张凯旋律师、黄郁婷顾问[1]
2021年8月20日,全国人民代表大会常务委员会通过了《个人信息保护法》,自2021年11月1日起施行。《个人信息保护法》的主要内容如下:
一、适用范围及定义
(一) 适用范围
除了在中华人民共和国境内处理自然人个人信息的活动适用《个人信息保护法》外,《个人信息保护法》也有一定的域外效力,在境外处理境内自然人个人信息的活动,有下列情形之一的,也适用《个人信息保护法》:(1)以向境内自然人提供产品或者服务为目的;(2)分析、评估境内自然人的行为;(3)法律、行政法规规定的其他情形。
(二) 个人信息的定义
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
二、个人信息的处理规则
(一) 一般规则:“告知—同意”规则及例外
个人信息处理者处理个人信息应当进行充分的告知并取得个人自愿、明确的同意,但如下情形例外:(1)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(2)为履行法定职责或者法定义务所必需;(3)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(4)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(5)依照《个人信息保护法》规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(6)法律、行政法规规定的其他情形。
个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(1)个人信息处理者的名称或者姓名和联系方式;(2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(3)个人行使《个人信息保护法》规定权利的方式和程序;(4)法律、行政法规规定应当告知的其他事项。
个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
(二) 敏感个人信息的处理规则
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
处理敏感个人信息应当取得个人的单独同意,法律、行政法规规定应取得书面同意的,还应取得个人的书面同意,并且应具备特定的目的和充分的必要性,采取严格保护措施。处理不满十四周岁未成年人个人信息的,还应取得其父母或者其他监护人的同意,并制定专门的个人信息处理规则。
三、个人信息跨境提供的规则
(一) 跨境提供个人信息
个人信息处理者因业务等原因确需向境外提供个人信息的,应当具备下列条件之一:(1)通过国家网信部门组织的安全评估;(2)经专业机构进行个人信息保护认证;(3)与境外接收方订立国家网信部门制定的标准合同;(4)法律、行政法规或者国家网信部门规定的其他条件。个人信息处理者还应当采取必要措施,保障境外接收方的处理活动达到规定的保护标准。
(二) 关键信息基础设施运营者和大量个人信息处理者
关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,一般应当将在境内收集和产生的个人信息存储在境内,确需向境外提供的,应当通过国家网信部门组织的安全评估,但法律、行政法规和国家网信部门规定可以不进行安全评估的除外。
(三) 司法互助和域外效力落实
在司法互助和域外效力的落实上,《个人信息保护法》还规定了个人信息处理者向境外的司法或执法机关提供储存于境内的个人信息,须经主管机关批准。同时,对于境外主体有损害境内公民的信息权益、国家安全、公共利益的个人信息处理活动的,国家网信部门可以公告将其列入限制或者禁止清单;对于其他国家或地区对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,《个人信息保护法》规定可采取对等的反制措施。
四、个人在个人信息处理活动中的权利
(一) 决定、查阅、复制、更正、删除权
《个人信息保护法》规定个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理,有权要求更正、补充、删除其个人信息。个人有权向个人信息处理者查阅、复制其个人信息,并有权请求将个人信息转移至其指定的个人信息处理者。另外,死者的近亲属可代其行使上述查阅、复制、更正、删除等权利。
(二) 个人信息处理者应主动删除的情形
当出现以下任一情况时,个人信息处理者应当主动删除个人信息,个人亦有权请求其删除:(1)处理目的已实现、无法实现或者为实现处理目的不再必要;(2)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(3)个人撤回同意;(4)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(5)法律、行政法规规定的其他情形。
五、个人信息处理者的义务
(一) 一般要求
个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取相关措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。如发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。
(二) 个人信息保护负责人
处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督,应公开其联系方式,同时向履行个人信息保护职责的部门报送个人信息保护负责人的姓名、联系方式等。
(三) 境外主体专门机构或者指定代表
受《个人信息保护法》管辖的境外个人信息处理者,应在境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
(四) 个人信息保护影响评估
有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:(1)处理敏感个人信息;(2)利用个人信息进行自动化决策;(3)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;(4)向境外提供个人信息;(5)其他对个人权益有重大影响的个人信息处理活动。
个人信息保护影响评估应当包括下列内容:(1)个人信息的处理目的、处理方式等是否合法、正当、必要;(2)对个人权益的影响及安全风险;(3)所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。
(五) 重要个人信息处理者的特别义务
提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:(1)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;(2)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;(3)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;(4)定期发布个人信息保护社会责任报告,接受社会监督。
六、监管部门及执法措施
国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照《个人信息保护法》和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。
履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:(1)询问有关当事人,调查与个人信息处理活动有关的情况;(2)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;(3)实施现场检查,对涉嫌违法的个人信息处理活动进行调查;(4)检查与个人信息处理活动有关的设备、物品;对有证据证明是用于违法个人信息处理活动的设备、物品,向本部门主要负责人书面报告并经批准,可以查封或者扣押。履行个人信息保护职责的部门依法履行职责,当事人应当予以协助、配合,不得拒绝、阻挠。
七、法律责任
违法处理个人信息的行为,除根据《刑法》、《民法典》和《治安管理处罚法》等应承担的刑事、民事和行政责任外,《个人信息保护法》还规定了以下法律责任。
违反规定处理个人信息,未尽到个人信息保护义务的,可被处以责令改正、警告并没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务,拒不改正的,可并处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。违法情节严重的,可并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
[1] 作者为上海理慈律师事务所律师与顾问,惟本文内容为个人意见,不代表事务所立场。