《个人信息保护法》解读
2021年8月20日,十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》,将于2021年11月1日起施行。
一、出台的背景和意义
随着信息化与经济社会持续深度融合,个人信息保护已成为广大人民众最关心最直接最现实的利益问题之一。虽然近年来我国个人信息保护力度不断加大,但在现实生活中,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民众生活安宁、危害人民众生命健康和财产安全等问题越来越突出。为强化个人信息保护法制保障、维护网络空间良好生态、促进数字经济健康发展,经过三次修改审议,国家出台了《个人信息保护法》。《个人信息保护法》坚持和贯彻以人民为中心的法治理念,牢牢把握保护人民众个人信息权益的立法定位,聚焦个人信息保护领域的突出问题和人民众的重大关切,为有效维护人民众网络空间合法权益,提升人民众在数字经济发展中的获得感、幸福感、安全感提供了基础法律保障。
二、基本架构
《个人信息保护法》共8章74条,分别为总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任和附则。该法在有关法律的基础上,进一步细化、完善了个人信息保护应遵循的原则和个人信息处理规则,明确个人信息处理活动中的权利义务和边界,健全了个人信息保护工作体制机制。
三、主要内容解读
(一)确立了个人信息保护原则
个人敏感信息 个人信息保护的原则是收集、使用个人信息的基本遵循,是构建个人信息保护具体规则的制度基础。
《个人信息保护法》明确:处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息;具有明确、合理的目的并与处理目的直接相关;采取对个人权益影响最小的方式,限于实现处理目的的最小范围;公开处理规则;必须保证信息质量;必须采取安全保护措施以及禁止性原则等。
(二)规范处理活动,保障信息主体权益
《个人信息保护法》以规范个人信息处理活动、保障个人信息权益为核心,构建了以“告知-同意”为核心的个人信息处理规则。
一是明确个人信息处理者可以处理个人信息的七种情形,处理个人信息前应明确告知信息主体的四类事项;
二是明确处理个人信息应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。
三是针对一揽子授权、强制同意等问题,《个人信息保护法》特别要求,个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意;
四是明确个人信息处理者不得过度收集个人信息,不得以个人不同意为由拒绝提供产品或者服务。
五是赋予个人信息主体撤回同意的权利,并规定在个人撤回同意后,个人信息处理者应当停止处理或及时删除其个人信息。
六是从维护公共利益和保障社会正常生产生活的角度,对取得个人同意以外可以合法处理个人信息的特定情形作了规定(第十三条第一款第二项至第七项)。
七是规定个人信息的保存期限应当为实现处理目的所必要的最短时间。
八是对共同处理、委托处理等实践中较为常见的处理情形作出有针对性规定。
九是对于个人信息处理者发生变更的情形,对有关信息的处理作出规定。
(三)规范自动化决策
“大数据杀熟”行为违反了诚实信用原则,侵犯了消费者权益保护法规定的消费者享有公平交易条件的权利,《个人信息保护法》对其予以禁止。
一是个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇;
二是通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式;
三是通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
(四)严格保护敏感个人信息
《个人信息保护法》将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息。
考虑到敏感个人信息一旦泄露或者被非法使用,极易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,因此,《个人信息保护法》对处理敏感个人信息的活动作出了更加严格的限制。规定只有在具有特定的目的和充分的必要性,采取严格保护措施的情形下,取得个人单独同意后,方可处理敏感个人信息。同时,应当事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响。为保护未成年人的个人信息权益和身心健康,《个人信息保护法》特别将不满十四周岁未成年人的个人信息确定为敏感个人信息予以严格保护,
要求处理不满十四周岁未成年人个人信息应当取得未成年人的父母或者其他监护人的同意,并应当对此制定专门的个人信息处理规则。
(五)规范国家机关处理活动
强调国家机关处理个人信息的活动适用《个人信息保护法》,且处理个人信息应当依照法律、行政法规规定的权限和程序进行,不得超出履行法定职责所必需的范围和限度。国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务。
(六)赋予信息主体充分的权利
《个人信息保护法》将个人在个人信息处理活动中的权利,包括知悉个人信息处理规则和处理事项、同意和撤回同意,以及个人信息的查询、复制、更正、删除等总结升为知情权、决定权,明确个人有权限制个人信息的处理。
一是个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。明确个人要求信息处理者删除个人信息的五种情形。
二是对死者个人信息的保护作了专门规定,明确在尊重死者生前安排的前提下,其近亲属为自身合法、正当利益,可以对死者个人信息行使查阅、复制、更正、删除等权利。
三是为了适应互联网应用和服务多样化的实际,满足跨平台转移个人信息的需求,对个人信息可携带权作了原则规定,规定在符合国家网信部门规定条件的情形下,个人信息处理者应当为个人提供转移其个人信息的途径。
发布评论