2021年11月1日,《中华人民共和国个人信息保护法》(以下简称《个保法》)正式生效实施,为个人信息处理者合法合规的处理个人信息提供了明确的指引。
一、立法历程和重要意义
2021年8月20日,经第十三届全国人大常委会第三十次会议审议后,《中华人民共和国个人信息保护法》(以下简称“《个保法》”)获得通过并公布,并将于2021年11月1日起生效实施。
《个保法》的立法历经多个重要阶段:
2018年9月7日,《个保法》首次列入十三届全国人大常委会立法规划;同年,全国人大常委会法工委会同中央网信办开始着手研究起草《个保法》;
2019年12月16日,经第十三届全国人民代表大会常务委员会第四十四次委员长会议原则通过,制定《个保法》被明确列入全国人大常委会2020年度立法工作计划;
2020年10月21日,经第十三届全国人大常委会第二十二次会议审议后,《个保法》(草案)全文公布并第一次向社会征求意见;
2021年4月29日,《个保法》(草案二次审议稿)(以下简称“《二审稿》”)在经第十三届全国人大常委会第二十八次会议审议后再次面向社会公布并征求意见。
随着全国人大常委会完成第三次审议,《个保法》正式出台。这是中国第一部专门规范个人信息保护的法律,对我国公民的个人信息权益保护以及各组织的数据隐私合规实践都将产生直接和深远的影响。同时,《个保法》还将与《网络安全法》、《数据安全法》一同构建和完善我国在信息保护和网络安全领域更加完备、全面和系统的法律保护体系,以形成规范有序的政策环境、营造良好数字生态。
对于企业而言,需要尽快充分地理解、评估这几部基础法律和相关法规对自身运营的适用,并尽快全面地部署和安排自身的合规体系的搭建,落地、落实法律的要求。
二、本法结构
《个人信息保护法》全文涵盖了八章,七十四条内容。分别为总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任和附则。
第一章 总则(12条)
第二章 个人信息处理规则(25条)
第三章 个人信息跨境提供的规则(6条)
第四章 个人在个人信息处理活动中的权利(7条)
第五章 个人信息处理者的义务(9条)
第六章 履行个人信息保护职责的部门(6条)
第七章 法律责任(6条)
第八章 附则(3条)
三、 重点内容概览
《个保法》共计八章七十四条。总体上看,《个保法》基于当前个人信息保护领域的重点突出问题以及我国数据保护监管的实践经验,对散见于《民法典》、《网络安全法》、《信息安全技术个人信息安全规范》等法律法规及标准中的个人信息保护相关规定进行全面的、系统性的整合,进一步强调了个人信息保护的义务和责任,针对社会热点问题加入了针对性的规定,并加大对违法行为的惩处力度。《个保法》的重点内容总结如下:
1、适用范围
《个保法》除了规定“在中华人民共和国境内处理自然人个人信息的活动,适用本法”外,还规定了一定的域外适用效力。该法第三条第二款规定,在中国境外处理中国境内自然人个人信息的活动,如果“以向境内自然人提供产品或者服务为目的”,或者属于“分析、评估境内自然人的行为”,也适用本法。对于该等境外的个人信息处理者,《个保法》第五十三条进一步要求应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构或者代表的信息报送履行个人信息保护职责的部门。
2、重要定义
《个保法》第四条规定,个人信息指“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。“个人信息的处理”包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
《个保法》项下的法律义务大部分针对个人信息处理者。根据第七十三条规定,“个人信息处理者”是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
《个保法》第六十二条还规定国家网信部门统筹协调有关部门针对“小型个人信息处理者”制定专门的个人信息保护规则、标准。目前《个保法》未对“小型个人信息处理者”的定义和范围进行界定,这仍有待监管机关的后续规定做出解释。
3、处理个人信息的原则
《个保法》第五条至第九条明确了处理个人信息的基本原则,该等原则是贯穿个人信息处理活动的总体指引。这些原则包括:
3.1 合法、正当、必要和诚信原则。个人信息处理者应当遵循合法、正当、必要和诚信原则,不得以误导、欺诈、胁迫等方式处理个人信息(第五条)。该原则作为《个保法》的首要原则,是个人信息处理者实施处理活动的前提。
3.2 明确性和相关性原则。处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关(第六条)。该原则在第五条的基础上,为处理目的设定了评价标准,并将处理活动控制在“与直接处理目的相关”的范围内。
3.3 最小程度原则。《个保法》第六条从两个层面对个人信息处理的程度进行了限制:一是要求处理活动对个人权益产生的影响最小;二是不得过度收集个人信息,限于满足处理目的的最小范围(第六条)。
3.4 公开透明原则。处理个人信息应当遵循公开、透明原则。该条要求个人信息处理者应当对外公开处理规则,并向个人明示处理的目的、方式和范围(第七条)。公开透明原则保障了个人信息主体的知情权和同意权,是个人信息处理者履行“告知同意义务”的前提。
3.5 完整性和准确性原则。《个保法》第八条对处理个人信息的质量设定了评价标准,具体可从个人信息的完整性和准确性两方面切入。个人信息处理者应当避免因个人信息的不准确、不完整而损害个人权益。
3.6 安全保障原则。《个保法》第九条明确了处理者是个人信息处理活动的直接责任人,由个人信息处理者承担个人信息处理的法定义务和责任。个人信息处理者应当采取
必要措施保障个人信息的安全。
4、处理个人信息的基本规则
《个保法》第二章规定了个人信息处理的规则,其中的重点要求及简要分析如下:
4.1 处理个人信息的合法性基础。符合下列情形之一的,个人信息处理者方可处理个人信息:(1)取得个人的同意;(2)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(3)为履行法定职责或法定义务所必需;(4)为应对突发公共卫生事件或紧急状况下保护自然人生命健康或财产安全所必需;(5)为公共利益实施新闻报道、舆论监督等在合理范围内处理个人信息;(6)在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;以及(7)法律、行政法规规定的其他情形。(第十三条)
4.2 处理个人信息的告知与同意要求。原则上,处理个人信息应当取得个人同意,但是如果有上述第十三条项下第(2)项至第(7)项规定情形的,则不需取得同意。基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定应当取得个人单独同意或者书面同意的,从其规定(第十四条)。个人信息处理者在处理个人信息前,应以显著的方式、清晰易懂的语言向个人告知特定事项,但根据法律、行政法规规定应当保密或者不需要告知的情形除外。(第十七、十八条)
4.3 个人信息的保存期限。除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。(第十九条)
4.4 共同处理。两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。(第二十条)上述内容系首次在法律中明确规定了“个人信息共同处理者”的情形以及对个人信息侵权行为依法承担连带责任问题。
4.5 委托处理个人信息。个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、双方的权利和义务等内容,并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息,并且未经同意不得转委托。(第二十一条)。
4.6 合并分立时的个人信息转移。个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应继续履行个人信息处理者的义务,若变更原先的处理目的、处理方式的,应重新获取个人同意。(第二十二条)
4.7 共享个人信息。个人信息处理者向其他个人信息处理者提供个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述范围内处理个人信息。(第二十三条)
4.8 公开个人信息。除非取得个人单独同意,否则个人信息处理者不得公开其处理的个人信息(第二十五条)。除非个人明确拒绝,否则个人信息处理者可以免于取得同意、在合理的范围内处理个人自行公开的个人信息;但如果该等处理对个人权益有重大影响的,则需要取得个人同意。(第二十七条)
5、自动化决策
5.1 禁止大数据杀熟。自动化决策应保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。(第二十四条第一款)
5.2 提供其他选项或拒绝方式。通过自动化决策方式进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。(第二十四条第二款)
5.3 个人享有的权利。自动化决策作出对个人权益有重大影响的决定的,个人有权要求予以说明,并有权拒绝仅通过自动化决策的方式作出决定。(第二十四条第三款)
6、处理敏感个人信息的特殊规则
《个保法》对敏感个人信息的处理规则专门进行了规定,可以总结为三句话:目的限定更严、告知事项更多、同意机制更严。其中,“敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”(第二十八条)
处理敏感个人信息需要遵守的规则主要包括:
6.1 需具有特定的目的和充分的必要性,并采取严格保护措施。(第二十八条)
6.2 需要取得个人的单独同意;法律、行政法规另有规定需取得书面同意的,或者规定处理敏感个人信息应取得相关行政许可或者作出其他限制的,从其规定。(第二十九、三十二条)
6.3 在告知内容方面,需特别向个人告知处理敏感个人信息的必要性以及对个人权益的影响。(第三十条)
7、个人信息跨境提供规则
《个保法》明确了个人信息跨境提供的基本规则,主要包括以下方面:
7.1 法定条件。《个保法》规定向境外提供个人信息应首先满足“因业务等需要,确需向中国境外提供个人信息”的前提,同时还应具备下列条件之一:(1)通过国家网信部门组织的安全评估;(2)经专业机构进行个人信息保护认证;(3)按照国家网信部门制定的标准合同与境外接收方订立合同;或者(4)法律、行政法规或者国家网信部门规定的其他条件(第三十八条第一款)。此外,如果中国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的,可以按照其规定执行。(第三十八条第二款)
7.2 特定主体的数据本地化和安全评估义务。《个保法》对关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者规定了境内存储的要求,并要求确需向境外提供的,则必须通过国家网信部门组织的安全评估。(第四十条)
7.3 告知同意要求。《个保法》首次在法律层面对个人信息的跨境提供规定了更加明确、具体且严格的告知内容和单独同意要求,具体为:应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。(第三十九条)
7.4 保护标准。个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。(第三十八条第三款)
7.5 其他特定出境情形。《个保法》规定了个人信息处理者向外国司法或者执法机构提供存储于中国境内的个人信息应经中国主管机关批准,并对损害中国公民个人信息权益的境外组织与个人采取负面清单要求。此外,《个保法》还针对在个人信息保护方面对我国采取歧视性的不合理措施的其他国家和地区的规定了对等采取措施的要求。(第四十一、四十二、四十三条)
8、个人信息主体的权利
作为个人信息保护法律制度的核心内容之一,《个保法》较为全面地规定了个人在个人信息处理活动中的权利。其中包括知情权、决定权、查询权、复制权、可携带权、请求个人信息处理者更正、补充、删除个人信息的权利,以及要求解释说明的权利。此外,《个保法》还强调了个人有权撤回对个人信息处理的同意、有权限制或拒绝处理其个人信息、拒绝自动化决策等相关权利。《个保法》亦明确要求个人信息处理者建立个人行使权利的申请受理和处理机制。
《个保法》第四十九条明确了死者个人信息保护的相关要求:其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利。
9、强化个人信息处理者的合规管理义务
《个保法》明确了个人信息处理者的合规管理和保障个人信息安全等义务,具体包括:要求其按照规定采取必要措施确保个人信息处理活动的合规性与安全性;处理个人信息达到国家网信部门规定数量的个人信息处理者应指定个人信息保护负责人对其个人信息处理活动进行监督;定期对其个人信息处理活动进行合规审计;对处理敏感个人信息、自动化决策、向境外提供个人信息等高风险处理活动,应事前进行风险评估并对处理情况进行记录;针对个人信息泄露等安全事件履行通知和补救义务等。
10、履行个人信息保护职责的部门及职责
《个保法》第六章规定了履行个人信息保护职责的部门的相关内容,确立了个人信息保护的监管体系架构:国家网信部门负责统筹协调,国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作,县级以上地方人民政府有关部门的个人信息保护和监督管理职责按照国家有关规定确定。前述部门统称为“履行个人信息保护职责的部门”。同时,《个保法》对履行个人信息保护职责的部门的个人信息保护职责范围和可采取的相应行政措施进行了详细的规定。
11、法律责任
《个保法》对违法行为加大惩处力度,设置了严格的法律责任。例如,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、吊销相关业务许可或者营业执照(第六十六条)。《个保法》还增加了“记入信用档案”的处罚机制(第六十七条),相比于《网络安全法》、《民法典》等相关规定,《个保法》对个人信息相关的违法行为处罚力度更大。
《个保法》同时对侵害个人信息权益的民事赔偿、刑事责任以及公益诉讼做出规定。具体而言,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任(第六十九条)。违反《个保法》规定构成犯罪的,追究刑事责任(第七十一条)。个人信息处理者侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼(第七十条)。
12、其他呼应社会热点的要求
《个保法》中同时包括下列新的要求及特殊规定:
12.1 公众场所采集图像、身份识别信息的特殊要求。《个保法》对公共场所人脸识别技术的应用进行了规制,要求:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。(第二十六条)
12.2 未成年人信息保护。《个保法》要求处理不满十四周岁未成年人个人信息应当取得未成年人的父母或者其他监护人的同意,并应当制定专门的个人信息处理规则(第三十一条)。由加强未成年人个人信息保护的社会热点和呼声,《个保法》对未满14岁的未成年人个人信息作为敏感个人信息予以严格保护,并在此基础上设计了监护人同意和专门处理规则的特殊要求。
12.3 重要互联网平台的个人信息保护义务。《个保法》在第五十八条规定 “重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”的个人信息保护义务,主要包括:(1)成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;(2)制定平台规则以明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;(3)对严重违法处理个人信息的平台内的产品或者服务提供者停止提供服务;(4)定期发布个人信息保护社会责任报告。
12.4 国家机关处理个人信息也明确纳入监管范围。《个保法》首次明确将国家机关处理个人信息的活动纳入规制范围,并规定了国家为履行法定职责处理个人信息的基本规则,包括:不得超出履行法定职责所必需的范围和限度;履行告知义务;国家机关处理的个人信息原则上应当境内存储,确需向境外提供的应当进行安全评估。(第三十三至三十六条)
