經(jīng)過三次審議,,8月20日,,十三屆全國人大常委會第三十次會議表決通過了《中華人民共和國個人信息保護法》,將于2021年11月1日起施行,。 在信息化時代,,個人信息保護已成為廣大人民群眾最關(guān)心最直接最現(xiàn)實的利益問題之一。個人信息保護法堅持和貫徹以人民為中心的法治理念,,牢牢把握保護人民群眾個人信息權(quán)益的立法定位,,聚焦個人信息保護領(lǐng)域的突出問題和人民群眾的重大關(guān)切。 個人信息保護法共8章74條,。在有關(guān)法律的基礎(chǔ)上,,該法進一步細(xì)化、完善個人信息保護應(yīng)遵循的原則和個人信息處理規(guī)則,,明確個人信息處理活動中的權(quán)利義務(wù)邊界,,健全個人信息保護工作體制機制。 “個人信息保護法切實將廣大人民群眾網(wǎng)絡(luò)空間合法權(quán)益維護好,、保障好,、發(fā)展好,,使廣大人民群眾在數(shù)字經(jīng)濟發(fā)展中享受更多的獲得感、幸福感,、安全感,。”全國人大常委會法工委經(jīng)濟法室副主任楊合慶對個人信息保護法進行了權(quán)威解讀。 亮點一:確立個人信息保護原則
個人信息保護的原則是收集,、使用個人信息的基本遵循,,是構(gòu)建個人信息保護具體規(guī)則的制度基礎(chǔ)。
個人信息保護法借鑒國際經(jīng)驗并立足我國實際,,確立了個人信息處理應(yīng)遵循的原則,,強調(diào)處理個人信息應(yīng)當(dāng)遵循合法、正當(dāng),、必要和誠信原則,,具有明確、合理的目的并與處理目的直接相關(guān),,采取對個人權(quán)益影響最小的方式,,限于實現(xiàn)處理目的的最小范圍,公開處理規(guī)則,,保證信息質(zhì)量,,采取安全保護措施等。
“這些原則應(yīng)當(dāng)貫穿于個人信息處理的全過程,、各環(huán)節(jié),。”楊合慶說。
亮點二:規(guī)范處理活動保障權(quán)益
個人信息保護法緊緊圍繞規(guī)范個人信息處理活動,、保障個人信息權(quán)益,,構(gòu)建了以“告知-同意”為核心的個人信息處理規(guī)則。
“‘告知-同意’是法律確立的個人信息保護核心規(guī)則,,是保障個人對其個人信息處理知情權(quán)和決定權(quán)的重要手段,。”楊合慶說。
個人信息保護法要求,,處理個人信息應(yīng)當(dāng)在事先充分告知的前提下取得個人同意,,個人信息處理的重要事項發(fā)生變更的應(yīng)當(dāng)重新向個人告知并取得同意。同時,,針對現(xiàn)實生活中社會反映強烈的一攬子授權(quán),、強制同意等問題,個人信息保護法特別要求,,個人信息處理者在處理敏感個人信息,、向他人提供或公開個人信息、跨境轉(zhuǎn)移個人信息等環(huán)節(jié)應(yīng)取得個人的單獨同意,明確個人信息處理者不得過度收集個人信息,,不得以個人不同意為由拒絕提供產(chǎn)品或者服務(wù),,并賦予個人撤回同意的權(quán)利,在個人撤回同意后,,個人信息處理者應(yīng)當(dāng)停止處理或及時刪除其個人信息,。
此外,考慮到經(jīng)濟社會生活的復(fù)雜性,,個人信息處理的場景日益多樣,,個人信息保護法從維護公共利益和保障社會正常生產(chǎn)生活的角度,還對取得個人同意以外可以合法處理個人信息的特定情形作了規(guī)定,。
此外,,個人信息保護法還分別對共同處理、委托處理等實踐中較為常見的處理情形作出有針對性規(guī)定,。
亮點三:禁止“大數(shù)據(jù)殺熟”規(guī)范自動化決策
當(dāng)前,,越來越多的企業(yè)利用大數(shù)據(jù)分析、評估消費者的個人特征用于商業(yè)營銷,。有一些企業(yè)通過掌握消費者的經(jīng)濟狀況,、消費習(xí)慣、對價格的敏感程度等信息,,對消費者在交易價格等方面實行歧視性的差別待遇,,誤導(dǎo)、欺詐消費者,。其中,,最典型的就是社會反映突出的“大數(shù)據(jù)殺熟”,。
“‘大數(shù)據(jù)殺熟’行為違反了誠實信用原則,,侵犯了消費者權(quán)益保護法規(guī)定的消費者享有公平交易條件的權(quán)利,應(yīng)當(dāng)在法律上予以禁止,。”楊合慶說,。
對此,個人信息保護法明確規(guī)定:個人信息處理者利用個人信息進行自動化決策,,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平,、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇,。
亮點四:嚴(yán)格保護敏感個人信息
值得關(guān)注的是,,個人信息保護法將生物識別、宗教信仰,、特定身份,、醫(yī)療健康、金融賬戶、行蹤軌跡等信息列為敏感個人信息,。個人信息保護法要求,,只有在具有特定的目的和充分的必要性,并采取嚴(yán)格保護措施的情形下,,方可處理敏感個人信息,,同時應(yīng)當(dāng)事前進行影響評估,并向個人告知處理的必要性以及對個人權(quán)益的影響,。
“這主要是考慮到此類信息一旦泄露或者被非法使用,,極易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害,,因此,,對處理敏感個人信息的活動應(yīng)當(dāng)作出更加嚴(yán)格的限制。”楊合慶說,。
值得關(guān)注的是,,為保護未成年人的個人信息權(quán)益和身心健康,個人信息保護法特別將不滿十四周歲未成年人的個人信息確定為敏感個人信息予以嚴(yán)格保護,。同時,,與未成年人保護法有關(guān)規(guī)定相銜接,要求處理不滿十四周歲未成年人個人信息應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護人的同意,,并應(yīng)當(dāng)對此制定專門的個人信息處理規(guī)則,。
亮點五:規(guī)范國家機關(guān)處理活動
為履行維護國家安全、懲治犯罪,、管理經(jīng)濟社會事務(wù)等職責(zé),,國家機關(guān)需要處理大量個人信息。保護個人信息權(quán)益,、保障個人信息安全是國家機關(guān)應(yīng)盡的義務(wù)和責(zé)任,。但近年來,一些個人信息泄露事件也反映出有些國家機關(guān)存在個人信息保護意識不強,、處理流程不規(guī)范,、安全保護措施不到位等問題。
對此,,個人信息保護法對國家機關(guān)處理個人信息的活動作出專門規(guī)定,,特別強調(diào)國家機關(guān)處理個人信息的活動適用本法,并且處理個人信息應(yīng)當(dāng)依照法律,、行政法規(guī)規(guī)定的權(quán)限和程序進行,,不得超出履行法定職責(zé)所必需的范圍和限度。
亮點六:賦予個人充分權(quán)利
個人信息保護法將個人在個人信息處理活動中的各項權(quán)利,,包括知悉個人信息處理規(guī)則和處理事項,、同意和撤回同意,,以及個人信息的查詢、復(fù)制,、更正,、刪除等總結(jié)提升為知情權(quán)、決定權(quán),,明確個人有權(quán)限制個人信息的處理,。
同時,為了適應(yīng)互聯(lián)網(wǎng)應(yīng)用和服務(wù)多樣化的實際,,滿足日益增長的跨平臺轉(zhuǎn)移個人信息的需求,,個人信息保護法對個人信息可攜帶權(quán)作了原則規(guī)定,要求在符合國家網(wǎng)信部門規(guī)定條件的情形下,,個人信息處理者應(yīng)當(dāng)為個人提供轉(zhuǎn)移其個人信息的途徑,。
此外,個人信息保護法還對死者個人信息的保護作了專門規(guī)定,,明確在尊重死者生前安排的前提下,,其近親屬為自身合法、正當(dāng)利益,,可以對死者個人信息行使查閱,、復(fù)制、更正,、刪除等權(quán)利,。
亮點七:強化個人信息處理者義務(wù)
個人信息處理者是個人信息保護的第一責(zé)任人。據(jù)此,,個人信息保護法強調(diào),,個人信息處理者應(yīng)當(dāng)對其個人信息處理活動負(fù)責(zé),并采取必要措施保障所處理的個人信息的安全,。
在此基礎(chǔ)上,,個人信息保護法設(shè)專章明確了個人信息處理者的合規(guī)管理和保障個人信息安全等義務(wù),要求個人信息處理者按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程,,采取相應(yīng)的安全技術(shù)措施,,指定負(fù)責(zé)人對其個人信息處理活動進行監(jiān)督,定期對其個人信息活動進行合規(guī)審計,,對處理敏感個人信息、利用個人進行自動化決策,、對外提供或公開個人信息等高風(fēng)險處理活動進行事前影響評估,,履行個人信息泄露通知和補救義務(wù)等。
亮點八:賦予大型網(wǎng)絡(luò)平臺特別義務(wù)
互聯(lián)網(wǎng)平臺服務(wù)是數(shù)字經(jīng)濟區(qū)別于傳統(tǒng)經(jīng)濟的顯著特征,?;ヂ?lián)網(wǎng)平臺為商品和服務(wù)的交易提供技術(shù)支持、交易場所、信息發(fā)布和交易撮合等服務(wù),。
“在個人信息處理方面,,互聯(lián)網(wǎng)平臺為平臺內(nèi)經(jīng)營者處理個人信息提供基礎(chǔ)技術(shù)服務(wù)、設(shè)定基本處理規(guī)則,,是個人信息保護的關(guān)鍵環(huán)節(jié),。”楊合慶指出,提供重要互聯(lián)網(wǎng)平臺服務(wù),、用戶數(shù)量巨大,、業(yè)務(wù)類型復(fù)雜的個人信息處理者對平臺內(nèi)的交易和個人信息處理活動具有強大的控制力和支配力,因此在個人信息保護方面應(yīng)當(dāng)承擔(dān)更多的法律義務(wù),。
據(jù)此,,個人信息保護法對這些大型互聯(lián)網(wǎng)平臺設(shè)定了特別的個人信息保護義務(wù),包括:按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系,,成立主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督,;遵循公開、公平,、公正的原則,,制定平臺規(guī)則;對嚴(yán)重違法處理個人信息的平臺內(nèi)產(chǎn)品或者服務(wù)提供者,,停止提供服務(wù),;定期發(fā)布個人信息保護社會責(zé)任報告,接受社會監(jiān)督,。個人信息保護法的上述規(guī)定是為了提高大型互聯(lián)網(wǎng)平臺經(jīng)營業(yè)務(wù)的透明度,,完善平臺治理,強化外部監(jiān)督,,形成全社會共同參與的個人信息保護機制,。
亮點九:規(guī)范個人信息跨境流動
隨著經(jīng)濟全球化、數(shù)字化的不斷推進以及我國對外開放的不斷擴大,,個人信息的跨境流動日益頻繁,,但由于遙遠(yuǎn)的地理距離以及不同國家法律制度、保護水平之間的差異,,個人信息跨境流動風(fēng)險更加難以控制,。
“個人信息保護法構(gòu)建了一套清晰、系統(tǒng)的個人信息跨境流動規(guī)則,,以滿足保障個人信息權(quán)益和安全的客觀要求,,適應(yīng)國際經(jīng)貿(mào)往來的現(xiàn)實需要。”楊合慶介紹說,,一是明確以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的,,或者分析,、評估境內(nèi)自然人的行為等,在我國境外處理境內(nèi)自然人個人信息的活動適用本法,,并要求符合上述情形的境外個人信息處理者在我國境內(nèi)設(shè)立專門機構(gòu)或者指定代表,,負(fù)責(zé)個人信息保護相關(guān)事務(wù);二是明確向境外提供個人信息的途徑,,包括通過國家網(wǎng)信部門組織的安全評估,、經(jīng)專業(yè)機構(gòu)認(rèn)證、訂立標(biāo)準(zhǔn)合同,、按照我國締結(jié)或參加的國際條約和協(xié)定等,;三是要求個人信息處理者采取必要措施保障境外接收方的處理活動達到本法規(guī)定的保護標(biāo)準(zhǔn);四是對跨境提供個人信息的“告知-同意”作出更嚴(yán)格的要求,,切實保障個人的知情權(quán),、決定權(quán)等權(quán)利;五是為維護國家主權(quán),、安全和發(fā)展利益,,對跨境提供個人信息的安全評估、向境外司法或執(zhí)法機構(gòu)提供個人信息,、限制跨境提供個人信息的措施,、對外國歧視性措施的反制等作了規(guī)定。
亮點十:健全個人信息保護工作機制
個人信息保護涉及的領(lǐng)域廣,,相關(guān)制度措施的落實有賴于完善的監(jiān)管執(zhí)法機制,。
根據(jù)個人信息保護工作實際,個人信息保護法明確,,國家網(wǎng)信部門和國務(wù)院有關(guān)部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)個人信息保護和監(jiān)督管理工作,,同時,對個人信息保護和監(jiān)管職責(zé)作出規(guī)定,,包括開展個人信息保護宣傳教育,、指導(dǎo)監(jiān)督個人信息保護工作、接受處理相關(guān)投訴舉報,、組織對應(yīng)用程序等進行測評,、調(diào)查處理違法個人信息處理活動等。
此外,,為了加強個人信息保護監(jiān)管執(zhí)法的協(xié)同配合,,個人信息保護法還進一步明確了國家網(wǎng)信部門在個人信息保護監(jiān)管方面的統(tǒng)籌協(xié)調(diào)作用,并對其統(tǒng)籌協(xié)調(diào)職責(zé)作出具體規(guī)定,。