8月20日,十三屆全國人大常委會第三十次會議通過了個人信息保護(hù)法��,將于2021年11月1日起施行�。
個人信息保護(hù)法共8章74條,明確了個人信息處理活動應(yīng)遵循的原則��,構(gòu)建以“告知-同意”為核心的個人信息處理規(guī)則�,保障個人在個人信息處理活動中的各項權(quán)利,強(qiáng)化個人信息處理者的義務(wù)���,明確個人信息保護(hù)的監(jiān)管職責(zé)��,并設(shè)置嚴(yán)格的法律責(zé)任�。全國人大常委會組成人員普遍表示����,這部專門法律充分回應(yīng)了社會關(guān)切��,為破解個人信息保護(hù)中的熱點難點問題提供了強(qiáng)有力的法律保障�����。
確立個人信息保護(hù)原則
個人信息保護(hù)的原則是收集���、使用個人信息的基本遵循,是構(gòu)建個人信息保護(hù)具體規(guī)則的制度基礎(chǔ)����。
強(qiáng)調(diào)處理個人信息應(yīng)當(dāng)遵循合法、正當(dāng)�����、必要和誠信原則���,具有明確、合理的目的并與處理目的直接相關(guān)�����,采取對個人權(quán)益影響最小的方式,限于實現(xiàn)處理目的的最小范圍�����,公開處理規(guī)則�����,保證信息質(zhì)量�����,采取安全保護(hù)措施等��,這些原則應(yīng)當(dāng)貫穿于個人信息處理的全過程��、各環(huán)節(jié)�����。
“‘告知-同意’是法律確立的個人信息保護(hù)核心規(guī)則�,是保障個人對其個人信息處理知情權(quán)和決定權(quán)的重要手段?��!比珖舜蟪N瘯üの?jīng)濟(jì)法室副主任楊合慶在答記者問時說�。
個人信息保護(hù)法要求處理個人信息,應(yīng)當(dāng)在事先充分告知的前提下取得個人同意��,個人信息處理的重要事項發(fā)生變更的應(yīng)當(dāng)重新向個人告知并取得同意�。
同時,針對現(xiàn)實生活中社會反映強(qiáng)烈的一攬子授權(quán)���、強(qiáng)制同意等問題���,個人信息保護(hù)法特別要求個人信息處理者在處理敏感個人信息、向他人提供或公開個人信息��、跨境轉(zhuǎn)移個人信息等環(huán)節(jié)應(yīng)取得個人的單獨同意��,明確個人信息處理者不得過度收集個人信息���,不得以個人不同意為由拒絕提供產(chǎn)品或者服務(wù)��,并賦予個人撤回同意的權(quán)利��,在個人撤回同意后�,個人信息處理者應(yīng)當(dāng)停止處理或及時刪除其個人信息��。
此外�,考慮到個人信息處理的場景日益多樣,個人信息保護(hù)法還對取得個人同意以外可以合法處理個人信息的特定情形作了規(guī)定�����。比如���,針對濫用人臉識別技術(shù)問題����,本法要求���,在公共場所安裝圖像采集���、個人身份識別設(shè)備,應(yīng)設(shè)置顯著的提示標(biāo)識����;所收集的個人圖像、身份識別信息只能用于維護(hù)公共安全的目的����。
禁止“大數(shù)據(jù)殺熟”等行為
當(dāng)前,有一些企業(yè)通過掌握消費者的經(jīng)濟(jì)狀況����、消費習(xí)慣�����、對價格的敏感程度等信息��,對消費者在交易價格等方面實行歧視性的差別待遇�����,誤導(dǎo)�����、欺詐消費者���,其中最典型的就是“大數(shù)據(jù)殺熟”。
對此�,個人信息保護(hù)法明確規(guī)定:個人信息處理者利用個人信息進(jìn)行自動化決策,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平��、公正�,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
嚴(yán)格保護(hù)敏感個人信息
個人信息保護(hù)法將生物識別、宗教信仰�����、特定身份�����、醫(yī)療健康��、金融賬戶����、行蹤軌跡等信息���,以及不滿十四周歲未成年人的個人信息列為敏感個人信息�����。
楊合慶表示����,主要考慮是此類信息一旦泄露或者被非法使用���,極易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身����、財產(chǎn)安全受到危害,對處理敏感個人信息的活動應(yīng)當(dāng)作出更加嚴(yán)格的限制��。
對此����,個人信息保護(hù)法要求只有在具有特定的目的和充分的必要性,并采取嚴(yán)格保護(hù)措施的情形下��,方可處理敏感個人信息�����,同時應(yīng)當(dāng)在事前進(jìn)行影響評估��,并向個人告知處理的必要性以及對個人權(quán)益的影響���。
賦予個人充分的權(quán)利�、強(qiáng)化個人信息處理者的義務(wù)
個人信息保護(hù)法將個人在個人信息處理活動中的各項權(quán)利�,包括知悉個人信息處理規(guī)則和處理事項、同意和撤回同意��,以及個人信息的查詢、復(fù)制����、更正、刪除等總結(jié)提升為知情權(quán)���、決定權(quán)����,明確個人有權(quán)限制個人信息的處理��。
同時����,為了適應(yīng)互聯(lián)網(wǎng)應(yīng)用和服務(wù)多樣化的實際���,滿足日益增長的跨平臺轉(zhuǎn)移個人信息的需求�,個人信息保護(hù)法對個人信息可攜帶權(quán)作了原則規(guī)定���,要求在符合國家網(wǎng)信部門規(guī)定條件的情形下��,個人信息處理者應(yīng)當(dāng)為個人提供轉(zhuǎn)移其個人信息的途徑���。
“個人信息處理者是個人信息保護(hù)的第一責(zé)任人��?�!睏詈蠎c介紹說���,個人信息保護(hù)法強(qiáng)調(diào),個人信息處理者應(yīng)當(dāng)對其個人信息處理活動負(fù)責(zé)��,并采取必要措施保障所處理的個人信息的安全�����。
在此基礎(chǔ)上��,個人信息保護(hù)法設(shè)專章明確了個人信息處理者的合規(guī)管理和保障個人信息安全等義務(wù)����,要求個人信息處理者按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程,采取相應(yīng)的安全技術(shù)措施���,指定負(fù)責(zé)人對其個人信息處理活動進(jìn)行監(jiān)督��,定期對其個人信息活動進(jìn)行合規(guī)審計��,對處理敏感個人信息�、利用個人信息進(jìn)行自動化決策、對外提供或公開個人信息等高風(fēng)險處理活動進(jìn)行事前影響評估���,履行個人信息泄露通知和補(bǔ)救義務(wù)等�。
加大違法處理個人信息行為的懲戒力度
個人信息保護(hù)法根據(jù)個人信息處理的不同情況�,對違法處理個人信息的行為設(shè)置了不同梯次的行政處罰。對未造成嚴(yán)重后果的輕微或一般違法行為����,可由執(zhí)法部門責(zé)令改正、給予警告��、沒收違法所得����,對拒不改正的最高可處一百萬元罰款���;對情節(jié)嚴(yán)重的違法行為��,最高可處五千萬元或上一年度營業(yè)額百分之五的罰款���,并可以對相關(guān)責(zé)任人員作出相關(guān)從業(yè)禁止的處罰���。同時,個人信息保護(hù)法還專門規(guī)定���,對違法處理個人信息的應(yīng)用程序���,可以責(zé)令暫停或終止提供服務(wù)����。
在民事責(zé)任方面,個人信息保護(hù)法明確�,處理個人信息侵害個人信息權(quán)益造成損害的,個人信息處理者如不能證明自己沒有過錯的�,應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。
同時�,個人信息保護(hù)法還對侵害眾多個人權(quán)益的民事公益訴訟作了規(guī)定。
(來源:人民法院報)
