<track id="dw34f"><ruby id="dw34f"><menu id="dw34f"></menu></ruby></track>
  • <pre id="dw34f"><label id="dw34f"><xmp id="dw34f"></xmp></label></pre>
      1. <table id="dw34f"></table>

          <td id="dw34f"></td>

          1. 為個人信息織密保護之網
            ——解讀個人信息保護法主要亮點
            2021/9/8 14:29:07  點擊率[174]  評論[0]
            【法寶引證碼】
              【學科類別】網絡法
              【出處】本網首發
              【寫作時間】2021年
              【中文摘要】2021年8月20日,備受關注的《中華人民共和國個人信息保護法》(簡稱“個人信息保護法”)由十三屆全國人大常委會第三十次會議正式通過,將于2021年11月1日起施行。個人信息保護法共8章74條,在有關法律的基礎上,進一步細化完善了個人信息保護應遵循的原則和個人信息處理規則,明確了個人信息處理活動中的權利義務邊界,健全了個人信息保護工作體制機制等,為個人信息織密了保護之網,亮點多多。
              【中文關鍵字】個人信息保護法;織密保護之網
              【全文】

                2021年8月20日,備受關注的《中華人民共和國個人信息保護法》(簡稱“個人信息保護法”)由十三屆全國人大常委會第三十次會議正式通過,將于2021年11月1日起施行。個人信息保護法共8章74條,在有關法律的基礎上,進一步細化完善了個人信息保護應遵循的原則和個人信息處理規則,明確了個人信息處理活動中的權利義務邊界,健全了個人信息保護工作體制機制等,為個人信息織密了保護之網,亮點多多。
               
                (一)對“個人信息”進行更為嚴謹的定義和列舉。2016年11月7日,十二屆全國人大常委會第二十四次會議通過的網絡安全法對“個人信息”的定義和列舉是:“個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”(第七十六條之規定)在此基礎上,個人信息保護法對“個人信息”做出了更為嚴謹的定義及列舉:“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。”(第四條第一款之規定)匿名化處理后的信息被明確不屬于個人信息,將進一步推進個人信息匿名化處理技術在數據安全保護方面的研發、應用及革新。
               
                (二)明確處理個人信息應遵循的基本原則。個人信息保護法在總則(第一章)中明確:“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。”(第四條第二款)應遵循以下基本原則:一是遵循合法、正當、必要和誠信的原則。依據個人信息保護法第五條之規定,“處理個人信息應當遵循合法、正當、必要和誠信原則,不得通過誤導、欺詐、脅迫等方式處理個人信息。”二是遵循最小范圍收集的原則。依據個人信息保護法第六條之規定,“處理個人信息應當具有明確、合理的目的,并應當與處理目的直接相關,采取對個人權益影響最小的方式。”(第一款)“收集個人信息,應當限于實現處理目的的最小范圍,不得過度收集個人信息。”(第二款)三是遵循公開、透明的原則。依據個人信息保護法第七條之規定,“處理個人信息應當遵循公開、透明原則,公開個人信息處理規則,明示處理的目的、方式和范圍。”四是遵循保證個人信息質量的原則。依據個人信息保護法第八條之規定,“處理個人信息應當保證個人信息的質量,避免因個人信息不準確、不完整對個人權益造成不利影響。”五是遵循保障個人信息安全的原則。依據個人信息保護法第九條之規定,“個人信息處理者應當對其個人信息處理活動負責,并采取必要措施保障所處理的個人信息的安全。”六是遵循禁止非法取得及提供的原則。依據個人信息保護法第十條之規定,“任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息;不得從事危害國家安全、公共利益的個人信息處理活動。”以上基本原則,是收集、使用個人信息的基本遵循,是構建個人信息保護具體規則的制度基礎。
               
                (三)構建以“告知-同意”為核心的個人信息處理規則。個人信息保護法單列專門章節(第二章第一節)對個人信息處理規則做出了一般性規定。依據個人信息保護法第十三條之規定,個人信息處理的前提條件是“應當取得個人同意”(第二款),但是法定情形除外(有第一款第二項至第七項規定情形的,不需取得個人同意)。對處理個人信息的基本要求是個人信息處理者要事前“告知”并獲得“同意”或依法定情形(第十三條),并明確個人信息處理者在處理個人信息前應履行充分告知義務(第十七條),當“個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應當重新取得個人同意。”(第十四條第二款)“基于個人同意處理個人信息的,個人有權撤回其同意。”(第十五條第二款)“個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務。”(第十六條之規定),形成了以“告知-同意-撤回同意/拒絕”為邏輯主線的處理規則。
               
                (四)確立自動化決策對數據處理的基本規則。當前,越來越多的企業用大數據分析和評估消費者的個人特征用于商業營銷,最典型的就是社會反映突出的“大數據殺熟”。對此,個人信息保護法第二十四條規定,“個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。”(第一款)同時明確:“通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。”(第二款)“通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。”(第三款之規定)這一基本規則,確定了算法自動化決策治理的基本框架,為自動化決策應用于電商平臺經濟、數字政府運行劃定了合法邊界。
               
                (五)確立敏感個人信息的處理規則。個人信息保護法單列專門章節(第二章第二節)確立了敏感個人信息的處理規則。個人信息保護法對“敏感個人信息”進行定義和列舉,即:“敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。”(第二十八條之規定)依據個人信息保護法之規定,“只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。”(第二十八條第二款)處理敏感個人信息應當取得同意(第二十九條);應當事前進行影響評估,并向個人告知處理的必要性以及對個人權益的影響(第三十條);處理不滿十四周歲未成年人個人信息的,“應當取得未成年人的父母或者其他監護人的同意。”(第三十一條第一款)并“應當制定專門的個人信息處理規則。”(第二款之規定)
               
                (六)規范國家機關處理個人信息的行為。個人信息保護法單列專門章節(第二章第三節)對國家機關為履行法定職責處理個人信息進行了特別規定,包括:“應當依照法律、行政法規規定的權限、程序進行,不得超出履行法定職責所必需的范圍和限度”(第三十四條)、“應當依照本法規定履行告知義務”(第三十五條)、“應當在中華人民共和國境內存儲;確需向境外提供的,應當進行安全評估”(第三十六條之規定)。此外,依據個人信息保護法第三十七條之規定,“法律、法規授權的具有管理公共事務職能的組織為履行法定職責處理個人信息,適用本法關于國家機關處理個人信息的規定。”該條款之規定與數據安全法相結合,完善了政務數據的處理規則。
               
                (七)設立個人信息跨境提供的規則。當今個人信息的跨境流動日益頻繁,但由于遙遠的地理距離以及不同國家法律制度、保護水平之間的差異,個人信息跨境流動風險越來越難以控制。為此,個人信息保護法設立專章(第三章)構建了一套清晰、系統的個人信息跨境流動規則,以滿足保障個人信息權益和安全的客觀要求,適應國際經貿往來的現實需要。個人信息保護法對個人信息跨境提供設定了應具備的條件和應采取的必要措施(第三十八條)、應向個人告知相關事項并得到同意(第三十九條);個人信息一般應儲存在境內,確需向境外提供應進行安全評估(第四十條);非經主管機關批準,不得向外國機構提供存儲于境內的個人信息(第四十一條);并對境外侵害行為采取限制或者禁止(第四十二條)、對等措施(第四十三條之規定)等。
               
                (八)確立個人在個人信息處理活動中的權利。個人信息保護法單列專章(第四章)確立了個人對個人信息的多方面權利,包括:“個人對其個人信息的處理享有知情權、決定權,有權限制或者拒絕他人對其個人信息進行處理”(第四十四條)、“個人有權向個人信息處理者查閱、復制其個人信息”(第四十五條)、“個人發現其個人信息不準確或者不完整的,有權請求個人信息處理者更正、補充”(第四十六條)、“個人有權請求刪除”(第四十七條)、“個人有權要求個人信息處理者對其個人信息處理規則進行解釋說明”(第四十八條)、“自然人死亡的,其近親屬為了自身的合法、正當利益,可以對死者的相關個人信息行使本章規定的查閱、復制、更正、刪除等權利”(第四十九條之規定)。為保障個人在個人信息處理活動中的權利,個人信息保護法特別規定:“個人請求查閱、復制其個人信息的,個人信息處理者應當及時提供”(第四十五條第二款)、“個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑”(第三款之規定),這種可攜帶權為個人信息在不同互聯網平臺間進行指定轉移、數據互聯互通提供了合規路徑。
               
                (九)設定個人信息處理者的義務。個人信息保護法設立專章(第五章)明確了個人信息處理者的合規管理和保障個人信息安全等義務。個人信息保護法第五十一條列舉了個人信息處理者應采取六個方面措施確保個人信息處理活動符合法律、行政法規的規定,并防止未經授權的訪問以及個人信息泄露、篡改、丟失;第五十五條列舉了具有五個方面情形之一的,個人信息處理者應當事前進行個人信息保護影響評估,并對處理情況進行記錄;第五十六條列舉了個人信息保護影響評估應當包括的三個方面內容;第五十七條就發生或者可能發生個人信息泄露、篡改、丟失的,個人信息處理者應當立即采取補救措施,并列舉了三個方面事項通知履行個人信息保護職責的部門和個人。個人信息保護法還特別設定大型網絡平臺的義務。依據個人信息保護法第五十八條之規定,“提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者,應當履行下列義務:(一)按照國家規定建立健全個人信息保護合規制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督;(二)遵循公開、公平、公正的原則,制定平臺規則,明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務;(三)對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者,停止提供服務;(四)定期發布個人信息保護社會責任報告,接受社會監督。”個人信息保護法還規定,“處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監督。”(第五十二條第一款)“個人信息處理者應當公開個人信息保護負責人的聯系方式,并將個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部門。”(第二款)“境外的個人信息處理者,應當在中華人民共和國境內設立專門機構或者指定代表,負責處理個人信息保護相關事務,并將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門。”(第五十三條)“個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。”(第五十四條之規定)
               
                (十)設定履行個人信息保護職責的部門。個人信息保護法設立專章(第六章)明確了國家網信部門和國務院有關部門在各自職責范圍內負責個人信息保護和監督管理工作,同時對個人信息保護和監管職責作出規定。依據個人信息保護法第六十條之規定,“國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定,在各自職責范圍內負責個人信息保護和監督管理工作。”(第一款)“縣級以上地方人民政府有關部門的個人信息保護和監督管理職責,按照國家有關規定確定。”(第二款)列舉了以上這些這些部門的五個方面個人信息保護之責(第六十一條),并可以采取四個方面的措施依法履行職責(第六十三條);列舉了國家網信部門統籌協調有關部門依法推進五個方面的個人信息保護工作(第六十二條之規定)。個人信息保護法還規定,履行個人信息保護職責的部門發現問題,可以對個人信息處理者進行約談,或者進行合規審計(第六十四條),受理投訴、舉報(第六十五條之規定)等。
               
                (十一)強化對侵犯個人信息的懲罰力度。在網絡安全法、數據安全法的基礎上,進一步加強了對侵犯個人信息的立法保護,并注意與其他法律之間的銜接。個人信息保護法設立“法律責任”專章(第七章)強化了侵犯個人信息的懲罰機制和力度。對個人信息處理者規定了較嚴格的行政處罰(第六十六條)、計入信用檔案并公示(第六十七條)、公益訴訟(第七十條)、民事賠償責任(第六十九條)、刑事責任(第七十一條之規定);對國家機關不履行個人信息保護義務,也明確了懲罰措施(第六十八條之規定)。

              【作者簡介】
              滕修福,系人大實踐與理論研究者。

              本網站文章僅代表作者個人觀點,不代表本網站的觀點與看法。
              轉載請注明出自北大法律信息網
            0
            北大法律信息網
            www.chinalawinfo.com
            法律動態
            網站簡介
            合作意向
            網站地圖
            隱私政策
            版權聲明
            北大法寶
            www.pkulaw.cn
            法寶動態
            法寶優勢
            經典客戶
            免費試用
            產品服務
            專業定制
            購買指南
            郵件訂閱
            法律會刊
            北大英華
            www.pkulaw.com
            英華簡介
            主要業務
            產品列表
            英華網站
            聯系我們
            用戶反饋
            返回頂部
            二維碼
            不要添了,我高潮了视频