自動化者人文

《個人信息保護法》要點解讀

時間：2021-09-24 12:05:50 發(fā)布：自動化網(wǎng) 來源：澎湃新聞·澎湃號·政務(wù) 第一對焦：自動化決策

8月20日，十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)，自11月1日起施行。作為我國首部針對個人信息保護的專門性立法，《個人信息保護法》構(gòu)建了完整的個人信息保護框架，對個人信息處理規(guī)則、個人信息跨境傳輸、個人信息處理活動的權(quán)利、信息處理者的義務(wù)、監(jiān)管部門職責(zé)以及罰則等作出了全面的規(guī)定。

一

主要內(nèi)容

(一)采取一般個人信息與敏感個人信息分級保護

個人信息是與已識別或者可識別的自然人有關(guān)的各種信息(匿名化處理后的信息不屬于個人信息)。個人敏感信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，以及不滿十四周歲未成年人的個人信息。

1、一般個人信息保護規(guī)則

處理個人信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實、準(zhǔn)確、完整的告知個人信息處理者的名稱或者姓名和聯(lián)系方式，個人信息的處理目的、方式、種類、保存期限，個人行權(quán)的方式和程序。

處理個人信息應(yīng)取得個人的明確同意，若處理的目的、方式、種類發(fā)生變更，應(yīng)當(dāng)重新取得同意。

2、敏感個人信息保護規(guī)則

只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護措施的情形下，個人信息處理者方可處理敏感個人信息。

除處理一般個人信息應(yīng)當(dāng)告知的內(nèi)容外，還應(yīng)當(dāng)告知處理敏感個人信息的必要性以及對個人權(quán)益的影響。

處理個人敏感信息應(yīng)當(dāng)取得個人的單獨同意。而處理不滿十四周歲未成年人個人信息的，應(yīng)當(dāng)取得其父母或者其他監(jiān)護人的同意。

(二)擴大個人信息處理的合法性基礎(chǔ)

除取得個人同意外，明確了處理個人信息處理的多元合法性基礎(chǔ)：

1、為訂立、履行合同所必需，或者依法依約實施人力資源管理所必需;

2、為履行法定職責(zé)或者法定義務(wù)所必需;

3、為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需;

4、為公共利益在合理的范圍內(nèi)處理個人信息;

5、在合理的范圍內(nèi)處理個已經(jīng)合法公開的個人信息;

6、法律、行政法規(guī)規(guī)定的其他情形。

(三)明確個人信息跨境提供的規(guī)則

1、跨境提供個人信息需同時滿足如下條件：

告知向境外提供個人信息的情況，包括境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項。

取得個人的單獨同意，或具備其他合法性基礎(chǔ)。

境外接收方未被網(wǎng)信部門列入限制或禁止個人信息提供清單。

2、跨境提供個人信息需遵循如下法律路徑：

關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)當(dāng)通過網(wǎng)信部門組織的安全評估，另有規(guī)定的除外。

其他個人信息處理者可選擇以下任一路徑：通過網(wǎng)信部門組織的安全評估，通過專業(yè)機構(gòu)進行個人信息保護認(rèn)證，與境外接收方訂立網(wǎng)信部門制定的標(biāo)準(zhǔn)合同，或者遵循其他法定路徑。

(四)新設(shè)個人信息可攜權(quán)

個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑。

(五)完善近親屬行使死者個人信息權(quán)利的要求

自然人死亡，其近親屬可以對死者的個人信息行使一定權(quán)利，但需符合如下條件：

1、為了自身的合法、正當(dāng)利益;

2、權(quán)利類型僅包括查閱、復(fù)制、更正、刪除;

3、死者生前無其他安排。

(六)明確個人信息處理者的義務(wù)，區(qū)分大小型個人信息處理者

1、采取必要措施保障個人信息處理合法合規(guī)，防范個人信息管理風(fēng)險。

2、定期開展合規(guī)審計。

3、處理個人信息對個人權(quán)益有重大影響的，應(yīng)事前進行個人信息保護影響評估，相關(guān)記錄至少保存三年。

4、發(fā)生個人信息安全事件應(yīng)立即采取補救措施，并通知專職部門以及個人。

5、對于大型個人信息處理者(包括提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者)，應(yīng)當(dāng)承擔(dān)額外的個人信息保護義務(wù)。

6、對于小型個人信息處理者，由網(wǎng)信部門制定專門的個人信息保護規(guī)則、標(biāo)準(zhǔn)。

(七)銜接民法、行政法、刑法，明確法律責(zé)任

1、提高行政處罰上限，引入高管禁業(yè)，違法行為計入征信。

違法處理個人信息，情節(jié)嚴(yán)重的，將會被沒收違法所得，至高處五千萬或上一年度營業(yè)額百分之五的罰款，責(zé)令暫停業(yè)務(wù)或停業(yè)整頓。吊銷業(yè)務(wù)許可或營業(yè)執(zhí)照;直接責(zé)任人員至高將被處罰款一百萬元，及被禁止擔(dān)任董監(jiān)高或個人信息保護負(fù)責(zé)人。

2、侵權(quán)責(zé)任認(rèn)定采取過錯推定原則。

處理個人信息侵害個人信息權(quán)益造成損害，個人信息處理者不能證明自己沒有過錯的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。兩個以上個人信息處理者共同處理個人信息，侵害個人信息權(quán)益造成損害的，應(yīng)當(dāng)承擔(dān)連帶責(zé)任。

二

法律風(fēng)險分析及建議

(一)處理個人信息應(yīng)取得同意

取得個人合法有效同意作為處理個人信息的合法性基礎(chǔ)，是個人對其個人信息的處理享有決定權(quán)的表現(xiàn)。若該同意是未經(jīng)充分告知前提下作出，同意的形式不符合法律要求，超范圍處理個人信息，處理情況發(fā)生變更未重新取得同意，或者未提供撤回同意的方式等，均可被認(rèn)定為未經(jīng)個人同意處理個人信息，屬于侵犯個人決定權(quán)的行為。

因此，基于個人同意處理個人信息的，應(yīng)滿足以下要求：

1、處理個人信息前，應(yīng)以顯著方式、清晰易懂的語言真實、準(zhǔn)確、完整地告知個人信息處理者的基本情況，信息處理的目的、方式、范圍、保存期限，個人的法定權(quán)利等事項，保障個人的知情權(quán)。

2、一般應(yīng)取得個人的明確同意，特殊情況下還需取得單獨同意或書面同意。如向第三方提供個人信息、公開處理的個人信息、處理敏感信息、向境外提供個人信息的，應(yīng)取得單獨同意。

3、個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得同意。

4、提供便捷的撤回同意的方式。

(二)不得通過自動化決策實行不合理的差別待遇

自動化決策，是指通過計算機程序自動分析、評估個人的行為習(xí)慣、興趣愛好或者經(jīng)濟、健康、信用狀況等，并進行決策的活動。通過自動化決策實行不合理的差別待遇，包括歧視性定價、定向推送不支持關(guān)閉等行為，均為《個人信息保護法》所明確禁止。

禁止基于自動化決策實行不合理的差別待遇并不等于禁止自動化決策方式，個人信息處理者通過自動化決策的，應(yīng)滿足以下要求：

1、保證決策的透明度和結(jié)果公平、公正，不得對個人在交易條件上實行不合理的差別待遇。

2、進行定向推送時，應(yīng)提供非定向推送的選項或便捷的拒絕方式。

3、對個人權(quán)益有重大影響的，應(yīng)按照個人要求予以說明，并提供拒絕方式。

(三)個人信息跨境傳輸應(yīng)滿足法定條件和路徑

原則上，個人信息處理者應(yīng)將個人信息存儲在境內(nèi)，確需向境外提供個人信息的，應(yīng)當(dāng)符合法定條件。對于關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者向境外提供個人信息的，還需通過網(wǎng)信部門組織的安全評估。

個人信息處理者，尤其是特定的個人信息處理者應(yīng)當(dāng)對信息出境事項進行梳理，并采取以下措施：

1、修改隱私文件或其他方式，將出境情況充分告知個人，并征得其單獨同意，除非可以依賴其他合法性基礎(chǔ)。

2、與境外接收方簽署標(biāo)準(zhǔn)合同(由國家網(wǎng)信部門制定)，或者通過個人信息保護認(rèn)證，并采取包括但不限于合同約束、技術(shù)限制、定期復(fù)核、合規(guī)審計等必要措施，確保接收方妥善保護個人信息。

(四)個人信息處理者應(yīng)盡安全保障義務(wù)

個人信息處理者對于信息處理負(fù)有確保處理活動合法合規(guī)、防范未經(jīng)授權(quán)的訪問和保障個人信息安全的義務(wù)，否則可能會承擔(dān)一定的過錯責(zé)任。

具體來說，個人信息處理者應(yīng)根據(jù)處理目的、方式、種類及對個人權(quán)益的影響、安全風(fēng)險等，采取如下安保措施：

1、制定內(nèi)部管理制度和操作規(guī)程。

2、對個人信息實行分類管理。

3、采取加密、去標(biāo)識化等安全技術(shù)措施。

4、合理確定個人信息處理的操作權(quán)限，并定期進行安全教育和培訓(xùn)。

5、制定并組織實施個人信息安全事件應(yīng)急預(yù)案。

6、個人信息處理活動對個人權(quán)益有重大影響的，應(yīng)事前進行個人信息保護影響評估。

(五)大型個人信息處理者負(fù)有額外義務(wù)

由于大型個人信息處理者(提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者)與小型個人信息處理者在技術(shù)水平、風(fēng)險等級上存在較大差異，《個人信息保護法》強化了對大型個人信息處理者的監(jiān)管，提出了額外要求。

對于大型個人信息處理者，除了需要履行一般個人信息處理者的義務(wù)，還應(yīng)履行下列義務(wù)：

1、建立健全個人信息保護合規(guī)制度體系，成立獨立機構(gòu)對個人信息保護情況進行監(jiān)督;

2、制定平臺規(guī)則，明確平臺內(nèi)產(chǎn)品或者服務(wù)提供者處理個人信息的規(guī)范和保護個人信息的義務(wù);

3、對嚴(yán)重違法違規(guī)處理個人信息的平臺內(nèi)產(chǎn)品或服務(wù)提供者停止提供服務(wù);

4、定期發(fā)布個人信息保護社會責(zé)任報告。

(六)共同個人信息處理者間承擔(dān)連帶責(zé)任

實務(wù)中，數(shù)據(jù)處理過程中可能涉及到多方主體，共同處理者(共同決定個人信息的處理目的和處理方式的個人信息處理者)侵害個人信息權(quán)益造成損害的，互相之間承擔(dān)連帶責(zé)任，且該連帶責(zé)任不因雙方約定而排除。

為保護一方個人信息處理者的權(quán)益，在共同處理個人信息前應(yīng)注意以下幾點：

1、充分評估合作方的個人信息保護水平，以及共同處理信息的合法性、正當(dāng)性、必要性，采取必要措施保障信息安全。

2、通過協(xié)議明確約定共同處理個人信息的目的、方式、范圍，各自的權(quán)利和義務(wù)，并制定個人信息應(yīng)急預(yù)案。

3、引入專業(yè)個人信息保護認(rèn)證機構(gòu)，監(jiān)督合作方合法合規(guī)處理個人信息。

本文由“蘇寧金融研究院”原創(chuàng)，作者為蘇寧金融研究院特約研究員惕若