金桥法谈 | 《个人信息保护法》十一大亮点解读
刘彦林 律师
广东金桥百信律师事务所合伙人
金桥司徒邝(南沙)联营律师事务所律师
01
序
个人信息被一些经营者非法搜集、过度使用,某些电商平台利用掌握的大数据杀熟,扰乱正常的市场经营秩序。甚至一些商家利用搜集到的个人信息非法买卖,其中一部分个人信息被非法分子利用实施犯罪等。伴随着互联网技术、信息产业的不断发展,公民个人信息泄漏的问题亦愈来愈严重。如何在社会不断进步、发展的同时,有效保护个人信息不被非法使用,全社会亟待一部针对个人信息保护的法律来保障。
千呼万唤始出来,《个人信息保护法》(下简称“该法”或“本法”)经过多年的酝酿终于经第十三届全国人民代表大会常务委员会第三十次会议于2021年8月20日通过,自2021年11月1日起施行。
02
概述
本法共计八章七十四条。
第一章是“总则”,明确了本法的立法依据和立法目的,共十二条;
第二章是“个人信息处理规则”,共二十五条,也是重点立法内容,分别明确了个人信息处理的一般规则、敏感信息和国家机关处理个人信息的规则;
第三章是关于“个人信息跨境提供的规则”,共六条;
第四章是“个人在个人信息处理活动中的权利”,赋予了个人享有的信息被使用的知情权、决定权、诉讼权,以及死者的近亲属行使个人信息保护的相关权利等,本章共七条;
第五章是“个人信息处理者的义务”,明确了个人信息处理者应采取措施防止未经授权的访问以及个人信息泄露、篡改、丢失等法定义务,本章共九条;
第六章是“履行个人信息保护职责的部门”,明确了个人信息保护的主要部门和职责,特别明确了网信部门有权对信息使用者进行“约谈”和委托专业机构对其“合规审计”,共六条;
第七章是“法律责任”,明确了个人信息处理者违反本法应当承担的法律责任和国家主管部门在履职中不作为应承担的法律责任,特别明确对个人信息使用人实行“举证责任倒置”和针对侵害众多个人信息权益的,赋予了相关组织发起“公益诉讼”的义务;
第八章是附则,排除了个人因家庭事务处理个人信息的适用本法的规定,同时,分别对“个人信息处理者”、“自动决策”、“去标识化”、“匿名化”等术语作出解释,更容易理解。
03
亮点解读
(1)明确了“个人信息”的概念和个人信息处理范围,为个人信息保护划清了界线
第四条第一款明确“个人信息”的定义
个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
第四条第二款明确“个人信息处理的范围”
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。为个人信息从输入端到输出端全程进行规范,为下一步国家网信部门和个人信息处理者建立个人信息保护的规则和标准及相关制度提供了依据。
在本法对“个人信息”重新作出定义之前,今年实施的《民法典》第一千零三十四条已经给出了完整的定义,并且明确了“私密信息”和“个人信息”的法律适用规则以及就“个人信息保护”安排了四个条款的内容。
笔者认为本法作为基本法,比较《民法典》而言就个人信息保护更是一部特别法,从“新法优于旧法”的原则,在今后的司法实践中也优先适用本法。
(2)明确了个人信息处理者在采集个人信息时应当遵循的原则、收集的范围尺度、禁止性规定
第五条明确个人信息处理者应当遵循的原则
个人信息处理者应当遵循:合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
第六条明确个人信息收集的范围尺度
该法第六条明确收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
如何理解“过度”?笔者认为应当与收集的目的直接相关,与使用目的无关的,或虽然有相关性但明显超出使用目的,应当节制。至于,如果产生争议,诉诸法院,在最高人民法院没有出台相关司法解释之前,由法院行使自由裁量权。
结合本法第十条的规定,如果个人信息处理者在信息收集、使用、加工、传输等环节中非法买卖,向他人提供或者公开他人个人信息,或者利用个人信息从事危害国家安全、公共利益之行为的,均应被禁止。
如造成个人权益或公共利益受到损害的,根据本法的第六十六条、六十七条、六十九条的规定承担民事赔偿责任或被追究刑事责任。
(3)赋予个人信息权利人“同意”权,未经“同意”不得使用个人信息,且排除了个人信息处理者的“拒绝提供产品或服务”的权利
本法最大的亮点是赋予个人信息权利人的“同意”权和排除信息处理者的“拒绝”权。
第十条规定
基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
第十六条规定
个人作出“不同意”的情况下,信息处理者不得“拒绝提供产品或服务”。从而避免了生活中,信息处理者将个人的“同意权”与使用产品或服务通过技术手段强制捆绑在一起的“胁迫”行为。
(4)禁止个人信息处理者利用掌握的大数据“杀熟”,要求信息处理者保证决策透明、结果公正,赋予个人针对“自动化决策”的拒绝权
在互联网购物盛行的时代,网购经常会遇到卖家推送的商品或服务比新用户的价格更高,或者多次浏览后产品或服务涨价的情况,针对互联网平台商家利用掌握的消费者个人信息采取“杀熟”的作法一直被热衷于网购的消费者非议。该法的实施,个别互联网平台、商家利用“杀熟”的好日子将成为历史。
关于利用大数据“杀熟”的禁止性规定,在该法第二十四条明确作出规定:
第二十四条规定
个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
同时,针对互联网技术采用的“自动化决策”涉及到消费者或权利人重大利益的,赋予了消费者或权利人的知情权,有权要求个人信息处理者作出说明,并有权针对信息处理者通过“自动化决策”方式作出的决定行使“拒绝权”。
(5)个人信息处理者针对个人的“敏感信息”应征得个人单独同意,将十四周岁以下的未成年人的个人信息视为“敏感信息”,并应当征得监护人同意
本法第二十八条首先对个人“敏感信息”的重要意义进行了陈述,强调了保护“敏感信息”的重要性。
敏感个人信息一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。
“敏感信息”的非法采集也为大家所诟病。本法通过概括式列举了“敏感信息”的范围:包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
为了保护个人“敏感信息”,该法第二十九条、第三十一条,分别就涉及个人敏感信息的同意权要求书面作出,十四周岁以下的未成年人的个人信息应当取得未成年人的父母或者其他监护人的同意的规定。
个人信息处理者在今后采集个人“敏感信息”时,如未经本法规定的程序,并征得权利人书面同意的,将被认定为违法行为,根据本法的第七章相关规定将承担行政责任、民事赔偿责任,甚至刑事责任。
(6)赋予了个人享有针对信息处理者在使用个人信息时的知情权、决定权、查阅权、复制权、删除权
个人信息权利人有权要求个人信息处理者提供个人信息使用的目的、状态等,有权针对个人信息处理者是否继续使用个人信息作出决定,个人信息权利人要求信息处理提供查阅、复制、删除个人信息的,信息处理者不得拒绝,改变了目前个人信息权利人可以就个人信息的如何使用享有充分的自主权。
(7)明确个人信息处理者的法定义务,如保护个人信息的安全措施,合规审计,个人信息保护影响评估等
该法明确个人信息处理者应当采取保护个人信息安全的六项具体措施,分别为:
① 制定内部管理制度和操作规程;
② 对个人信息实行分类管理;
③ 采取相应的加密、去标识化等安全技术措施;
④ 合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
⑤ 制定并组织实施个人信息安全事件应急预案;
⑥ 法律、行政法规规定的其他措施。
同时该法明确了个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
该法进一步明确了个人信息处理者在处理涉及个人敏感信息、利用个人信息进行自动化决策、向境外提供个人信息等五种情况应当事前进行个人信息保护影响评估并进行记录,并明确个人信息保护影响评估记录至少保存三年。
(8)立法明确了履行个人信息保护职责的部门的权责,使个人信息保护工作进入常态化
本法第六十三条赋予了履行个人信息保护职责的部门,可以采取以下措施,使个人信息的保护进入常态化:
① 询问有关当事人,调查与个人信息处理活动有关的情况;
② 查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;
③ 实施现场检查,对涉嫌违法的个人信息处理活动进行调查;
④ 检查与个人信息处理活动有关的设备、物品;
⑤ 对有证据证明是用于违法个人信息处理活动的设备、物品,向本部门主要负责人书面报告并经批准,可以查封或者扣押。
同时赋予了个人信息保护职责部门在工作中发现个人信息处理者存在可能违反信息保护法相关规定,使个人信息处于“较大风险”或“发生个人信息安全事件”的,有权“约谈”相关负责人或法定代表人,或者委托第三方专业机构对个人信息处理者的信息处理活动进行“合规审计”,进一步从源头上保障了个人信息的安全。
(9)明确个人信息处理者和履职部门法律责任,使个人信息保护有法可依,违法必究,执法必严
该法第七章通过六条针对个人信息处理者和履职部门明确了责任追责机制,分别就个人信息处理者在违反本法相关义务的给予行政处罚、民事赔偿、刑事责任等。其中针对违法者情节严重的可给予5000万元以下或者上一年度营业额百分之五以下罚款,并记入信用档案和公示。
如构成犯罪的,将依法追究刑责。
本法对个人信息处理者的追责机制,更加多元化,使《刑法修正案(九)》关于非法出售或使用个人信息的违法行为未达到入刑标准的情况,可以通过其他途径得到惩戒,“法网恢恢,疏而不漏”,实现了个人信息的全面保护。
(10)明确个人信息处理者在侵害个人权益时,实行举证责任倒置,是本法的又一个亮点
“谁主张,谁举证”是在民事诉讼活动中举证责任的一般规则,但在个案中,根据证据的“距离”远近,将举证责任分配给掌握证据一方,更有利于查明事实真相,更有利于体现司法公平原则。同时,采用立法的方式,将举证责任分配给市场主体强势一方,更有利于保护弱者,实现权利的实质衡平。
《民法典》第一千一百六十五条规定
行为人因为过错侵害他人民事权益造成损害的,应当承担侵权责任,依照法律规定推定行为人有过错,其不能证明自己没有过错的,应当承担侵权责任。
本法第六十九条规定
个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
笔者认为,本法第五章共九条专门就个人信息处理者的义务进行明确,个人信息处理者是否履行了依法保护个人信息的义务,相关证据由个人信息处理者掌握,从证据远近规则分析,由个人信息处理者承担是否存在过错的举证责任,也符合《最高人民法院关于民事诉讼证据的若干规定》第九十五条的规定,将个人信息处理者侵害个人信息权益造成损害的情况实行举证责任倒置,更有利于保护个人信息不被过度、违法使用。
(11)明确法定单位和组织针对个人信息处理危害众多个人利益时的违法行为提起公益诉讼之义务
针对个人信息处理者危害众多个人利益,赋予了人民检察院、消费者保护组织、国家网信部门确定的组织启动诉讼程序,依法保护受侵害个人利益,维护本法的严肃性和可期待性。
04
结束语
《个人信息保护法》于2021年11月1日正式实施,当日上午,江苏省常州市中级人民法院公开宣判了公益诉讼起诉人江苏省常州市人民检察院与被告田某个人信息保护民事公益诉讼一案。
该案以被告收集个人信息的目的、方式不具备正当性、合法性,并以牟利为目的进行非法买卖,其非法收集、买卖的个人信息数量较大,涉及面广,给不特定自然人的人身、财产权利造成损害。遂判决被告田某在国家级媒体上向社会公众赔礼道歉,并赔偿9000余元,款项由个人信息保护的行政主管部门中共常州市委网络安全和信息化委员会办公室开设的专项资金账户进行管理。
该案选择在《个人信息保护法》实施的当天宣判,向个人信息处理者敲响了警钟。
《个人信息保护法》作为一部基本法,其上位法是《宪法》,足以见得我们国家对个人信息保护的重视程度,同时也是回应当前人民群众对个人信息保护的高度关切。本法的实施,标志着我们国家在个人信息保护综合治理工作中正式步入了法治化轨道,充分体现了“以人民为中心”的法治思想。
供稿 | 刘彦林
编辑 | 罗影璇
@广东金桥百信律师事务所
Kingbridge
Tiktok
正式进驻抖音视频号!
期待你的关注!
金桥百信 招贤纳士
►广东金桥百信律师事务所于1995年在广州设立,是国内第一批合伙制律师事务所。办公地址位于广州市CBD核心——珠江新城超甲级写字楼高德置地广场G座楼24、25楼,办公面积近5000平方米,执业律师逾400人。2015年事务所启动改制和创新管理,2019年凭借自身的核心竞争力和优势顺利入选ALB 2019年亚洲最大50家律师事务所,2020年被评为2016-2019年度广州优秀律师事务所。
►广东金桥百信律师事务所因不断壮大需求,诚邀志同道合的法律精英加盟,携手合作、共创美好金桥。
►合伙人加盟联系
人才发展委员会副主任罗建欣律师
邮箱:luojianxin@kingbridgelaw.com
电话:186 8888 9563
►律师、实习律师/助理、实习生加入联系
人力资源部郑小姐
邮箱:kingbridge@gdjqbx.com
电话:135 8043 6900
工作地点:广州市天河区珠江东路16号高德置地冬广场G座24、25楼
推荐阅读
点击分享
点赞
点亮在看