|
《中華人民共和國(guó)個(gè)人信息保護(hù)法》 2021年8月20日���,《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱(chēng)《個(gè)保法》)正式通過(guò)����,并將于2021年11月1日起正式實(shí)施。 《個(gè)保法》通過(guò)明確不得過(guò)度收集個(gè)人信息�、禁止大數(shù)據(jù)殺熟、規(guī)定人臉信息等敏感個(gè)人信息處理規(guī)則等���,對(duì)濫采濫用��、非法買(mǎi)賣(mài)個(gè)人信息���、擅自披露個(gè)人數(shù)據(jù)等亟需解決的社會(huì)亂象進(jìn)行了系統(tǒng)回應(yīng)?�?傮w來(lái)看����,《個(gè)保法》為個(gè)人信息的處理提供了明確的法理依據(jù),為個(gè)人維護(hù)正當(dāng)隱私權(quán)益提供充分保障���,更為商家如何運(yùn)營(yíng)掌控的個(gè)人信息數(shù)據(jù)����,提供了操作指引以及法律紅線����?�!秱€(gè)保法》的出臺(tái)翻開(kāi)了我國(guó)個(gè)人信息立法保護(hù)的歷史新篇章�����,也是全球個(gè)人信息安全治理進(jìn)程的重大里程碑。 隨著個(gè)人信息價(jià)值的凸顯����,個(gè)人信息安全風(fēng)險(xiǎn)與日俱增,個(gè)人信息泄露���、販賣(mài)等安全事件的頻發(fā)�����,給個(gè)人隱私及國(guó)家安全帶來(lái)了嚴(yán)重的安全隱患����。因此�����,為加強(qiáng)個(gè)人信息安全保護(hù)�,國(guó)際上諸多國(guó)家紛紛建立個(gè)人信息保護(hù)制度�,并相繼完成個(gè)人信息保護(hù)相關(guān)立法�����,如歐盟的GDPR法案����,阿根廷和越南的《個(gè)人數(shù)據(jù)保護(hù)法》以及美國(guó)各州出臺(tái)的《消費(fèi)者數(shù)據(jù)保護(hù)法》等。近些年���,我國(guó)作為數(shù)字經(jīng)濟(jì)的大國(guó)也在嘗試搭建個(gè)人信息保護(hù)法律體系����,并相繼出臺(tái)了《刑法修正案》《電子商務(wù)法》《民法典》等法律���。然而���,由于針對(duì)個(gè)人信息保護(hù)的專(zhuān)門(mén)法律長(zhǎng)期缺位,個(gè)人信息保護(hù)規(guī)則尚未完善�,個(gè)人信息安全事件頻頻發(fā)生且屢禁不止。為對(duì)侵害個(gè)人信息權(quán)益的有害行為進(jìn)行嚴(yán)厲威懾和打擊�����,加強(qiáng)個(gè)人信息保護(hù)專(zhuān)項(xiàng)立法成了社會(huì)各界普遍共識(shí)。在此背景下�����,《個(gè)人信息保護(hù)法》自2020年10月13日首個(gè)草案提出以來(lái)�����,歷經(jīng)三次審議�����、多次修訂�����,現(xiàn)正式出臺(tái)����。 (一)數(shù)據(jù)法規(guī)發(fā)展歷程(2012-2021) 
(二)《個(gè)人信息保護(hù)法》立法歷程(2018-2021) 
《個(gè)人信息保護(hù)法》十大亮點(diǎn) 知情同意不再是處理個(gè)人信息的唯一合法基礎(chǔ) 《個(gè)保法》一改《民法典》“個(gè)人同意+特定情形免責(zé)”的邏輯��,引入了訂立履行合同���、人力資源管理�、履行法定職責(zé)或法定義務(wù)、應(yīng)對(duì)突發(fā)公共衛(wèi)生事件��、保護(hù)自然人的生命健康和財(cái)產(chǎn)安全��、處理公開(kāi)個(gè)人信息等多元化個(gè)人信息處理事由�����,很大程度上放寬了個(gè)人信息處理的限制,有效平衡了個(gè)人和企業(yè)對(duì)個(gè)人信息不同訴求���。 同意撤回是指?jìng)€(gè)人信息主體基于“告知同意”原則����,對(duì)自己已經(jīng)作出的“同意信息處理者對(duì)其個(gè)人信息進(jìn)行處理”的授權(quán)予以取消的意思表示��?�?紤]到實(shí)踐中普遍存在的不支持注銷(xiāo)賬戶(hù)��、撤回同意投訴無(wú)門(mén)等問(wèn)題�,《個(gè)保法》要求個(gè)人信息處理者提供便捷的撤回同意方式。但是����,由于數(shù)據(jù)存在極強(qiáng)的可復(fù)制性��,個(gè)人信息主體在給出首次授權(quán)同意后�����,對(duì)于姓名���、身份證號(hào)、手機(jī)號(hào)��、地址等相對(duì)靜態(tài)的信息極易失去控制權(quán)�����。即使在撤回同意后���,個(gè)人及每一環(huán)節(jié)數(shù)據(jù)處理者也很難控制數(shù)據(jù)的后續(xù)流轉(zhuǎn)。因此�����,《個(gè)保法》明確撤回同意不影響撤回前基于個(gè)人同意已進(jìn)行的個(gè)人信息處理活動(dòng)的效力�,但需停止處理或及時(shí)刪除其個(gè)人信息。 《個(gè)保法》將生物識(shí)別、宗教信仰��、特定身份����、醫(yī)療健康、金融賬戶(hù)���、行蹤軌跡等信息列為敏感個(gè)人信息�,并要求只有在具有特定目的和充分的必要性����,以及采取嚴(yán)格保護(hù)措施的情形下,方可處理敏感個(gè)人信息����,同時(shí)應(yīng)當(dāng)事前進(jìn)行影響評(píng)估,并向個(gè)人告知處理的必要性以及對(duì)個(gè)人權(quán)益的影響����。這主要是考慮到此類(lèi)信息一旦泄露或者被非法使用,極易導(dǎo)致個(gè)體的人格尊嚴(yán)受到侵害或者人身���、財(cái)產(chǎn)安全受到危害�,因此,對(duì)處理敏感個(gè)人信息的活動(dòng)應(yīng)當(dāng)作出更加嚴(yán)格的限制�����。此外���,為保護(hù)未成年人的個(gè)人信息權(quán)益和身心健康�,個(gè)人信息保護(hù)法特別將不滿(mǎn)十四周歲未成年人的個(gè)人信息確定為敏感個(gè)人信息予以嚴(yán)格保護(hù)��。 從“人臉識(shí)別第一案”����,到“戴頭盔前往售樓處看房”, 再到315晚會(huì)“人臉識(shí)別系統(tǒng)”被曝光, 作為敏感個(gè)人信息中社交屬性最強(qiáng)、最容易采集的個(gè)人信息, 人臉信息的收集利用備受爭(zhēng)議��。針對(duì)此問(wèn)題��,《個(gè)保法》規(guī)定��,在公共場(chǎng)所采集人臉信息應(yīng)設(shè)置顯著提示標(biāo)識(shí)�,且僅限于維護(hù)公共安全目的�����,這正是針對(duì)此前各大商家濫用攝像頭暗自采集人臉信息并用于實(shí)施營(yíng)銷(xiāo)推廣等亂象進(jìn)行明確法律規(guī)制的體現(xiàn)。 數(shù)據(jù)安全領(lǐng)域具有高專(zhuān)業(yè)性�����,安全攻擊行為具有隱蔽性和多變性��。實(shí)踐中個(gè)人信息處理者即使已充分履行個(gè)人信息安全保障義務(wù)���,也很難將個(gè)人信息泄露等安全事件發(fā)生率降低至零�。為此�����,《個(gè)保法》規(guī)定���,發(fā)生或者可能發(fā)生個(gè)人信息泄露����、篡改��、丟失的��,個(gè)人信息處理者應(yīng)當(dāng)立即采取補(bǔ)救措施�����,并通知履行個(gè)人信息保護(hù)職責(zé)的部門(mén)和個(gè)人。構(gòu)建個(gè)人信息泄露通知制度��,通過(guò)觸發(fā)監(jiān)管資源的及時(shí)介入��,以及啟動(dòng)個(gè)人主體的防御舉措����,形成個(gè)人信息處理者與履行個(gè)人信息保護(hù)職責(zé)的部門(mén)以及個(gè)人之間有效聯(lián)動(dòng)的機(jī)制,能夠極大程度減輕個(gè)人信息泄露事件的影響�。 此前,通過(guò)數(shù)據(jù)和算法實(shí)施價(jià)格歧視�����,在相關(guān)產(chǎn)品和服務(wù)中對(duì)不同用戶(hù)采取不同價(jià)格政策的問(wèn)題引起了社會(huì)各界強(qiáng)烈的反映?��,F(xiàn)《個(gè)保法》明確規(guī)定�,個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策�����,不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇���。在社會(huì)各界的普遍監(jiān)督下����,濫用技術(shù)手段實(shí)施“大數(shù)據(jù)殺熟”行為的主體將會(huì)受到高額罰款����、終止服務(wù)等嚴(yán)厲的監(jiān)管處罰。在具備強(qiáng)有力的法律威懾和法律管束的生態(tài)環(huán)境下�,消費(fèi)者權(quán)益將會(huì)得到充分保障。 賦予大型網(wǎng)絡(luò)平臺(tái)特別義務(wù) 提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)�����、用戶(hù)數(shù)量巨大����、業(yè)務(wù)類(lèi)型復(fù)雜的個(gè)人信息處理者對(duì)平臺(tái)內(nèi)的交易和個(gè)人信息處理活動(dòng)具有強(qiáng)大的控制力和支配力,在個(gè)人信息保護(hù)方面需承擔(dān)更多的法律義務(wù)��。為此����,《個(gè)保法》對(duì)大型互聯(lián)網(wǎng)平臺(tái)設(shè)定了特別的個(gè)人信息保護(hù)義務(wù),包括按照國(guó)家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系��,成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督;遵循公開(kāi)�����、公平�����、公正的原則��,制定平臺(tái)規(guī)則��;對(duì)嚴(yán)重違法處理個(gè)人信息的平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者���,停止提供服務(wù)��;定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告�����,接受社會(huì)監(jiān)督�����。上述規(guī)定可提高大型互聯(lián)網(wǎng)平臺(tái)經(jīng)營(yíng)業(yè)務(wù)的透明度�,完善平臺(tái)治理,強(qiáng)化外部監(jiān)督����,形成全社會(huì)共同參與的個(gè)人信息保護(hù)機(jī)制�����。 《個(gè)保法》承繼了嚴(yán)厲懲罰個(gè)人信息違法行為的國(guó)際通行做法, 加重了對(duì)侵犯?jìng)€(gè)人信息行為的懲處力度���。一是��,與此前已采取的“通報(bào)批評(píng)-責(zé)令限期整改-下架處理”的APP整治手段保持一致, 針對(duì)目前常見(jiàn)的APP違法違規(guī)收集使用個(gè)人信息的現(xiàn)象,《個(gè)保法》專(zhuān)門(mén)設(shè)置了“責(zé)令暫?���;蚪K止提供服務(wù)”的處罰�����。二是�,相較于《網(wǎng)絡(luò)安全法》, 對(duì)于“情節(jié)嚴(yán)重”的行為, 違法企業(yè)可能被處以5000萬(wàn)元以下或者上一年度營(yíng)業(yè)額5%以下罰款。而相關(guān)責(zé)任人員不僅可能受到高達(dá)百萬(wàn)的罰款, 還可能同時(shí)受到從業(yè)限制�。整體而言, 《個(gè)保法》設(shè)置的處罰全面覆蓋了常見(jiàn)的違法行為,將精準(zhǔn)打擊各類(lèi)違法主體,增加的處罰種類(lèi)和加重的處罰力度都將大大增加企業(yè)的違法成本。 在檢察機(jī)關(guān)個(gè)人信息保護(hù)公益訴訟的實(shí)踐基礎(chǔ)上,《個(gè)保法》正式引入了個(gè)人信息保護(hù)公益訴訟制度。未來(lái),當(dāng)企業(yè)侵害眾多個(gè)人的權(quán)益時(shí), 受侵害個(gè)人因取證難�、成本高等問(wèn)題放棄維權(quán)的現(xiàn)象將大大減少, 檢察機(jī)關(guān)、消費(fèi)者組織和國(guó)家網(wǎng)信部門(mén)確定的組織將運(yùn)用公益訴訟保障個(gè)人信息權(quán)益���。此外���,考慮到民事訴訟中個(gè)人通常舉證能力有限,《個(gè)保法》明確了個(gè)人信息侵權(quán)行為的歸責(zé)原則為過(guò)錯(cuò)推定,即當(dāng)個(gè)人信息權(quán)益因個(gè)人信息處理活動(dòng)受到侵害,需由個(gè)人信息處理者證明其沒(méi)有過(guò)錯(cuò),通過(guò)舉證責(zé)任的轉(zhuǎn)移實(shí)現(xiàn)對(duì)個(gè)人的傾向性保護(hù)。這意味著�����,企業(yè)應(yīng)有效證明自己通過(guò)完善的安全措施盡到個(gè)人信息保護(hù)義務(wù),否則需承擔(dān)損害賠償責(zé)任��。 進(jìn)一步細(xì)化個(gè)人信息出境規(guī)則 《個(gè)保法》要求��,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者(CIIO)原則上應(yīng)將其在境內(nèi)收集的個(gè)人信息儲(chǔ)存在本地�����,確需向境外傳輸?shù)?,?yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估;處理信息未達(dá)到規(guī)定數(shù)量的一般的個(gè)人信息處理者�����,在通過(guò)專(zhuān)業(yè)機(jī)構(gòu)的認(rèn)證或按照國(guó)家網(wǎng)信部門(mén)制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同后即可出境,處理數(shù)量達(dá)到規(guī)定數(shù)量則參照CIIO管理�。針對(duì)不同的個(gè)人信息處理者, 實(shí)施不同類(lèi)型的個(gè)人信息出境安全審查,以提高數(shù)據(jù)出境審查的靈活性和有效性���。 《個(gè)人信息保護(hù)法》內(nèi)容分析 (一)《個(gè)保法》總體框架 
(圖片內(nèi)容來(lái)源于Cipher Gateway) (二)《個(gè)保法》基本內(nèi)容 《個(gè)保法》共8章74條�,在有關(guān)法律的基礎(chǔ)上�����,該法進(jìn)一步細(xì)化���、完善個(gè)人信息保護(hù)應(yīng)遵循的原則和個(gè)人信息處理規(guī)則,明確個(gè)人信息處理活動(dòng)中的權(quán)利義務(wù)邊界����,健全個(gè)人信息保護(hù)工作體制機(jī)制。
1. 總則:1+2+3+4+5
2. 個(gè)人信息處理原則:一般+敏感+國(guó)家機(jī)關(guān)
3.個(gè)人信息跨境提供的規(guī)則:基本要求+國(guó)際競(jìng)爭(zhēng)合作
4. 個(gè)人信息主體的權(quán)利:六大權(quán)利
5.個(gè)人信息處理者義務(wù):一般性義務(wù)+大型互聯(lián)網(wǎng)平臺(tái)義務(wù)
6. 履行個(gè)人信息保護(hù)職責(zé)的部門(mén):三層管理
7. 法律責(zé)任:行政責(zé)任+民事責(zé)任+刑事責(zé)任
|
