2021年8月20日,第十三届全国人民代表大会常务委员会第三十次会议表决通过《中华人民共和国个人信息保护法》。同日,国家主席习近平签署第九十一号中华人民共和国主席令,《中华人民共和国个人信息保护法》自2021年11月1日起施行。
随着数字经济的蓬勃发展,个人信息的处理已经成为社会进步和产业升级的新驱动力。与此同时,广大人民群众对于个人信息的保护意识也不断提高,广泛呼吁出台专门的个人信息保护法。《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)是我国首部专门针对个人信息保护的专门性立法,开启了我国个人信息保护新篇章。《个人信息保护法》全文8章74条,明确了个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任等6个方面的内容。
01、《个人信息保护法》适用范围
明确了在我国境内处理个人信息的活动适用本法,同时也赋予了本法必要的域外适用效力,以充分保护我国境内个人的权益,规定:以向境内自然人提供产品或者服务为目的,或者为分析、评估境内自然人的行为等发生在我国境外的个人信息处理活动,也适用本法;并要求境外的个人信息处理者在境内设立专门机构或者指定代表,负责个人信息保护相关事务。
02、什么是“个人信息
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
03、《个人信息保护法》亮点
1.确认建立个人信息保护制度
自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。处理个人信息应当遵循合法、正当、必要和诚实原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
2.保障个人信息处理知情权和决定权
《个人信息保护法》将“告知-同意”作为个人信息保护核心规则,限制过度收集用户信息。该法规定处理个人信息应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的,应当重新向个人告知并取得同意。这种同意必须是建立在告知基础上的有效同意,可以是“单独同意”或“书面同意”,还有同意后还可以“撤回”。这意味着,随意收集、“强制同意”等过度收集用户个人信息的行为将被限制。
3.防止“大数据杀熟”
目前人民普遍反映,同样的商品或服务,老客户看到的价格反而比新客户要贵出许多的现象。出现这一现象,主要是互联网平台利用大数据和算法对用户进行画像分析,从而获得利润最大化。《个人信息保护法》规定个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。这在一定程度上,进一度完善个人信息处理规则,对“大数据杀熟”作出有针对性的规范。
4.加强保护个人敏感信息、未成年人个人信息
《个人信息保护法》将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为个人敏感信息。个人敏感信息一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。该法规定了只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。个人信息处理者在处理上述个人敏感信息时应当取得个人的单独同意或书面同意,同时还应向个人告知处理敏感个人信息的必要性以及对个人权益的影响。尤其是在处理不满十四周岁未成年人个人信息时,个人信息处理者不仅应取得未成年人的父母或者其他监护人的同意,还应当制定专门的个人信息处理规则,严格保护个人敏感信息及未成年人个人信息。
5.规范完善个人信息跨境提供规则
《个人信息保护法》明确了个人信息处理者因业务等需要向中国境外提供个人信息处理活动的,要求境外的个人信息处理者在境内设立专门机构或者指定代表,负责个人信息保护相关事务。同时向境外提供个人信息处理活动还应具备通过国家网信部门组织的安全评估、经专业机构进行个人信息保护认证、国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务等条件。同时对按照我国缔结或者参加的国际条约、协定向境外提供个人信息、对转移到境外的个人信息的保护不应低于我国的保护标准。
6.增加个人信息可携带权规定,完善对死者个人信息的保护
个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理,个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。同时还规定个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。对于自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利,但死者生前另有安排的除外。
7.规定个人信息处理者的履行义务
对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应建立健全个人信息保护合规制度体系,定期发布个人信息保护社会责任报告,接受社会监督等。
8.强化个人信息保护职能部门职责,完善投诉、举报工作机制
《个人信息保护法》明确规定了履行个人信息保护职责的部门的权限分工。由国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,国务院有关部门、县级以上地方人民政府有关部门在各自职责范围内负责个人信息保护和监督管理工作。进一步强化个人信息处理活动监管机制,提升个人信息权益的保护水平。
9. 加大对侵犯个人信息行为的惩处力度
《个人信息保护法》对违法处理个人信息的行为设置了不同梯次的行政处罚。对未造成严重后果的轻微或一般违法行为,可由履行个人信息保护职责的部门责令改正、给予警告、没收违法所得,对拒不改正的最高可处100万元罚款;对情节严重的违法行为,最高可处5000万元或上一年度营业额5%的罚款,并可以对相关责任人员作出相关从业禁止的处罚。同时还对个人信息处理者实行过错推定原则,一旦发生侵害个人信息的行为,个人信息处理者不能证明自己没有过错的就应当承担损害赔偿等侵权责任。在一定程度上,减轻了个人维权的难度。
返回列表页