2021年11月1日,《中华人民共和国个人信息保护法》正式施行,(以下简称《个人信息保护法》)。作为我国第一部个人信息保护相关的法律,它的出现填补了相关空白。《个人信息保护法》明确,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式;个人信息处理者利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇。对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,该法特别规定了其需要履行的义务,如建立健全个人信息保护合规制度体系,定期发布个人信息保护社会责任报告,接受社会监督等。
关于《个人信息保护法》建议重点把握的十大核心要点:
01、“规范个人信息处理活动” 是个人信息保护法的核心
《个人信息保护法》实质功能是一部个人信息处理活动行为规范法,个人信息保护的真正立法目的有两个:一个是“保护个人信息权益”,另一个是“促进个人信息合理利用”,其中“规范个人信息处理活动”处于整个《个人信息保护法》的核心地位,只有夯实“规范个人信息处理活动”这个关键环节,才能确保实现保护个人信息权益和促进个人信息合理利用之目的。实质上,《个人信息保护法》的立法目的不仅仅是“保护”个人信息,而是“保护”和“利用”同步推进。
02、个人信息的内涵与匿名化
《个人信息保护法》第四条第一款明确了“个人信息”的定义:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。定义增加了“不包括匿名化处理后的信息”,明确了“个人信息”经匿名化处理后不属于个人信息,也就无须适用《个人信息保护法》的相关规定,体现了《个人信息保护法》的“保护”和“利用”并重。
03、个人信息保护法的域外效力
《个人信息保护法》第三条第二款规定,在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列三种情形之一的,也适用《个人信息保护法》:一是“以向境内自然人提供产品或者服务为目的”;二是“分析、评估境内自然人的行为”;三是法律、行政法规规定的其他情形,如我国《数据安全法》第二条第二款明确规定:“在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。”
04、个人信息处理的核心原则
《个人信息保护法》主要确立以下五项重要原则:一是遵循合法、正当、必要和诚信原则;二是采取对个人权益影响最小的方式,限于实现处理目的的最小范围原则;三是处理个人信息应当遵循公开、透明原则;四是处理个人信息应当保证个人信息质量原则;五是采取必要措施确保个人信息安全原则;第六条确立的两个“最小原则”,是个人信息处理应遵循的核心原则,尤其是处理目的的“最小范围”,这是禁止“过度收集个人信息”的关键要点,因为个人信息处理者只有在严格遵守处理目的的“最小范围”的前提下,即“非必要不收集”的情况下,才能确保其采取对个人权益影响最小的方式。
05、构建了以“告知-知情-同意”,为核心的个人信息处理规则
《个人信息保护法》构建了以“告知-知情-同意”为核心的个人信息处理规则体系。个人信息处理者“告知”的目的是为了确保被告知者的充分“知情”,只有被告知者在充分知情的前提下才能自愿、明确地作出决定。为此,《个人信息保护法》第十四条明确规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。”由此,《个人信息保护法》构建了以“告知-知情-同意”为核心的个人信息处理规则。
06、敏感个人信息的认定与保护规则
《个人信息保护法》第二十八条给出了“敏感个人信息”的定义,即“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。” 该定义采用了“个人信息被泄露或者非法使用+危害后果+列举重要敏感个人信息”的立法技术,同时将不满十四周岁未成年人的个人信息也纳入了“敏感个人信息”给予重点保护。
《个人信息保护法》对处理敏感个人信息作出了严格的限制性规定,即在履行“告知-知情-同意”原则的基础上,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。特别是处理敏感个人信息应当取得个人的单独同意,如果法律、行政法规规定处理敏感个人信息应当取得书面同意的,应当从其规定。
07、严禁“大数据杀熟”以及为“用户画像”等涉及不当自动化决策
针对“大数据杀熟”“用户画像”和“算法推荐”等涉及个人信息自动化决策的热点问题,《个人信息保护法》作出了明确规范(第二十四条):首先,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇;其次,通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式;第三,通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
《个人信息保护法》就个人信息处理者利用个人信息进行自动化决策重点确立了一项义务性规范和一项禁止性规定:一是应当保证决策的透明度和结果公平、公正;二是不得对个人在交易价格等交易条件上实行不合理的差别待遇。
08、个人信息跨境提供规则
《个人信息保护法》明确了个人信息处理者向境外提供个人信息应当具备的基本条件,如关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估;对于其他需要跨境提供个人信息的,应由专业机构进行个人信息保护认证;个人信息处理者因业务需要向境外提供个人信息,需按照国家网信部门的标准合同与境外接收方订立合同;对我国缔结或者参加的国际条约、协定对向我国境外提供个人信息的条件等有规定的,可以按照其规定执行等。
09、个人在个人信息处理活动中的七项权利
《个人信息保护法》全面构建了个人在个人信息处理活动中的权利,包括知情权、决定权(限制、拒绝和撤回权)、查阅复制权、个人信息可携带权、更正补充权、删除权、规则解释权。
1.知情同意权。收集和使用公民个人信息必须遵循合法、正当、必要原则,且目的必须明确并经用户的知情同意;2.决定权。有权限制、拒绝或撤回他人对其个人信息的处理;3.查阅复制权。个人有权向个人信息处理者查阅、复制其个人信息;4.个人信息移转权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径;5.更正补充权。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充;6.删除权。在五种情形下,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:1)处理目的已实现、无法实现或者为实现处理目的不再必要,2)个人信息处理者停止提供产品或者服务,或者保存期限已届满,3)个人撤回同意,4)个人信息处理者违反法律、行政法规或者违反约定处理个人信息,5)法律、行政法规规定的其他情形;7.规则解释权。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。
10、重要互联网平台的“守门人”制度
鉴于重要互联网平台掌握海量用户数据,一旦发生信息泄露或滥用,可能导致严重后果,《个人信息保护法》专门要求其履行“守门人”角色,并承担更多责任,主要包括:1.应按照国家规定建立健全个人信息保护合规制度体系;2.成立主要由外部成员组成的独立机构进行监督;3.遵循公开、公平、公正的原则制定平台规则;4.对严重违法处理个人信息的平台内产品或服务提供者停止提供服务;5.定期发布个人信息保护社会责任报告并接受社会监督等。
信息来源:新华网、法制网——《个人信息保护法》十大注意要点