張凱旋律師、黃郁婷顧問[1]
2021年8月20日,全國人民代表大會常務委員會通過了《個人信息保護法》,自2021年11月1日起施行。《個人信息保護法》的主要內容如下:
一、適用範圍及定義
(一) 適用範圍
除了在中華人民共和國境內處理自然人個人信息的活動適用《個人信息保護法》外,《個人信息保護法》也有一定的域外效力,在境外處理境內自然人個人信息的活動,有下列情形之一的,也適用《個人信息保護法》:(1)以向境內自然人提供產品或者服務為目的;(2)分析、評估境內自然人的行為;(3)法律、行政法規規定的其他情形。
(二) 個人信息的定義
個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理後的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。
二、個人信息的處理規則
(一) 一般規則:“告知—同意”規則及例外
個人信息處理者處理個人信息應當進行充分的告知並取得個人自願、明確的同意,但如下情形例外:(1)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需;(2)為履行法定職責或者法定義務所必需;(3)為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;(4)為公共利益實施新聞報導、輿論監督等行為,在合理的範圍內處理個人信息;(5)依照《個人信息保護法》規定在合理的範圍內處理個人自行公開或者其他已經合法公開的個人信息;(6)法律、行政法規規定的其他情形。
個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項:(1)個人信息處理者的名稱或者姓名和聯繫方式;(2)個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;(3)個人行使《個人信息保護法》規定權利的方式和程式;(4)法律、行政法規規定應當告知的其他事項。
個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。通過自動化決策方式向個人進行信息推送、商業行銷,應當同時提供不針對其個人特徵的選項,或者向個人提供便捷的拒絕方式。
(二) 敏感個人信息的處理規則
敏感個人信息是一旦洩露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融帳戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。
處理敏感個人信息應當取得個人的單獨同意,法律、行政法規規定應取得書面同意的,還應取得個人的書面同意,並且應具備特定的目的和充分的必要性,採取嚴格保護措施。處理不滿十四周歲未成年人個人信息的,還應取得其父母或者其他監護人的同意,並制定專門的個人信息處理規則。
三、個人信息跨境提供的規則
(一) 跨境提供個人信息
個人信息處理者因業務等原因確需向境外提供個人信息的,應當具備下列條件之一:(1)通過國家網信部門組織的安全評估;(2)經專業機構進行個人信息保護認證;(3)與境外接收方訂立國家網信部門制定的標準合同;(4)法律、行政法規或者國家網信部門規定的其他條件。個人信息處理者還應當採取必要措施,保障境外接收方的處理活動達到規定的保護標準。
(二) 關鍵信息基礎設施運營者和大量個人信息處理者
關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,一般應當將在境內收集和產生的個人信息存儲在境內,確需向境外提供的,應當通過國家網信部門組織的安全評估,但法律、行政法規和國家網信部門規定可以不進行安全評估的除外。
(三) 司法互助和域外效力落實
在司法互助和域外效力的落實上,《個人信息保護法》還規定了個人信息處理者向境外的司法或執法機關提供儲存於境內的個人信息,須經主管機關批准。同時,對於境外主體有損害境內公民的信息權益、國家安全、公共利益的個人信息處理活動的,國家網信部門可以公告將其列入限制或者禁止清單;對於其他國家或地區對中華人民共和國採取歧視性的禁止、限制或者其他類似措施的,《個人信息保護法》規定可採取對等的反制措施。
四、個人在個人信息處理活動中的權利
(一) 決定、查閱、複製、更正、刪除權
《個人信息保護法》規定個人對其個人信息的處理享有知情權、決定權,有權限制或者拒絕他人對其個人信息進行處理,有權要求更正、補充、刪除其個人信息。個人有權向個人信息處理者查閱、複製其個人信息,並有權請求將個人信息轉移至其指定的個人信息處理者。另外,死者的近親屬可代其行使上述查閱、複製、更正、刪除等權利。
(二) 個人信息處理者應主動刪除的情形
當出現以下任一情況時,個人信息處理者應當主動刪除個人信息,個人亦有權請求其刪除:(1)處理目的已實現、無法實現或者為實現處理目的不再必要;(2)個人信息處理者停止提供產品或者服務,或者保存期限已屆滿;(3)個人撤回同意;(4)個人信息處理者違反法律、行政法規或者違反約定處理個人信息;(5)法律、行政法規規定的其他情形。
五、個人信息處理者的義務
(一) 一般要求
個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,採取相關措施確保個人信息處理活動符合法律、行政法規的規定,並防止未經授權的訪問以及個人信息洩露、篡改、丟失。如發生或者可能發生個人信息洩露、篡改、丟失的,個人信息處理者應當立即採取補救措施,並通知履行個人信息保護職責的部門和個人。
(二) 個人信息保護負責人
處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及採取的保護措施等進行監督,應公開其聯繫方式,同時向履行個人信息保護職責的部門報送個人信息保護負責人的姓名、聯繫方式等。
(三) 境外主體專門機構或者指定代表
受《個人信息保護法》管轄的境外個人信息處理者,應在境內設立專門機構或者指定代表,負責處理個人信息保護相關事務,並將有關機構的名稱或者代表的姓名、聯繫方式等報送履行個人信息保護職責的部門。
(四) 個人信息保護影響評估
有下列情形之一的,個人信息處理者應當事前進行個人信息保護影響評估,並對處理情況進行記錄:(1)處理敏感個人信息;(2)利用個人信息進行自動化決策;(3)委託處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息;(4)向境外提供個人信息;(5)其他對個人權益有重大影響的個人信息處理活動。
個人信息保護影響評估應當包括下列內容:(1)個人信息的處理目的、處理方式等是否合法、正當、必要;(2)對個人權益的影響及安全風險;(3)所採取的保護措施是否合法、有效並與風險程度相適應。個人信息保護影響評估報告和處理情況記錄應當至少保存三年。
(五) 重要個人信息處理者的特別義務
提供重要互聯網平臺服務、使用者數量巨大、業務類型複雜的個人信息處理者,應當履行下列義務:(1)按照國家規定建立健全個人信息保護合規制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督;(2)遵循公開、公平、公正的原則,制定平臺規則,明確平臺內產品或者服務提供者處理個人信息的規範和保護個人信息的義務;(3)對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者,停止提供服務;(4)定期發佈個人信息保護社會責任報告,接受社會監督。
六、監管部門及執法措施
國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照《個人信息保護法》和有關法律、行政法規的規定,在各自職責範圍內負責個人信息保護和監督管理工作。縣級以上地方人民政府有關部門的個人信息保護和監督管理職責,按照國家有關規定確定。
履行個人信息保護職責的部門履行個人信息保護職責,可以採取下列措施:(1)詢問有關當事人,調查與個人信息處理活動有關的情況;(2)查閱、複製當事人與個人信息處理活動有關的合同、記錄、帳簿以及其他有關資料;(3)實施現場檢查,對涉嫌違法的個人信息處理活動進行調查;(4)檢查與個人信息處理活動有關的設備、物品;對有證據證明是用於違法個人信息處理活動的設備、物品,向本部門主要負責人書面報告並經批准,可以查封或者扣押。履行個人信息保護職責的部門依法履行職責,當事人應當予以協助、配合,不得拒絕、阻撓。
七、法律責任
違法處理個人信息的行為,除根據《刑法》、《民法典》和《治安管理處罰法》等應承擔的刑事、民事和行政責任外,《個人信息保護法》還規定了以下法律責任。
違反規定處理個人信息,未盡到個人信息保護義務的,可被處以責令改正、警告並沒收違法所得,對違法處理個人信息的應用程式,責令暫停或者終止提供服務,拒不改正的,可並處一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。違法情節嚴重的,可並處五千萬元以下或者上一年度營業額百分之五以下罰款,並可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,並可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。
[1] 作者為上海理慈律師事務所律師與顧問,惟本文內容為個人意見,不代表事務所立場。