首页
■圆桌主持 陈宏光
本期嘉宾
上海光大律师事务所 潘轶
上海尚法律师事务所 和晓科
上海中夏律师事务所 李晓茂
主持人:
经过三次审议,8月20日,十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》,将于2021年11月1日起施行。
《个人信息保护法》共8章74条,在现有法律的基础上,进一步细化、完善了个人信息保护应遵循的原则和个人信息处理规则,明确个人信息处理活动中的权利义务边界,健全个人信息保护工作体制机制。
那么,这部法律有哪些主要的亮点呢?
确立“合法、正当、必要和诚信原则”
《个人信息保护法》明确,处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关。
潘轶:《个人信息保护法》借鉴国际经验并立足我国实际,确立了个人信息处理应遵循的原则,强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等。
基于上述原则,《个人信息保护法》构建了以“告知-同意”为核心的个人信息处理规则。
《个人信息保护法》要求,处理个人信息应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。
同时,针对一揽子授权、强制同意等问题,《个人信息保护法》特别要求在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意,明确个人信息处理者不得过度收集个人信息,不得以个人不同意为由拒绝提供产品或者服务,并赋予个人撤回同意的权利。
在个人撤回同意后,个人信息处理者应当停止处理或及时删除其个人信息。
禁止“大数据杀熟”
《个人信息保护法》规定,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
李晓茂:利用掌握的个人信息和大数据分析,就同样的商品或者服务收取不同的价格,也就是所谓的“大数据杀熟”在日常生活中时有所闻。
而《个人信息保护法》明确禁止这样的做法,该法规定:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
保护敏感个人信息
生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息被明确列为敏感个人信息。
和晓科:《个人信息保护法》将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息列为敏感个人信息。
该法要求,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息,同时应事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响。
大平台有大责任
《个人信息保护法》对大型互联网平台设定了特别的个人信息保护义务,包括按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督等。
潘轶:个人信息的处理者同时也是个人信息保护的第一责任人。据此,《个人信息保护法》强调,个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
在此基础上,《个人信息保护法》设专章明确了个人信息处理者的合规管理和保障个人信息安全等义务,要求个人信息处理者按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,指定负责人对其个人信息处理活动进行监督,定期对其个人信息活动进行合规审计,对处理敏感个人信息、利用个人进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估,履行个人信息泄露通知和补救义务等。
另外,《个人信息保护法》对大型互联网平台设定了特别的个人信息保护义务。
这些特别义务包括:按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;遵循公开、公平、公正的原则,制定平台规则;对严重违法处理个人信息的平台内产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。
《个人信息保护法》的上述规定是为了提高大型互联网平台经营业务的透明度,完善平台治理,强化外部监督,形成全社会共同参与的个人信息保护机制。
在监管部门方面,该法明确,国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作,同时对个人信息保护和监管职责作出规定,其中包括指导监督个人信息保护工作、接受处理相关投诉举报、组织对应用程序等进行测评、调查处理违法个人信息处理活动等。
■链接
给个人信息上牢“安全锁”
据《中国经济时报》报道,8月20日,十三届全国人大常委会第三十次会议表决通过《个人信息保护法》,自2021年11月1日起施行。接受记者采访的专家表示,《个人信息保护法》的出台,既细化和明确了有关个人信息收集和处理的源头性保护问题,也是处理数字时代人们工作生活对互联网高度依赖引发的安全问题的利刃。将进一步增强法律规范的系统性、针对性,提高对互联网企业等领域的行业监管,有助于更全面地保护涉及个人隐私的信息数据。
随着全球网络基础设施建设日益完善,移动互联网、人工智能、云计算、区块链等数字化技术正加速渗透、颠覆人类生产生活的方方面面,个人信息数据保护已成各国立法机构关注的焦点,全球超140个国家和地区制定了与个人信息数据保护相关的法律。我国从2019年开始,关于“数据隐私保护”国家层级的一系列信息安全技术规范与数据管理政策,就以前所未有的密度起草、推出和实施。到2021年,《个人信息保护法》正式颁布。
“《个人信息保护法》将进一步增强法律规范的系统性、针对性,提高对互联网企业等领域的行业监管,有助于更全面地保护涉及个人隐私的信息数据,个人日常工作与生活免受因个人信息数据外泄而带来的干扰,个人财产和名誉将得到更有效保护。”中国电子信息产业发展研究院工经所财经政策研究室主任张淑翠对记者说。
中国移动通信研究院研究员李佳璐表示,从全球实践来看,目前个人信息保护专项立法已成为国际惯例。随着我国对外开放水平的不断提升,跨国信息传输和应用行为也日渐频繁,亟须在立法保护层面与国际接轨,维护我国公民的信息安全。从国内立法来看,在《个人信息保护法》出台前,我们并未有个人信息保护专门的立法规定,已出台的《网络安全法》在个人信息保护方面有较为系统的阐述,但对信息管理层面的义务规定、信息拥有者的约束性条款等并未明确。《个人信息保护法》的出台,既细化和明确了有关个人信息收集和处理的源头性保护问题,也是处理数字时代人们工作生活对互联网高度依赖引发的安全问题的利刃。
SourcePh" style="display:none">
放大
上一版
