經(jīng)過(guò)三次審議�����,8月20日�����,十三屆全國(guó)人大常委會(huì)第三十次會(huì)議表決通過(guò)了《中華人民共和國(guó)個(gè)人信息保護(hù)法》��,將于2021年11月1日起施行���。 在信息化時(shí)代,個(gè)人信息保護(hù)已成為廣大人民群眾最關(guān)心最直接最現(xiàn)實(shí)的利益問(wèn)題之一�。個(gè)人信息保護(hù)法堅(jiān)持和貫徹以人民為中心的法治理念,牢牢把握保護(hù)人民群眾個(gè)人信息權(quán)益的立法定位����,聚焦個(gè)人信息保護(hù)領(lǐng)域的突出問(wèn)題和人民群眾的重大關(guān)切。 個(gè)人信息保護(hù)法共8章74條����。在有關(guān)法律的基礎(chǔ)上,該法進(jìn)一步細(xì)化��、完善個(gè)人信息保護(hù)應(yīng)遵循的原則和個(gè)人信息處理規(guī)則�,明確個(gè)人信息處理活動(dòng)中的權(quán)利義務(wù)邊界���,健全個(gè)人信息保護(hù)工作體制機(jī)制。 “個(gè)人信息保護(hù)法切實(shí)將廣大人民群眾網(wǎng)絡(luò)空間合法權(quán)益維護(hù)好���、保障好、發(fā)展好���,使廣大人民群眾在數(shù)字經(jīng)濟(jì)發(fā)展中享受更多的獲得感�、幸福感��、安全感��?!比珖?guó)人大常委會(huì)法工委經(jīng)濟(jì)法室副主任楊合慶對(duì)個(gè)人信息保護(hù)法進(jìn)行了權(quán)威解讀。 亮點(diǎn)一:
確立個(gè)人信息保護(hù)原則
個(gè)人信息保護(hù)的原則是收集���、使用個(gè)人信息的基本遵循���,是構(gòu)建個(gè)人信息保護(hù)具體規(guī)則的制度基礎(chǔ)。
個(gè)人信息保護(hù)法借鑒國(guó)際經(jīng)驗(yàn)并立足我國(guó)實(shí)際���,確立了個(gè)人信息處理應(yīng)遵循的原則�,強(qiáng)調(diào)處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)���、必要和誠(chéng)信原則����,具有明確����、合理的目的并與處理目的直接相關(guān),采取對(duì)個(gè)人權(quán)益影響最小的方式���,限于實(shí)現(xiàn)處理目的的最小范圍���,公開(kāi)處理規(guī)則,保證信息質(zhì)量����,采取安全保護(hù)措施等。
“這些原則應(yīng)當(dāng)貫穿于個(gè)人信息處理的全過(guò)程�����、各環(huán)節(jié)����?!睏詈蠎c說(shuō)�。
亮點(diǎn)二:
規(guī)范處理活動(dòng)保障權(quán)益
個(gè)人信息保護(hù)法緊緊圍繞規(guī)范個(gè)人信息處理活動(dòng)、保障個(gè)人信息權(quán)益���,構(gòu)建了以“告知-同意”為核心的個(gè)人信息處理規(guī)則。
“‘告知-同意’是法律確立的個(gè)人信息保護(hù)核心規(guī)則�����,是保障個(gè)人對(duì)其個(gè)人信息處理知情權(quán)和決定權(quán)的重要手段��?��!睏詈蠎c說(shuō)����。
個(gè)人信息保護(hù)法要求��,處理個(gè)人信息應(yīng)當(dāng)在事先充分告知的前提下取得個(gè)人同意���,個(gè)人信息處理的重要事項(xiàng)發(fā)生變更的應(yīng)當(dāng)重新向個(gè)人告知并取得同意��。同時(shí)�����,針對(duì)現(xiàn)實(shí)生活中社會(huì)反映強(qiáng)烈的一攬子授權(quán)�、強(qiáng)制同意等問(wèn)題,個(gè)人信息保護(hù)法特別要求���,個(gè)人信息處理者在處理敏感個(gè)人信息���、向他人提供或公開(kāi)個(gè)人信息、跨境轉(zhuǎn)移個(gè)人信息等環(huán)節(jié)應(yīng)取得個(gè)人的單獨(dú)同意��,明確個(gè)人信息處理者不得過(guò)度收集個(gè)人信息����,不得以個(gè)人不同意為由拒絕提供產(chǎn)品或者服務(wù),并賦予個(gè)人撤回同意的權(quán)利���,在個(gè)人撤回同意后�,個(gè)人信息處理者應(yīng)當(dāng)停止處理或及時(shí)刪除其個(gè)人信息�。
此外,考慮到經(jīng)濟(jì)社會(huì)生活的復(fù)雜性��,個(gè)人信息處理的場(chǎng)景日益多樣,個(gè)人信息保護(hù)法從維護(hù)公共利益和保障社會(huì)正常生產(chǎn)生活的角度����,還對(duì)取得個(gè)人同意以外可以合法處理個(gè)人信息的特定情形作了規(guī)定。
此外����,個(gè)人信息保護(hù)法還分別對(duì)共同處理、委托處理等實(shí)踐中較為常見(jiàn)的處理情形作出有針對(duì)性規(guī)定�。
亮點(diǎn)三:
禁止“大數(shù)據(jù)殺熟”規(guī)范自動(dòng)化決策
當(dāng)前,越來(lái)越多的企業(yè)利用大數(shù)據(jù)分析���、評(píng)估消費(fèi)者的個(gè)人特征用于商業(yè)營(yíng)銷(xiāo)。有一些企業(yè)通過(guò)掌握消費(fèi)者的經(jīng)濟(jì)狀況�����、消費(fèi)習(xí)慣�����、對(duì)價(jià)格的敏感程度等信息��,對(duì)消費(fèi)者在交易價(jià)格等方面實(shí)行歧視性的差別待遇��,誤導(dǎo)、欺詐消費(fèi)者�����。其中��,最典型的就是社會(huì)反映突出的“大數(shù)據(jù)殺熟”�����。
“‘大數(shù)據(jù)殺熟’行為違反了誠(chéng)實(shí)信用原則�����,侵犯了消費(fèi)者權(quán)益保護(hù)法規(guī)定的消費(fèi)者享有公平交易條件的權(quán)利�����,應(yīng)當(dāng)在法律上予以禁止�����?�!睏詈蠎c說(shuō)�����。
對(duì)此,個(gè)人信息保護(hù)法明確規(guī)定:個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策����,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正�,不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。
亮點(diǎn)四:
嚴(yán)格保護(hù)敏感個(gè)人信息
值得關(guān)注的是�,個(gè)人信息保護(hù)法將生物識(shí)別、宗教信仰�����、特定身份��、醫(yī)療健康��、金融賬戶(hù)��、行蹤軌跡等信息列為敏感個(gè)人信息�����。個(gè)人信息保護(hù)法要求�����,只有在具有特定的目的和充分的必要性�����,并采取嚴(yán)格保護(hù)措施的情形下�����,方可處理敏感個(gè)人信息��,同時(shí)應(yīng)當(dāng)事前進(jìn)行影響評(píng)估�,并向個(gè)人告知處理的必要性以及對(duì)個(gè)人權(quán)益的影響。
“這主要是考慮到此類(lèi)信息一旦泄露或者被非法使用�����,極易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身��、財(cái)產(chǎn)安全受到危害�,因此,對(duì)處理敏感個(gè)人信息的活動(dòng)應(yīng)當(dāng)作出更加嚴(yán)格的限制�。”楊合慶說(shuō)。
值得關(guān)注的是�����,為保護(hù)未成年人的個(gè)人信息權(quán)益和身心健康���,個(gè)人信息保護(hù)法特別將不滿(mǎn)十四周歲未成年人的個(gè)人信息確定為敏感個(gè)人信息予以嚴(yán)格保護(hù)�����。同時(shí)��,與未成年人保護(hù)法有關(guān)規(guī)定相銜接�����,要求處理不滿(mǎn)十四周歲未成年人個(gè)人信息應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意��,并應(yīng)當(dāng)對(duì)此制定專(zhuān)門(mén)的個(gè)人信息處理規(guī)則��。
亮點(diǎn)五:
規(guī)范國(guó)家機(jī)關(guān)處理活動(dòng)
為履行維護(hù)國(guó)家安全����、懲治犯罪���、管理經(jīng)濟(jì)社會(huì)事務(wù)等職責(zé)�,國(guó)家機(jī)關(guān)需要處理大量個(gè)人信息�。保護(hù)個(gè)人信息權(quán)益、保障個(gè)人信息安全是國(guó)家機(jī)關(guān)應(yīng)盡的義務(wù)和責(zé)任�����。但近年來(lái)��,一些個(gè)人信息泄露事件也反映出有些國(guó)家機(jī)關(guān)存在個(gè)人信息保護(hù)意識(shí)不強(qiáng)��、處理流程不規(guī)范��、安全保護(hù)措施不到位等問(wèn)題�����。
對(duì)此���,個(gè)人信息保護(hù)法對(duì)國(guó)家機(jī)關(guān)處理個(gè)人信息的活動(dòng)作出專(zhuān)門(mén)規(guī)定���,特別強(qiáng)調(diào)國(guó)家機(jī)關(guān)處理個(gè)人信息的活動(dòng)適用本法,并且處理個(gè)人信息應(yīng)當(dāng)依照法律����、行政法規(guī)規(guī)定的權(quán)限和程序進(jìn)行�����,不得超出履行法定職責(zé)所必需的范圍和限度�����。
亮點(diǎn)六:
賦予個(gè)人充分權(quán)利
個(gè)人信息保護(hù)法將個(gè)人在個(gè)人信息處理活動(dòng)中的各項(xiàng)權(quán)利����,包括知悉個(gè)人信息處理規(guī)則和處理事項(xiàng)���、同意和撤回同意�����,以及個(gè)人信息的查詢(xún)����、復(fù)制���、更正���、刪除等總結(jié)提升為知情權(quán)、決定權(quán)����,明確個(gè)人有權(quán)限制個(gè)人信息的處理。
同時(shí)����,為了適應(yīng)互聯(lián)網(wǎng)應(yīng)用和服務(wù)多樣化的實(shí)際,滿(mǎn)足日益增長(zhǎng)的跨平臺(tái)轉(zhuǎn)移個(gè)人信息的需求�,個(gè)人信息保護(hù)法對(duì)個(gè)人信息可攜帶權(quán)作了原則規(guī)定,要求在符合國(guó)家網(wǎng)信部門(mén)規(guī)定條件的情形下�,個(gè)人信息處理者應(yīng)當(dāng)為個(gè)人提供轉(zhuǎn)移其個(gè)人信息的途徑。
此外����,個(gè)人信息保護(hù)法還對(duì)死者個(gè)人信息的保護(hù)作了專(zhuān)門(mén)規(guī)定,明確在尊重死者生前安排的前提下�,其近親屬為自身合法、正當(dāng)利益�,可以對(duì)死者個(gè)人信息行使查閱、復(fù)制���、更正�、刪除等權(quán)利。
亮點(diǎn)七:
強(qiáng)化個(gè)人信息處理者義務(wù)
個(gè)人信息處理者是個(gè)人信息保護(hù)的第一責(zé)任人���。據(jù)此���,個(gè)人信息保護(hù)法強(qiáng)調(diào),個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé)�����,并采取必要措施保障所處理的個(gè)人信息的安全��。
在此基礎(chǔ)上��,個(gè)人信息保護(hù)法設(shè)專(zhuān)章明確了個(gè)人信息處理者的合規(guī)管理和保障個(gè)人信息安全等義務(wù)��,要求個(gè)人信息處理者按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程�����,采取相應(yīng)的安全技術(shù)措施��,指定負(fù)責(zé)人對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督����,定期對(duì)其個(gè)人信息活動(dòng)進(jìn)行合規(guī)審計(jì)�����,對(duì)處理敏感個(gè)人信息�����、利用個(gè)人進(jìn)行自動(dòng)化決策、對(duì)外提供或公開(kāi)個(gè)人信息等高風(fēng)險(xiǎn)處理活動(dòng)進(jìn)行事前影響評(píng)估���,履行個(gè)人信息泄露通知和補(bǔ)救義務(wù)等�。
亮點(diǎn)八:
賦予大型網(wǎng)絡(luò)平臺(tái)特別義務(wù)
互聯(lián)網(wǎng)平臺(tái)服務(wù)是數(shù)字經(jīng)濟(jì)區(qū)別于傳統(tǒng)經(jīng)濟(jì)的顯著特征�。互聯(lián)網(wǎng)平臺(tái)為商品和服務(wù)的交易提供技術(shù)支持�、交易場(chǎng)所、信息發(fā)布和交易撮合等服務(wù)��。
“在個(gè)人信息處理方面�,互聯(lián)網(wǎng)平臺(tái)為平臺(tái)內(nèi)經(jīng)營(yíng)者處理個(gè)人信息提供基礎(chǔ)技術(shù)服務(wù)、設(shè)定基本處理規(guī)則���,是個(gè)人信息保護(hù)的關(guān)鍵環(huán)節(jié)���?���!睏詈蠎c指出�����,提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)���、用戶(hù)數(shù)量巨大���、業(yè)務(wù)類(lèi)型復(fù)雜的個(gè)人信息處理者對(duì)平臺(tái)內(nèi)的交易和個(gè)人信息處理活動(dòng)具有強(qiáng)大的控制力和支配力,因此在個(gè)人信息保護(hù)方面應(yīng)當(dāng)承擔(dān)更多的法律義務(wù)����。
據(jù)此,個(gè)人信息保護(hù)法對(duì)這些大型互聯(lián)網(wǎng)平臺(tái)設(shè)定了特別的個(gè)人信息保護(hù)義務(wù)��,包括:按照國(guó)家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系����,成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督;遵循公開(kāi)����、公平��、公正的原則�����,制定平臺(tái)規(guī)則���;對(duì)嚴(yán)重違法處理個(gè)人信息的平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者��,停止提供服務(wù)��;定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告�,接受社會(huì)監(jiān)督。個(gè)人信息保護(hù)法的上述規(guī)定是為了提高大型互聯(lián)網(wǎng)平臺(tái)經(jīng)營(yíng)業(yè)務(wù)的透明度��,完善平臺(tái)治理��,強(qiáng)化外部監(jiān)督����,形成全社會(huì)共同參與的個(gè)人信息保護(hù)機(jī)制。
亮點(diǎn)九:
規(guī)范個(gè)人信息跨境流動(dòng)
隨著經(jīng)濟(jì)全球化��、數(shù)字化的不斷推進(jìn)以及我國(guó)對(duì)外開(kāi)放的不斷擴(kuò)大���,個(gè)人信息的跨境流動(dòng)日益頻繁�,但由于遙遠(yuǎn)的地理距離以及不同國(guó)家法律制度、保護(hù)水平之間的差異��,個(gè)人信息跨境流動(dòng)風(fēng)險(xiǎn)更加難以控制���。
“個(gè)人信息保護(hù)法構(gòu)建了一套清晰�、系統(tǒng)的個(gè)人信息跨境流動(dòng)規(guī)則���,以滿(mǎn)足保障個(gè)人信息權(quán)益和安全的客觀要求����,適應(yīng)國(guó)際經(jīng)貿(mào)往來(lái)的現(xiàn)實(shí)需要�����?�!睏詈蠎c介紹說(shuō)�,一是明確以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的,或者分析�、評(píng)估境內(nèi)自然人的行為等,在我國(guó)境外處理境內(nèi)自然人個(gè)人信息的活動(dòng)適用本法,并要求符合上述情形的境外個(gè)人信息處理者在我國(guó)境內(nèi)設(shè)立專(zhuān)門(mén)機(jī)構(gòu)或者指定代表�,負(fù)責(zé)個(gè)人信息保護(hù)相關(guān)事務(wù);二是明確向境外提供個(gè)人信息的途徑����,包括通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估、經(jīng)專(zhuān)業(yè)機(jī)構(gòu)認(rèn)證�、訂立標(biāo)準(zhǔn)合同、按照我國(guó)締結(jié)或參加的國(guó)際條約和協(xié)定等����;三是要求個(gè)人信息處理者采取必要措施保障境外接收方的處理活動(dòng)達(dá)到本法規(guī)定的保護(hù)標(biāo)準(zhǔn);四是對(duì)跨境提供個(gè)人信息的“告知-同意”作出更嚴(yán)格的要求��,切實(shí)保障個(gè)人的知情權(quán)�����、決定權(quán)等權(quán)利�����;五是為維護(hù)國(guó)家主權(quán)�、安全和發(fā)展利益�����,對(duì)跨境提供個(gè)人信息的安全評(píng)估、向境外司法或執(zhí)法機(jī)構(gòu)提供個(gè)人信息���、限制跨境提供個(gè)人信息的措施��、對(duì)外國(guó)歧視性措施的反制等作了規(guī)定��。
亮點(diǎn)十:
健全個(gè)人信息保護(hù)工作機(jī)制
個(gè)人信息保護(hù)涉及的領(lǐng)域廣���,相關(guān)制度措施的落實(shí)有賴(lài)于完善的監(jiān)管執(zhí)法機(jī)制。
根據(jù)個(gè)人信息保護(hù)工作實(shí)際���,個(gè)人信息保護(hù)法明確��,國(guó)家網(wǎng)信部門(mén)和國(guó)務(wù)院有關(guān)部門(mén)在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作���,同時(shí),對(duì)個(gè)人信息保護(hù)和監(jiān)管職責(zé)作出規(guī)定�����,包括開(kāi)展個(gè)人信息保護(hù)宣傳教育��、指導(dǎo)監(jiān)督個(gè)人信息保護(hù)工作、接受處理相關(guān)投訴舉報(bào)��、組織對(duì)應(yīng)用程序等進(jìn)行測(cè)評(píng)��、調(diào)查處理違法個(gè)人信息處理活動(dòng)等�����。
此外��,為了加強(qiáng)個(gè)人信息保護(hù)監(jiān)管執(zhí)法的協(xié)同配合���,個(gè)人信息保護(hù)法還進(jìn)一步明確了國(guó)家網(wǎng)信部門(mén)在個(gè)人信息保護(hù)監(jiān)管方面的統(tǒng)籌協(xié)調(diào)作用��,并對(duì)其統(tǒng)籌協(xié)調(diào)職責(zé)作出具體規(guī)定�。
