個人信息保護相關法律之梳理(中國大陸)

溫堅堅律師[1]

大資料時代,在資料信息給我們生活帶來便利的同時,個人信息的洩露問題也在日漸凸顯。正因如此個人信息的保護問題成為了當今社會大家所關注的焦點。儘管中國的多項法律法規中均有零星涉及個人信息保護問題,然針對個人信息保護的專項法律一直處於空缺狀態,直至2020年10月21日《中華人民共和國個人信息保護法(草案)》(下稱“《草案》”)才正式發佈。本文旨在對中國目前針對個人信息保護的主要法律法規予以梳理並就《草案》中的亮點進行簡要說明,以供大家參考。

一、個人信息保護相關之法律法規

1. 2009228《中華人民共和國刑法修正案(七)》(2009年2月28日起施行)增設國家機關或者金融、電信、交通、教育、醫療等單位的工作人員出售、非法提供公民個人信息罪和非法獲取公民個人信息罪,首次將特定人員非法獲取、出售或非法提供公民個人信息的行為納入了刑事規制的範圍。

2. 20131025《全國人民代表大會常務委員會關於修改〈中華人民共和國消費者權益保護法〉的決定》(2014年3月15日起施行)明確經營者收集、使用消費者個人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和範圍,並經消費者同意。經營者收集、使用消費者個人信息,應當公開其收集、使用規則,不得違反法律、法規的規定和雙方的約定收集、使用信息。經營者及其工作人員對收集的消費者個人信息必須嚴格保密,不得洩露、出售或者非法向他人提供。經營者應當採取技術措施和其他必要措施,確保信息安全,防止消費者個人信息洩露、丟失。在發生或者可能發生信息洩露、丟失的情況時,應當立即採取補救措施。

3. 2014821《最高人民法院關於審理利用信息網路侵害人身權益民事糾紛案件適用法律若干問題的規定》(2014年10月10日起施行明確規定利用資訊網路侵害個人信息的民事責任。

4. 2015829日,《中華人民共和國刑法修正案(九)》(2015年11月1日起施行)修改刑法第二百五十三條之一,擴大了犯罪主體的範疇,明確規定向他人出售或者提供公民個人信息,情節嚴重的,應負擔刑事責任,此外,違反國家有關規定,將在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人的應當從重處罰,並將罪名修改為“侵犯公民個人信息罪”,同時取消個別的“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”。

5. 2016117日,《中華人民共和國網路安全法》(2017年6月1日施行)規定個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。並在第四章以專章的形式對網路信息安全進行了系統規定。網路運營商應當對其收集的使用者信息嚴格保密,並建立健全使用者信息保護制度。並且,網路運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。再者,網路運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,並應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息,不得洩露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。

6. 2017315日,《中華人民共和國民法總則》(2017年10月1日起施行)明確規定自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得並確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。

7. 201758日,《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(2017年6月1日起施行)主要明確了公民個人信息的範圍、侵犯公民個人信息罪的定罪量刑標準以及侵犯公民個人信息犯罪所涉及的犯罪競合、單位犯罪、數量計算等問題。

二、《草案》亮點之解讀

1. 設定域外適用效力

《草案》第三條規定了法律的適用範圍,其規定除了在境內處理自然人個人信息的活動適用《草案》,亦明確規定在境外處理境內自然人個人信息的活動,有以下情形之一的,也適用《草案》:(一)以向境內自然人提供產品或者服務為目的;(二)為分析、評估境內自然人的行為;(三)法律、行政法規規定的其他情形。《草案》借鑒了歐盟《通用資料保護條例》(GDPR)的長臂管轄,設定域外適用效力,以此增強對個人信息的保護。

2. 健全個人信息處理規則

1) 明確個人信息處理的六大原則

《草案》明確了處理個人信息應當遵守的六大原則:誠信原則(第五條)、目的明確合理原則(第六條)、最小必要原則(第六條)、公開透明原則(第七條)、信息準確原則(第八條)、信息處理可歸責原則(第九條)。

2) 擴大處理個人信息的合法性基礎

《草案》突破《網路安全法》中對處理個人信息的唯一合法性基礎,而是在《民法典》規定的基礎上擴大了可處理個人信息的合法性基礎。根據《草案》第十三條規定,符合以下情形之一的,個人信息處理者即可處理個人信息:(一)取得個人的同意;(二)為訂立或者履行個人作為一方當事人的合同所必需;(三)為履行法定職責或者法定義務所必需;(四)為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;(五)為公共利益實施新聞報導、輿論監督等行為在合理的範圍內處理個人信息;(六)法律、行政法規規定的其他情形。

3) 明確處理個人信息應當取得單獨同意的情形

法律要求 法律規定
單獨同意 個人信息處理者向協力廠商提供其處理的個人信息(第二十四條)
個人信息處理者公開其處理的個人信息(第二十六條)
公開或提供在公共場所安裝圖像採集、個人身份識別設備所收集的個人圖像、個人身份特徵信息(第二十七條)
基於個人同意處理敏感個人信息(第三十條)
個人信息處理者向境外提供個人信息(第三十九條)

3. 明確個人信息主體的權利和信息處理者應當承擔的義務

《草案》第四章以專章形式規定了個人在個人信息處理活動中的權利,具體包括:知情、決定權(第四十四條)、查閱、複製權(第四十五條)、更正、補充權(第四十六條)、刪除權(第四十七條)、要求解釋、說明權(第四十八條)、要求個人信息處理者建立個人權利行使之申請受理和處理機制權(第四十九條)。《草案》第五章在多方面對個人信息處理者明確了義務,從事前風險評估(第五十四條)、事中合規(第五十條)及事後補救(第五十五條)多方確保個人信息的安全。

4. 明確個人信息跨境提供規則

《草案》第四十條明確了個人信息存儲應當地語系化的要求。根據該規定,關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的,應當通過國家網信部門組織的安全評估;法律、行政法規和國家網信部門規定可以不進行安全評估的,從其規定。《草案》第三十八條明確跨境提供信息的條件。根據該條規定,符合以下四種情況之一可向境外提供個人信息:(一)依法經過國家網信部門組織的安全評估;(二)按照國家網信部門的規定經專業機構進行個人信息保護認證;(三)與境外接收方訂立合同,約定雙方的權利和義務,並監督其個人信息處理活動達到《草案》規定的個人信息保護標準、以及(四)法律、行政法規或者國家網信部門規定的其他條件。

5. 嚴格法律責任,增加公益訴訟

《草案》第六十二條規定違反處理個人信息行為最高將面臨“五千萬元以下或者上一年度營業額百分之五以下罰款”,並可以責令暫停相關業務、停業整頓、吊銷業務許可或營業執照。相比于《網路安全法》規定的一百萬罰款上限,大幅提升了懲戒的力度,更彰顯了國家保護個人信息的力度和決心。

此外,《草案》第六十六條還引入了針對違反處理個人信息處理者的公益訴訟制度,就個人信息處理者違反《草案》規定處理個人信息,侵害眾多個人的權益的,人民檢察院、履行個人信息保護職責部門和國家網信部門確定的組織均可以依法向人民法院提起訴訟。 

三、結論

《草案》徵求意見期間已截至2020年11月19日,根據全國人大常委會法制工作委員會發言人表示,將把《草案》安排在2021年的常委會會議上繼續審議,爭取早日頒佈。期待這部備受關注,號稱為個人信息“保護傘”的《草案》能儘早實施,以便整合長久以來個人信息保護法規分散在個別法律條文的困境。


[1] 作者為上海理慈律師事務所律師,惟本文內容為個人意見,不代表事務所立場。