《中华人民共和国个人信息保护法》解读

发布时间 2021-08-29

2021年8月20日,广受中外关注的《中华人民共和国个人信息保护法》由十三届全国人大常委会第三十次会议正式通过,于2021年11月1日起施行。标志着翻开了我国个人信息立法保护的历史新篇章,也是全球个人信息法治发展的重大里程碑。

《个人信息保护法》全文篇幅总计8章74条,在总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任以及附则等多个层面设计和建构个人信息保护的立法框架,在条文内容上反映了立法者吸收接轨国际立法、探索开创中国路径的制度努力,特别是在规范设计上呈现了众多亮点。

2017年3月全国人大代表、全国人大常委、财经委副主任委员吴晓灵,全国人大代表、中国人民银行营业管理部主任周学东以及45位全国人大代表当年两会提交《关于制定<中华人民共和国个人信息保护法>的议案》,建议尽快制定《中华人民共和国个人信息保护法》。

2018年9月10日,《个人信息保护法》(草案)被列入《十三届全国人大常委会立法规划》第一类项目,即条件比较成熟、任期内拟提请审议,尔后经多次调研、讨论、修改等形成正式提请审议的草案,2020年10月13日,第十三届全国人大常委会第二十二次会议对《中华人民共和国个人信息保护法(草案)》进行了首次正式审议并于2020年10月21日发布公开征求意见稿。

2021年4月,第十三届全国人大常委会第二十八次会议对《中华人民共和国个人信息保护法(草案二次审议稿)》进行了审议并于2021年4月29日发布草案二次审稿公开征求意见,历经多次提案、二次公开征求意见、三次正式审议后,《中华人民共和国个人信息保护法》(简称《个人信息保护法》)最终于2021年8月20日经中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议通过并予以发布。至此,《个人信息保护法》与《网络安全法》、《数据安全法》共同构成了我国网络安全与数据保护领域的基本法律框架,使网络安全与数据保护在上位法层面得到完善,为数据安全释放价值提供了合规指引,为“我的数据信息我做主”保驾护航。

一、《个人信息保护法》三次审议变化

(一)2020年10月《个人信息保护法(草案)》(首次审议稿公开征求意见)

1. 《草案》吸收了《网络安全法》、《消费者权益保护法》、《广告法》、《电子商务法》、《关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》、《信息技术安全个人信息安全规范》等法律文件对个人信息保护的相关规定,并结合实践经验,同时吸收了GDPR等国际经验,形成了一部相对完善的立法草案。

2. 根据全国人大常委会法制工作委员会副主任刘俊臣《关于<中华人民共和国个人信息保护法(草案)>的说明》,草案共八章七十条,主要内容包括:

(1)明确本法适用范围

一是,对本法相关用语作出界定,规定:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息;个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。

二是,明确在我国境内处理个人信息的活动适用本法的同时,借鉴有关国家和地区的做法,赋予本法必要的域外适用效力,以充分保护我国境内个人的权益,规定:以向境内自然人提供产品或者服务为目的,或者为分析、评估境内自然人的行为等发生在我国境外的个人信息处理活动,也适用本法;并要求境外的个人信息处理者在境内设立专门机构或者指定代表,负责个人信息保护相关事务。

(2)健全个人信息处理规则

一是,确立个人信息处理应遵循的原则,强调处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等,并将上述原则贯穿于个人信息处理的全过程、各环节。

二是,确立以“告知-同意”为核心的个人信息处理一系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。考虑到经济社会生活的复杂性和个人信息处理的不同情况,草案还对基于个人同意以外合法处理个人信息的情形作了规定。

三是,根据个人信息处理的不同环节、不同个人信息种类,对个人信息的共同处理、委托处理、向第三方提供、公开、用于自动化决策、处理已公开的个人信息等提出有针对性的要求。

四是,设专节对处理敏感个人信息作出更严格的限制,只有在具有特定的目的和充分的必要性的情形下,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意。

五是,设专节规定国家机关处理个人信息的规则,在保障国家机关依法履行职责的同时,要求国家机关处理个人信息应当依照法律、行政法规规定的权限和程序进行。

在应对新冠肺炎疫情中,大数据应用为联防联控和复工复产提供了有力支持。为此,草案将应对突发公共卫生事件,或者紧急情况下保护自然人的生命健康,作为处理个人信息的合法情形之一。需要强调的是,在上述情形下处理个人信息,也必须严格遵守本法规定的处理规则,履行个人信息保护义务。

(3)完善个人信息跨境提供规则

一是,明确关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估;对于其他需要跨境提供个人信息的,规定了经专业机构认证等途径。

二是,对跨境提供个人信息的“告知-同意”作出更严格的要求。

三是,对因国际司法协助或者行政执法协助,需要向境外提供个人信息的,要求依法申请有关主管部门批准。

四是,对从事损害我国公民个人信息权益等活动的境外组织、个人,以及在个人信息保护方面对我国采取不合理措施的国家和地区,规定了可以采取的相应措施。

(4)明确个人信息处理活动中个人的权利和处理者义务

一是,与民法典的有关规定相衔接,明确在个人信息处理活动中个人的各项权利,包括知情权、决定权、查询权、更正权、删除权等,并要求个人信息处理者建立个人行使权利的申请受理和处理机制。

二是,明确个人信息处理者的合规管理和保障个人信息安全等义务,要求其按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,并指定负责人对其个人信息处理活动进行监督;定期对其个人信息活动进行合规审计;对处理敏感个人信息、向境外提供个人信息等高风险处理活动,事前进行风险评估;履行个人信息泄露通知和补救义务等。

(5)关于履行个人信息保护职责的部门

个人信息保护涉及各个领域和多个部门的职责。草案根据个人信息保护工作实际,明确国家网信部门负责个人信息保护工作的统筹协调,发挥其统筹协调作用;同时规定:国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。

此外,草案还对违反本法规定行为的处罚及侵害个人信息权益的民事赔偿等作了规定。

(二)2021年4月《个人信息保护法(草案)》(二次审议稿公开征求意见)二审在一审基础上主要做了以下方面修订:

1. 进一步完善处理个人信息的合法情形。

(1)新增“依照本法规定在合理的范围内处理已公开的个人信息”作为处理个人信息的合法情形。

(2)明确例外情形下处理个人信息,无需取得个人同意。

2. 完善个人撤回同意的要求。

(1)新增提供便捷撤回同意方式的要求,直指实践中出现的撤回同意的方式隐藏过深、过于复杂等问题。

(2)明确“个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力”。

3. 新增对具有管理公共事务职能的组织为履行法定职责处理个人信息适用于《个人信息保护法》关于国家机关处理个人信息的规定。

4. 强化对个人信息跨境提供的要求。新增要求与境外接收方订立合同应为“国家网信部门制定的标准合同”,有助于统一、规范合同内容,防止企业自行起草相关合同时可能产生的流于形式、内容不完善、要求不到位等问题。

5. 加强对向境外司法或执法机构提供个人信息的监管。

(1)将条文规定调整为禁止性规定。

(2)扩大了向境外提供个人信息的监管适用情形。

(3)将“从其规定”调整为“可以按照其规定执行”,意味着可以按照本条规定而不按照相关国际条约、协定的规定执行。

6. 新增规定自然人死亡的,个人在个人信息处理活动中的权利由近亲属行使。

7. 新增提供基础性互联网平台服务、用户数据巨大、业务数据类型复杂的个人信息处理者的特定义务。

8. 新增强调接受委托处理个人信息的受托方对个人信息安全保护义务。

9. 明确国家网信部门统筹协调的权限及强化新技术、新应用的立法和研究工作。

(1)明确国家网信部门统筹协调的权限。

(2)强化新技术、新应用的立法和研究工作。

10. 明确个人信息侵权行为的归责原则为过错推定。

(三)2021年8月《个人信息保护法》(三次审议通过终稿)

进一步明确个人信息处理的合法、正当、必要原则外,还主要增加了:

1. 处理数据应当限于实现处理目的的最小范围。

2. 按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需情况下可依法处理个人信息。

3. 不得对交易价格等交易条件上实行不合理差别对待。

4. 在合理范围内处理个人自行公开或已合法公开的个人信息,个人明确拒绝的除外情形。

5. 不得非法买卖和泄露个人信息。

6. 个人请求将个人信息转移至指定处理者时应提供转移的合规途径。

7. 明确不满14周岁儿童个人信息为敏感个人信息并要求制定专门的处理规则。

8. 进一步明确对个人信息的跨境提供的条件及要求等。

二、《个人信息保护法》十大主要亮点

(一)明确“个人信息”界定

在《网络安全法》基础上,《个人信息保护法》对“个人信息”做出了更为严谨的定义及列举。匿名化处理后的信息被明确不属于个人信息,此界定的明确,将进一步推进个人信息匿名化处理技术在数据安全保护方面的研发、应用及革新。

(二)明确较全面的处理原则

《个人信息保护法》从法律层面较为全面地规定了处理个人信息的基本原则,包括遵循合法、正当、必要和诚信原则、最小范围收集原则、公开、透明原则、保证个人信息的质量、信息安全、禁止非法取得及提供等。为个人信息处理范围的最小化控制提供了上位法指引。

(三)明确“告知-同意-撤回同意/拒绝”的处理规则

《个人信息保护法》进一步明确了个人信息处理的前提条件及要求。个人信息处理者仅可在取得个人同意或法定例外情形下可处理个人信息。个人信息处理者在处理个人信息前应履行充分告知义务,包括以显著方式、清晰易懂的语言真实、准确、完整地向个人告知处理者的名称或姓名和联系方式、处理目的、处理方式、处理的个人信息种类、保存期限、个人行使法定权利的方式和程序及其他依法应告知事项;另一方面,该法对个人同意的方式、撤回同意或拒绝权利进行了明确规定,形成了以“告知-同意-撤回同意/拒绝”为逻辑主线的处理规则。

(四)确立了自动化决策对数据处理的基本规则

《个人信息保护法》确定了算法自动化决策治理的基本框架,为自动化决策应用于电商平台经济、数字政府运行划定了合法边界。对于决策方法的透明度及结果公平、公正性、以自动决策方式进行信息推送、商业营销的规范、个人知情权及拒绝权、事先个人信息保护影响评估等进行了明确规定。从上位法层面,确立了算法等自动化决策治理的基本框架,对自动化决策的商业利用行为提出了合规要求。

(五)明确个人多项权利且确立了个人信息可携带权

《个人信息保护法》确立了个人对个人信息的多方面权利,包括对个人信息处理的知情权、决定权、要求解释说明权、拒绝权等;在个人信息处理过程中享有要求更正、补充权、删除权等;对处理者所掌握的个人信息享有查阅、复制权、承继行使权、可携带权等。特别是,可携带权为个人信息在不同互联网平台间进行指定转移、数据互联互通提供了合规路径。

(六)加强了对敏感个人信息的保护

《个人信息保护法》对敏感个人信息进行了定义,是指一旦泄露或非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。该法对敏感个人信息的处理规定更加严格,包括明确“特定目的和充分必要性”的处理前提条件、告知处理敏感个人信息的必要性及对个人的影响、要求取得个人的单独同意等。

(七)规范国家机关处理个人信息行为

《个人信息保护法》对国家机关为履行法定职责处理个人信息进行了明确规定,包括权限范围限制、告知义务及境外提供的安全评估义务、惩罚规定等,另外,法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息,适用《个人信息保护法》处理个人信息的规定。本条与《数据安全法》结合,完善了政务数据的处理规则。

(八)加强重要互联网平台的义务

《个人信息保护法》对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者进行了四项义务规定,包括建立健全个人信息保护合规制度体系、制定平台规则、对违法违规者停止服务义务、定期发布个人信息保护社会责任报告义务等。另外,对于小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,将由国家网信部门统筹协调有关部门依据本法推进。

(九)强化了侵犯个人信息的惩罚机制和力度

在《网络安全法》、《数据安全法》基础上,《个人信息保护法》加大了侵犯个人信息的惩罚力度,对个人信息处理者规定了较严格的行政处罚、计入信用档案并公示、民事赔偿责任、刑事责任等;并且对国家机关不履行个人信息保护义务,也明确了惩罚措施。进一步加强了对侵犯个人信息的立法保护,并注意与其他法律间衔接。

(十)确定了特定公权力机构及公益组织对个人信息处理者侵权案提起公益诉讼的权利

《个人信息保护法》确立了人民检察院、法律规定的消费者组织和由国家网信部门确定的组织对个人信息处理者违法处理个人信息侵害众多个人权益的案件,可以依法提起公益诉讼的法定权利。2021年8月21日最高人民检察院下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》,规范相关公益诉讼案件办理,切实履行好公益诉讼检察的法定职责。

除此之外,《个人信息保护法》在个人信息跨境提供规则、个人信息处理合规管理及保护负责人机制、统一工作协调与统筹机制等方面均有突破性规定,有利于个人信息保护机制的完善,该法对个人信息处理业务起到关键性指引作用,对隐私计算等人工智能技术商业利用的合规性操作具有重大意义。