為個(gè)人信息織密保護(hù)之網(wǎng)——解讀個(gè)人信息保護(hù)法主要亮點(diǎn)

　　2021年8月20日，備受關(guān)注的《中華人民共和國(guó)個(gè)人信息保護(hù)法》(簡(jiǎn)稱“個(gè)人信息保護(hù)法”)由十三屆全國(guó)人大常委會(huì)第三十次會(huì)議正式通過(guò)，將于2021年11月1日起施行。個(gè)人信息保護(hù)法共8章74條，在有關(guān)法律的基礎(chǔ)上，進(jìn)一步細(xì)化完善了個(gè)人信息保護(hù)應(yīng)遵循的原則和個(gè)人信息處理規(guī)則，明確了個(gè)人信息處理活動(dòng)中的權(quán)利義務(wù)邊界，健全了個(gè)人信息保護(hù)工作體制機(jī)制等，為個(gè)人信息織密了保護(hù)之網(wǎng)，亮點(diǎn)多多。

　　(一)對(duì)“個(gè)人信息”進(jìn)行更為嚴(yán)謹(jǐn)?shù)亩�義和列舉。2016年11月7日，十二屆全國(guó)人大常委會(huì)第二十四次會(huì)議通過(guò)的網(wǎng)絡(luò)安全法對(duì)“個(gè)人信息”的定義和列舉是：“個(gè)人信息,是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等�！�(第七十六條之規(guī)定)在此基礎(chǔ)上，個(gè)人信息保護(hù)法對(duì)“個(gè)人信息”做出了更為嚴(yán)謹(jǐn)?shù)亩�義及列舉：“個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。”(第四條第一款之規(guī)定)匿名化處理后的信息被明確不屬于個(gè)人信息，將進(jìn)一步推進(jìn)個(gè)人信息匿名化處理技術(shù)在數(shù)據(jù)安全保護(hù)方面的研發(fā)、應(yīng)用及革新。

　　(二)明確處理個(gè)人信息應(yīng)遵循的基本原則。個(gè)人信息保護(hù)法在總則(第一章)中明確：“個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等。”(第四條第二款)應(yīng)遵循以下基本原則：一是遵循合法、正當(dāng)、必要和誠(chéng)信的原則。依據(jù)個(gè)人信息保護(hù)法第五條之規(guī)定，“處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠(chéng)信原則，不得通過(guò)誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息�！倍�是遵循最小范圍收集的原則。依據(jù)個(gè)人信息保護(hù)法第六條之規(guī)定，“處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式。”(第一款)“收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過(guò)度收集個(gè)人信息�！�(第二款)三是遵循公開(kāi)、透明的原則。依據(jù)個(gè)人信息保護(hù)法第七條之規(guī)定，“處理個(gè)人信息應(yīng)當(dāng)遵循公開(kāi)、透明原則，公開(kāi)個(gè)人信息處理規(guī)則，明示處理的目的、方式和范圍。”四是遵循保證個(gè)人信息質(zhì)量的原則。依據(jù)個(gè)人信息保護(hù)法第八條之規(guī)定，“處理個(gè)人信息應(yīng)當(dāng)保證個(gè)人信息的質(zhì)量，避免因個(gè)人信息不準(zhǔn)確、不完整對(duì)個(gè)人權(quán)益造成不利影響�！蔽迨亲裱�保障個(gè)人信息安全的原則。依據(jù)個(gè)人信息保護(hù)法第九條之規(guī)定，“個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé)，并采取必要措施保障所處理的個(gè)人信息的安全�！绷�是遵循禁止非法取得及提供的原則。依據(jù)個(gè)人信息保護(hù)法第十條之規(guī)定，“任何組織、個(gè)人不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買(mǎi)賣(mài)、提供或者公開(kāi)他人個(gè)人信息;不得從事危害國(guó)家安全、公共利益的個(gè)人信息處理活動(dòng)�！币陨匣�本原則，是收集、使用個(gè)人信息的基本遵循，是構(gòu)建個(gè)人信息保護(hù)具體規(guī)則的制度基礎(chǔ)。

　　(三)構(gòu)建以“告知-同意”為核心的個(gè)人信息處理規(guī)則。個(gè)人信息保護(hù)法單列專門(mén)章節(jié)(第二章第一節(jié))對(duì)個(gè)人信息處理規(guī)則做出了一般性規(guī)定。依據(jù)個(gè)人信息保護(hù)法第十三條之規(guī)定，個(gè)人信息處理的前提條件是“應(yīng)當(dāng)取得個(gè)人同意”(第二款)，但是法定情形除外(有第一款第二項(xiàng)至第七項(xiàng)規(guī)定情形的，不需取得個(gè)人同意)。對(duì)處理個(gè)人信息的基本要求是個(gè)人信息處理者要事前“告知”并獲得“同意”或依法定情形(第十三條)，并明確個(gè)人信息處理者在處理個(gè)人信息前應(yīng)履行充分告知義務(wù)(第十七條)，當(dāng)“個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得個(gè)人同意�！�(第十四條第二款)“基于個(gè)人同意處理個(gè)人信息的，個(gè)人有權(quán)撤回其同意�！�(第十五條第二款)“個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)�！�(第十六條之規(guī)定)，形成了以“告知-同意-撤回同意/拒絕”為邏輯主線的處理規(guī)則。

　　(四)確立自動(dòng)化決策對(duì)數(shù)據(jù)處理的基本規(guī)則。當(dāng)前，越來(lái)越多的企業(yè)用大數(shù)據(jù)分析和評(píng)估消費(fèi)者的個(gè)人特征用于商業(yè)營(yíng)銷，最典型的就是社會(huì)反映突出的“大數(shù)據(jù)殺熟”。對(duì)此，個(gè)人信息保護(hù)法第二十四條規(guī)定，“個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇�！�(第一款)同時(shí)明確：“通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供便捷的拒絕方式�！�(第二款)“通過(guò)自動(dòng)化決策方式作出對(duì)個(gè)人權(quán)益有重大影響的決定，個(gè)人有權(quán)要求個(gè)人信息處理者予以說(shuō)明，并有權(quán)拒絕個(gè)人信息處理者僅通過(guò)自動(dòng)化決策的方式作出決定�！�(第三款之規(guī)定)這一基本規(guī)則，確定了算法自動(dòng)化決策治理的基本框架，為自動(dòng)化決策應(yīng)用于電商平臺(tái)經(jīng)濟(jì)、數(shù)字政府運(yùn)行劃定了合法邊界。

　　(五)確立敏感個(gè)人信息的處理規(guī)則。個(gè)人信息保護(hù)法單列專門(mén)章節(jié)(第二章第二節(jié))確立了敏感個(gè)人信息的處理規(guī)則。個(gè)人信息保護(hù)法對(duì)“敏感個(gè)人信息”進(jìn)行定義和列舉，即：“敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息�！�(第二十八條之規(guī)定)依據(jù)個(gè)人信息保護(hù)法之規(guī)定，“只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個(gè)人信息處理者方可處理敏感個(gè)人信息�！�(第二十八條第二款)處理敏感個(gè)人信息應(yīng)當(dāng)取得同意(第二十九條);應(yīng)當(dāng)事前進(jìn)行影響評(píng)估，并向個(gè)人告知處理的必要性以及對(duì)個(gè)人權(quán)益的影響(第三十條);處理不滿十四周歲未成年人個(gè)人信息的，“應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意�！�(第三十一條第一款)并“應(yīng)當(dāng)制定專門(mén)的個(gè)人信息處理規(guī)則�！�(第二款之規(guī)定)

　　(六)規(guī)范國(guó)家機(jī)關(guān)處理個(gè)人信息的行為。個(gè)人信息保護(hù)法單列專門(mén)章節(jié)(第二章第三節(jié))對(duì)國(guó)家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息進(jìn)行了特別規(guī)定，包括：“應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限、程序進(jìn)行，不得超出履行法定職責(zé)所必需的范圍和限度”(第三十四條)、“應(yīng)當(dāng)依照本法規(guī)定履行告知義務(wù)”(第三十五條)、“應(yīng)當(dāng)在中華人民共和國(guó)境內(nèi)存儲(chǔ);確需向境外提供的，應(yīng)當(dāng)進(jìn)行安全評(píng)估”(第三十六條之規(guī)定)。此外，依據(jù)個(gè)人信息保護(hù)法第三十七條之規(guī)定，“法律、法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織為履行法定職責(zé)處理個(gè)人信息，適用本法關(guān)于國(guó)家機(jī)關(guān)處理個(gè)人信息的規(guī)定�！痹摋l款之規(guī)定與數(shù)據(jù)安全法相結(jié)合，完善了政務(wù)數(shù)據(jù)的處理規(guī)則。

　　(七)設(shè)立個(gè)人信息跨境提供的規(guī)則。當(dāng)今個(gè)人信息的跨境流動(dòng)日益頻繁，但由于遙遠(yuǎn)的地理距離以及不同國(guó)家法律制度、保護(hù)水平之間的差異，個(gè)人信息跨境流動(dòng)風(fēng)險(xiǎn)越來(lái)越難以控制。為此，個(gè)人信息保護(hù)法設(shè)立專章(第三章)構(gòu)建了一套清晰、系統(tǒng)的個(gè)人信息跨境流動(dòng)規(guī)則，以滿足保障個(gè)人信息權(quán)益和安全的客觀要求，適應(yīng)國(guó)際經(jīng)貿(mào)往來(lái)的現(xiàn)實(shí)需要。個(gè)人信息保護(hù)法對(duì)個(gè)人信息跨境提供設(shè)定了應(yīng)具備的條件和應(yīng)采取的必要措施(第三十八條)、應(yīng)向個(gè)人告知相關(guān)事項(xiàng)并得到同意(第三十九條);個(gè)人信息一般應(yīng)儲(chǔ)存在境內(nèi)，確需向境外提供應(yīng)進(jìn)行安全評(píng)估(第四十條);非經(jīng)主管機(jī)關(guān)批準(zhǔn)，不得向外國(guó)機(jī)構(gòu)提供存儲(chǔ)于境內(nèi)的個(gè)人信息(第四十一條);并對(duì)境外侵害行為采取限制或者禁止(第四十二條)、對(duì)等措施(第四十三條之規(guī)定)等。

　　(八)確立個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利。個(gè)人信息保護(hù)法單列專章(第四章)確立了個(gè)人對(duì)個(gè)人信息的多方面權(quán)利，包括：“個(gè)人對(duì)其個(gè)人信息的處理享有知情權(quán)、決定權(quán)，有權(quán)限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理”(第四十四條)、“個(gè)人有權(quán)向個(gè)人信息處理者查閱、復(fù)制其個(gè)人信息”(第四十五條)、“個(gè)人發(fā)現(xiàn)其個(gè)人信息不準(zhǔn)確或者不完整的，有權(quán)請(qǐng)求個(gè)人信息處理者更正、補(bǔ)充”(第四十六條)、“個(gè)人有權(quán)請(qǐng)求刪除”(第四十七條)、“個(gè)人有權(quán)要求個(gè)人信息處理者對(duì)其個(gè)人信息處理規(guī)則進(jìn)行解釋說(shuō)明”(第四十八條)、“自然人死亡的，其近親屬為了自身的合法、正當(dāng)利益，可以對(duì)死者的相關(guān)個(gè)人信息行使本章規(guī)定的查閱、復(fù)制、更正、刪除等權(quán)利”(第四十九條之規(guī)定)。為保障個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利，個(gè)人信息保護(hù)法特別規(guī)定：“個(gè)人請(qǐng)求查閱、復(fù)制其個(gè)人信息的，個(gè)人信息處理者應(yīng)當(dāng)及時(shí)提供”(第四十五條第二款)、“個(gè)人請(qǐng)求將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者，符合國(guó)家網(wǎng)信部門(mén)規(guī)定條件的，個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑”(第三款之規(guī)定)，這種可攜帶權(quán)為個(gè)人信息在不同互聯(lián)網(wǎng)平臺(tái)間進(jìn)行指定轉(zhuǎn)移、數(shù)據(jù)互聯(lián)互通提供了合規(guī)路徑。

　　(九)設(shè)定個(gè)人信息處理者的義務(wù)。個(gè)人信息保護(hù)法設(shè)立專章(第五章)明確了個(gè)人信息處理者的合規(guī)管理和保障個(gè)人信息安全等義務(wù)。個(gè)人信息保護(hù)法第五十一條列舉了個(gè)人信息處理者應(yīng)采取六個(gè)方面措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問(wèn)以及個(gè)人信息泄露、篡改、丟失;第五十五條列舉了具有五個(gè)方面情形之一的，個(gè)人信息處理者應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄;第五十六條列舉了個(gè)人信息保護(hù)影響評(píng)估應(yīng)當(dāng)包括的三個(gè)方面內(nèi)容;第五十七條就發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的，個(gè)人信息處理者應(yīng)當(dāng)立即采取補(bǔ)救措施，并列舉了三個(gè)方面事項(xiàng)通知履行個(gè)人信息保護(hù)職責(zé)的部門(mén)和個(gè)人。個(gè)人信息保護(hù)法還特別設(shè)定大型網(wǎng)絡(luò)平臺(tái)的義務(wù)。依據(jù)個(gè)人信息保護(hù)法第五十八條之規(guī)定，“提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者，應(yīng)當(dāng)履行下列義務(wù)：(一)按照國(guó)家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督;(二)遵循公開(kāi)、公平、公正的原則，制定平臺(tái)規(guī)則，明確平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù);(三)對(duì)嚴(yán)重違反法律、行政法規(guī)處理個(gè)人信息的平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者，停止提供服務(wù);(四)定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告，接受社會(huì)監(jiān)督�！眰�(gè)人信息保護(hù)法還規(guī)定，“處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督。”(第五十二條第一款)“個(gè)人信息處理者應(yīng)當(dāng)公開(kāi)個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式，并將個(gè)人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門(mén)�！�(第二款)“境外的個(gè)人信息處理者，應(yīng)當(dāng)在中華人民共和國(guó)境內(nèi)設(shè)立專門(mén)機(jī)構(gòu)或者指定代表，負(fù)責(zé)處理個(gè)人信息保護(hù)相關(guān)事務(wù)，并將有關(guān)機(jī)構(gòu)的名稱或者代表的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門(mén)�！�(第五十三條)“個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。”(第五十四條之規(guī)定)

　　(十)設(shè)定履行個(gè)人信息保護(hù)職責(zé)的部門(mén)。個(gè)人信息保護(hù)法設(shè)立專章(第六章)明確了國(guó)家網(wǎng)信部門(mén)和國(guó)務(wù)院有關(guān)部門(mén)在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作，同時(shí)對(duì)個(gè)人信息保護(hù)和監(jiān)管職責(zé)作出規(guī)定。依據(jù)個(gè)人信息保護(hù)法第六十條之規(guī)定，“國(guó)家網(wǎng)信部門(mén)負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作。國(guó)務(wù)院有關(guān)部門(mén)依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作�！�(第一款)“縣級(jí)以上地方人民政府有關(guān)部門(mén)的個(gè)人信息保護(hù)和監(jiān)督管理職責(zé)，按照國(guó)家有關(guān)規(guī)定確定�！�(第二款)列舉了以上這些這些部門(mén)的五個(gè)方面?zhèn)�人信息保護(hù)之責(zé)(第六十一條)，并可以采取四個(gè)方面的措施依法履行職責(zé)(第六十三條);列舉了國(guó)家網(wǎng)信部門(mén)統(tǒng)籌協(xié)調(diào)有關(guān)部門(mén)依法推進(jìn)五個(gè)方面的個(gè)人信息保護(hù)工作(第六十二條之規(guī)定)。個(gè)人信息保護(hù)法還規(guī)定，履行個(gè)人信息保護(hù)職責(zé)的部門(mén)發(fā)現(xiàn)問(wèn)題，可以對(duì)個(gè)人信息處理者進(jìn)行約談，或者進(jìn)行合規(guī)審計(jì)(第六十四條)，受理投訴、舉報(bào)(第六十五條之規(guī)定)等。

　　(十一)強(qiáng)化對(duì)侵犯?jìng)�(gè)人信息的懲罰力度。在網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法的基礎(chǔ)上，進(jìn)一步加強(qiáng)了對(duì)侵犯?jìng)�(gè)人信息的立法保護(hù)，并注意與其他法律之間的銜接。個(gè)人信息保護(hù)法設(shè)立“法律責(zé)任”專章(第七章)強(qiáng)化了侵犯?jìng)�(gè)人信息的懲罰機(jī)制和力度。對(duì)個(gè)人信息處理者規(guī)定了較嚴(yán)格的行政處罰(第六十六條)、計(jì)入信用檔案并公示(第六十七條)、公益訴訟(第七十條)、民事賠償責(zé)任(第六十九條)、刑事責(zé)任(第七十一條之規(guī)定);對(duì)國(guó)家機(jī)關(guān)不履行個(gè)人信息保護(hù)義務(wù)，也明確了懲罰措施(第六十八條之規(guī)定)。(安徽蕪湖三山經(jīng)濟(jì)開(kāi)發(fā)區(qū)人大工委 汪洋 滕修福)