随着信息化与经济社会持续深度融合,网络已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带。截至2020年12月,我国互联网用户已达9.89亿,互联网网站超过443万个、应用程序数量超过345万个,个人信息的收集、使用更为广泛。
虽然近年来我国个人信息保护力度不断加大,但在现实生活中,一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。从2020年中信银行泄露脱口秀演员池子个人信息案件以及各大平台的“大数据杀熟”、今年“3·15”爆出的各种个人隐私泄露事件,似乎在告诉我们一个不大愿意相信但确实已经存在了的事实:经营者在数字技术上应用的更加专业、纯熟,消费者就越发的处于弱势地位,个人隐私已成为经营者手中用于交换利益的廉价或免费的筹码。
为进一步加强个人信息保护法制保障、维护网络空间良好生态、促进数字经济健康发展,制定本法。
2019年3月5日第十三届全国人大常委会第二次会议,将制定《中华人民共和国个人信息保护法》列入本届立法规划。
2020年10月13日第十三届全国人大常委会第二十二次会议对《中华人民共和国个人信息保护法(草案)》进行了初次审议。
2021年4月26日第十三届全国人大常委会第二十八次会议对《中华人民共和国个人信息保护法(草案二审稿)》进行了审议,在一审稿的基础上主要修订增加内容如下:
进一步完善明确个人信息处理应遵循的原则;
参照民法典中的规定,增加了对死者的个人信息保护条款;
增加了超大互联网平台特定的个人信息保护义务的要求;
明确了由国家网信部门统筹推进个人信息保护有关工作;
明确了个人信息侵权行为的归责原则为过错推定。
2021年8月20日第十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,自2021年11月1日起施行。在二审稿的基础上主要修订增加内容如下:
在第一条中增加规定“根据宪法”制定本法;
进一步完善个人信息处理规则,特别是对应用程序(APP)过度收集个人信息、大数据杀熟以及非法买卖、泄露个人信息等作出针对性规范;
将未成年人的个人信息作为敏感个人信息,并制定专门的处理规则;
完善个人信息跨境提供的规则;
增加个人信息可携带权的规定,完善死者个人信息保护的规定;
完善个人信息保护投诉、举报工作机制及对违法处理个人信息涉嫌犯罪案件的移送提出明确要求。
《个人信息保护法》全文涵盖了八章,七十四条内容。分别为总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任和附则。
第一章 总则(12条)
第二章 个人信息处理规则(25条)
第三章 个人信息跨境提供的规则(6条)
第四章 个人在个人信息处理活动中的权利(7条)
第五章 个人信息处理者的义务(9条)
第六章 履行个人信息保护职责的部门(6条)
第七章 法律责任(6条)
第八章 附则(3条)
1、术语界定
个人信息:是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理:包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
敏感个人信息:一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
2、范围界定
境内:组织、个人在中华人民共和国境内处理自然人个人信息的活动,适用本法。
境外:在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
以向境内自然人提供产品或者服务为目的;
分析、评估境内自然人的行为;
法律、行政法规规定的其他情形。
另:境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
3、个人信息处理规则
确立个人信息处理应遵循的原则,强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等,并将上述原则贯穿于个人信息处理的全过程、各环节。(第五条至第九条)
确立以“告知-同意”为核心的个人信息处理一系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。考虑到经济社会生活的复杂性和个人信息处理的不同情况,本法还对基于个人同意以外合法处理个人信息的情形作了规定。(第十三条至第十九条)
根据个人信息处理的不同环节、不同个人信息种类,对个人信息的共同处理、委托处理、向第三方提供、公开、用于自动化决策、处理已公开的个人信息等提出有针对性的要求。(第二十一条至第二十七条)
设专节对处理敏感个人信息作出更严格的限制,只有在具有特定的目的和充分的必要性的情形下,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意。(第二十八条至第三十二条)
设专节规定国家机关处理个人信息的规则,在保障国家机关依法履行职责的同时,要求国家机关处理个人信息应当依照法律、行政法规规定的权限和程序进行。(第三十三条至第三十七条)
4、个人信息跨境提供规则
明确关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估;对于其他需要跨境提供个人信息的,规定了经专业机构认证等途径。(第三十八条、第四十条)
对跨境提供个人信息的 “告知-同意”作出更严格的要求。(第三十九条,应告知接收方详细信息,并取得单独同意)
未经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。(第四十一条)
对从事损害我国公民个人信息权益等活动的境外组织、个人,以及在个人信息保护方面对我国采取不合理措施的国家和地区,规定了可以采取的相应措施。(第四十二条、第四十三条,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。)
5、个人信息处理活动中个人的权利和处理者义务
与民法典的有关规定相衔接,明确在个人信息处理活动中个人的各项权利,包括知情权、决定权、查询权、更正权、删除权等,并要求个人信息处理者建立个人行使权利的申请受理和处理机制。(第四十四条至第五十条)
明确个人信息处理者的合规管理和保障个人信息安全等义务(第五十一条至第五十六条)
按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,并指定负责人对其个人信息处理活动进行监督;
定期对其个人信息活动进行合规审计;
对处理敏感个人信息、向境外提供个人信息等高风险处理活动,事前进行风险评估;
履行个人信息泄露通知和补救义务等。
明确提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的义务(第五十七条)
建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;
遵循公开、公平、公正的原则,明确处理个人信息的规范和保护个人信息的义务;
对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
定期发布个人信息保护社会责任报告,接受社会监督。
6、履行个人信息保护职责的部门
个人信息保护职责部门的定义。(第六十条)
国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。
国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。
明确个人信息保护部门的职责。(第六十一条、第六十二条)
个人信息保护部门可以采用的措施,包括询问、查阅、复制资料、现场检查、检查设备及物品、查封或者扣押、约谈主要负责人、进行合规审计等。(第六十三条、第六十四条)
对个人信息违法活动的投诉、举报及处置进行规定。(第六十五条)
7、法律责任
违反规定。(第六十六条)
责令改正,给予警告,没收违法所得;
拒不改正的,并处一百万元以下罚款;
相关责任人:一万元以上十万元以下罚款;
情节严重。(第六十六条)
责令改正,没收违法所得;
五千万元以下或者上一年度营业额百分之五以下罚款;
责令暂停相关业务、停业整顿、吊销相关业务许可或者吊销营业执照;
相关责任人:十万元以上一百万元以下罚款;
存在违法行为的依照有关规定记入信用档案,并予以公示。(第六十七条)
国家机关不履行保护义务的处罚进行规定。(第六十八条)
个人信息侵权行为的归责原则为过错推定。(第六十九条)
个人信息主体可以对侵权行为发起集体诉讼。(第七十条)
与治安管理、刑法相衔接。(第七十一条)
因为涉及面广、影响范围大、发生频率高,广大人民群众苦“个人信息滥用”久矣,因此本法第第二十四、第二十六条专门针对个人信息的滥用这一社会热点问题进行了明确规定。
1、针对新技术新引用进行了高度关注
第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
针对当前社会各方面对于用户画像、算法推荐等新技术新应用高度关注,对相关产品和服务中存在的信息骚扰、“大数据杀熟”等问题强烈反应。个人信息保护法立足于维护广大人民群众的网络空间合法权益,对利用个人信息进行自动化决策作出有针对性规范,明确要求提供个人拒绝的选项。
2、针对公共场所安装摄像头有了明确规定
第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
人脸识别是人工智能技术的重要应用,在为社会生活带来便利的同时,其所带来的个人信息保护问题也日益凸显。“3·15晚会”曝光人脸识别技术滥用乱象、“我国人脸识别第一案”中强制顾客激活人脸识别系统等,体现出人脸识别技术广泛应用与个人信息保护的矛盾日益尖锐。个人信息保护法做了明文规定,只能用于公共安全。
我国“十四五”规划、“新基建”等政策将持续深入推进数据要素安全管控和市场化,提升社会数据资源价值。信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。未来 ,数据安全及个人信息保护能力将成为政企数字化转型成果的“试金石”。随着《数据安全法》、《个人信息保护法》等法律实施,表明我国数据安全保护已进入法制化时代,更是国家安全战略的核心部分。