當前位置:100EC>互聯網研究>【法律研究】詳細解讀《中華人民共和國個人信息保護法(草案)》

          全國疫情數據

          {{dataList.mtime}}
          • 確診

            {{dataList.gntotal}}

          • 疑似

            {{dataList.sustotal}}

          • 死亡

            {{dataList.deathtotal}}

          • 治愈

            {{dataList.curetotal}}

          【法律研究】詳細解讀《中華人民共和國個人信息保護法(草案)》
          李旻律師團隊上海漢盛律師事務所發布時間:2020年10月28日 08:51:43

          (網經社訊)2020年10月21日,全國大人常委會法工委發布了《中華人民共和國個人信息保護法(草案)》征求意見稿(以下簡稱“《個人信息保護法》”),就個人信息保護有關的立法問題向社會公開征求意見。在得到業內人士廣泛響應的同時,我們認為這部法律的出臺可謂意義重大,甚至將2020年稱之為我國個人信息保護立法元年都不為過。

          長期以來,我國雖在不斷出臺有關個人信息保護的立法文件,但從沒有一部法律法規能夠如此系統及全面地對個人信息保護相關問題進行專門性立法。從現有頒布的法律來看,包括《民法典》、《刑法》、《電子商務法》、《網絡安全法》、《消費者權益保護法》以及《廣告法》等雖有部分內容與個人信息保護的話題相契合,但在社會實踐中,這些法律的適用大多規定的較為原則,并不能滿足人民群眾對個人信息保護的各類迫切需求。此外,縱觀其他法規及規范性文件,例如《關于加強網絡信息保護的決定》、《電信和互聯網用戶個人信息保護規定》、《信息安全技術個人信息安全規范》(GB/T 35273—2020)等規定,雖然在我們律師辦案中起到著極強的合規參考價值,但其同時也存在著一定的滯后性,并不能夠適應各類互聯網企業的合規需要。在我國個人信息保護立法長期并不完善的大背景下,近年來,對個人信息濫用的案例不斷涌現,對司法及行政監管部門也帶來了較大挑戰。終于,在千呼萬喚中,這部《個人信息保護法》被推上歷史舞臺,等待它揮灑出絢爛奪目的篇章。

          《個人信息保護法》全文涵蓋了八章,七十條的內容。分別為總則、個人信息處理規則、個人信息跨境提供的規則、個人在個人信息處理活動中的權利、個人信息處理者的義務、履行個人信息保護職責的部門、法律責任和附則。在這些看似枯燥的法條中,其實蘊涵著立法者對人臉識別、人肉搜索、數據跨境傳輸、自動化決策、信息脫敏等熱點問題的對策及解答。此外,《個人信息保護法》還對行政監管和個人信息保護之間的原則及邊界問題進行了規定。總的來說,我們認為《個人信息保護法》吸取了來自世界各國和各地區的先進經驗。與此同時,其,結合了我國國情及長期以來面對的各類困難,使得自然人個體、互聯網企業、國家安全和公共利益、跨境傳輸技術要求以及國際上通行的慣例等達到了一定的平衡,進而制定了這部法律。《個人信息保護法》的出臺,一方面對我國國內互聯網企業的合規提出了新的期待,另一方面也對我國政府監管提出了更高要求。因此,借著《個人信息保護法》征求意見稿頒布后的空檔期,我們建議有需求的互聯網企業通讀這部法律,并及時按照法律規定調整合規模式,盡可能補齊自身經營上的短板,使得公司在個人信息保護層面面臨的法律風險更為可控。我們也將結合長期開展的律師實務工作,對《個人信息保護法》進行逐條解讀,以期供各方深入學習和交流。

          中華人民共和國個人信息保護法(草案)

          第一章  總   則

          第一條 為了保護個人信息權益規范個人信息處理活動,保障個人信息依法有序自由流動,促進個人信息合理利用,制定本法。

          【律師解讀】

          本條開宗明義,明確了《個人信息保護法》的立法目的和宗旨,即通過立法的形式,促進個人信息合法、合規、合理利用,并確保其具備一定流動性。

          第二條 自然人的個人信息受法律保護,任何組織、個人不得侵害自然人的個人信息權益。

          【律師解讀】

          “個人信息保護”的相關內容在《民法典》第四編“人格權”中的第六章有所體現,《民法典》將第六章命名為“隱私權和個人信息保護”,足見“個人信息保護”的法律地位之高以及立法者對其重視程度之深。本條與《民法典》第一千零三十四條相一致,將自然人的個人信息列為了法律保護的范疇予以調整。

          第三條 組織、個人在中華人民共和國境內處理自然人個人信息的活動,適用本法。

          在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動,有下列情形之一的,也適用本法:

          (一)以向境內自然人提供產品或者服務為目的;

          (二)為分析、評估境內自然人的行為;

          (三)法律、行政法規規定的其他情形。

          【律師解讀】

          本條闡明了《個人信息保護法》的適用范圍,明確了域外適用的效力,即通過最密切聯系原則確立了三項連結點,其與歐盟《通用數據保護條例》(General Data Protection Regulation,以下簡稱“GDPR”)第三條中的指向性和監管性要求相類似。

          第四條 個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。

          個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。

          【律師解讀】

          本條明確了“個人信息”以及“個人信息的處理”的范圍和定義。

          對于“個人信息”而言,在實踐中,各國都有各自不同的理解和定義,例如德國《聯邦數據保護法》就言簡意賅的認為“個人信息”指的就是信息主體的信息。此外,經濟合作與發展組織頒布的《關于保護隱私與個人數據跨境流動的指南》中也規定了“個人信息”指的是“任何與已識別或可識別的數據主體有關的信息”。《個人信息保護法》將“識別和關聯”作為個人信息的定義方式,借鑒了歐盟GDPR的做法,明確了這部法律所調整的范疇,使得司法實踐在對“個人信息”認定方面更為準確。另外需要說明的是,將“已識別”和“可識別”作為“個人信息”的判斷標準,使得“個人信息”的界定更為科學,而將“匿名化處理的信息”排除在外,也是保障個人信息的一種有效體現。

          對于“個人信息的處理”而言,《個人信息保護法》與《網絡安全法》規定的較為一致。

          第五條 處理個人信息應當采用合法、正當的方式,遵循誠信原則,不得通過欺詐、誤導等方式處理個人信息。

          【律師解讀】

          本條是有關個人信息處理中的合法性和正當性要求。

          《網絡安全法》第四十一條規定了網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的三大原則。但是本條內容僅涵蓋了合法性和正當性,而將必要性作為第六條的規定進行單列,可見其重要意義。

          所謂合法性,指的是在個人信息處理過程中,需要符合法律法規的要求,禁止通過植入惡意軟件等非法手段收集、存儲、使用、加工、傳輸、提供、公開個人信息。

          所謂正當性,指的是在個人信息處理過程中,需要采取例如“明示+同意”的正當形式收集、存儲、使用、加工、傳輸、提供、公開個人信息。

          第六條 處理個人信息應當具有明確、合理的目的,并應當限于實現處理目的的最小范圍,不得進行與處理目的無關的個人信息處理。

          【律師解讀】

          本條是有關個人信息處理中的目的性和必要性要求。

          所謂目的性,指的是在個人信息處理過程中,需要符合一定的合理目的,且該目的需要具備較為明確的要素,同時需要注意該目的性的要求應當與企業自身所提供的商品和服務具有一定的關聯性。

          所謂必要性,指的是在個人信息處理過程中,需要收集與企業自身經營活動密切相關的個人信息,不得收集無關且多余的個人信息。實踐中,大量企業違規收集個人信息,甚至收集與其提供商品或服務無關的個人信息,這些行為都是被禁止的。

          第七條 處理個人信息應當遵循公開、透明的原則,明示個人信息處理規則。
          【律師解讀】

          除合法性、正當性和必要性外,本條還明確了個人信息處理的公開、透明原則。

          本條在《民法典》第一千零三十五條第一款第二項的基礎上,增加了透明原則,要求個人信息處理的方式方法必須公開、透明,以便隨時受到社會公眾的監督。

          第八條 為實現處理目的,所處理的個人信息應當準確,并及時更新。

          【律師解讀】

          本條明確了個人信息處理的準確性,并提出了及時更新的要求。

          本條與歐盟GDPR第五條第一款(d)項的規定較為類似,即要求個人信息處理的及時性及準確性。在商業運作中,要求企業及時更新個人信息,使得處理所得的數據較為精確。同時,從側面也賦予了個人隨時修改自身信息的權限。

          第九條 個人信息處理者應當對其個人信息處理活動負責,并采取必要措施保障所處理的個人信息的安全。

          【律師解讀】

          本條明確了“誰處理,誰負責”的原則,將責任落實到人有助于損害賠償及追責,該條也與《網絡安全法》第四十二條的規定相一致。

          第十條 任何組織、個人不得違反法律、行政法規的規定處理個人信息,不得從事危害國家安全、公共利益的個人信息處理活動。

          【律師解讀】

          本條通過立法的形式,明確禁止行為人從事危害國家安全、公共利益的個人信息處理活動,違者將面臨刑事追責的風險。

          第十一條 國家建立健全個人信息保護制度,預防和懲治侵害個人信息權益的行為,加強個人信息保護宣傳教育,推動形成政府、企業、相關行業組織、社會公眾共同參與個人信息保護的良好環境。

          【律師解讀】

          本條明確了國家依法整治互聯網及維護個人信息保護良好環境的決心,確立了個人信息保護工作的基本原則。其中,建立健全個人信息保護制度的要求,對互聯網企業的數據合規提出了更高要求。

          第十二條 國家積極參與個人信息保護國際規則的制定,促進個人信息保護方面的國際交流與合作,推動與其他國家、地區、國際組織之間的個人信息保護規則、標準等的互認。

          【律師解讀】

          本條明確了我國與其他國家間在個人信息保護領域的國際合作關系,對推動信息保護規則和標準的國際互認意義重大。《個人信息保護法》借鑒了歐盟的《避風港協議》和《隱私盾協議》的做法,深化國際交流合作,在提升個人信息保護技術的同時,為我國與他國間的跨境數據自由流轉提供土壤,進而促進我國互聯網企業的蓬勃發展。

          第二章  個人信息處理規則

          第一節  一般規定

          第十三條 符合下列情形之一的,個人信息處理者方可處理個人信息:

          (一)取得個人的同意;

          (二)為訂立或者履行個人作為一方當事人的合同所必需;

          (三)為履行法定職責或者法定義務所必需;

          (四)為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;

          (五)為公共利益實施新聞報道、輿論監督等行為在合理的范圍內處理個人信息;

          (六)法律、行政法規規定的其他情形。

          【律師解讀】

          雖然“告知和同意原則”的適用是個人信息保護中一項難以繞開的話題,但是單純依靠該原則進行狹義適用,勢必難以適應日常生活中各類復雜的應用場景,容易造成互聯網企業遭受不公正待遇。本條在《民法典》第一千零三十五條以及《網絡安全法》第四十二條要求“取得個人同意”的基礎上羅列了其他幾種處理個人信息的合法情形,對“告知和同意原則”進行了一定程度的延伸,為個人信息的處理提供了多樣化的選擇路徑。此外,考慮到新冠疫情等突發公共衛生事件等客觀因素,將緊急情況作為個人信息處理的合法要素納入考量,更符合政府監管及互聯網企業的現實需要。

          第十四條 處理個人信息的同意,應當由個人在充分知情的前提下,自愿、明確作出意思表示。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定。

          個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應當重新取得個人同意。

          【律師解讀】

          本條明確了“明示同意”、“授權同意”以及“重新取得同意”三種情形的適用規則。

          關于“明示同意”。顯然,本條是《個人信息保護法》在《信息安全技術個人信息安全規范》(GB/T35273-2020)的基礎上進行的細化。我們認為本條中的“充分知情”是個人信息處理正當性原則的一種直觀表現。實務中,我們一般會建議互聯網企業通過加粗、下劃線、斜杠等形式清晰提示用戶相關內容。此外,明確作出意思表示實則是《信息安全技術個人信息安全規范》(GB/T35273-2020)注重“明示同意”的一種體現。

          關于“授權同意”。可以結合《個人信息保護法》第三十條的相關內容,即當在處理敏感個人信息時,應當視情形采用“單獨同意”或“授權同意”的形式。需要注意,此處的“單獨同意”需要同時滿足“明示同意”的要求,而“授權同意”也必須符合“書面同意”的形式要件。

          關于“重新取得同意”。當“個人信息的處理目的、處理方式和處理的個人信息種類發生變更的”,我們認為,這種情形屬于個人信息處理過程中的重大變更,倘若按照原有的授權實則可能會侵害他人合法權益,因此法律規定了需要“重新取得同意”。

          第十五條 個人信息處理者知道或者應當知道其處理的個人信息為不滿十四周歲未成年人個人信息的,應當取得其監護人的同意。

          【律師解讀】

          本條的制定符合了國際法上的要求,重點關注未成年人信息的保護和安全。

          需要注意本條在實際適用過程中,需要與《個人信息保護法》等十三條、第十四條等同時適用,即處理未滿十四周歲未成年人信息的,應當取得其監護人的同意,并同時滿足其他條款所規定的情形。

          第十六條 基于個人同意而進行的個人信息處理活動,個人有權撤回其同意。

          【律師解讀】

          本條需重點關注法律賦予個人的“撤銷權”。

          需要注意的是,本條所規定的“個人撤銷權”僅僅是基于第十三條第一款情形下予以適用,除此之外法律并未授權個人此權限。這就要求互聯網企業在線上必須架設撤銷端口,供個人撤銷其授權。但這并不影響其為個人提供的服務受限,互聯網企業可以修改《注冊協議》對該事由予以明示。

          第十七條 個人信息處理者不得以個人不同意處理其個人信息或者撤回其對個人信息處理的同意為由,拒絕提供產品或者服務;處理個人信息屬于提供產品或者服務所必需的除外。

          【律師解讀】

          本條明確了不得因個人拒絕或撤回個人信息的處理授權,進而拒絕提供相應商品或服務。

          本條規定與《數據安全管理辦法》(征求意見稿)第十一條的規定如出一轍,系個人信息處理必要性的直觀體現。

          第十八條 個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言向個人告知下列事項:

          (一)個人信息處理者的身份和聯系方式;

          (二)個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;

          (三)個人行使本法規定權利的方式和程序;

          (四)法律、行政法規規定應當告知的其他事項。

          前款規定事項發生變更的,應當將變更部分告知個人。

          個人信息處理者通過制定個人信息處理規則的方式告知第一款規定事項的,處理規則應當公開,并且便于查閱和保存。

          【律師解讀】

          本條規定了個人信息處理者在處理個人信息前所需披露事項。

          本條內容多體現在互聯網企業的《隱私權政策》中,即在處理任何情形下取得的個人信息時,都需按本條規定對披露的時間、方式及內容進行相應調整。實務中,互聯網企業只要根據自身所制定的個人信息處理規則的方式,按照相應要求如實修訂相關協議即可。但需要注意滿足“便于查閱和保存”的要求。通常來說,我們建議互聯網企業就其修訂的歷史規則全部予以公示,至于公示的形式可以根據相應規則進行調整。

          第十九條 個人信息處理者處理個人信息,有法律、行政法規規定應當保密或者不需要告知的情形的,可以不向個人告知前條規定的事項。

          緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的,個人信息處理者應當在緊急情況消除后予以告知。

          【律師解讀】

          本條是有關個人信息處理前告知豁免的兩種情形。

          第一種情況最為典型的是根據《中華人民共和國反恐怖主義法》第五十一條的規定,即公安機關在調查恐怖活動的案件中,可以獲得事先告知豁免。

          第二種情況是針對《個人信息保護法》等十三條第四款的補充規定,即在發生緊急情況時,可以不事先告知個人信息處理的相關內容,但在緊急情況消除后應當予以告知。

          第二十條 個人信息的保存期限應當為實現處理目的所必要的最短時間。法律、行政法規對個人信息的保存期限另有規定的,從其規定。

          【律師解讀】

          本條是對個人信息保存期限的規定。

          《個人信息保護法》并沒有通過固定期限來限定個人信息的保存時間,而是根據必要性的要求,規定在滿足處理目的后,盡快予以刪除。這就需要互聯網企業制定相應內部合規制度,就個人信息的存儲及刪除時間進行明確規定。

          與此同時,本條也設置了兜底條款,常見的法律、法規另有規定的情形包括:①《反洗錢法》第十九條第三款,“客戶身份資料在業務關系結束后、客戶交易信息在交易結束后,應當至少保存五年”;②《電子商務法》第三十一條,“電子商務平臺經營者應當記錄、保存平臺上發布的商品和服務信息、交易信息,并確保信息的完整性、保密性、可用性。商品和服務信息、交易信息保存時間自交易完成之日起不少于三年;法律、行政法規另有規定的,依照其規定。”

          第二十一條 兩個或者兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的,應當約定各自的權利和義務。但是,該約定不影響個人向其中任何一個個人信息處理者要求行使本法規定的權利。

          個人信息處理者共同處理個人信息,侵害個人信息權益的,依法承擔連帶責任。

          【律師解讀】

          本條明確了個人信息處理者共同處理信息的權利義務劃分和責任承擔。

          在實踐中,存在著大量授權第三方處理個人信息的情形。本條基于這一現象,在原有《信息安全技術個人信息安全規范》(GB/T35273-2020)第9.6條的基礎上進行了細化,明確了各方所應遵循的權利義務,即無論內部如何約定,任何一方對外均需要符合法律的規定。在責任承擔方面,《個人信息保護法》規定了最為嚴格的連帶責任,即將共同信息處理致使他人受損的情形,視為是一種共同侵權行為,進而嚴厲打擊可能存在的違法違規行為。

          第二十二條 個人信息處理者委托處理個人信息的,應當與受托方約定委托處理的目的、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等,并對受托方的個人信息處理活動進行監督。

          受托方應當按照約定處理個人信息,不得超出約定的處理目的、處理方式等處理個人信息,并應當在合同履行完畢或者委托關系解除后,將個人信息返還個人信息處理者或者予以刪除。

          未經個人信息處理者同意,受托方不得轉委托他人處理個人信息。

          【律師解讀】

          本條所規范的是委托第三方處理個人信息的情形,其與歐盟GDPR第二十八條較為類似。

          需要注意的是,本條與第二十一條可能存在一定的重合,即委托人如果同時存在個人信息處理的情況下,其應當同時滿足本法第二十一條和第二十二條的要求。但當其自身并不處理個人信息時,其應當滿足本條的規定。

          此外,根據本條規定,委托方需要注意授權的范圍,并確保受托方在授權的范圍內行使相應職責。倘若由于故意或者重大過失導致其未能監管到位,可能存在被處罰及訴訟風險。

          對于受托方而言,其需要注意不能超出授權范圍行事,在委托關系結束時,應當全面刪除或者返還相關個人信息,由于其自身原因造成信息泄露或侵權的,則可能會被被侵權人要求賠償,也可能據此承擔相應違約責任。

          最后,同房屋租賃中承租人不當然享有轉租權一樣,個人信息的處理授權并不當然包含轉委托,這一點需要予以重視。

          第二十三條 個人信息處理者因合并、分立等原因需要轉移個人信息的,應當向個人告知接收方的身份、聯系方式。接收方應當繼續履行個人信息處理者的義務。接收方變更原先的處理目的、處理方式的,應當依照本法規定重新向個人告知并取得其同意。

          【律師解讀】

          本條是關于個人信息承繼的規范。

          眾所周知,公司在開設之后可能面臨被兼并、收購、分立等情形,因此《個人信息保護法》規定了公司因合并、分立等原因需要轉移個人信息的相應規范。首先需要明確的是,本條并非規定的是將個人信息轉移給第三人,我們認為是個人信息承繼的一種規范。根據法條字面意思,當公司出現合并和分立需要轉移個人信息的,合并和分立后的公司只需要履行通知義務即可,而無需另行獲得相應授權。只有按照第十四條規定,當“接收方變更原先的處理目的、處理方式的”,才會需要向個人“取得同意”。

          第二十四條 個人信息處理者向第三方提供其處理的個人信息的,應當向個人告知第三方的身份、聯系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨同意。接收個人信息的第三方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。第三方變更原先的處理目的、處理方式的,應當依照本法規定重新向個人告知并取得其同意。

          個人信息處理者向第三方提供匿名化信息的,第三方不得利用技術等手段重新識別個人身份。

          【律師解讀】

          本條明確了向第三方提供個人信息的具體要求。

          本條與第二十三條的本質區別在于獲取個人信息的主體是否為第三方,如果獲取個人信息的主體為第三方,則按照《個人信息保護法》的立法精神,顯然需要履行“告知和同意原則”。

          需要注意的是,根據《網絡安全法》第四十二條的規定:“網絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。”因此,向第三方提供匿名化信息屬于例外情形,無需事先經過個人的同意,但第三方不得利用技術等手段重新識別個人身份。

          第二十五條 利用個人信息進行自動化決策,應當保證決策的透明度和處理結果的公平合理。個人認為自動化決策對其權益造成重大影響的,有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

          通過自動化決策方式進行商業營銷、信息推送,應當同時提供不針對其個人特征的選項。

          【律師解讀】

          本條是針對人工智能中自動化決策的規范,其與歐盟GDPR中的第二十二條相類似。

          此外,我國《信息安全技術個人信息安全規范》(GB/T35273-2020)第7.5條(b)項和《電子商務法》第十八條也有類似規定。根據《電子商務法》第十八條規定,“電子商務經營者根據消費者的興趣愛好、消費習慣等特征向其提供商品或者服務的搜索結果的,應當同時向該消費者提供不針對其個人特征的選項,尊重和平等保護消費者合法權益。”可見,在適用自動化決策的過程中,互聯網公司需要同時設置不針對其個人特征的選項,以保證交易的公平性。

          第二十六條 個人信息處理者不得公開其處理的個人信息;取得個人單獨同意或者法律、行政法規另有規定的除外。

          【律師解讀】

          本條規定了個人信息處理應當“以不公開原則,以公開為例外”。

          個人信息的處理僅需獲得個人同意即可,因此,為降低個人信息權益受侵犯的風險,其處理原則應當“以不公開原則,以公開為例外”。除非個人就個人信息的公開“單獨同意”或者有法可依的情況下,其他一律應當通過技術手段予以保密。

          第二十七條 在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,并設置顯著的提示標識。所收集的個人圖像、個人身份特征信息只能用于維護公共安全的目的,不得公開或者向他人提供;取得個人單獨同意或者法律、行政法規另有規定的除外。

          【律師解讀】

          本條是個人信息處理過程中所涉“國家安全和公共利益”的相關規定。

          基于“公共安全”的需要,可以對個人進行身份識別,但仍應符合第二十六條的規定,一般不得將所獲個人信息進行公開或者向第三方提供。需要明確指出的是,此處并未將安裝圖像采集的主體限定為國家機關,因此只要是以維護“公共安全”為目的的主體,均可就個人身份進行識別,但需符合相應的保密規定。

          第二十八條 個人信息處理者處理已公開的個人信息,應當符合該個人信息被公開時的用途;超出與該用途相關的合理范圍的,應當依照本法規定向個人告知并取得其同意。

          個人信息被公開時的用途不明確的,個人信息處理者應當合理、謹慎地處理已公開的個人信息;利用已公開的個人信息從事對個人有重大影響的活動,應當依照本法規定向個人告知并取得其同意。

          【律師解讀】

          本條是對已公開個人信息用途的規范,或將認定“人肉搜索”系違法行為。

          相較于《民法典》第一千零三十六條第二項規定的“合理處理該自然人自行公開的或者其他已經合法公開的信息,但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外”,本條看似更為寬泛,但實則是在《民法典》的基礎上進行了有效補充,兩者在法律適用上其實并不存在任何障礙。

          就本條理解,只要個人信息是行為人自行公開的,當個人信息處理者滿足其公開時的用途,即可直接使用該公開的個人信息。此外,超出原始用途合理范圍內的,則需要重新履行“告知和同意原則”。

          當個人信息公開時的用途并不明確時,個人信息處理者需要合理、謹慎地處理已公開的個人信息。在個人信息公布的用途不明,且同時存在利用已公開的個人信息從事對個人有重大影響的活動時,就不得對個人信息進行處理,除非履行了“告知和同意原則”。此外,針對《民法典》第一千零三十六條第二項中的另一例外情況,即“該自然人明確拒絕”,我們認為實則是一種“撤銷權”的表現形式,即與《個人信息保護法》第十三條的規定不謀而合,即無論個人信息公布時的用途是否明確,個人均有隨時行使“撤銷權”的權利。

          第二節  敏感個人信息的處理規則

          第二十九條 個人信息處理者具有特定的目的和充分的必要性,方可處理敏感個人信息。

          敏感個人信息是一旦泄露或者非法使用,可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息,包括種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等信息。

          【律師解讀】

          本條是有關處理敏感個人信息的定義和規范要求。

          具體而言,本條是對《個人信息保護法》第六條的深化。本條在第六條處理個人信息要求具備“明確且合理目的”的基礎上,提出了更高的要求,即個人信息處理者需要滿足“特定目的+充分必要”的規范化要求。這就意味著個人信息處理者應當本著更為嚴格和謹慎的態度處理敏感個人信息。

          此外,根據《數據安全管理辦法》(征求意見稿)第十五條的規定,“網絡運營者以經營為目的收集重要數據或個人敏感信息的,應向所在地網信部門備案。”可見,雖然敏感個人信息與重要數據是政府監管的重點,但是二者的概念各不相同。根據《個人信息和重要數據出境安全評估辦法》(征求意見稿)的相關規定,重要數據是指與國家安全、經濟發展,以及社會公共利益密切相關的數據。針對重要數據具體的識別方式,我國的《重要數據的識別指南》尚在立法推進過程中。

          第三十條 基于個人同意處理敏感個人信息的,個人信息處理者應當取得個人的單獨同意。法律、行政法規規定處理敏感個人信息應當取得書面同意的,從其規定。

          【律師解讀】

          本條是有關個人同意以及依法獲取處理敏感個人信息權限的規范要求。

          當在處理敏感個人信息時,應當視情形采用“單獨同意”或“授權同意”的形式。需要注意,此處的“單獨同意”需要同時滿足“明示同意”的要求,而“授權同意”也必須符合“書面同意”的形式要件。具體詳見第十四條的解析。此外,根據《網絡交易監督管理辦法》(征求意見稿)第十一條規定,“網絡交易經營者收集、使用生物識別信息、健康信息、財產信息、社交信息等敏感信息的,應當逐項取得被收集者授權同意”。可見,對敏感個人信息的處理有別于一般信息,“單獨同意”需要逐項授權。

          第三十一條 個人信息處理者處理敏感個人信息的,除本法第十八條規定的事項外,還應當向個人告知處理敏感個人信息的必要性以及對個人的影響。

          【律師解讀】

          本條明確了對處理敏感個人信息的告知義務。

          在《個人信息保護法》第十八條的基礎上,針對敏感個人信息的處理需要進一步告知必要性和對個人的影響。鑒于互聯網企業廣泛存在收集敏感個人信息的情形,因此,建議互聯網企業在《隱私權政策》中對本條內容進行補充。需要提示注意的是,“告知對個人的影響”建議可通過列舉或概述的形式進行,盡量窮盡。

          第三十二條 法律、行政法規規定處理敏感個人信息應當取得相關行政許可或者作出更嚴格限制的,從其規定。

          【律師解讀】

          本條是對處理敏感個人信息的特殊限制性措施。

          目前,我國法律尚無要求敏感個人信息處理需要獲得相關行政許可或者備案,本條的制定系為將來可能存在的這一監管措施留有余地。

          第三節  國家機關處理個人信息的特別規定

          第三十三條 國家機關處理個人信息的活動適用本法;本節有特別規定的,適用本節規定。

          【律師解讀】

          本條明確了《個人信息保護法》調整的對象包括國家機關。

          國家機關在處理個人信息的過程中實則也包括了民事法律關系的體現,因此本節如有特殊規定的,從特殊規定。若無特殊規定的,即使是國家機關,也需要同互聯網企業一樣,遵守《個人信息保護法》的相關規定。

          第三十四條 國家機關為履行法定職責處理個人信息,應當依照法律、行政法規規定的權限、程序進行,不得超出履行法定職責所必需的范圍和限度。

          【律師解讀】

          本條規定了國家機關履行法定職責規范中處理個人信息的要求。

          這一條款是國家機關在處理個人信息時履行職責必要性的體現,有助于遏制“借公權力為名,行濫用個人信息之實”的現象,規范國家機關處理個人信息的實體和程序,以保障公民的合法權益。

          第三十五條 國家機關為履行法定職責處理個人信息,應當依照本法規定向個人告知并取得其同意;法律、行政法規規定應當保密,或者告知、取得同意將妨礙國家機關履行法定職責的除外。

          【律師解讀】

          本條規定了國家機關履行法定職責處理個人信息所應遵循的原則。

          國家機關在履行法定職責處理個人信息時,即需要滿足《個人信息保護法》第十三條中有關“告知和同意原則”的要求。同時,本條還規范了“法律、行政法規規定應當保密,或者告知、取得同意將妨礙國家機關履行法定職責”的例外情況。

          第三十六條 國家機關不得公開或者向他人提供其處理的個人信息,法律、行政法規另有規定或者取得個人同意的除外。

          【律師解讀】

          本條明確了國家機關履行法定職責處理個人信息,禁止對外公開或對外提供的要求。

          同互聯網企業一樣,國家機關在履行法定職責處理個人信息時,也不得隨意公開或向他人提供,但是“法律、行政法規另有規定或者取得個人同意”是例外情況。

          第三十七條 國家機關處理的個人信息應當在中華人民共和國境內存儲;確需向境外提供的,應當進行風險評估。風險評估可以要求有關部門提供支持與協助。

          【律師解讀】

          本條明確了國家機關處理的個人信息的儲存方式及跨境流轉的要求。

          本條嚴格遵循了《網絡安全法》中有關數據本地化存儲和跨境流轉的要求。根據《網絡安全法》第三十七條的規定,“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。”可見,《個人信息保護法》將國家機關處理的個人信息全部納入到了本地化存儲和跨境風險評估的范圍。因此,《個人信息保護法》生效后,不僅僅是關鍵信息基礎設施運營者需要符合此類要求,國家機關也需要。

          第三章  個人信息跨境提供的規則

          第三十八條 個人信息處理者因業務等需要,確需向中華人民共和國境外提供個人信息的,應當至少具備下列一項條件:

          (一)依照本法第四十條的規定通過國家網信部門組織的安全評估;

          (二)按照國家網信部門的規定經專業機構進行個人信息保護認證;

          (三)與境外接收方訂立合同,約定雙方的權利和義務,并監督其個人信息處理活動達到本法規定的個人信息保護標準;

          (四)法律、行政法規或者國家網信部門規定的其他條件。

          【律師解讀】

          本條明確了個人信息處理者跨境數據流轉的規范要求。

          本條提出了四項規范性的要求,為個人信息處理者提供了更多元化的數據跨境方式,滿足任何一項即可。就第一項內容來看,其顯然沿用了《網絡安全法》中關鍵信息基礎設施運營者的要求,即按照《個人信息和重要數據出境安全評估辦法》的規定,落實“安全評估”的相關規定。此外,雖然我國法律目前并未出臺相應機構認證的標準,但從第二項的內容來看,我們認為如果后續通過了機構的認證,不排除可以長期獲權進行數據的跨境流轉。此外,本條還規定了數據跨境流轉前,已經與境外接收方訂立相關合同的情形。這一規定需要雙方對個人信息技術標準和要求進行約定,明確責任歸口,盡可能確保我國境內個人信息不會由于跨境數據的流轉導致泄露風險。

          第三十九條 個人信息處理者向中華人民共和國境外提供個人信息的,應當向個人告知境外接收方的身份、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式等事項,并取得個人的單獨同意。

          【律師解讀】

          本條明確了個人信息處理者向境外主體提供個人信息也需要符合“告知和同意原則”。需要注意的是,本條規定的告知要求,與《個人信息保護法》第二十九條是不一致的。第二十九條是關于敏感個人信息的處理要求,而本條是針對個人信息跨境傳輸的要求,因此只需要按照本條列舉的要求向個人如實披露相關信息,并獲其“單獨同意”即可。但“單獨同意”是需要符合《網絡交易監督管理辦法》(征求意見稿)第十一條所規定“逐項授權”要求的。

          第四十條 關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的,應當通過國家網信部門組織的安全評估;法律、行政法規和國家網信部門規定可以不進行安全評估的,從其規定。

          【律師解讀】

          本條是針對特殊個人信息處理者跨境數據傳輸的要求。

          本條規定與《網絡安全法》第三十七條的規定如出一轍,但擴大了適用范圍,將處理個人信息達到國家網信部門規定數量的個人信息處理者也列入了本地化存儲的范疇。此外,本條對法律規定不需要進行“安全評估”的例外情形進行了兜底式的規定。

          第四十一條 因國際司法協助或者行政執法協助,需要向中華人民共和國境外提供個人信息的,應當依法申請有關主管部門批準。

          中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息有規定的,從其規定。

          【律師解讀】

          本條涉及國際法上的“國際司法協助或者行政執法協助”問題。

          由于個人信息極易在互聯網上進行流轉,因此跨境侵權訴訟也不斷頻發。根據《數據安全法》(草案)第三十三條的立法精神,本條規定了此類情形下進行跨境數據流轉,需要經過我國主管部門批準。我們認為,之所以本條無法談及具體職能部門,原因在于國際司法協助和行政執法協助多涉及多部門聯動,包括外交部、國家網信部門、最高人民法院、最高人民檢察院以及各部委都可能成為主管部門從中協調,因此本條通過“有關主管部門”一詞予以概述。此外,該條款的意義還在于通過立法的形式,封堵了境外國家通過長臂管轄權介入刑民案件裁判的可能,維護了我國國家的司法主權。最后,由于涉及國際法問題,如果我國對外已經締結或參加了國際條約和協定的,應當將這些國際條約和協定作為優先規則予以適用。

          第四十二條 境外的組織、個人從事損害中華人民共和國公民的個人信息權益,或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的,國家網信部門可以將其列入限制或者禁止個人信息提供清單,予以公告,并采取限制或者禁止向其提供個人信息等措施。

          【律師解讀】

          本條明確構建了“個人信息提供黑名單制度”。

          本條參照了《不可靠實體清單規定》的相關規定,構建的“個人信息提供黑名單制度”有助于保障我國公民個人信息免遭他國不法分子侵害,同時還可以起到很好的預防和警示作用。此外,“國家網信部門”作為監管機關,具有建構黑名單的決定權,同時也有權就危害國家安全和公共利益的行為進行判定。

          第四十三條 任何國家和地區在個人信息保護方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者該地區采取相應措施。

          【律師解讀】

          本條規定了在個人信息保護領域的報復和反制措施。

          按照國際法上的國家間對等原則,如果他國或地區對我國在個人信息保護方面采取了歧視性的禁止或限制措施,我國則可以根據實際情況對該國或地區采取相應的報復和反制措施。此前我國出臺的《出口管制法》、《數據安全法》(草案)等法律規定都存在著類似的規定。

          第四章  個人在個人信息處理活動中的權利

          第四十四條 個人對其個人信息的處理享有知情權、決定權,有權限制或者拒絕他人對其個人信息進行處理;法律、行政法規另有規定的除外。

          【律師解讀】

          本條明確了個人對其個人信息處理時享有的知情權和決定權。

          第四章主要涉及個人在個人信息處理活動中的相關權利,本條明確的知情權和決定權與《個人信息保護法》所遵循的“告知和同意原則”相一致。需要說明的是,知情權是決定權行使的前提條件,而決定權又包含了個人對個人信息處理有權進行限制或拒絕,進而得以使個人信息處理者在處理個人信息時更為合法、合規,避免侵權。

          第四十五條 個人有權向個人信息處理者查閱、復制其個人信息;有本法第十九條第一款規定情形的除外。

          個人請求查閱、復制其個人信息的,個人信息處理者應當及時提供。

          【律師解讀】

          本條明確了個人在其個人信息處理后所享有的查閱和復制權。

          根據《民法典》第一千零三十七條規定,“自然人可以依法向信息處理者查閱或者復制其個人信息;發現信息有錯誤的,有權提出異議并請求及時采取更正等必要措施。自然人發現信息處理者違反法律、行政法規的規定或者雙方的約定處理其個人信息的,有權請求信息處理者及時刪除。”可見,本條延續了《民法典》第一千零三十七條,明確了個人所享有的查閱和復制權。

          對于互聯網企業而言,在《個人信息保護法》生效后,需要及時制定相應規則,明確個人查閱和復制的方式和流程。此外,雖然本條要求個人信息處理者在個人依申請后“及時提供”相關信息,到底怎樣的時間間隔屬于“及時提供”?我們認為,首先,互聯網企業需要建立一套制度予以落實,就“及時提供”的具體時間,需要在個案中予以評判和探討,但前提條件是符合規則要求,提供的時間也不能明顯過長。

          第四十六條 個人發現其個人信息不準確或者不完整的,有權請求個人信息處理者更正、補充。

          個人請求更正、補充其個人信息的,個人信息處理者應當對其個人信息予以核實,并及時更正、補充。

          【律師解讀】

          本條明確了個人在其個人信息處理后所享有的更正和補充權。

          本條所規定內容也屬于《民法典》第一千零三十七條的細化,明確了個人所享有的更正和補充權。對于互聯網企業而言,需要重點關注“核實”這一要素,這就需要其具備和掌握《網絡安全法》中所要求的“實名認證”的相關能力。除此之外的合規要求,同《個人信息保護法》第四十五條。

          第四十七條 有下列情形之一的,個人信息處理者應當主動或者根據個人的請求,刪除個人信息:

          (一)約定的保存期限已屆滿或者處理目的已實現; 

          (二)個人信息處理者停止提供產品或者服務;

          (三)個人撤回同意;

          (四)個人信息處理者違反法律、行政法規或者違反約定處理個人信息;

          (五)法律、行政法規規定的其他情形。

          法律、行政法規規定的保存期限未屆滿,或者刪除個人信息從技術上難以實現的,個人信息處理者應當停止處理個人信息。

          【律師解讀】

          本條明確了個人所享有的個人信息刪除權以及個人信息處理者存在的刪除義務,并同時對刪除權行使的豁免進行了規定。

          本條所規定的“刪除權”被人們長期稱之謂是“被遺忘權”。首先,由于個人信息一旦刪除,則再難重新獲取,因此刪除權相對于其他權限來說其實施的條件和要求應當更為謹慎和嚴格。本條通過列舉的形式明確了刪除權的形式條件,極大地對其進行了適用上的限定,以保障各方權益盡可能穩定。

          其次,本條規定了刪除權行使的兩種途徑,即個人在滿足相關條件后享有刪除個人信息的權利。與此同時,個人信息處理者在出現相關情形時,也具有刪除個人信息的義務。

          再次,需要注意本條第二款在實務中的運用。根據《信息安全技術個人信息安全規范》(GB/T 35273—2020)的規定,賬號注銷處理時限為十五個工作日,因此個人信息處理者一般應當在注銷賬號時,一并刪除該賬戶下的個人相關信息。

          最后,本條還規定了特殊情況下的豁免。例如,根據《電子商務法》第三十一條的規定,“商品和服務信息、交易信息保存時間自交易完成之日起不少于三年;法律、行政法規另有規定的,依照其規定。”因此,在出現個人信息保存期限未屆滿,或者技術上難以實現的情形下,可以對個人信息處理者進行豁免,但其必須確保停止對個人信息的處理。

          我們認為,豁免的特殊性條款在實務中極有可能存在被互聯網企業濫用的風險,因此在監管層面必須要求互聯網企業對其豁免的原因進行充分舉證,針對由于業務模式不合規進而導致的豁免適用情形及時介入監管,并要求進行整改,以符合刪除權最終得以行使的目的。合規方面,我們依舊建議互聯網企業梳理自身業務結構,盡量保證刪除權的正常行使,并在實務中向個人開放相關申請通道,并嚴格落實數據的刪除義務,違者將可能承擔重罰。

          第四十八條 個人有權要求個人信息處理者對其個人信息處理規則進行解釋說明。

          【律師解讀】

          本條明確了個人所享有的解釋權。

          《個人信息保護法》的第四十八條首次提出了解釋權的概念,即對于個人信息處理規則中存在的專業術語或者是理解上可能存在的偏差等問題,個人有權要求個人信息處理者進行解釋說明,但具體解釋說明的提出方式可以根據不同互聯網企業的規則進行明示。

          第四十九條 個人信息處理者應當建立個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的,應當說明理由。

          【律師解讀】

          本條明確了個人信息處理者建立個人信息申請受理和處理機制的規定。

          本條對個人信息處理者提出了合規治理層面的要求,即要求個人信息處理者履行同《網絡安全法》第四十九條相類似的法律義務,并在此基礎上進行細化,要求其在拒絕時對個人進行必要說明。

          第五章  個人信息處理者的義務

          第五十條 個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人的影響、可能存在的安全風險等,采取必要措施確保個人信息處理活動符合法律、行政法規的規定,并防止未經授權的訪問以及個人信息泄露或者被竊取、篡改、刪除:

          (一)制定內部管理制度和操作規程;

          (二)對個人信息實行分級分類管理;

          (三)采取相應的加密、去標識化等安全技術措施;

          (四)合理確定個人信息處理的操作權限,并定期對從業人員進行安全教育和培訓;

          (五)制定并組織實施個人信息安全事件應急預案;

          (六)法律、行政法規規定的其他措施。

          【律師解讀】

          本條明確了個人信息處理者對個人信息的安全保障義務。

          本條融合了《網絡安全法》第二十五條、第二十六條、第三十九條以及第四十條的相關義務,要求個人信息處理者建立完備的管理制度對個人信息進行分級分類管理,同時要求其運用相應技術手段,保證個人信息安全的安全、自主和可控。另外,還需要在日常工作中引入相關機制對相關從業人員進行必要培訓,并制定和實施相應應急預案。

          需要注意的是,根據《數據安全管理辦法》(征求意見稿)第第十七條的規定,“網絡運營者以經營為目的收集重要數據或個人敏感信息的,應當明確數據安全責任人。數據安全責任人由具有相關管理工作經歷和數據安全專業知識的人員擔任,參與有關數據活動的重要決策,直接向網絡運營者的主要負責人報告工作。”因此,如果個人信息處理者存在處置個人敏感信息和重要數據情形的,其應當明確具備一定的專業背景和特長的數據安全的負責人,這對互聯網企業在人力資源選拔層面提出了相當大的挑戰和要求。此外,本條第三款僅為概括式條款,并非涵蓋全部所應采取的技術形式,應當根據《信息安全技術個人信息安全規范》(GB/T 35273—2020)中有關個人信息的存儲時間和方式等問題進行了技術上的規范調整。

          第五十一條 處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監督。

          個人信息處理者應當公開個人信息保護負責人的姓名、聯系方式等,并報送履行個人信息保護職責的部門。

          【律師解讀】

          本條明確了特殊個人信息處理者指定個人信息保護負責人的義務。

          根據《數據安全管理辦法》(征求意見稿)第八條的規定,“收集使用規則應當明確具體、簡單通俗、易于訪問,突出以下內容:(一)網絡運營者基本信息;(二)網絡運營者主要負責人、數據安全責任人的姓名及聯系方式…”;可見,根據《數據安全管理辦法》(征求意見稿)的立法精神,處理涉及個人敏感信息和重要數據的個人信息處理者需要對外公開相關姓名及聯系方式等個人信息。

          《個人信息保護法》在《數據安全管理辦法》第八條的基礎上,又新增了特殊個人信息處理者即個人信息達到國家網信部門規定數量的個人信息處理者這一主體,并要求其也應當指定個人信息保護負責人。有關特殊個人信息處理者這一對象,在《個人信息保護法》第四十條跨境數據流轉合規要求中我們已有介紹和說明,體現了法律對其重視程度。

          因此,在合規治理方面,我們建議無論是涉及處理個人敏感信息和重要數據的個人信息處理者,還是本條所規定的處理個人信息達到國家網信部門規定數量的個人信息處理者,都應當配備個人信息保護負責人,對企業的個人信息保護進行監管和負責。至于國家網信部門規定數量究竟是多少,尚有待《個人信息保護法》生效后根據國家網信部門下發的相關規范性文件明確,其并不在本文探討范圍之中。

          第五十二條 本法第三條第二款規定的中華人民共和國境外的個人信息處理者,應當在中華人民共和國境內設立專門機構或者指定代表,負責處理個人信息保護相關事務,并將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門。

          【律師解讀】

          本條明確了中國境外個人信息處理者在境內設立專門機構或者指定代表的義務。

          雖然本條并未明確設立專門機構或者指定代表的具體流程和要求,也并未明確其法律主體和責任。但是根據《個人信息出境安全評估辦法(征求意見稿)》第二十條的立法精神,通過“白名單制度”的建立可以有效對個人信息安全進行必要管控,防止個人信息非法出境而使得我國境內公民人身權益遭受不必要的損害。

          第五十三條 個人信息處理者應當定期對其個人信息處理活動、采取的保護措施等是否符合法律、行政法規的規定進行審計。履行個人信息保護職責的部門有權要求個人信息處理者委托專業機構進行審計。

          【律師解讀】

          本條規定了個人信息處理者有依法委托專業機構開展審計工作的義務。

          雖然目前法律并未規定個人信息處理審計的時間,但是本條規定了定期審計意味著《個人信息保護法》對個人信息處理者的監管將會是長期存在的現象。根據《信息安全技術個人信息安全規范》(GB/T 35273—2020)第11.7條的規定,“對個人信息控制者的要求包括:(a)應對個人信息保護政策、相關規程和安全措施的有效性進行審計;(b)應建立自動化審計系統,監測記錄個人信息處理活動;(c)審計過程形成的記錄應能對安全事件的處置、應急響應和事后調查提供支撐;(d)應防止非授權訪問、篡改或刪除審計記錄;(e)應及時處理審計過程中發現的個人信息違規使用、濫用等情況;(f)審計記錄和留存時間應當符合法律法規的要求。”因此,個人信息處理者應當定期聘請專業的律師事務所對其自身個人信息治理的合規性進行審查,并根據審查結果進行整改。

          另外需要說明的是,本條中的“履行個人信息保護職責的部門”可能會有所歧義。按照文義解釋,其既可能指的是行政監管部門,也可能指的是企業內部的個人信息保護部門。我們認為,第一種解釋可能更為妥當。首先,根據《個人信息保護法》第六章通篇的表述可以推定,其所指的是就是行政監管部門。其次,配合行政監管工作本身就是一項法定義務,具備立法的條件。第三,雖然本條已經開宗名義的明確了個人信息處理者定期審計的義務,但是對于未按規定履行審計義務的個人信息處理者而言,本條明確了個人信息保護職責部門的重要法律地位,為其介入監管提供了相應法律依據。

          第五十四條 個人信息處理者應當對下列個人信息處理活動在事前進行風險評估,并對處理情況進行記錄:

          (一)處理敏感個人信息;

          (二)利用個人信息進行自動化決策;

          (三)委托處理個人信息、向第三方提供個人信息、公開個人信息;

          (四)向境外提供個人信息;

          (五)其他對個人有重大影響的個人信息處理活動。

          風險評估的內容應當包括:

          (一)個人信息的處理目的、處理方式等是否合法、正當、必要;

          (二)對個人的影響及風險程度;

          (三)所采取的安全保護措施是否合法、有效并與風險程度相適應。

          風險評估報告和處理情況記錄應當至少保存三年。

          【律師解讀】

          本條明確了個人信息處理者的事先風險評估義務。

          本條所列舉的幾類情形都是極易對個人信息產生侵權行為的情形,因此國家往往對這些行為都非常關注。本條約定的是個人信息處理者在特殊情形下的事先風險評估義務,具體的操作指南可以參考《個人信息出境安全評估辦法》(征求意見稿)。但需要注意的是,除了風險評估外,《個人信息保護法》還規定了安全評估的要求,因此有必要等待監管部門對兩者的概念進行必要的區分和解釋,以指引個人信息處理者的合規進程。

          第五十五條個人信息處理者發現個人信息泄露的,應當立即采取補救措施,并通知履行個人信息保護職責的部門和個人。通知應當包括下列事項:

          (一)個人信息泄露的原因;

          (二)泄露的個人信息種類和可能造成的危害;

          (三)已采取的補救措施;

          (四)個人可以采取的減輕危害的措施;

          (五)個人信息處理者的聯系方式。

          個人信息處理者采取措施能夠有效避免信息泄露造成損害的,個人信息處理者可以不通知個人;但是,履行個人信息保護職責的部門認為個人信息泄露可能對個人造成損害的,有權要求個人信息處理者通知個人。

          【律師解讀】

          本條明確了在個人信息泄露時,個人信息處理者應當履行的通知義務,并采取相應補救措施。

          本條明確了個人信息處理者在個人信息泄露時的通知義務和補救義務。第一,履行通知義務的主體是個人信息處理者。第二,本條還明確了履行通知義務的條件是個人信息遭受泄露或者是履行個人信息保護職責的部門向其提出要求這兩類情形。第三,除通知義務外,個人信息處理者還需要及時采取補救措施,防止損失的擴大。第四,本條規定了個人信息處理者采取措施能夠有效避免信息泄露造成損害的的情形下,個人信息處理者的通知義務可以被豁免。最后需要提醒,個人信息處理者采取的補救措施必須是及時且專業的,由于補救措施采取的不及時或者是不專業導致個人信息泄露擴大進而導致個人損失擴大的,個人信息處理者可能還需要承擔相應的侵權責任。

          第六章  履行個人信息保護職責的部門

          第五十六條 國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定,在各自職責范圍內負責個人信息保護和監督管理工作。

          縣級以上地方人民政府有關部門的個人信息保護和監督管理職責,按照國家有關規定確定。前兩款規定的部門統稱為履行個人信息保護職責的部門。

          【律師解讀】

          本條明確了履行個人信息保護的具體行政監管部門。

          根據本條規定,履行個人信息保護職責的部門由國家網信部門進行統籌和協調,具體落實的工作由國務院各部門在各自職責范圍內進行縱向的“條塊管理”,縣級以上地方人民政府也按照該模式進行管理。例如,上海市各委辦局根據其所負責的不同條塊,負責對注冊在上海的個人信息處理者進行日常管理,而上海市網信辦負責對其進行協調、統籌和監督。

          第五十七條 履行個人信息保護職責的部門履行下列個人信息保護職責:

          (一)開展個人信息保護宣傳教育,指導、監督個人信息處理者開展個人信息保護工作;

          (二)接受、處理與個人信息保護有關的投訴舉報;

          (三)調查、處理違法個人信息處理活動;

          (四)法律、行政法規規定的其他職責。

          【律師解讀】

          本條明確了履行個人信息保護職責的部門的工作內容和職責。

          本條理清了相關責任部門的職責范圍,以及具體行政行為作出的方向,避免由于職責不清或者職責重合,進而對個人信息監管所帶來不良影響。

          第五十八條 國家網信部門和國務院有關部門按照職責權限組織制定個人信息保護相關規則、標準,推進個人信息保護社會化服務體系建設,支持有關機構開展個人信息保護評估、認證服務。

          【律師解讀】

          本條明確了國家網信部門和國務院有關部門的工作內容和職責。

          就個人信息保護的有關規則和標準的制定工作而言,由于其直接影響全國各地的適用效果,因此只能由國家網信部門和國務院有關部門負責落實,以更好推進個人信息保護社會化服務體系建設。

          第五十九條 履行個人信息保護職責的部門履行個人信息保護職責,可以采取下列措施:  

          (一)詢問有關當事人,調查與個人信息處理活動有關的情況;

          (二)查閱、復制當事人與個人信息處理活動有關的合同、記錄、賬簿以及其他有關資料;

          (三)實施現場檢查,對涉嫌違法個人信息處理活動進行調查;

          (四)檢查與個人信息處理活動有關的設備、物品;對有證據證明是違法個人信息處理活動的設備、物品,可以查封或者扣押。

          履行個人信息保護職責的部門依法履行職責,當事人應當予以協助、配合,不得拒絕、阻撓。

          【律師解讀】

          本條規定了履行個人信息保護職責的部門履行個人信息保護職責可采取的措施。

          本條明確了履行個人信息保護職責的部門的工作方式,并通過法律指引的形式,為其提供了相應法律依據。相反,也為公民履行相應行政監督權提供了參考標準。

          第六十條 履行個人信息保護職責的部門在履行職責中,發現個人信息處理活動存在較大風險或者發生個人信息安全事件的,可以按照規定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談。個人信息處理者應當按照要求采取措施,進行整改,消除隱患。

          【律師解讀】

          本條賦予了履行個人信息保護職責的部門對個人信息處理者進行約談和提出整改的權限。

          本條賦予了履行個人信息保護職責的部門存在較大風險或者發生個人信息安全事件相應的認定權。此外,對個人信息處理者的法定代表人或者主要負責人進行約談既是一種義務,也是一種權利,通過約談的形式可以更好的進行有效監督。由于《個人信息保護法》第五十三條已經要求個人信息處理者定期進行審計,因此,監管部門還可以在委托律師事務所進行審計后,根據審計結果,要求個人信息處理者進行整改并消除隱患。

          第六十一條 任何組織、個人有權對違法個人信息處理活動向履行個人信息保護職責的部門進行投訴、舉報。收到投訴、舉報的部門應當依法及時處理,并將處理結果告知投訴、舉報人。履行個人信息保護職責的部門應當公布接受投訴、舉報的聯系方式。

          【律師解讀】

          本條規定了“投訴、舉報制度”的設立要求。

          需要注意,本條所指的“投訴、舉報制度”是從行政監管角度出發的,對個人信息處理者內部的投訴和舉報的處理流程和方式,并不包含在本條范圍內。此外,無論是否具有利害關系,任何組織和個人都有權對其認為違法違規的個人信息處理者進行投訴和舉報。一旦收到此類投訴和舉報信函,無論是中央,還是地方歸口的監管部門就應當按照本條相應規定進行處置。如果監管部門未按要求或者延期處置的,可能會被認定為行政違法或不作為。

          第七章  法律責任

          第六十二條 違反本法規定處理個人信息,或者處理個人信息未按照規定采取必要的安全保護措施的,由履行個人信息保護職責的部門責令改正,沒收違法所得,給予警告;拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

          有前款規定的違法行為,情節嚴重的,由履行個人信息保護

          職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。

          【律師解讀】

          本條明確了個人信息處理者違法后的法律責任。

          本條設置處罰的幅度和范圍相較于《網絡安全法》而言顯然更為嚴厲了,其引入了類似于歐盟GDPR第八十三條的懲罰性賠償制度,來對違法行為進行懲罰,加大了個人信息處理者的違法成本。

          第六十三條 有本法規定的違法行為的,依照有關法律、行政法規的規定記入信用檔案,并予以公示。

          【律師解讀】

          本條規定了“信用檔案制度”的建立和使用。

          本條借鑒了《電子商務法》第七十條和第八十六條的規定,建立和使用“信用檔案制度”將對整個個人信息保護來說更為有益。此外,對于違法、違規企業的信息公示,將加大其違法成本和商業信譽的影響,創建出“良幣驅逐劣幣”的良好環境。

          第六十四條 國家機關不履行本法規定的個人信息保護義務的,由其上級機關或者履行個人信息保護職責的部門責令改正;對直接負責的主管人員和其他直接責任人員依法給予處分。

          【律師解讀】

          本條明確了國家機關不履行個人信息保護義務的法律責任。

          對于國家機關不履行個人信息保護義務的,不僅需要由上級主管部門責令其改正,還將處罰責任落實到人,促進其更好地履行自身監管職能的作用。

          第六十五條 因個人信息處理活動侵害個人信息權益的,按照個人因此受到的損失或者個人信息處理者因此獲得的利益承擔賠償責任;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的,由人民法院根據實際情況確定賠償數額。個人信息處理者能夠證明自己沒有過錯的,可以減輕或者免除責任。

          【律師解讀】

          本條是有關個人信息被侵害后,民事賠償方式的相關說明。

          根據《民法典》的相關立法精神,我國對于侵權行為的賠償采用的是“填平原則”,即根據被侵權人的實際損失作為侵權人賠償的數額。本條規定沿用了這一立法精神,并根據“過錯責任”的歸責原則,來作為認定侵權及賠償的方法。

          第六十六條 個人信息處理者違反本法規定處理個人信息,侵害眾多個人的權益的,人民檢察院、履行個人信息保護職責的部門和國家網信部門確定的組織可以依法向人民法院提起訴訟。

          【律師解讀】

          本條建立了“個人信息公益訴訟制度”。

          我國公益訴訟的提出一般較為嚴格,需要具備一定的社會性,也需要明確的法律依據作為支撐。因此,本條設置的目的給了檢察機關、消費者權益保護組織等單位提起個人信息公益訴訟的權利,為維護侵害眾多個人權益的個體,提供了獲取救濟的可能。

          第六十七條 違反本法規定,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。

          【律師解讀】

          本條明確了個人信息違法后可能面臨的刑事或者行政處罰。

          本條沿用了《網絡安全法》、《電子商務法》等法律的規定,將違反《個人信息保護法》的行為,視情節不同,明確劃分為行政處罰和刑事處罰兩檔,供公安機關予以處理。

          第八章  附   則

          第六十八條 自然人因個人或者家庭事務而處理個人信息的,不適用本法。

          法律對各級人民政府及其有關部門組織實施的統計、檔案管理活動中的個人信息處理有規定的,適用其規定。

          【律師解讀】

          本條明確了不適用本法的兩類特殊情況。

          個人信息作為一種“私權”,倘若以處理家庭事務為目的,進而發生在個體間的信息處理行為,由于其社會影響力較小,也不存在法律需要進一步細化調整的必要,因此排除在《個人信息保護法》調整的范圍外。

          另外,人民政府組織的統計和檔案管理活動一般又涉及“公權”,其還可能需要符合《保密法》的相關規定,因此屬于特別法的調整范疇,也應當被排除在《個人信息保護法》調整的范圍外。

          第六十九條 本法下列用語的含義: 

          (一)個人信息處理者,是指自主決定處理目的、處理方式

          等個人信息處理事項的組織、個人。

          (二)自動化決策,是指利用個人信息對個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,通過計算機程序自動分析、評估并進行決策的活動。

          (三)去標識化,是指個人信息經過處理,使其在不借助額外信息的情況下無法識別特定自然人的過程。

          (四)匿名化,是指個人信息經過處理無法識別特定自然人且不能復原的過程。

          【律師解讀】

          本條明確了幾個重要的專業術語的概念。

          本條明確了“個人信息處理者”、“自動化決策”、“去標識化”以及“匿名化”四個專業術語的概念。需要說明的是,雖然《個人信息保護法》對“去標識化”和“匿名化”進行了區分,但是在實務中仍較難界別。

          一般來說,“匿名化”是經過“去標識化”加工后出現的產物。其所呈現的信息更為模式,即便借助外在和額外的信息,也無法進一步識別出個體信息。

          “去標識化”雖然經過一定程度的處理,但是其在借助外在信息時有可能被予以識別,同時其原始數據也可能通過技術手段被予以還原。

          第七十條 本法自  年   月   日起施行。(完)

          【律師解讀】

          本條規定了《個人信息保護法》具體的施行時間。

          目前,《個人信息保護法》仍在征求意見階段,其具體的施行時間尚未確定。但是在司法實踐中需要注意,由于《個人信息保護法》一些部分的合規要求非常詳實,因此不排除其最終發布和施行的時間出現不一致的情形。如若發生這一情況,建議互聯網企業必須抓住這段時間的空檔期,盡可能按照最終發布的《個人信息保護法》進行合規梳理,這也是立法者預留多余時間其背后的真正目的。


          網經社連續第六年啟動“直擊黑五”大型策劃,通過媒體評論、全媒體發布、滾動播報、專題直擊、投訴維權、快評評論等多元化、立體化方式對黑五持續播報、監測、評論,對天貓國際、京東國際、蘇寧國際、洋碼頭、小紅書、亞馬遜海外購、蜜芽、考拉海購、速賣通、跨境通、敦煌網等平臺,展開持續跟蹤、監測、研究、評論、評測、監督,為您帶來跨境電商版的“雙11”大促全貌。(查看專題)

          【版權聲明】秉承互聯網開放、包容的精神,網經社歡迎各方(自)媒體、機構轉載、引用我們原創內容,但要嚴格注明來源網經社;同時,我們倡導尊重與保護知識產權,如發現本站文章存在版權問題,煩請將版權疑問、授權證明、版權證明、聯系方式等,發郵件至law@netsun.com,我們將第一時間核實、處理。

          提交申請

          請輸入姓名! 請輸入公司名稱! 請輸入正確的手機號! 請輸入正確的郵箱!
              平臺名稱
              平臺回復率
              回復時效性
              用戶滿意度
                午夜片神马福利在线观看,手机免费天天看高清电影,色三级床上片电影完整版