個人信息保護新紀元——《個人信息保護法》下的數據合規要點解讀
文\文曉歡
北京岳成律師事務所北京總所律師助理
千呼萬喚始出來,2021 年 8 月 20 日,歷經三讀的《個人信息保護法》正式通過,結束了中國個人信息保護基本法律缺位的歷史,開啟了一個時代的新篇章。《網絡安全法》、《數據安全法》和《個人信息保護法》,共同搭建了中國網絡安全領域的法律框架,為數字時代的網絡安全、數據安全、個人信息權益保護提供了基礎制度保障。
一、個人信息之內涵
我國法律法規對個人信息的定義及范圍的相關規定主要有:
法律法規名稱 | 個人信息定義及范圍 |
《民法典》 | 第一千零三十四條第二款個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息, 包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。 |
《網絡安全法》 | 第七十六條(五)個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息包括但不限于自然人的姓名、出生日期、身份證件號碼、個人 生物識別信息、住址、電話號碼等。 |
《個人信息保護法》 | 第四條個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。 |
《信息安全技術個人信息安全規范》 | 3.1 個人信息以電子或其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或反映特定自然人活動情況的各種信 息。 |
《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》 | 第一條刑法第二百五十三條之一規定的“公民個人信息”, 是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。 |
何為個人信息?通過上表可見,《個人信息保護法》在《網絡安全法》以及《民法典》規定的“識別” 的基礎上,將個人信息的識別區分為“已識別”及“可識別”表述,即《個人信息保護法》對個人信息的定義采納了《個人信息安全規范》個人信息定義的最寬入口模式,無論是識別法(從信息到個人) 或關聯法(從個人到信息)得到的信息均屬于個人信息,一定程度上擴大了個人信息保護的范圍。
二、個人信息處理的重要規則
1、知情同意不再是處理個人信息的唯一合法基礎《個人信息保護法》第十三條列舉了多項處理個人信息無需取得個人同意的情形 , 包括:
(1)為履行合同、實施人力資源管理所必需;
(2)為履行法定義務所必需;
(3)為應對突發公共衛生事件所必需;
(4)為保護生命安全和財產安全所必需;
(5)為公共利益實施新聞報道等所必需;
(6)在合理范圍內處理已公開的個人信息。
上述規定很大程度上放寬了個人信息處理的限制,突破了“告知同意”為核心的個人信息處理規則, 未來“知情同意”將不再是處理個人信息唯一的合法基礎,這將進一步平衡個人信息保護與信息合理使用之間的矛盾,促進創新商業發展。
2、處理敏感個人信息應取得單獨同意
“個人信息”系《民法典》所第五章所規定的“民事權利”之一,與《民法典》第五章相呼應,《個人信息保護法》設專章對與人格尊嚴、人身財產安全直接相關的敏感個人信息進行詳細規定。
個人信息可以分為一般個人信息與敏感個人信息,在《個人信息保護法》中,敏感個人信息指生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息。敏感個人信息受法律嚴格保護,《個人信息保護法》要求,只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,方可處理敏感個人信息,同時應當事前進行影響評估,并向個人告知處理的必要性以及對個人權益的影響。需特別注意的是,《個人信息保護法》已將不滿十四周歲未成年人的個人信息也歸納于敏感個人信息。基于“知情同意”原則 ,《個人信息保護法》第二十九條進一步要求處理敏感個人信息應取得個人的“單獨同意”。
3、嚴格監管向第三方提供和共享個人信息
向第三方提供和共享個人信息,一直以來都受到嚴厲監管。《網絡安全法》第四十二條規定,網絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是, 經過處理無法識別特定個人且不能復原的除外。此外,我國《刑法》第二百五十三條之一第三款規定, 竊取或者以其他方法非法獲取公民個人信息的,依照第一款的規定處罰。《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第三條第二款規定,未經被收集者同意,將合法收集的公民個人信息向他人提供的,屬于刑法第二百五十三條之一規定的“提供公民個人信息”,但是經過處理無法識別特定個人且不能復原的除外。
而新出臺的《個人信息保護法》第二十一至二十三條對“向第三方提供個人信息”進行了明確的限制。個人信息處理者向其他個人信息處理者提供其處理的個人信息的,應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。接收方變更原先的處理目的、處理方式的,應當依照本法規定重新取得個人同意。
企業對外提供個人信息 , 還需滿足其他條件 , 包括 :
(1)履行告知義務;
(2)獲取單獨同意;
(3)事先進行風險評估;
(4)采取必要措施保障境外處理活動達到個人信息保護標準。
三、加強對侵犯個人信息行為的懲處互聯網時代飛速發展,侵犯個人信息的行為亦層出不窮。順應時代要求,《個人信息保護法》加強了對侵犯個人信息行為的懲處。
如《個人信息保護法》第六十六條,針對違法處理個人信息,或者處理個人信息未履行《個 人信息保護法》所規定個人信息保護義務的,設置了三類處罰措施:(1)暫停或終止服務;(2) 大額罰款;(3)市場禁入。
《個人信息保護法》圍繞個人信息的處理,從處理規則、跨境提供、個人權利、處理者義務、保護職責部門以及法律責任等不同角度確立了相應規則,并且針對敏感個人信息和國家機關處理 強調了特別規則,加強了對侵犯個人信息行為的懲處力度,開啟了我國個人信息保護的新紀元。
