溫堅堅律師[1]
一、个人信息保护相关之法律法规
1. 2009年2月28日,《中华人民共和国刑法修正案(七)》(2009年2月28日起施行)增设国家机关或者金融、电信、交通、教育、医疗等单位的工作人员出售、非法提供公民个人信息罪和非法获取公民个人信息罪,首次将特定人员非法获取、出售或非法提供公民个人信息的行为纳入了刑事规制的范围。
2. 2013年10月25日,《全国人民代表大会常务委员会关于修改〈中华人民共和国消费者权益保护法〉的决定》(2014年3月15日起施行)明确经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
3. 2014年8月21日,《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(2014年10月10日起施行)明确规定利用信息网络侵害个人信息的民事责任。
4. 2015年8月29日,《中华人民共和国刑法修正案(九)》(2015年11月1日起施行)修改刑法第二百五十三条之一,扩大了犯罪主体的范畴,明确规定向他人出售或者提供公民个人信息,情节严重的,应负担刑事责任,此外,违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的应当从重处罚,并将罪名修改为“侵犯公民个人信息罪”,同时取消个别的“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。
5. 2016年11月7日,《中华人民共和国网络安全法》(2017年6月1日施行)规定个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。并在第四章以专章的形式对网络信息安全进行了系统规定。网络运营商应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。并且,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。再者,网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息,不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
6. 2017年3月15日,《中华人民共和国民法总则》(2017年10月1日起施行)明确规定自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
7. 2017年5月8日,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017年6月1日起施行)主要明确了公民个人信息的范围、侵犯公民个人信息罪的定罪量刑标准以及侵犯公民个人信息犯罪所涉及的犯罪竞合、单位犯罪、数量计算等问题。
二、《草案》亮点之解读
1. 设定域外适用效力
《草案》第三条规定了法律的适用范围,其规定除了在境内处理自然人个人信息的活动适用《草案》,亦明确规定在境外处理境内自然人个人信息的活动,有以下情形之一的,也适用《草案》:(一)以向境内自然人提供产品或者服务为目的;(二)为分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。《草案》借鉴了欧盟《通用数据保护条例》(GDPR)的长臂管辖,设定域外适用效力,以此增强对个人信息的保护。
2. 健全个人信息处理规则
1) 明确个人信息处理的六大原则
《草案》明确了处理个人信息应当遵守的六大原则:诚信原则(第五条)、目的明确合理原则(第六条)、最小必要原则(第六条)、公开透明原则(第七条)、信息准确原则(第八条)、信息处理可归责原则(第九条)。
2) 扩大处理个人信息的合法性基础
《草案》突破《网络安全法》中对处理个人信息的唯一合法性基础,而是在《民法典》规定的基础上扩大了可处理个人信息的合法性基础。根据《草案》第十三条规定,符合以下情形之一的,个人信息处理者即可处理个人信息:(一)取得个人的同意;(二)为订立或者履行个人作为一方当事人的合同所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报导、舆论监督等行为在合理的范围内处理个人信息;(六)法律、行政法规规定的其他情形。
3) 明确处理个人信息应当取得单独同意的情形
| 法律要求 | 法律规定 |
| 单独同意 | 个人信息处理者向第三方提供其处理的个人信息(第二十四条) |
| 个人信息处理者公开其处理的个人信息(第二十六条) | |
| 公开或提供在公共场所安装图像采集、个人身份识别设备所收集的个人图像、个人身份特征信息(第二十七条) | |
| 基于个人同意处理敏感个人信息(第三十条) | |
| 个人信息处理者向境外提供个人信息(第三十九条) |
3. 明确个人信息主体的权利和信息处理者应当承担的义务
《草案》第四章以专章形式规定了个人在个人信息处理活动中的权利,具体包括:知情、决定权(第四十四条)、查阅、复制权(第四十五条)、更正、补充权(第四十六条)、删除权(第四十七条)、要求解释、说明权(第四十八条)、要求个人信息处理者建立个人权利行使之申请受理和处理机制权(第四十九条)。《草案》第五章在多方面对个人信息处理者明确了义务,从事前风险评估(第五十四条)、事中合规(第五十条)及事后补救(第五十五条)多方确保个人信息的安全。
4. 明确个人信息跨境提供规则
《草案》第四十条明确了个人信息存储应本地化的要求。根据该规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。《草案》第三十八条明确跨境提供信息的条件。根据该条规定,符合以下四种情况之一可向境外提供个人信息:(一)依法经过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到《草案》规定的个人信息保护标准、以及(四)法律、行政法规或者国家网信部门规定的其他条件。
5. 严格法律责任,增加公益诉讼
《草案》第六十二条规定违反处理个人信息行为最高将面临“五千万元以下或者上一年度营业额百分之五以下罚款”,并可以责令暂停相关业务、停业整顿、吊销业务许可或营业执照。相比于《网络安全法》规定的一百万罚款上限,大幅提升了惩戒的力度,更彰显了国家保护个人信息的力度和决心。
此外,《草案》第六十六条还引入了针对违反处理个人信息处理者的公益诉讼制度,就个人信息处理者违反《草案》规定处理个人信息,侵害众多个人的权益的,人民检察院、履行个人信息保护职责部门和国家网信部门确定的组织均可以依法向人民法院提起诉讼。
三、结论
《草案》征求意见期间已截至2020年11月19日,根据全国人大常委会法制工作委员会发言人表示,将把《草案》安排在2021年的常委会会议上继续审议,争取早日颁布。期待这部备受关注,号称为个人信息“保护伞”的《草案》能尽早实施,以便整合长久以来个人信息保护法规分散在个别法律条文的困境。
[1] 作者为上海理慈律师事务所律师,惟本文内容为个人意见,不代表事务所立场。