人文化天下

《個(gè)人信息保護(hù)法》要點(diǎn)解讀

時(shí)間：2021-09-24 12:05:50 發(fā)布：自動(dòng)化網(wǎng) 來源：澎湃新聞·澎湃號(hào)·政務(wù) 第一對焦：自動(dòng)化決策

8月20日，十三屆全國人大常委會(huì)第三十次會(huì)議表決通過《中華人民共和國個(gè)人信息保護(hù)法》(以下簡稱《個(gè)人信息保護(hù)法》)，自11月1日起施行。作為我國首部針對個(gè)人信息保護(hù)的專門性立法，《個(gè)人信息保護(hù)法》構(gòu)建了完整的個(gè)人信息保護(hù)框架，對個(gè)人信息處理規(guī)則、個(gè)人信息跨境傳輸、個(gè)人信息處理活動(dòng)的權(quán)利、信息處理者的義務(wù)、監(jiān)管部門職責(zé)以及罰則等作出了全面的規(guī)定。

一

主要內(nèi)容

(一)采取一般個(gè)人信息與敏感個(gè)人信息分級(jí)保護(hù)

個(gè)人信息是與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息(匿名化處理后的信息不屬于個(gè)人信息)。個(gè)人敏感信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，以及不滿十四周歲未成年人的個(gè)人信息。

1、一般個(gè)人信息保護(hù)規(guī)則

處理個(gè)人信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整的告知個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式，個(gè)人信息的處理目的、方式、種類、保存期限，個(gè)人行權(quán)的方式和程序。

處理個(gè)人信息應(yīng)取得個(gè)人的明確同意，若處理的目的、方式、種類發(fā)生變更，應(yīng)當(dāng)重新取得同意。

2、敏感個(gè)人信息保護(hù)規(guī)則

只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個(gè)人信息處理者方可處理敏感個(gè)人信息。

除處理一般個(gè)人信息應(yīng)當(dāng)告知的內(nèi)容外，還應(yīng)當(dāng)告知處理敏感個(gè)人信息的必要性以及對個(gè)人權(quán)益的影響。

處理個(gè)人敏感信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。而處理不滿十四周歲未成年人個(gè)人信息的，應(yīng)當(dāng)取得其父母或者其他監(jiān)護(hù)人的同意。

(二)擴(kuò)大個(gè)人信息處理的合法性基礎(chǔ)

除取得個(gè)人同意外，明確了處理個(gè)人信息處理的多元合法性基礎(chǔ)：

1、為訂立、履行合同所必需，或者依法依約實(shí)施人力資源管理所必需;

2、為履行法定職責(zé)或者法定義務(wù)所必需;

3、為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需;

4、為公共利益在合理的范圍內(nèi)處理個(gè)人信息;

5、在合理的范圍內(nèi)處理個(gè)已經(jīng)合法公開的個(gè)人信息;

6、法律、行政法規(guī)規(guī)定的其他情形。

(三)明確個(gè)人信息跨境提供的規(guī)則

1、跨境提供個(gè)人信息需同時(shí)滿足如下條件：

告知向境外提供個(gè)人信息的情況，包括境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項(xiàng)。

取得個(gè)人的單獨(dú)同意，或具備其他合法性基礎(chǔ)。

境外接收方未被網(wǎng)信部門列入限制或禁止個(gè)人信息提供清單。

2、跨境提供個(gè)人信息需遵循如下法律路徑：

關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)通過網(wǎng)信部門組織的安全評(píng)估，另有規(guī)定的除外。

其他個(gè)人信息處理者可選擇以下任一路徑：通過網(wǎng)信部門組織的安全評(píng)估，通過專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證，與境外接收方訂立網(wǎng)信部門制定的標(biāo)準(zhǔn)合同，或者遵循其他法定路徑。

(四)新設(shè)個(gè)人信息可攜權(quán)

個(gè)人請求將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑。

(五)完善近親屬行使死者個(gè)人信息權(quán)利的要求

自然人死亡，其近親屬可以對死者的個(gè)人信息行使一定權(quán)利，但需符合如下條件：

1、為了自身的合法、正當(dāng)利益;

2、權(quán)利類型僅包括查閱、復(fù)制、更正、刪除;

3、死者生前無其他安排。

(六)明確個(gè)人信息處理者的義務(wù)，區(qū)分大小型個(gè)人信息處理者

1、采取必要措施保障個(gè)人信息處理合法合規(guī)，防范個(gè)人信息管理風(fēng)險(xiǎn)。

2、定期開展合規(guī)審計(jì)。

3、處理個(gè)人信息對個(gè)人權(quán)益有重大影響的，應(yīng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，相關(guān)記錄至少保存三年。

4、發(fā)生個(gè)人信息安全事件應(yīng)立即采取補(bǔ)救措施，并通知專職部門以及個(gè)人。

5、對于大型個(gè)人信息處理者(包括提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者)，應(yīng)當(dāng)承擔(dān)額外的個(gè)人信息保護(hù)義務(wù)。

6、對于小型個(gè)人信息處理者，由網(wǎng)信部門制定專門的個(gè)人信息保護(hù)規(guī)則、標(biāo)準(zhǔn)。

(七)銜接民法、行政法、刑法，明確法律責(zé)任

1、提高行政處罰上限，引入高管禁業(yè)，違法行為計(jì)入征信。

違法處理個(gè)人信息，情節(jié)嚴(yán)重的，將會(huì)被沒收違法所得，至高處五千萬或上一年度營業(yè)額百分之五的罰款，責(zé)令暫停業(yè)務(wù)或停業(yè)整頓。吊銷業(yè)務(wù)許可或營業(yè)執(zhí)照;直接責(zé)任人員至高將被處罰款一百萬元，及被禁止擔(dān)任董監(jiān)高或個(gè)人信息保護(hù)負(fù)責(zé)人。

2、侵權(quán)責(zé)任認(rèn)定采取過錯(cuò)推定原則。

處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害，個(gè)人信息處理者不能證明自己沒有過錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。兩個(gè)以上個(gè)人信息處理者共同處理個(gè)人信息，侵害個(gè)人信息權(quán)益造成損害的，應(yīng)當(dāng)承擔(dān)連帶責(zé)任。

二

法律風(fēng)險(xiǎn)分析及建議

(一)處理個(gè)人信息應(yīng)取得同意

取得個(gè)人合法有效同意作為處理個(gè)人信息的合法性基礎(chǔ)，是個(gè)人對其個(gè)人信息的處理享有決定權(quán)的表現(xiàn)。若該同意是未經(jīng)充分告知前提下作出，同意的形式不符合法律要求，超范圍處理個(gè)人信息，處理情況發(fā)生變更未重新取得同意，或者未提供撤回同意的方式等，均可被認(rèn)定為未經(jīng)個(gè)人同意處理個(gè)人信息，屬于侵犯個(gè)人決定權(quán)的行為。

因此，基于個(gè)人同意處理個(gè)人信息的，應(yīng)滿足以下要求：

1、處理個(gè)人信息前，應(yīng)以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地告知個(gè)人信息處理者的基本情況，信息處理的目的、方式、范圍、保存期限，個(gè)人的法定權(quán)利等事項(xiàng)，保障個(gè)人的知情權(quán)。

2、一般應(yīng)取得個(gè)人的明確同意，特殊情況下還需取得單獨(dú)同意或書面同意。如向第三方提供個(gè)人信息、公開處理的個(gè)人信息、處理敏感信息、向境外提供個(gè)人信息的，應(yīng)取得單獨(dú)同意。

3、個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得同意。

4、提供便捷的撤回同意的方式。

(二)不得通過自動(dòng)化決策實(shí)行不合理的差別待遇

自動(dòng)化決策，是指通過計(jì)算機(jī)程序自動(dòng)分析、評(píng)估個(gè)人的行為習(xí)慣、興趣愛好或者經(jīng)濟(jì)、健康、信用狀況等，并進(jìn)行決策的活動(dòng)。通過自動(dòng)化決策實(shí)行不合理的差別待遇，包括歧視性定價(jià)、定向推送不支持關(guān)閉等行為，均為《個(gè)人信息保護(hù)法》所明確禁止。

禁止基于自動(dòng)化決策實(shí)行不合理的差別待遇并不等于禁止自動(dòng)化決策方式，個(gè)人信息處理者通過自動(dòng)化決策的，應(yīng)滿足以下要求：

1、保證決策的透明度和結(jié)果公平、公正，不得對個(gè)人在交易條件上實(shí)行不合理的差別待遇。

2、進(jìn)行定向推送時(shí)，應(yīng)提供非定向推送的選項(xiàng)或便捷的拒絕方式。

3、對個(gè)人權(quán)益有重大影響的，應(yīng)按照個(gè)人要求予以說明，并提供拒絕方式。

(三)個(gè)人信息跨境傳輸應(yīng)滿足法定條件和路徑

原則上，個(gè)人信息處理者應(yīng)將個(gè)人信息存儲(chǔ)在境內(nèi)，確需向境外提供個(gè)人信息的，應(yīng)當(dāng)符合法定條件。對于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者向境外提供個(gè)人信息的，還需通過網(wǎng)信部門組織的安全評(píng)估。

個(gè)人信息處理者，尤其是特定的個(gè)人信息處理者應(yīng)當(dāng)對信息出境事項(xiàng)進(jìn)行梳理，并采取以下措施：

1、修改隱私文件或其他方式，將出境情況充分告知個(gè)人，并征得其單獨(dú)同意，除非可以依賴其他合法性基礎(chǔ)。

2、與境外接收方簽署標(biāo)準(zhǔn)合同(由國家網(wǎng)信部門制定)，或者通過個(gè)人信息保護(hù)認(rèn)證，并采取包括但不限于合同約束、技術(shù)限制、定期復(fù)核、合規(guī)審計(jì)等必要措施，確保接收方妥善保護(hù)個(gè)人信息。

(四)個(gè)人信息處理者應(yīng)盡安全保障義務(wù)

個(gè)人信息處理者對于信息處理負(fù)有確保處理活動(dòng)合法合規(guī)、防范未經(jīng)授權(quán)的訪問和保障個(gè)人信息安全的義務(wù)，否則可能會(huì)承擔(dān)一定的過錯(cuò)責(zé)任。

具體來說，個(gè)人信息處理者應(yīng)根據(jù)處理目的、方式、種類及對個(gè)人權(quán)益的影響、安全風(fēng)險(xiǎn)等，采取如下安保措施：

1、制定內(nèi)部管理制度和操作規(guī)程。

2、對個(gè)人信息實(shí)行分類管理。

3、采取加密、去標(biāo)識(shí)化等安全技術(shù)措施。

4、合理確定個(gè)人信息處理的操作權(quán)限，并定期進(jìn)行安全教育和培訓(xùn)。

5、制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案。

6、個(gè)人信息處理活動(dòng)對個(gè)人權(quán)益有重大影響的，應(yīng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估。

(五)大型個(gè)人信息處理者負(fù)有額外義務(wù)

由于大型個(gè)人信息處理者(提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者)與小型個(gè)人信息處理者在技術(shù)水平、風(fēng)險(xiǎn)等級(jí)上存在較大差異，《個(gè)人信息保護(hù)法》強(qiáng)化了對大型個(gè)人信息處理者的監(jiān)管，提出了額外要求。

對于大型個(gè)人信息處理者，除了需要履行一般個(gè)人信息處理者的義務(wù)，還應(yīng)履行下列義務(wù)：

1、建立健全個(gè)人信息保護(hù)合規(guī)制度體系，成立獨(dú)立機(jī)構(gòu)對個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督;

2、制定平臺(tái)規(guī)則，明確平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù);

3、對嚴(yán)重違法違規(guī)處理個(gè)人信息的平臺(tái)內(nèi)產(chǎn)品或服務(wù)提供者停止提供服務(wù);

4、定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告。

(六)共同個(gè)人信息處理者間承擔(dān)連帶責(zé)任

實(shí)務(wù)中，數(shù)據(jù)處理過程中可能涉及到多方主體，共同處理者(共同決定個(gè)人信息的處理目的和處理方式的個(gè)人信息處理者)侵害個(gè)人信息權(quán)益造成損害的，互相之間承擔(dān)連帶責(zé)任，且該連帶責(zé)任不因雙方約定而排除。

為保護(hù)一方個(gè)人信息處理者的權(quán)益，在共同處理個(gè)人信息前應(yīng)注意以下幾點(diǎn)：

1、充分評(píng)估合作方的個(gè)人信息保護(hù)水平，以及共同處理信息的合法性、正當(dāng)性、必要性，采取必要措施保障信息安全。

2、通過協(xié)議明確約定共同處理個(gè)人信息的目的、方式、范圍，各自的權(quán)利和義務(wù)，并制定個(gè)人信息應(yīng)急預(yù)案。

3、引入專業(yè)個(gè)人信息保護(hù)認(rèn)證機(jī)構(gòu)，監(jiān)督合作方合法合規(guī)處理個(gè)人信息。

本文由“蘇寧金融研究院”原創(chuàng)，作者為蘇寧金融研究院特約研究員惕若