金桥法谈 | 个人信息保护进行时

杜满清 合伙人

广东金桥百信律师事务所

李颖谊 实习律师

广东金桥百信律师事务所

社会热点

2021年7月4日，“滴滴出行”App因存在严重违法违规收集使用个人信息问题，被国家互联网信息办公室公开通报、要求下架，个人信息保护与互联网企业对个人数据处理及运用的合法合规的问题再次引起社会广泛关注。

* 2021年7月4日发布：关于下架“滴滴出行”App的通报

现今社会，公民个人信息及隐私的保护是一个极其复杂的客体，私人空间与共同空间的边缘，界限很难精确衡量。互联网企业收集个人信息普遍，内部管理制度和操作规程，是否采取了相应的安全技术措施，并指定负责人对其个人信息处理活动进行监督；是否定期对其个人信息活动进行合规审计；是否对处理敏感个人信息、向境外提供个人信息等高风险处理活动，事前进行风险评估；是否履行个人信息泄露通知和补救义务等。上述都是《个人信息保护法（草案稿）》的规范给企业合规运行带来了前所未有的的挑战。

日前，多款知名App非法获取、超范围牧集、过度索权等侵害个人信息的现象反映强烈，国家互联网信息办公室已经接连发出通报，要求有关运营主体自行整改：

* 2021年5月21日发布：关于抖音等105款App违法违规收集使用个人信息情况的通报

* 2021年6月11日发布：关于Keep等129款App违法违规收集使用个人信息情况的通报

法律法规

针对层出不穷的APP乱象，我国的立法者听取人民群众的呼声，高度重视公民个人信息的保护，近5年来以《民法典》为基础的各类法律法规也在不断完善立法，加强相关制度的构建及完善：

其中，全国人大常委会2021年4月29日发布的《个人信息保护法（草案二次审议稿）》（以下简称“二审稿”）整合了此前《企业个人信息安全管理规范》、《个人信息出境安全评估办法（征求意见稿）》等多个行业规范及规章制度，提出了“告知—同意”、“影响最小”、基础性互联网平台义务等规定，以立法的形式从多个方面加以完善，强化对公民个人信息的保护：

一、强调个人信息处理者应遵循诚信原则，保障公民的知情权，同时应注意处理的必要限度

《二审稿》与《民法典》相呼应，在第一章“总则”第五条即明确了个人信息处理者从事处理活动时也应当遵循诚信的基本准则，采用合法、正当的方式，不得通过误导、欺诈、胁迫等方式处理个人信息；

第六条，对个人信息处理活动的从事，提出了“范围最小、影响最小、时间最短”的限度规制；

在第七条，明确公开、透明原则，强调保障公民个人的知情权。

上述三项有关诚信、影响最小、公开透明的规定，从基本原则的层面上为处理个人信息的活动进行了定调，今后可作为保障公民个人信息的兜底条款在案件中予以引用。

二、个人享有“撤回权”、“知情权”以及相对的“决定权”，个人信息处理者应当提供便捷的撤回同意的方式，履行“告知—同意”义务

《二审稿》第十三条，从必要性、合理性等方面多角度进行了处理个人信息的法定情形的列举，明确“取得个人的同意”、“订立或者履行合同”、“履行法定职责或者法定义务”、“应对突发公共卫生事件或者紧急情况下保护生命健康和财产安全”、“已公开的个人信息”、“为公共利益实施新闻报道、舆论监督等”、“法律、行政法规规定”等几种许可情形，除此以外，任何从事个人信息处理的活动在今后都可能是不合法的。

作为一大亮点，《二审稿》第十六条明确指出了，基于个人同意而进行的个人信息处理活动，个人有权撤回其同意。这也就是说，在这种情形下，个人享有完全的自主决定权，同意、撤回的行使均充分尊重了个人信息所有者的意思自治活动，处理者必须配合并提供便捷的方式。而为了避免处理者以个人不同意或者撤回同意为由拒绝提供产品或者服务，变相胁迫公民提供个人信息的情形，立法者正是考虑到这一点，在紧随其后的第十七条就明确了该项禁止性规定，与此第十六条相辅相成，组合保护。

第四章“个人在个人信息处理活动中的权利”则明确强调，个人对其个人信息的处理享有的知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理，有权请求查阅、复制、更正、补充、删除、解释说明等等。处理者则应当在处理前以显著方式、清晰易懂的语言向个人告知个人信息处理者的身份和联系方式、处理目的、处理方式，处理的个人信息种类、保存期限，以及个人行使本法规定权利的方式和程序等。

三、个人有权拒绝使用平台信息推送、商业营销等自动化决策功能

针对目前APP普遍存在的非法获取、超范围收集个人信息用以推送的情况，《二审稿》第二十五条提出，通过自动化决策方式进行商业营销、信息推送的，应当同时提供不针对其个人特征的选项，或者向个人提供拒绝的方式。从该条规定可以看见，我国立法者正视人工智能、信息技术发展所带来的个人信息保护的挑战，也综合考虑了处理者与个人信息所有者的需求，平衡利弊，但在总体方向上还是倾向于尊重、保护了个人的决定权。

四、完善个人信息跨境提供的规则，加强国家对跨境提供的管控

《二审稿》第三十八条，以列举的形式规定了“通过国家网信部门组织的安全评估”、“经专业机构进行个人信息保护认证”、“按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务，并监督其个人信息处理活动达到本法规定的个人信息保护标准”等多项跨境提供个人信息的条件，同时第三十九条贯彻“告知—同意”规则，并提出了安全评估、限制或者禁止个人信息提供清单、对等措施等规定，严格管控个人信息的外泄。

五、加强行政监管，明确约谈制度

《二审稿》第六章，从行政执法的角度提出了要求，明确有关行政部门有权指导、监督个人信息处理者，具有询问权、调查权、查阅复制权、现场检查以及查封、扣押等权力，并应当接受、依法及时处理相关的投诉举报，并告知投诉、举报人处理结果，保障个人的知情权。

六、加大行政处罚力度，采取过错推定原则

《二审稿》第六十五条，针对违法处理个人信息的行为，分不同的情节进行处罚，情节轻微，责令改正、警告、没收违法所得；拒不改正，处以一百万元以下罚款，对直接责任人处一万元以上十万元以下罚款；情节严重的，则处五千万元以下或者按上一年度营业额百分之五以下罚款，并可以责令暂停相关业务、停止整顿、通报主管部门吊销相关业务许可或者营业执照，对直接责任人的处罚提升至十万元以上一百万元以下。行政处罚力度可谓明显加大，未来在实践中的具体适用我们拭目以待。

作为《二审稿》的另一大特色，第六十八条提出了过错推定原则——个人信息权益因个人信息处理活动受到侵害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。该条规定，充分考虑了个人信息处理者往往是大平台，具有先天的信息技术优势，也有自己的管理制度，个人相较而言则举证难度大，难以收集取证，如果在这种情况下，让平台举证自己没有过错，则更容易查明案件事实，一定程度上也会避免了不必要的司法资源浪费。

结语

科技越是发达，收集个人信息越容易，保护个人信息的需求则更加强烈，信息运用上如何提升“人民的幸福感、安全感、获得感”这是信息技术发展的必然趋势。《二审稿》的发布向我们传递了一个信号，那就是公民个人信息的保护在逐渐加强，随之对企业的合规处罚越来越严厉。我们看到了国家对于公民个人信息保护的重视，也愿在未来，社会各界能齐头并进，迈向一个更加安全、良好的信息时代。

供稿 | 杜满清 李颖谊

编辑 | 罗影璇

金桥百信 招贤纳士

►广东金桥百信律师事务所于1995年在广州设立，是国内第一批合伙制律师事务所。办公地址位于广州市CBD核心——珠江新城超甲级写字楼高德置地广场G座楼24、25楼，办公面积近5000平方米，执业律师逾400人。2015年事务所启动改制和创新管理，2019年凭借自身的核心竞争力和优势顺利入选ALB 2019年亚洲最大50家律师事务所，2020年被评为2016-2019年度广州优秀律师事务所。

►广东金桥百信律师事务所因不断壮大需求，诚邀志同道合的法律精英加盟，携手合作、共创美好金桥。

►合伙人加盟联系

人才发展委员会副主任罗建欣律师

邮箱：luojianxin@kingbridgelaw.com

电话：186 8888 9563

►律师、实习律师/助理、实习生加入联系

人力资源部郑小姐

邮箱：kingbridge@gdjqbx.com

电话：135 8043 6900

工作地点：广州市天河区珠江东路16号高德置地冬广场G座24、25楼

推荐阅读

金桥法谈 | 终本三年的案件，半年收回全部本金

金桥法谈 | 建筑装饰装修工程合同纠纷涉及的相关问题

金桥法谈 | 浅析名誉权网络侵权纠纷实务中证据的组织和运用

金桥法谈 | 帮助信息网络犯罪活动罪的“五倍追诉标准条款”之争

点击分享

点赞

点亮在看