一、立法背景
随着信息化与经济社会持续深度融合,网络已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带。截至 2020 年 12 月,我国互联网用户已达 9.89 亿,互联网网站超过 443 万个、应用程序数量超过 345 万个, 个人信息的收集、使用更为广泛。
虽然近年来我国个人信息保护力度不断加大,但在现实生活中,一些企 业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、 非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生 命健康和财产安全等问题仍十分突出。从 2020 年中信银行泄露脱口秀演员 池子个人信息案件以及各大平台的“大数据杀熟”、今年“315”爆出的各 种个人隐私泄露事件,似乎在告诉我们一个不大愿意相信但确实已经存在了 的事实:经营者在数字技术上应用得更加专业、纯熟,消费者就越发的处于 弱势地位,个人隐私已成为经营者手中用于交换利益的廉价或免费的筹码。
为进一步加强个人信息保护法制保障、维护网络空间良好生态、促进数 字经济健康发展。制定本法。
二、立法过程
2019 年 3 月 5 日第十三届全国人大常委会第二次会议,将制定《中华 人民共和国个人信息保护法》列入本届立法规划。
2020 年 10 月 13 日第十三届全国人大常委会第二十二次会议对《中华 人民共和国个人信息保护法(草案)》进行了初次审议。
2021 年 4 月 26 日第十三届全国人大常委会第二十八次会议对《中华人 民共和国个人信息保护法(草案二审稿)》进行了审议,在一审稿的基 础上主要修订增加内容如下:
--进一步完善明确个人信息处理应遵循的原则;
--参照民法典中的规定,增加了对死者的个人信息保护条款;
--增加了超大互联网平台特定的个人信息保护义务的要求;
--明确了由国家网信部门统筹推进个人信息保护有关工作;
--明确了个人信息侵权行为的归责原则为过错推定。
2021 年 8 月 20 日第十三届全国人大常委会第三十次会议表决通过《中 华人民共和国个人信息保护法》,自 2021 年 11 月 1 日起施行。在二审稿的基础上主要修订增加内容如下:
--在第一条中增加规定“根据宪法”制定本法。
--进一步完善个人信息处理规则,特别是对应用程序(APP)过度 收集个人信息、大数据杀熟以及非法买卖、泄露个人信息等作出有针对性规范;
--将未成年人的个人信息作为敏感个人信息,并制定专门的处理 规则;
--完善个人信息跨境提供的规则;
--增加个人信息可携带权的规定,完善死者个人信息保护的规定;
--完善个人信息保护投诉、举报工作机制及违法处理个人信息涉嫌犯罪案件的移送提出明确要求。
三、本法结构
《个人信息保护法》全文涵盖了八章,七十四条的内容。分别为总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任和附则。
四、本法要点解读
(一)、本法适用范围
术语界定
个人信息:是以电子或者其他方式记录的与已识别或者可识别 的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理:包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
敏感个人信息:一旦泄露或者非法使用,容易导致自然人的人 格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识 别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以 及不满十四周岁未成年人的个人信息。
范围界定
境内:在中华人民共和国境内处理自然人个人信息的活动,适用本法。
境外:在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
--以向境内自然人提供产品或者服务为目的;
--分析、评估境内自然人的行为;
--法律、行政法规规定的其他情形。
另:境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
(二)、个人信息处理规则
1、确立个人信息处理应遵循的原则,强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等,并将上述原则贯穿于个人信息处理的全过程、各环节。(第五条至第九条)
2、确立以“告知-同意”为核心的个人信息处理一系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。考虑到经济社会生活的复杂性和个人信息处理的不同情况,本法还对基于个人同意以外合法处理个人信息的情形作了规定。 (第十三条至第十九条)
3、根据个人信息处理的不同环节、不同个人信息种类,对个人信息的共同处理、委托处理、向第三方提供、公开、用于自动化决策、处理已公开的个人信息等提出有针对性的要求。(第二十条至第二十七条)
4、设专节对处理敏感个人信息作出更严格的限制,只有在具有特定的目的和充分的必要性的情形下,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意。 (第二十八条至第三十二条)
5、设专节规定国家机关处理个人信息的规则,在保障国家机关依法履行职责的同时,要求国家机关处理个人信息应当依照法律、行政法规规定的权限和程序进行。 (第三十三条至第三十七条)
(三)、个人信息跨境提供规则
1、明确关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,应当通过国家网信 部门组织的安全评估;对于其他需要跨境提供个人信息的,规定了经专业机构认证等途径。 (第三十八条、第四十条)
2、对跨境提供个人信息的“告知-同意”作出更严格的要求。(第三十九条,应告知接收方详细信息,并取得单独同意)
3、未经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。 (第四十一条)
4、对从事损害我国公民个人信息权益等活动的境外组织、个人,以及在个人信息保护方面对我国采取不合理措施的国家和地区,规定了可以采取的相应措施。 (第四十二条、第四十三条,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者 禁止向其提供个人信息等措施。)
(四)、个人信息处理活动中个人的权利和处理者义务
1、与民法典的有关规定相衔接,明确在个人信息处理活动中个人的各项权利,包括知情权、决定权、查询权、更正权、删除权等,并要求个人信息处理者建立个人行使权利的申请受理和处理机制。(第四十四 条至第五十条)
2、明确个人信息处理者的合规管理和保障个人信息安全等义务(第 五十一条至第五十七条)
--按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,并指定负责人对其个人信息处理活动进行监督;
--定期对其个人信息活动进行合规审计;
--对处理敏感个人信息、向境外提供个人信息等高风险处理活动, 事前进行风险评估;
--履行个人信息泄露通知和补救义务等。
3、明确提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的义务(第五十八条)
--建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;
--遵循公开、公平、公正的原则,明确处理个人信息的规范和保护个人信息的义务;
--对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
--定期发布个人信息保护社会责任报告,接受社会监督。
(五)、履行个人信息保护职责的部门
1、个人信息保护职责部门的定义(第六十条):
--国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。
--国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
--县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。
2、明确个人信息保护部门的职责。(第六十一条、第六十二条)
3、个人信息保护部门可以采用的措施,包括询问、查阅、复制资料、现场检查、检查设备及物品、查封或者扣押、约谈主要负责人、进行合规审计等。(第六十三条、第六十四条)
4、对个人信息违法活动的投诉、举报及处置进行规定。(第六十五条)
(六)、法律责任
1、违反规定(第六十六条)
--责令改正,给予警告,没收违法所得;
--拒不改正的,并处一百万元以下罚款;
--相关责任人:一万元以上十万元以下罚款;
2、情节严重(第六十六条)
--责令改正,没收违法所得;
--五千万元以下或者上一年度营业额百分之五以下罚款;
--责令暂停相关业务、停业整顿、吊销相关业务许可或者吊销营业 执照;
--相关责任人:十万元以上一百万元以下罚款;
3、存在违法行为的依照有关规定记入信用档案,并予以公示。(第六十七条)
4、国家机关不履行保护义务的处罚进行规定。(第六十八条)
5、个人信息侵权行为的归责原则为过错推定。(第六十九条)
6、个人信息主体可以对侵权行为发起集体诉讼。(第七十条)
7、与治安管理、刑法相衔接。(第七十一条)
五、针对个人信息滥用的热点问题进行了明确规定
(一)针对新技术新引用高度关注
针对当前社会各方面对于用户画像、算法推荐等新技术新应用高度关注,对相关产品和服务中存在的信息骚扰、“大数据杀熟”等问题强烈反应。个人信息保护法立足于维护广大人民群众的网络空间合法权益,对利用个人信息进行自动化决策作出有针对性规范,明确要求提供个人拒绝的选项。(第二十四条)
(二)针对公共场所安装摄像头有了明确规定
人脸识别是人工智能技术的重要应用,在为社会生活带来便利的同时,其所带来的个人信息保护问题也日益凸显。“3.15 晚会”曝光人脸识别技术滥用乱象、“我国人脸识别第一案”中强制顾客激活人脸识别系统等,体现出人脸识别技术广泛应用与个人信息保护的矛盾日益尖锐。个人信息保护法中,做了明文规定,只能用于公共安全。(第二十六条)
来自安恒信息
|
聚享站 | 培训学校管理系统 | 惊觉社区 | 杭州同城分类信息 | |
 这视界浙ICP备17017888号 |
