8月20日,十三屆全國人大常委會第三十次會議通過了個人信息保護法���,將于2021年11月1日起施行�����。
個人信息保護法共8章74條�����,明確了個人信息處理活動應(yīng)遵循的原則���,構(gòu)建以“告知-同意”為核心的個人信息處理規(guī)則,保障個人在個人信息處理活動中的各項權(quán)利���,強化個人信息處理者的義務(wù)��,明確個人信息保護的監(jiān)管職責(zé)�,并設(shè)置嚴(yán)格的法律責(zé)任�����。全國人大常委會組成人員普遍表示�����,這部專門法律充分回應(yīng)了社會關(guān)切,為破解個人信息保護中的熱點難點問題提供了強有力的法律保障����。
確立個人信息保護原則
個人信息保護的原則是收集、使用個人信息的基本遵循����,是構(gòu)建個人信息保護具體規(guī)則的制度基礎(chǔ)。
強調(diào)處理個人信息應(yīng)當(dāng)遵循合法�、正當(dāng)、必要和誠信原則����,具有明確、合理的目的并與處理目的直接相關(guān)�,采取對個人權(quán)益影響最小的方式��,限于實現(xiàn)處理目的的最小范圍��,公開處理規(guī)則��,保證信息質(zhì)量�����,采取安全保護措施等,這些原則應(yīng)當(dāng)貫穿于個人信息處理的全過程��、各環(huán)節(jié)�。
“‘告知-同意’是法律確立的個人信息保護核心規(guī)則,是保障個人對其個人信息處理知情權(quán)和決定權(quán)的重要手段��。”全國人大常委會法工委經(jīng)濟法室副主任楊合慶在答記者問時說��。
個人信息保護法要求處理個人信息�����,應(yīng)當(dāng)在事先充分告知的前提下取得個人同意����,個人信息處理的重要事項發(fā)生變更的應(yīng)當(dāng)重新向個人告知并取得同意。
同時�����,針對現(xiàn)實生活中社會反映強烈的一攬子授權(quán)�����、強制同意等問題,個人信息保護法特別要求個人信息處理者在處理敏感個人信息����、向他人提供或公開個人信息、跨境轉(zhuǎn)移個人信息等環(huán)節(jié)應(yīng)取得個人的單獨同意�����,明確個人信息處理者不得過度收集個人信息��,不得以個人不同意為由拒絕提供產(chǎn)品或者服務(wù)���,并賦予個人撤回同意的權(quán)利�����,在個人撤回同意后��,個人信息處理者應(yīng)當(dāng)停止處理或及時刪除其個人信息�����。
此外,考慮到個人信息處理的場景日益多樣,個人信息保護法還對取得個人同意以外可以合法處理個人信息的特定情形作了規(guī)定�。比如,針對濫用人臉識別技術(shù)問題��,本法要求�����,在公共場所安裝圖像采集��、個人身份識別設(shè)備��,應(yīng)設(shè)置顯著的提示標(biāo)識��;所收集的個人圖像���、身份識別信息只能用于維護公共安全的目的�����。
禁止“大數(shù)據(jù)殺熟”等行為
當(dāng)前���,有一些企業(yè)通過掌握消費者的經(jīng)濟狀況、消費習(xí)慣�、對價格的敏感程度等信息����,對消費者在交易價格等方面實行歧視性的差別待遇�,誤導(dǎo)、欺詐消費者���,其中最典型的就是“大數(shù)據(jù)殺熟”����。
對此����,個人信息保護法明確規(guī)定:個人信息處理者利用個人信息進行自動化決策,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平�����、公正�����,不得對個人在交易價格等交易條件上實行不合理的差別待遇�����。
嚴(yán)格保護敏感個人信息
個人信息保護法將生物識別、宗教信仰�、特定身份�����、醫(yī)療健康��、金融賬戶�、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息列為敏感個人信息�����。
楊合慶表示�����,主要考慮是此類信息一旦泄露或者被非法使用����,極易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害����,對處理敏感個人信息的活動應(yīng)當(dāng)作出更加嚴(yán)格的限制�。
對此����,個人信息保護法要求只有在具有特定的目的和充分的必要性,并采取嚴(yán)格保護措施的情形下�,方可處理敏感個人信息,同時應(yīng)當(dāng)在事前進行影響評估��,并向個人告知處理的必要性以及對個人權(quán)益的影響����。
賦予個人充分的權(quán)利、強化個人信息處理者的義務(wù)
個人信息保護法將個人在個人信息處理活動中的各項權(quán)利����,包括知悉個人信息處理規(guī)則和處理事項、同意和撤回同意�����,以及個人信息的查詢�����、復(fù)制���、更正����、刪除等總結(jié)提升為知情權(quán)、決定權(quán)�,明確個人有權(quán)限制個人信息的處理���。
同時��,為了適應(yīng)互聯(lián)網(wǎng)應(yīng)用和服務(wù)多樣化的實際�,滿足日益增長的跨平臺轉(zhuǎn)移個人信息的需求����,個人信息保護法對個人信息可攜帶權(quán)作了原則規(guī)定,要求在符合國家網(wǎng)信部門規(guī)定條件的情形下���,個人信息處理者應(yīng)當(dāng)為個人提供轉(zhuǎn)移其個人信息的途徑��。
“個人信息處理者是個人信息保護的第一責(zé)任人�����。”楊合慶介紹說��,個人信息保護法強調(diào)���,個人信息處理者應(yīng)當(dāng)對其個人信息處理活動負(fù)責(zé)��,并采取必要措施保障所處理的個人信息的安全�����。
在此基礎(chǔ)上����,個人信息保護法設(shè)專章明確了個人信息處理者的合規(guī)管理和保障個人信息安全等義務(wù)���,要求個人信息處理者按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程����,采取相應(yīng)的安全技術(shù)措施�����,指定負(fù)責(zé)人對其個人信息處理活動進行監(jiān)督�,定期對其個人信息活動進行合規(guī)審計,對處理敏感個人信息、利用個人信息進行自動化決策��、對外提供或公開個人信息等高風(fēng)險處理活動進行事前影響評估���,履行個人信息泄露通知和補救義務(wù)等��。
加大違法處理個人信息行為的懲戒力度
個人信息保護法根據(jù)個人信息處理的不同情況�,對違法處理個人信息的行為設(shè)置了不同梯次的行政處罰����。對未造成嚴(yán)重后果的輕微或一般違法行為���,可由執(zhí)法部門責(zé)令改正�����、給予警告���、沒收違法所得,對拒不改正的最高可處一百萬元罰款����;對情節(jié)嚴(yán)重的違法行為,最高可處五千萬元或上一年度營業(yè)額百分之五的罰款�,并可以對相關(guān)責(zé)任人員作出相關(guān)從業(yè)禁止的處罰����。同時�,個人信息保護法還專門規(guī)定,對違法處理個人信息的應(yīng)用程序���,可以責(zé)令暫?����;蚪K止提供服務(wù)�。
在民事責(zé)任方面��,個人信息保護法明確��,處理個人信息侵害個人信息權(quán)益造成損害的����,個人信息處理者如不能證明自己沒有過錯的,應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任�����。
同時,個人信息保護法還對侵害眾多個人權(quán)益的民事公益訴訟作了規(guī)定���。
京公網(wǎng)安備 11010202007567號京ICP備17054264號
