《《中华人民共和国个人信息保护法》重点内容解读及全文(自2021年11月1日起施行).docx》由会员分享,可在线阅读,更多相关《《中华人民共和国个人信息保护法》重点内容解读及全文(自2021年11月1日起施行).docx(46页珍藏版)》请在第一文库网上搜索。
1、中华人民共和国个人信息保护法重点解读2021年H月1日,中华人民共和国个人信息保护法(以下简称“个人信息保护法”)正式实施。这是我国第一部个人信息保护方面的专门法律,与民法典、网络安全法、数据安全法、电子商务法、消费者权益保护法等法律共同编织成一张个人信息的保护网。个人信息保护法坚持和贯彻以人民为中心的法治理念,在确立个人信息保护原则、禁止“大数据杀熟”、严格保护敏感个人信息、赋予大型网络平台特别义务、规范个人信息跨境流通、健全个人信息保护工作机制等方面,明确了个人信息保护的相关规则和各相关方的权利义务,全方位构筑了个人信息保护网。一、颁布个人信息保护法的重大意义为了充分理解个人信息保护法的内
2、涵,我们不妨从世界维度与中国维度着眼,以展现其深远意义。顺应世界潮流个人信息保护的立法可追溯至德国黑森州1970年资料保护法。此后,瑞士 (1973)、法国(1978)、挪威(1978)、芬兰(1978)、冰岛(1978)、奥地利(1978)、冰岛(1981)、爱尔兰(1988)、葡萄牙(1991)、比利时(1992)等国的个人信息保护法亦景从云集。在大西洋彼岸,1973年美国发布“公平信息实践准则”报告,确立了处理个人信息处理的五项原则:(1)禁止所有秘密的个人信息档案保存系统;(2)确保个人了解其被收集的档案信息是什么,以及信息如何被使用;(3)确保个人能够阻止未经同意而将其信息用于个人授
3、权使用之外的目的,或者将其信息提供给他人,用作个人授权之外的目的;(4)确保个人能够改正或修改关于个人可识别信息的档案;(5)确保任何组织在计划使用信息档案中的个人信息都必须是可靠的,并且必须采取预防措施防止滥用。在“公平信息实践准则”所奠定的个人信息保护基本框架之上,美国消费者网上隐私法儿童网上隐私保护法电子通讯隐私法案金融服务现代化法(GLB)健康保险流通与责任法(HIPAA)公平信用报告法相继出台。进入21世纪,在数字化浪潮的推动下,个人信息保护的立法陡然加速。2000到2010年,共有40个国家颁布了个人信息保护法,是前10年的两倍,而2010年到2019年,又新增了 62部个人信息保
4、护法,比以往任何10年都要多。延续这一趋势,截至2029年将会有超过200个国家或地区拥有个人信息保护法。我国个人信息保护法正是此历史进程中的重要一环。回顾过往,世界个人信息保护法迄今已经历了三代。第一代以经合组织1980年关于隐私保护与个人数据跨境流通指引和1981年欧洲理事会有关个人数据自动化处理之个人保护公约为起点。第二代以欧盟1995年个人数据保护指令为代表,其在第一代原则的基础上加入了包括“数据最少够用” “删除”“敏感信息”“独立的个人信息保护机构”等要素。第三代即为2018年生效的欧盟通用数据保护条例(GDPR)。与第二代相比,GDPR大大拓展了信息主体权利,并确立了一系列新的保
5、护制度。我国个人信息保护法采取“拿来主义、兼容并包”的方法,会通各国立法,借鉴世界第三代个人信息保护法的先进制度,铸就熨帖我国国情的规则设计。这主要体现在:其一,在体例结构上,将私营部门处理个人信息和国家机关处理个人信息一体规制,除明确例外规则外,确保遵循个人信息保护的同一标准。基于此,个人信息保护法两线作战,即直面企业超采、滥用用户个人信息的痼疾,又防范行政部门违法违规处理个人信息的问题,最大限度地保护个人信息权益。其二,在管辖范围上,个人信息保护法统筹境内和境外,赋予必要的域外适用效力,以充分保护我国境内个人的权益。其三,在“个人信息”认定上,采取“关联说”,将“与已识别或者可识别的自然人
6、有关的各种信息”均囊括在内。其四,在个人信息权益上,不仅赋予个人查询权、更正权、删除权、自动化决策的解释权和拒绝权以及有条件的可携带权等“具体权利”,而且从中升华为“个人对其个人信息处理的知情权、决定权,限制或者拒绝他人对其个人信息进行处理”的“抽象权利”,由此形成法定性和开放性兼备的个人信息权益体系。其五,在个人信息跨境上,采取安全评估、保护认证、标准合同等多元化的出境条件。其六,在大型平台监管上,对“重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”苛以“看门人”义务,完善个人信息治理。贡献中国智慧我国个人信息保护法决不只是回应世界潮流之举,事实上,它也是我国法律体系自我完善
7、、自我发展的必然结果。从2018年9月个人信息保护法被纳入“十三届全国人大常委会立法规划”,位列“条件比较成熟、任期内拟提请审议”的69部法律草案之中,到如今个人信息保护法正式颁行,看起来不过历时三载,但追根溯源,距离2012年全国人大常委会关于加强网络信息保护的决定已有10年,距离2003年国务院信息化办公室部署个人信息保护法立法研究工作已有18年。在近20年的进程中,我国个人信息保护规范日渐丰茂,网络安全法、新修订的消费者权益保护法、电子商务法、刑法修正案九、民法典等对个人信息保护作出了相应规定,及时回应了国家、社会、个人对个人信息保护的关切。然而,这种分散式的立法,也面临着体系性和操作性
8、欠缺、权利救济和监管措施不足的困境,正因如此,一部统一的个人信息保护法正当其时。任何法律都是特定时空下社会生活和国家秩序的规则,个人信息保护法概莫能外。我国个人信息保护法以现实问题为导向,以法律体系为根基,统筹既有法律法规,体察民众诉求和时代需求,将之挖掘、提炼、表达为具体可感、周密详实的法律规则,以维护网络良好生态,促进数字经济发展。我国个人信息保护法的中国智慧和中国方案包括但不限于:其一,在法律渊源上,将个人信息保护上溯至宪法,经由宪法第33条第三款“国家尊重和保障人权”、第38条“中华人民共和国公民的人格尊严不受侵犯”、第40条“中华人民共和国公民的通信自由和通信秘密受法律的保护”,宣誓
9、、夯实、提升了个人信息权益的法律位阶。其二,在立法目的上,将“保护个人信息权益”和“促进个人信息合理利用”作为并行的规范目标,秉持“执其两端,用其中于民”的理念,满足人们对美好生活的向往。为此,个人信息保护法拓展了民法典“知情同意+免责事由”的规则设计,采取了包括个人同意、订立和履行合同、履行法定职责和法定义务、人力资源管理、突发公共卫生事件应对、公开信息处理、新闻报道、舆论监督等多元正当性基础。其三,在规范主体上,将“个人信息处理者”作为主要义务人,将“接受委托处理个人信息的受托人”作为辅助人,承担一定范围内的个人信息安全保障义务。其四,在保护程度上,对于未成年人的个人信息、特定身份、行踪轨
10、迹、生物识别等信息予以更高力度的保护。其五,在适用场景上,对于“差别化定价”“个性化推送” “公共场所图像采集识别”等社会反映强烈的问题,予以专门规制;开展公开或向第三方提供个人信息、处理敏感个人信息、个人信息出境等高风险处理活动的,应当取得个人的“单独同意”。其六,在监管体制上,个人信息保护法采取了 “规则制定权相对集中,执法权相对分散”的架构,由国家网信部门统筹协调有关部门制定个人信息保护具体规则、标准,国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。二、个人信息保护法解决广大人民群众最关心最直接最现实的利益问题截至2020年12月,我国网民规模达9. 89亿,较2020年3
11、月增长8540万,互联网普及率达70. 4%。随着“互联网+”深度融合和数字经济快速发展,线下活动逐渐向线上转移融合,消费互联网广泛改变人们的生活方式,互联网深刻改变人们的工作方式,网络已经与人们的生产生活密不可分。现实生活中,一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众财产安全和生命健康等问题仍十分突出。日常生活中,随意收集个人信息的场景十分常见,免费领取的气球小玩具要求扫码关注获取个人信息,商场停车要求微信公众号注册缴纳停车费,餐厅点餐需要扫码下单获取不必要个人信息等等。人们对此司空见惯却又颇具无奈
12、。个人信息频繁被收集使用,个人生活安宁被不断侵扰,用户合法权益得不到切实保障,甚至滋生长链条的黑色产业。个人信息保护法的出台有效回应了这些不规范、不合法的问题。总体来看,个人信息保护法对个人信息保护问题作出了全面性、基础性的规定,能够有效实现个人信息保护法治环境。具体来看,主要包括六个方面内容。一是明确了个人信息保护的调整范围。个人信息保护法第四条第一款规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息、。网络安全法、民法典等对“个人信息”均有界定,基本以“识别说”为基础,采取的都是概括+列举的表述方式。个人信息保护法作为专门的个人信息保
13、护法律,在定义方式上有明显的不同,兼具了 “识别说”和“关联说”,很大程度上反映了个人信息保护的专业性、动态性,结合个人信息处理主体多样、处理活动复杂、个人信息类型易变的现实发展情况,通过内涵和外延较为宽泛的定义方式,最大程度地保证了个人信息保护法能够广泛适用和稳定适用。与此同时,第四条第二款规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。数据作为新型生产要素,价值化释放是数据活动的主要目的之一。个人信息在当前发展阶段是价值极为丰富的数据类型,其价值化释放需求十分强烈,而可能伴随的个人信息权益侵害也贯穿于数据处理活动的全生命周期。个人信息保护法通过立法技巧,
14、将有关个人信息活动统一为“处理”活动,以保证全法条文的有效覆盖。相比于欧盟的通用数据保护条例(GDPR)所规定的数据控制者(Data Controller)和数据处理者(Data Processor),个人信息保护法仅用“个人信息处理者” 一个概念表述,从比较法角度存在差异理解问题,但个人信息保护法通过委托处理(第二十一条)和转移处理(第二十三条)两种方式的规定,实际上充分考虑了以“数据控制者”和“数据处理者”为理解背景的场景适用。从周延性的角度来说,并无实质不同。对于类型多样的个人信息处理者而言,这是理解个人信息保护法适用的关键问题之一。二是明确了个人信息处理的基本规则。首先,个人信息保护法
15、首次在国内法中规定了个人信息处理的合法性基础(第十三条),包括用户同意、订立合同所必需、人力资源管理所必需、履行法定职责/义务、紧急保护、新闻报道或者舆论监督、合理处理公开信息等多项合法性基础。对于个人信息处理者而言,在以往仅有用户同意这种唯一的合法性基础之上,丰富了可以合法处理个人信息的途径,既考虑了个人信息处理活动的合理实践,也借鉴了成熟的国外立法经验。同时,个人信息保护法也妥当地处理了同法条文的衔接,根据第十三条第二款规定,依照本法其他有关规定,处理个人信息应当取得个人同意,但有前款第二项至第七项规定情形的,不需取得个人同意。这充分体现了个人信息处理活动的复杂性、多场景性,明确了除“用户同意”以外合法处理个人信息的情形遵守其他条款的规则,保证了立法的科学性和严密性。其次,个人信息保护法对通过自动化决策方式处理个人信息作出了规定,回应了广为关注的信息茧房和大数据杀熟问题。个人信息保护法要求“利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正
免费区 
