經過三次審議,8月20日,十三屆全國人大常委會第三十次會議表決通過了個人信息保護法,將于2021年11月1日起施行。
在信息化時代,個人信息保護已成為廣大人民群眾最關心最直接最現實的利益問題之一。個人信息保護法堅持和貫徹以人民為中心的法治理念,牢牢把握保護人民群眾個人信息權益的立法定位,聚焦個人信息保護領域的突出問題和人民群眾的重大關切。
個人信息保護法共8章74條。在有關法律的基礎上,該法進一步細化、完善個人信息保護應遵循的原則和個人信息處理規則,明確個人信息處理活動中的權利義務邊界,健全個人信息保護工作體制機制。
“個人信息保護法切實將廣大人民群眾網絡空間合法權益維護好、保障好、發展好,使廣大人民群眾在數字經濟發展中享受更多的獲得感、幸福感、安全感。”全國人大常委會法工委經濟法室副主任楊合慶20日對個人信息保護法進行了權威解讀。
亮點一:
確立個人信息保護原則
個人信息保護的原則是收集、使用個人信息的基本遵循,是構建個人信息保護具體規則的制度基礎。
個人信息保護法借鑒國際經驗并立足我國實際,確立了個人信息處理應遵循的原則,強調處理個人信息應當遵循合法、正當、必要和誠信原則,具有明確、合理的目的并與處理目的直接相關,采取對個人權益影響最小的方式,限于實現處理目的的最小范圍,公開處理規則,保證信息質量,采取安全保護措施等。
“這些原則應當貫穿于個人信息處理的全過程、各環節。”楊合慶說。
亮點二:
規范處理活動保障權益
個人信息保護法緊緊圍繞規范個人信息處理活動、保障個人信息權益,構建了以“告知-同意”為核心的個人信息處理規則。
“‘告知-同意’是法律確立的個人信息保護核心規則,是保障個人對其個人信息處理知情權和決定權的重要手段。”楊合慶說。
個人信息保護法要求,處理個人信息應當在事先充分告知的前提下取得個人同意,個人信息處理的重要事項發生變更的應當重新向個人告知并取得同意。同時,針對現實生活中社會反映強烈的一攬子授權、強制同意等問題,個人信息保護法特別要求,個人信息處理者在處理敏感個人信息、向他人提供或公開個人信息、跨境轉移個人信息等環節應取得個人的單獨同意,明確個人信息處理者不得過度收集個人信息,不得以個人不同意為由拒絕提供產品或者服務,并賦予個人撤回同意的權利,在個人撤回同意后,個人信息處理者應當停止處理或及時刪除其個人信息。
此外,考慮到經濟社會生活的復雜性,個人信息處理的場景日益多樣,個人信息保護法從維護公共利益和保障社會正常生產生活的角度,還對取得個人同意以外可以合法處理個人信息的特定情形作了規定。
此外,個人信息保護法還分別對共同處理、委托處理等實踐中較為常見的處理情形作出有針對性規定。
亮點三:
禁止“大數據殺熟”規范自動化決策
當前,越來越多的企業利用大數據分析、評估消費者的個人特征用于商業營銷。有一些企業通過掌握消費者的經濟狀況、消費習慣、對價格的敏感程度等信息,對消費者在交易價格等方面實行歧視性的差別待遇,誤導、欺詐消費者。其中,最典型的就是社會反映突出的“大數據殺熟”。
“‘大數據殺熟’行為違反了誠實信用原則,侵犯了消費者權益保護法規定的消費者享有公平交易條件的權利,應當在法律上予以禁止。”楊合慶說。
對此,個人信息保護法明確規定:個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
亮點四:
嚴格保護敏感個人信息
值得關注的是,個人信息保護法將生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息列為敏感個人信息。個人信息保護法要求,只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,方可處理敏感個人信息,同時應當事前進行影響評估,并向個人告知處理的必要性以及對個人權益的影響。
“這主要是考慮到此類信息一旦泄露或者被非法使用,極易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害,因此,對處理敏感個人信息的活動應當作出更加嚴格的限制。”楊合慶說。
值得關注的是,為保護未成年人的個人信息權益和身心健康,個人信息保護法特別將不滿十四周歲未成年人的個人信息確定為敏感個人信息予以嚴格保護。同時,與未成年人保護法有關規定相銜接,要求處理不滿十四周歲未成年人個人信息應當取得未成年人的父母或者其他監護人的同意,并應當對此制定專門的個人信息處理規則。
亮點五:
規范國家機關處理活動
為履行維護國家安全、懲治犯罪、管理經濟社會事務等職責,國家機關需要處理大量個人信息。保護個人信息權益、保障個人信息安全是國家機關應盡的義務和責任。但近年來,一些個人信息泄露事件也反映出有些國家機關存在個人信息保護意識不強、處理流程不規范、安全保護措施不到位等問題。
對此,個人信息保護法對國家機關處理個人信息的活動作出專門規定,特別強調國家機關處理個人信息的活動適用本法,并且處理個人信息應當依照法律、行政法規規定的權限和程序進行,不得超出履行法定職責所必需的范圍和限度。
亮點六:
賦予個人充分權利
個人信息保護法將個人在個人信息處理活動中的各項權利,包括知悉個人信息處理規則和處理事項、同意和撤回同意,以及個人信息的查詢、復制、更正、刪除等總結提升為知情權、決定權,明確個人有權限制個人信息的處理。
同時,為了適應互聯網應用和服務多樣化的實際,滿足日益增長的跨平臺轉移個人信息的需求,個人信息保護法對個人信息可攜帶權作了原則規定,要求在符合國家網信部門規定條件的情形下,個人信息處理者應當為個人提供轉移其個人信息的途徑。
此外,個人信息保護法還對死者個人信息的保護作了專門規定,明確在尊重死者生前安排的前提下,其近親屬為自身合法、正當利益,可以對死者個人信息行使查閱、復制、更正、刪除等權利。
亮點七:
強化個人信息處理者義務
個人信息處理者是個人信息保護的第一責任人。據此,個人信息保護法強調,個人信息處理者應當對其個人信息處理活動負責,并采取必要措施保障所處理的個人信息的安全。
在此基礎上,個人信息保護法設專章明確了個人信息處理者的合規管理和保障個人信息安全等義務,要求個人信息處理者按照規定制定內部管理制度和操作規程,采取相應的安全技術措施,指定負責人對其個人信息處理活動進行監督,定期對其個人信息活動進行合規審計,對處理敏感個人信息、利用個人進行自動化決策、對外提供或公開個人信息等高風險處理活動進行事前影響評估,履行個人信息泄露通知和補救義務等。
亮點八:
賦予大型網絡平臺特別義務
互聯網平臺服務是數字經濟區別于傳統經濟的顯著特征。互聯網平臺為商品和服務的交易提供技術支持、交易場所、信息發布和交易撮合等服務。
“在個人信息處理方面,互聯網平臺為平臺內經營者處理個人信息提供基礎技術服務、設定基本處理規則,是個人信息保護的關鍵環節。”楊合慶指出,提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者對平臺內的交易和個人信息處理活動具有強大的控制力和支配力,因此在個人信息保護方面應當承擔更多的法律義務。
據此,個人信息保護法對這些大型互聯網平臺設定了特別的個人信息保護義務,包括:按照國家規定建立健全個人信息保護合規制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督;遵循公開、公平、公正的原則,制定平臺規則;對嚴重違法處理個人信息的平臺內產品或者服務提供者,停止提供服務;定期發布個人信息保護社會責任報告,接受社會監督。個人信息保護法的上述規定是為了提高大型互聯網平臺經營業務的透明度,完善平臺治理,強化外部監督,形成全社會共同參與的個人信息保護機制。
亮點九:
規范個人信息跨境流動
隨著經濟全球化、數字化的不斷推進以及我國對外開放的不斷擴大,個人信息的跨境流動日益頻繁,但由于遙遠的地理距離以及不同國家法律制度、保護水平之間的差異,個人信息跨境流動風險更加難以控制。
“個人信息保護法構建了一套清晰、系統的個人信息跨境流動規則,以滿足保障個人信息權益和安全的客觀要求,適應國際經貿往來的現實需要。”楊合慶介紹說,一是明確以向境內自然人提供產品或者服務為目的,或者分析、評估境內自然人的行為等,在我國境外處理境內自然人個人信息的活動適用本法,并要求符合上述情形的境外個人信息處理者在我國境內設立專門機構或者指定代表,負責個人信息保護相關事務;二是明確向境外提供個人信息的途徑,包括通過國家網信部門組織的安全評估、經專業機構認證、訂立標準合同、按照我國締結或參加的國際條約和協定等;三是要求個人信息處理者采取必要措施保障境外接收方的處理活動達到本法規定的保護標準;四是對跨境提供個人信息的“告知-同意”作出更嚴格的要求,切實保障個人的知情權、決定權等權利;五是為維護國家主權、安全和發展利益,對跨境提供個人信息的安全評估、向境外司法或執法機構提供個人信息、限制跨境提供個人信息的措施、對外國歧視性措施的反制等作了規定。
亮點十:
健全個人信息保護工作機制
個人信息保護涉及的領域廣,相關制度措施的落實有賴于完善的監管執法機制。
根據個人信息保護工作實際,個人信息保護法明確,國家網信部門和國務院有關部門在各自職責范圍內負責個人信息保護和監督管理工作,同時,對個人信息保護和監管職責作出規定,包括開展個人信息宣傳教育、指導監督個人信息保護工作、接受處理相關投訴舉報、組織對應用程序等進行測評、調查處理違法個人信息處理活動等。
此外,為了加強個人信息保護監管執法的協同配合,個人信息保護法還進一步明確了國家網信部門在個人信息保護監管方面的統籌協調作用,并對其統籌協調職責作出具體規定。