《个人信息保护法》主要亮点及核心内容
《中华人民共和国个人信息保护法》
2021年8月20日,《中华人民共和国个人信息保护法》(以下简称《个保法》)正式通过,并将于2021年11月1日起正式实施。
《个保法》通过明确不得过度收集个人信息、禁止大数据杀熟、规定人脸信息等敏感个人信息处理规则等,对滥采滥用、非法买卖个人信息、擅自披露个人数据等亟需解决的社会乱象进行了系统回应。总体来看,《个保法》为个人信息的处理提供了明确的法理依据,为个人维护正当隐私权益提供充分保障,更为商家如何运营掌控的个人信息数据,提供了操作指引以及法律红线。《个保法》的出台翻开了我国个人信息立法保护的历史新篇章,也是全球个人信息安全治理进程的重大里程碑。
立法背景
随着个人信息价值的凸显,个人信息安全风险与日俱增,个人信息泄露、贩卖等安全事件的频发,给个人隐私及国家安全带来了严重的安全隐患。因此,为加强个人信息安全保护,国际上诸多国家纷纷建立个人信息保护制度,并相继完成个人信息保护相关立法,如欧盟的GDPR法案,阿根廷和越南的《个人数据保护法》以及美国各州出台的《消费者数据保护法》等。近些年,我国作为数字经济的大国也在尝试搭建个人信息保护法律体系,并相继出台了《刑法修正案》《电子商务法》《民法典》等法律。然而,由于针对个人信息保护的专门法律长期缺位,个人信息保护规则尚未完善,个人信息安全事件频频发生且屡禁不止。为对侵害个人信息权益的有害行为进行严厉威慑和打击,加强个人信息保护专项立法成了社会各界普遍共识。在此背景下,《个人信息保护法》自2020年10月13日首个草案提出以来,历经三次审议、多次修订,现正式出台。
(一)数据法规发展历程(2012-2021)
(二)《个人信息保护法》立法历程(2018-2021)
《个人信息保护法》十大亮点
01
知情同意不再是处理个人信息的唯一合法基础
《个保法》一改《民法典》“个人同意+特定情形免责”的逻辑,引入了订立履行合同、人力资源管理、履行法定职责或法定义务、应对突发公共卫生事件、保护自然人的生命健康和财产安全、处理公开个人信息等多元化个人信息处理事由,很大程度上放宽了个人信息处理的限制,有效平衡了个人和企业对个人信息不同诉求。
02
赋予个人同意撤回的权利
同意撤回是指个人信息主体基于“告知同意”原则,对自己已经作出的“同意信息处理者对其个人信息进行处理”的授权予以取消的意思表示。考虑到实践中普遍存在的不支持注销账户、撤回同意投诉无门等问题,《个保法》要求个人信息处理者提供便捷的撤回同意方式。但是,由于数据存在极强的可复制性,个人信息主体在给出首次授权同意后,对于姓名、身份证号、手机号、地址等相对静态的信息极易失去控制权。即使在撤回同意后,个人及每一环节数据处理者也很难控制数据的后续流转。因此,《个保法》明确撤回同意不影响撤回前基于个人同意已进行的个人信息处理活动的效力,但需停止处理或及时删除其个人信息。
03
严格保护敏感个人信息
《个保法》将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息,并要求只有在具有特定目的和充分的必要性,以及采取严格保护措施的情形下,方可处理敏感个人信息,同时应当事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响。这主要是考虑到此类信息一旦泄露或者被非法使用,极易导致个体的人格尊严受到侵害或者人身、财产安全受到危害,因此,对处理敏感个人信息的活动应当作出更加严格的限制。此外,为保护未成年人的个人信息权益和身心健康,个人信息保护法特别将不满十四周岁未成年人的个人信息确定为敏感个人信息予以严格保护。
04
处理人脸信息应取得单独同意
从“人脸识别第一案”,到“戴头盔前往售楼处看房”, 再到315晚会“人脸识别系统”被曝光, 作为敏感个人信息中社交属性最强、最容易采集的个人信息, 人脸信息的收集利用备受争议。针对此问题,《个保法》规定,在公共场所采集人脸信息应设置显著提示标识,且仅限于维护公共安全目的,这正是针对此前各大商家滥用摄像头暗自采集人脸信息并用于实施营销推广等乱象进行明确法律规制的体现。
05
设立个人信息泄露通知制度
数据安全领域具有高专业性,安全攻击行为具有隐蔽性和多变性。实践中个人信息处理者即使已充分履行个人信息安全保障义务,也很难将个人信息泄露等安全事件发生率降低至零。为此,《个保法》规定,发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。构建个人信息泄露通知制度,通过触发监管资源的及时介入,以及启动个人主体的防御举措,形成个人信息处理者与履行个人信息保护职责的部门以及个人之间有效联动的机制,能够极大程度减轻个人信息泄露事件的影响。
06
禁止大数据杀熟
此前,通过数据和算法实施价格歧视,在相关产品和服务中对不同用户采取不同价格政策的问题引起了社会各界强烈的反映。现《个保法》明确规定,个人信息处理者利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇。在社会各界的普遍监督下,滥用技术手段实施“大数据杀熟”行为的主体将会受到高额罚款、终止服务等严厉的监管处罚。在具备强有力的法律威慑和法律管束的生态环境下,消费者权益将会得到充分保障。
07
赋予大型网络平台特别义务
提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者对平台内的交易和个人信息处理活动具有强大的控制力和支配力,在个人信息保护方面需承担更多的法律义务。为此,《个保法》对大型互联网平台设定了特别的个人信息保护义务,包括按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;遵循公开、公平、公正的原则,制定平台规则;对严重违法处理个人信息的平台内产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。上述规定可提高大型互联网平台经营业务的透明度,完善平台治理,强化外部监督,形成全社会共同参与的个人信息保护机制。
08
个人信息违法行为处罚措施升级
《个保法》承继了严厉惩罚个人信息违法行为的国际通行做法, 加重了对侵犯个人信息行为的惩处力度。一是,与此前已采取的“通报批评-责令限期整改-下架处理”的APP整治手段保持一致, 针对目前常见的APP违法违规收集使用个人信息的现象,《个保法》专门设置了“责令暂停或终止提供服务”的处罚。二是,相较于《网络安全法》, 对于“情节严重”的行为, 违法企业可能被处以5000万元以下或者上一年度营业额5%以下罚款。而相关责任人员不仅可能受到高达百万的罚款, 还可能同时受到从业限制。整体而言, 《个保法》设置的处罚全面覆盖了常见的违法行为,将精准打击各类违法主体,增加的处罚种类和加重的处罚力度都将大大增加企业的违法成本。
09
为个人信息主体维权提供便利
在检察机关个人信息保护公益诉讼的实践基础上,《个保法》正式引入了个人信息保护公益诉讼制度。未来,当企业侵害众多个人的权益时, 受侵害个人因取证难、成本高等问题放弃维权的现象将大大减少, 检察机关、消费者组织和国家网信部门确定的组织将运用公益诉讼保障个人信息权益。此外,考虑到民事诉讼中个人通常举证能力有限,《个保法》明确了个人信息侵权行为的归责原则为过错推定,即当个人信息权益因个人信息处理活动受到侵害,需由个人信息处理者证明其没有过错,通过举证责任的转移实现对个人的倾向性保护。这意味着,企业应有效证明自己通过完善的安全措施尽到个人信息保护义务,否则需承担损害赔偿责任。
10
进一步细化个人信息出境规则
《个保法》要求,关键信息基础设施运营者(CIIO)原则上应将其在境内收集的个人信息储存在本地,确需向境外传输的,应当通过国家网信部门组织的安全评估;处理信息未达到规定数量的一般的个人信息处理者,在通过专业机构的认证或按照国家网信部门制定的标准合同与境外接收方订立合同后即可出境,处理数量达到规定数量则参照CIIO管理。针对不同的个人信息处理者, 实施不同类型的个人信息出境安全审查,以提高数据出境审查的灵活性和有效性。
《个人信息保护法》内容分析
(一)《个保法》总体框架
(图片内容来源于Cipher Gateway)
(二)《个保法》基本内容
《个保法》共8章74条,在有关法律的基础上,该法进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则,明确个人信息处理活动中的权利义务边界,健全个人信息保护工作体制机制。
1. 总则:1+2+3+4+5
2. 个人信息处理原则:一般+敏感+国家机关
3.个人信息跨境提供的规则:基本要求+国际竞争合作
4. 个人信息主体的权利:六大权利
5.个人信息处理者义务:一般性义务+大型互联网平台义务
6. 履行个人信息保护职责的部门:三层管理
7. 法律责任:行政责任+民事责任+刑事责任