《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 《中華人民共和國個人信息保護(hù)法》解讀

《中華人民共和國個人信息保護(hù)法》解讀

2021-08-24
來源: 綠盟科技

  2021年8月20日,,第十三屆全國人民代表大會常務(wù)委員會第三十次會議通過《中華人民共和國個人信息保護(hù)法》(以下簡稱“《個人信息保護(hù)法》”)。自2020年10月以來,,《個人信息保護(hù)法》歷經(jīng)三次審議與修訂后,,將于2021年11月1日正式施行,。

  1. 背景介紹

  1.1 發(fā)布背景

  最新數(shù)據(jù)顯示:2020年中國網(wǎng)民總體規(guī)模已占全球網(wǎng)民的五分之一,2020年中國網(wǎng)民規(guī)模為9.89億人,。而互聯(lián)網(wǎng)網(wǎng)站443萬個,手機(jī)應(yīng)用程序數(shù)量302萬款,。2021年以來,,國家網(wǎng)信辦對地圖導(dǎo)航、運(yùn)動健身,、短視頻等十多種類型的手機(jī)應(yīng)用程序進(jìn)行了檢測,。351款A(yù)PP因違法收集個人信息被通報(bào),25款因嚴(yán)重違法違規(guī)收集使用個人信息被下架,。

  “為及時回應(yīng)廣大人民群眾的呼聲和期待,,落實(shí)黨中央部署要求,制定一部個人信息保護(hù)方面的專門法律,,將廣大人民群眾的個人信息權(quán)益實(shí)現(xiàn)好,、維護(hù)好、發(fā)展好,,具有重要意義,。”全國人大常委會法工委副主任劉俊臣表示,,制定個人信息保護(hù)法是進(jìn)一步加強(qiáng)個人信息保護(hù)法制保障的客觀要求,,是維護(hù)網(wǎng)絡(luò)空間良好生態(tài)的現(xiàn)實(shí)需要,也是促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展的重要舉措,。

  從現(xiàn)有頒布的法律來看,,雖有部分內(nèi)容與個人信息保護(hù)的相關(guān),但在社會實(shí)踐中,,這些法律的適用大多規(guī)定的較為原則,,并不能滿足公民對個人信息保護(hù)的各類迫切需求。此外,,縱觀其他法規(guī)及規(guī)范性文件,,例如《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273—2020)等規(guī)定,,雖然在司法案例中起到著極強(qiáng)的合規(guī)參考價值,但其同時也存在著一定的滯后性,,并不能夠適應(yīng)各類互聯(lián)網(wǎng)企業(yè)的合規(guī)需要,。近年來,對個人信息濫用的案例不斷涌現(xiàn),,對司法及行政監(jiān)管部門也帶來了較大挑戰(zhàn),。

  1.2 發(fā)展歷程

  自2003年起,我國就啟動了保護(hù)個人信息的立法程序,。經(jīng)過了十幾年不斷摸索,,個人信息保護(hù)立法才逐漸趨于完善。以下從幾個重要時間節(jié)點(diǎn)進(jìn)一步說明:

  2003年,,《個人信息保護(hù)法》專家建議稿開始起草,,2005年初已經(jīng)完成;

  2009年,,《刑法修正案(七)》第7條將非法提供與獲取公民個人信息行為納入刑法規(guī)制,;

  2013年,《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》對“公民個人電子信息”做了界定,,并明確了信息收集,、使用的原則和相關(guān)規(guī)則;

  2017年,,《網(wǎng)絡(luò)安全法》的實(shí)施,,對“公民個人信息”進(jìn)一步界定、對用戶“知情同意”作出明確規(guī)定,、對“網(wǎng)絡(luò)運(yùn)營者”提出明確要求,;

  2020年,《民法典》強(qiáng)調(diào)“以人為本”,,加大了對公民隱私權(quán)和個人信息的保護(hù)力度,;

  2020年6月,全國人大常委會調(diào)整2020年度立法工作計(jì)劃,,個人信息保護(hù)法草案將提請審議,。

  《個人信息保護(hù)法》在2018年被列入全國人大常委會未來五年任期的立法議程中,經(jīng)歷了從2020年初次評審到2021年的二審,、三審,,《個人信息保護(hù)法》的具體內(nèi)容也不斷發(fā)生變化。

  1.3 法律地圖

  本文從國家法律,、行政法規(guī),、司法解釋、部門規(guī)章、技術(shù)規(guī)范五個層面入手,,梳理國內(nèi)數(shù)據(jù)安全與個人信息保護(hù)相關(guān)制度,,整理形成可直觀查看的“中國數(shù)據(jù)新秩序的法律地圖”。

  國內(nèi)安全工作堅(jiān)持總體國家安全觀,,在不同領(lǐng)域均有相關(guān)文件指導(dǎo)安全工作,。其中與數(shù)據(jù)安全和個人信息保護(hù)領(lǐng)域相關(guān)性較強(qiáng)的有:民事領(lǐng)域通過了《民法典》;在網(wǎng)絡(luò)空間安全領(lǐng)域,,具有《網(wǎng)絡(luò)安全法》,、等保2.0系列標(biāo)準(zhǔn)、《網(wǎng)絡(luò)安全審查辦法》等,;在數(shù)據(jù)安全領(lǐng)域:具有剛剛出臺的《數(shù)據(jù)安全法》,。在個人信息保護(hù)領(lǐng)域,具有剛頒布的《個人信息保護(hù)法》,。在兒童個人信息領(lǐng)域,、密碼領(lǐng)域、網(wǎng)絡(luò)犯罪,、消費(fèi)者權(quán)益保護(hù),、電子商務(wù)等領(lǐng)域也有專門立法??傮w來說,《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》與《個人信息保護(hù)法》在總體國家安全觀框架下,,共同構(gòu)成了我國數(shù)據(jù)新秩序下的三根支柱,。

  2. 內(nèi)容解讀

  2.1 概述

  在信息化時代,個人信息保護(hù)已成為廣大人民群眾最關(guān)心最直接最現(xiàn)實(shí)的利益問題之一,?!秱€人信息保護(hù)法》堅(jiān)持和貫徹以人民為中心的法治理念,牢牢把握保護(hù)人民群眾個人信息權(quán)益的立法定位,,聚焦個人信息保護(hù)領(lǐng)域的突出問題和人民群眾的重大關(guān)切,。

  全文共八章七十四條,明確了法律適用范圍,,聚焦目前個人信息保護(hù)的突出問題,,在有關(guān)法律的基礎(chǔ)上,該法進(jìn)一步細(xì)化,、完善個人信息保護(hù)應(yīng)遵循的原則和個人信息處理規(guī)則,,明確個人信息處理活動中的權(quán)利義務(wù)邊界,健全個人信息保護(hù)工作機(jī)制,。確立以“告知—同意”為核心的個人信息處理規(guī)則,,落實(shí)國家機(jī)關(guān)保護(hù)責(zé)任,加大對違法行為的懲處力度。

  2.2 七大關(guān)鍵點(diǎn)

  2.2.1 術(shù)語界定

  《個人信息保護(hù)法》規(guī)定了三個術(shù)語定義和四個相關(guān)用語的含義,,本文僅對“個人信息”,、“敏感個人信息”、“個人信息的處理”和“自動化決策”的定義或含義做進(jìn)一步解讀:

  “個人信息”,,其定義采取的是“識別”的方式,,僅采取定義式的規(guī)定方式,已發(fā)布的《個人信息安全規(guī)范》進(jìn)行了不完全列舉,。隨著數(shù)據(jù)經(jīng)濟(jì)不斷發(fā)展,,本文大膽預(yù)測,有關(guān)個人信息的定義和范圍也將再次被延申,。

  “敏感個人信息”,,該說法與《個人信息安全規(guī)范》中“個人敏感信息”措辭不同但所表示的內(nèi)容基本一致,只不過本法中的“敏感個人信息”更加強(qiáng)調(diào)了“人格尊嚴(yán)”,。值得關(guān)注的是,,本法中也對列舉的信息做了新增和調(diào)整:生物識別、宗教信仰,、特定身份,、醫(yī)療健康、金融賬戶,、行蹤軌跡等信息,,以及不滿十四周歲未成年人的個人信息。

  “個人信息的處理”,,相較于一審稿中主要變化在于刪除了“活動”,,強(qiáng)調(diào)了個人信息的處理動作或場景。

  “自動化決策”,,主要變化在于主謂賓的順序調(diào)整,,強(qiáng)調(diào)了人工智能技術(shù)的重要應(yīng)用對公民個人信息權(quán)益的影響。

  2.2.2 適用范圍

  本法明確了“我國境內(nèi)”和“境外管轄”兩大適用范圍,,“境外管轄”同等回應(yīng)了歐盟GDPR,、美國CCPA等國外立法的長臂管轄效力。

  我國境內(nèi):在中華人民共和國境內(nèi)處理自然人個人信息的活動,,適用本法,。

  境外管轄:在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個人信息的活動,有下列情形之一的,,也適用本法,。

  以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的;

  分析,、評估境內(nèi)自然人的行為,;

  法律,、行政法規(guī)規(guī)定的其他情形。

  2.2.3 基本原則

  在“第一章 總則”部分,,進(jìn)一步明確了處理個人信息的基本原則,,本文參考相關(guān)法律法規(guī),結(jié)合企業(yè)實(shí)踐,,總結(jié)了以下六大基本原則,。

微信圖片_20210824102104.jpg

  2.2.4 “點(diǎn)”“面”“球”生態(tài)融合

  本文從“點(diǎn)”、“面”,、“球”構(gòu)建個人信息保護(hù)生態(tài)融合體系,,以達(dá)到相互影響、相互制約,、相互信任,、不斷演變,并在一定時期內(nèi)處于相對穩(wěn)定的動態(tài)平衡狀態(tài),。

  “點(diǎn)”:指全民守護(hù),,堅(jiān)守基本底線。

  任何組織,、個人不得非法收集,、使用、加工,、傳輸他人個人信息,,不得非法買賣、提供或者公開他人個人信息,;不得從事危害國家安全,、公共利益的個人信息處理活動。

  “面”:指共同參與,,建設(shè)良性生態(tài),。

  國家建立健全個人信息保護(hù)制度,,預(yù)防和懲治侵害個人信息權(quán)益的行為,,加強(qiáng)個人信息保護(hù)宣傳教育,推動形成政府,、企業(yè),、相關(guān)社會組織、公眾共同參與個人信息保護(hù)的良好環(huán)境,。

  “球”:指國際合作,,推進(jìn)生態(tài)互融。

  國家積極參與個人信息保護(hù)國際規(guī)則的制定,,促進(jìn)個人信息保護(hù)方面的國際交流與合作,,推動與其他國家、地區(qū)、國際組織之間的個人信息保護(hù)規(guī)則,、標(biāo)準(zhǔn)等互認(rèn),。

  2.2.5 處理規(guī)則

  個人信息處理規(guī)則:包括了一般規(guī)定、敏感個人信息的處理規(guī)則,、國家機(jī)關(guān)處理個人信息的特別規(guī)定三個方面,。需要注意的是,本法確立以“告知—同意”為核心的個人信息處理規(guī)則,,同時也新增了同意的例外事由,,如《個人信息保護(hù)法》第十三條中提到的“前款第二項(xiàng)至第七項(xiàng)規(guī)定情形的,不需取得個人同意” ,。

4.png

  個人信息跨境提供的規(guī)則:本法構(gòu)建了一套清晰,、系統(tǒng)的個人信息跨境流動規(guī)則,以滿足保障個人信息權(quán)益和安全的客觀要求,,適應(yīng)國際經(jīng)貿(mào)往來的現(xiàn)實(shí)需要,。關(guān)于跨境提供場景下的規(guī)則要求詳細(xì)如下圖所示:

5.png

  2.2.6 相關(guān)主體

  本法涉及個人、個人信息處理者,、監(jiān)管部門三大強(qiáng)相關(guān)的主體,,如下圖所示,分別就個人權(quán)利,、個人信息處理者的義務(wù),、監(jiān)管部門所履行個人信息保護(hù)職責(zé)進(jìn)行闡述。

6.png

  2.2.7 強(qiáng)監(jiān)管和懲處力度

  近年來,,有關(guān)個人信息權(quán)益侵權(quán)案件逐漸增多,,比如“告知—同意”的認(rèn)定、人格權(quán)糾紛,、人臉識別等與個人信息主體強(qiáng)相關(guān)的權(quán)益,。因此,本法在這方面加強(qiáng)了監(jiān)管和提高了懲處力度,。本法規(guī)定了“一般的個人信息違法行為”和“情節(jié)嚴(yán)重的個人信息違法行為”,,雖然對這兩者沒有嚴(yán)格的界定和說明,但可參照以往的司法案例或借鑒GDPR相關(guān)處罰案例,。詳細(xì)懲處要求如下圖所示:

7.png

  2.3 橫向?qū)Ρ?/p>

  為了便于對《個人信息保護(hù)法》進(jìn)一步理解,,本文通過列表的方式對國內(nèi)強(qiáng)相關(guān)的幾部法律法規(guī)進(jìn)行橫向?qū)Ρ龋缦聢D所示,。本文對照僅限于非法律專業(yè)視角進(jìn)行對照,,因此嚴(yán)格意義上來說不能準(zhǔn)確對比分析法律效力位階的相關(guān)問題。

8.png

  通過以上從定義,、側(cè)重方向,、局限性三個方面進(jìn)行橫向?qū)Ρ群?,本文得出如下參考結(jié)論:

  1) 隨著我國法律法規(guī)的不斷完善,各行各業(yè)首先需要考慮的是“合規(guī)”問題,,特別需要關(guān)注具體的,、可落地的安全要求;

  2) 各項(xiàng)法律法規(guī)間各有側(cè)重點(diǎn)和存在一定的相互關(guān)聯(lián)性,,需特別注意上位法的法律效力,;在具體實(shí)踐過程中,均需遵照執(zhí)行,;

  3) 《數(shù)據(jù)安全法》和《個人信息保護(hù)法》都提出落實(shí)處理者的責(zé)任和義務(wù),,對企業(yè)而言,是否需要建立兩套標(biāo)準(zhǔn)呢,?答案是否定的,,建議將其融合,組織建設(shè),、制度流程等可合二為一,,人員能力、技術(shù)措施需有所針對性實(shí)施,,具體要求方面再進(jìn)行細(xì)化和管控,。

  2.4 解讀思考

  2.4.1 典型問題QA

  典型問題一:關(guān)于“告知+同意”。

  依據(jù):第14條將“充分知情”作為“同意”的前提條件“,,需要取得”單獨(dú)同意“的情況:第23,、25、26,、29,、39條。

  解答:通過用戶主動勾選,、瀏覽隱私政策等獲得個人信息的授權(quán)使用,,并賦予用戶撤回同意的權(quán)利;同時梳理”單獨(dú)同意“的場景并進(jìn)行對應(yīng)功能調(diào)整,。

  典型問題二:關(guān)于生物特征等敏感個人信息,。

  依據(jù):第26條規(guī)定的”所收集的個人圖像、身份識別信息只能用于維護(hù)公共安全的目的“,、第28條規(guī)定的”特定的目的和充分的必要性“的前提,,第29規(guī)定的”單獨(dú)同意“,,第30條規(guī)定的”必要性以及對個人權(quán)益的影響“的告知,。

  解答:重視敏感個人信息的處理規(guī)則,并做好相關(guān)充分告知和影響評估等工作,。

  典型問題三:關(guān)于”個人信息保護(hù)負(fù)責(zé)人“,。

  依據(jù):第52條規(guī)定”處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)當(dāng)指定個人信息保護(hù)負(fù)責(zé)人,。“

  解答:其中”規(guī)定數(shù)量“在本法中未明確規(guī)定,,但可參照《個人信息安全規(guī)范》的規(guī)定:從業(yè)人員規(guī)模大于200人,、處理超過100萬人的個人信息、處理超過10萬人的個人敏感信息的,。

  典型問題四:關(guān)于影響評估,。

  依據(jù):第55條規(guī)定”有下列情形之一的,個人信息處理者應(yīng)當(dāng)事前進(jìn)行個人信息保護(hù)影響評估,,并對處理情況進(jìn)行記錄,。“

  解答: 結(jié)合《個人信息安全規(guī)范》和《影響評估指南》相關(guān)要求,,進(jìn)行個人信息安全影響評估落地執(zhí)行,。

  以上思考的問題僅為冰山一角,建議組織結(jié)合自身實(shí)際情況,,制定相應(yīng)安全策略,,落實(shí)個人信息保護(hù)責(zé)任。

  2.4.2 主要關(guān)注點(diǎn)

  1) 明確個人信息保護(hù)責(zé)任制,,落實(shí)全生命周期管控責(zé)任,。

  內(nèi)容:建立個人信息保護(hù)組織架構(gòu),明確崗位職責(zé),,制定對應(yīng)的全流程管理規(guī)范,、制度、流程等,。

  方案支撐:數(shù)據(jù)安全管理體系建設(shè),。

  2) 通過個人信息分類(分級)管理,實(shí)現(xiàn)建設(shè)第一步,。

  內(nèi)容:建立個人信息管理機(jī)制,,明確保護(hù)對象及策略。

  方案支撐:數(shù)據(jù)分類分級,。

  3) 發(fā)現(xiàn)企業(yè)個人信息安全隱患,,降低信息泄露風(fēng)險(xiǎn)。

  內(nèi)容:利用風(fēng)險(xiǎn)評估手段識別發(fā)現(xiàn)企業(yè)的個人信息安全風(fēng)險(xiǎn),,協(xié)助企業(yè)進(jìn)行整改,,提升企業(yè)個人信息保護(hù)建設(shè)水平。

  方案支撐:個人信息安全影響評估,、APP個人信息安全評估,。

  4) 識別個人信息處理活動,落實(shí)安全技術(shù)措施,。

  內(nèi)容:梳理個人信息全生命周期處理活動,,制定相對應(yīng)的安全要求,,對各風(fēng)險(xiǎn)點(diǎn)進(jìn)行提示,包含可落地執(zhí)行的機(jī)制等,。

  方案支撐:個人信息保護(hù)專項(xiàng)規(guī)劃,、數(shù)據(jù)安全管控平臺。

  5) 建立個人信息安全事件應(yīng)急響應(yīng)機(jī)制,。

  內(nèi)容:建立個人信息安全應(yīng)急預(yù)案,,明確個人信息事件的應(yīng)急方針、政策,,應(yīng)急組織結(jié)構(gòu)及相關(guān)應(yīng)急職責(zé),。

  方案支撐:應(yīng)急響應(yīng)體系建設(shè)。

  6) 組織開展個人信息安全培訓(xùn)教育,。

  內(nèi)容:組織開展個人信息安全專業(yè)培訓(xùn),,提升企事業(yè)單位個人信息安全保護(hù)意識,加強(qiáng)個人信息安全人員專業(yè)能力提升,。

  方案支撐:個人信息安全專業(yè)教育培訓(xùn),。

  7) 聚焦個人信息跨境提供,保障國家安全,、公共利益及個人權(quán)益,。

  內(nèi)容:建立個人信息跨境提供全流程管理規(guī)范、制度,、流程等,;明確合規(guī)路徑,并征得用戶的單獨(dú)同意,,確保個人信息安全流通,。

  方案支撐:遵循國家個人信息出境相關(guān)規(guī)定。

  3. 總結(jié)與展望

  2021年可謂是數(shù)據(jù)保護(hù)元年,,《數(shù)據(jù)安全法》《個人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(國務(wù)院令第745)》等一系列法律法規(guī)的頒布和即將實(shí)施,,標(biāo)志著我國在數(shù)據(jù)安全和個人信息保護(hù)方面正式進(jìn)入2.0時代。而數(shù)據(jù)安全和個人信息保護(hù)密不可分,,就像是一對孿生兄弟,。針對個人信息保護(hù)的應(yīng)對思路,可在數(shù)據(jù)安全建設(shè)的基礎(chǔ)上進(jìn)行專項(xiàng)設(shè)計(jì)和實(shí)施,,形成個人信息保護(hù)體系的長效機(jī)制(IRCSS),。該機(jī)制主要通過五個方面進(jìn)行個人信息安全落地建設(shè),幫助組織確立管理制度和操作流程,,全面了解個人信息安全狀況,,提升個人信息安全監(jiān)測與防護(hù)措施,通過優(yōu)化改進(jìn)與持續(xù)運(yùn)營,實(shí)現(xiàn)持續(xù)自適應(yīng)的個人信息安全防護(hù)能力,。

9.png

  4. 場景探討:”雙十一“的網(wǎng)購狂歡

  近年來,”雙十一“網(wǎng)購狂歡的同時,, 也是個人信息泄露的高峰,。《個人信息保護(hù)法》恰好也將在2021年11月1日施行,,面對今年的”雙十一“,,消費(fèi)者、商家,、互聯(lián)網(wǎng)平臺運(yùn)營者,、監(jiān)管部門等該如何使用《個人信息保護(hù)法》賦予的權(quán)益,又該如何履行《個人信息保護(hù)法》規(guī)定的責(zé)任呢,?接下來,,本文嘗試站在這四類主體的角度來思考如何面對。

  



微信圖片_20210517164139.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。