关义务,采取必要措施保障所处理的个人信息的安
全。
补充说明
-
“基础性互联网平台服务”
系由《个保法(草案二审稿)》首次提出,其准确界定还需要后续相关的立法解释、配套规定的明确和实践的探索。
张新宝教授在对《个人信息保护法(草案)》提供立法建议时,引入了“守门人”的概念,亦可作为理解“基础性互联网平台服务”的参考。张新宝教授将“守门人”界定为“控制关键环节,有资源赋予其他个人信息处理者处理个人信息能力的互联网运营者”,主要包括应用程序的分发平台、移动终端操作系统、搭载小程序的大型App平台。[7]张新宝教授的上述观点和思路,已经体现在《移动互联网应用程序个人信息保护规定(征求意见稿)》的部分规定之中,[8]例如其第九条对App分发平台、第十条对移动智能终端生产企业提出了个人信息保护义务的具体要求。
-
“用户数量巨大”
- 从比较法的角度看如何界定“用户数量巨大” — 欧盟委员会于2020年12月15日公布《数字市场法(草案)》(Digital Markets Act),其第3条第2款对“守门人”(在数字市场中达到一定规模或具有一定影响的科技企业)采取的界定标准之一为“使用核心平台服务的月活跃终端用户数超过4500万,包含本土用户和暂居于欧盟境内的用户;或者上一财政年度内拥有注册于欧盟境内的商业用户超过10000家”。
- 而我国人口基数、经济发展水平、互联网平台发展情况等与欧盟均存在明显的差异,用户数量过亿甚至月活用户过亿的平台都不在少数。如何认定“用户数量巨大”,有待后续相关的立法解释、配套规定的明确和实践的探索。
-
受托方个人信息保护义务
增强调受托方个人信息保护义务,与《个人信息安全规范》第9.1条“委托处理”中对受托者的规定在精神上有相似之处。同时,《个保法(草案二审稿)》第四条第二款对“个人信息的处理”的定义中,并未将“受托处理”列举在内,受托处理者可能基于该等“空白”而主张不适用本法的规定。
第六章 履行个人信息保护职责的部门
综述
规定个人信息保护职责的部门需要履行的责任,第56条规定,国家网信办负责统筹和协调个人信息保护工作和监督管理,及国务院有关部门、县级以上地方人民政府有关部门,统称为“履行个人信息保护职责的部门”。
第七章 法律责任
综述
对违背个人信息安全法的人员、组织采取一定的惩罚。
关键点
- 第六十五条 违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的, 并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执 照;对直接负责的主管人员和其他直接责任人员处十万元以上一 百万元以下罚款。
- 第六十八条 个人信息权益因个人信息处理活动受到侵害,
个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等
侵权责任。
前款规定的损害赔偿责任按照个人因此受到的损失或者个人
信息处理者因此获得的利益确定;个人因此受到的损失和个人信
息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数
额。
补充说明
对于企业而言,不仅要做好个人信息相关的合规安排,还要做好相应的“留痕”,确保能够证明已经采取了法律法规规定的、必要的个人信息合规措施,否则不能证明自己没有过错,需要承担损害赔偿等侵权责任。
此外,需要指出的是,本次修订解决了《个保法(草案)》第六十五条可能产生的争议,即如按《个保法(草案)》第六十五条,即使个人信息处理者能够证明自己不存在过错,仍可能需要承担相应的赔偿责任。
第八章 附则
综述
对关键词语进行定义和解释。
关键点
- (一) 个人信息处理者,是指自主决定处理目的、处理方式等个人信息处理事项的组织、个人。
- (二) 自动化决策,是指利用个人信息对个人的行为习惯、 兴趣爱好或者经济、健康、信用状况等,通过计算机程序自动分析、评估并进行决策的活动。
- (三) 去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。
- (四) 匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。
二、其它监管要求
《网络安全法》第七十六条
(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、shenfenzheng件号码、个人生物识别信息、住址、电话号码等。
全国人大常委《关于加强网络信息保护的决定》第一条
国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。
“两高一部”的《惩处公民个人信息犯罪通知》
公民个人信息包括公民的姓名、年龄、有效zheng件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。
“两高”关于侵犯公民个人信息刑事案件适用法律若干问题的解释
第一条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、shenfenzheng件号码、通信通讯联系方式、住址、账号mima、财产状况、行踪轨迹等。
中华人民共和国民法典
第四编 人格权 -- 第六章 隐私权和个人信息保护 -- 第一千零三十四条 自然人的个人信息受法律保护。
- 个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、shenfenzheng件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
- 个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
中华人民共和国刑法
第二百五十三条之一【侵犯公民个人信息罪】
违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
《中华人民共和国数据安全法》
- 将于2021年9月1日起施行。这部法律是数据领域中关于国家如何保护公民、组织与数据有关权益的基础性法律,其明确开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护责任;
- 第四十二条明确指出,针对组织和个人不履行、违反“数据安全保护义务”等本法条款规定,将受到警告、整改、罚款等法律制裁。
