《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 《中華人民共和國個人信息保護法》解讀

《中華人民共和國個人信息保護法》解讀

2021-08-24
來源: 綠盟科技

  2021年8月20日,第十三屆全國人民代表大會常務委員會第三十次會議通過《中華人民共和國個人信息保護法》(以下簡稱“《個人信息保護法》”)。自2020年10月以來,《個人信息保護法》歷經(jīng)三次審議與修訂后,將于2021年11月1日正式施行。

  1. 背景介紹

  1.1 發(fā)布背景

  最新數(shù)據(jù)顯示:2020年中國網(wǎng)民總體規(guī)模已占全球網(wǎng)民的五分之一,2020年中國網(wǎng)民規(guī)模為9.89億人。而互聯(lián)網(wǎng)網(wǎng)站443萬個,手機應用程序數(shù)量302萬款。2021年以來,國家網(wǎng)信辦對地圖導航、運動健身、短視頻等十多種類型的手機應用程序進行了檢測。351款APP因違法收集個人信息被通報,25款因嚴重違法違規(guī)收集使用個人信息被下架。

  “為及時回應廣大人民群眾的呼聲和期待,落實黨中央部署要求,制定一部個人信息保護方面的專門法律,將廣大人民群眾的個人信息權益實現(xiàn)好、維護好、發(fā)展好,具有重要意義。”全國人大常委會法工委副主任劉俊臣表示,制定個人信息保護法是進一步加強個人信息保護法制保障的客觀要求,是維護網(wǎng)絡空間良好生態(tài)的現(xiàn)實需要,也是促進數(shù)字經(jīng)濟健康發(fā)展的重要舉措。

  從現(xiàn)有頒布的法律來看,雖有部分內(nèi)容與個人信息保護的相關,但在社會實踐中,這些法律的適用大多規(guī)定的較為原則,并不能滿足公民對個人信息保護的各類迫切需求。此外,縱觀其他法規(guī)及規(guī)范性文件,例如《關于加強網(wǎng)絡信息保護的決定》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》《信息安全技術 個人信息安全規(guī)范》(GB/T 35273—2020)等規(guī)定,雖然在司法案例中起到著極強的合規(guī)參考價值,但其同時也存在著一定的滯后性,并不能夠適應各類互聯(lián)網(wǎng)企業(yè)的合規(guī)需要。近年來,對個人信息濫用的案例不斷涌現(xiàn),對司法及行政監(jiān)管部門也帶來了較大挑戰(zhàn)。

  1.2 發(fā)展歷程

  自2003年起,我國就啟動了保護個人信息的立法程序。經(jīng)過了十幾年不斷摸索,個人信息保護立法才逐漸趨于完善。以下從幾個重要時間節(jié)點進一步說明:

  2003年,《個人信息保護法》專家建議稿開始起草,2005年初已經(jīng)完成;

  2009年,《刑法修正案(七)》第7條將非法提供與獲取公民個人信息行為納入刑法規(guī)制;

  2013年,《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》對“公民個人電子信息”做了界定,并明確了信息收集、使用的原則和相關規(guī)則;

  2017年,《網(wǎng)絡安全法》的實施,對“公民個人信息”進一步界定、對用戶“知情同意”作出明確規(guī)定、對“網(wǎng)絡運營者”提出明確要求;

  2020年,《民法典》強調(diào)“以人為本”,加大了對公民隱私權和個人信息的保護力度;

  2020年6月,全國人大常委會調(diào)整2020年度立法工作計劃,個人信息保護法草案將提請審議。

  《個人信息保護法》在2018年被列入全國人大常委會未來五年任期的立法議程中,經(jīng)歷了從2020年初次評審到2021年的二審、三審,《個人信息保護法》的具體內(nèi)容也不斷發(fā)生變化。

  1.3 法律地圖

  本文從國家法律、行政法規(guī)、司法解釋、部門規(guī)章、技術規(guī)范五個層面入手,梳理國內(nèi)數(shù)據(jù)安全與個人信息保護相關制度,整理形成可直觀查看的“中國數(shù)據(jù)新秩序的法律地圖”。

  國內(nèi)安全工作堅持總體國家安全觀,在不同領域均有相關文件指導安全工作。其中與數(shù)據(jù)安全和個人信息保護領域相關性較強的有:民事領域通過了《民法典》;在網(wǎng)絡空間安全領域,具有《網(wǎng)絡安全法》、等保2.0系列標準、《網(wǎng)絡安全審查辦法》等;在數(shù)據(jù)安全領域:具有剛剛出臺的《數(shù)據(jù)安全法》。在個人信息保護領域,具有剛頒布的《個人信息保護法》。在兒童個人信息領域、密碼領域、網(wǎng)絡犯罪、消費者權益保護、電子商務等領域也有專門立法。總體來說,《網(wǎng)絡安全法》《數(shù)據(jù)安全法》與《個人信息保護法》在總體國家安全觀框架下,共同構成了我國數(shù)據(jù)新秩序下的三根支柱。

  2. 內(nèi)容解讀

  2.1 概述

  在信息化時代,個人信息保護已成為廣大人民群眾最關心最直接最現(xiàn)實的利益問題之一。《個人信息保護法》堅持和貫徹以人民為中心的法治理念,牢牢把握保護人民群眾個人信息權益的立法定位,聚焦個人信息保護領域的突出問題和人民群眾的重大關切。

  全文共八章七十四條,明確了法律適用范圍,聚焦目前個人信息保護的突出問題,在有關法律的基礎上,該法進一步細化、完善個人信息保護應遵循的原則和個人信息處理規(guī)則,明確個人信息處理活動中的權利義務邊界,健全個人信息保護工作機制。確立以“告知—同意”為核心的個人信息處理規(guī)則,落實國家機關保護責任,加大對違法行為的懲處力度。

  2.2 七大關鍵點

  2.2.1 術語界定

  《個人信息保護法》規(guī)定了三個術語定義和四個相關用語的含義,本文僅對“個人信息”、“敏感個人信息”、“個人信息的處理”和“自動化決策”的定義或含義做進一步解讀:

  “個人信息”,其定義采取的是“識別”的方式,僅采取定義式的規(guī)定方式,已發(fā)布的《個人信息安全規(guī)范》進行了不完全列舉。隨著數(shù)據(jù)經(jīng)濟不斷發(fā)展,本文大膽預測,有關個人信息的定義和范圍也將再次被延申。

  “敏感個人信息”,該說法與《個人信息安全規(guī)范》中“個人敏感信息”措辭不同但所表示的內(nèi)容基本一致,只不過本法中的“敏感個人信息”更加強調(diào)了“人格尊嚴”。值得關注的是,本法中也對列舉的信息做了新增和調(diào)整:生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。

  “個人信息的處理”,相較于一審稿中主要變化在于刪除了“活動”,強調(diào)了個人信息的處理動作或場景。

  “自動化決策”,主要變化在于主謂賓的順序調(diào)整,強調(diào)了人工智能技術的重要應用對公民個人信息權益的影響。

  2.2.2 適用范圍

  本法明確了“我國境內(nèi)”和“境外管轄”兩大適用范圍,“境外管轄”同等回應了歐盟GDPR、美國CCPA等國外立法的長臂管轄效力。

  我國境內(nèi):在中華人民共和國境內(nèi)處理自然人個人信息的活動,適用本法。

  境外管轄:在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個人信息的活動,有下列情形之一的,也適用本法。

  以向境內(nèi)自然人提供產(chǎn)品或者服務為目的;

  分析、評估境內(nèi)自然人的行為;

  法律、行政法規(guī)規(guī)定的其他情形。

  2.2.3 基本原則

  在“第一章 總則”部分,進一步明確了處理個人信息的基本原則,本文參考相關法律法規(guī),結合企業(yè)實踐,總結了以下六大基本原則。

微信圖片_20210824102104.jpg

  2.2.4 “點”“面”“球”生態(tài)融合

  本文從“點”、“面”、“球”構建個人信息保護生態(tài)融合體系,以達到相互影響、相互制約、相互信任、不斷演變,并在一定時期內(nèi)處于相對穩(wěn)定的動態(tài)平衡狀態(tài)。

  “點”:指全民守護,堅守基本底線。

  任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息;不得從事危害國家安全、公共利益的個人信息處理活動。

  “面”:指共同參與,建設良性生態(tài)。

  國家建立健全個人信息保護制度,預防和懲治侵害個人信息權益的行為,加強個人信息保護宣傳教育,推動形成政府、企業(yè)、相關社會組織、公眾共同參與個人信息保護的良好環(huán)境。

  “球”:指國際合作,推進生態(tài)互融。

  國家積極參與個人信息保護國際規(guī)則的制定,促進個人信息保護方面的國際交流與合作,推動與其他國家、地區(qū)、國際組織之間的個人信息保護規(guī)則、標準等互認。

  2.2.5 處理規(guī)則

  個人信息處理規(guī)則:包括了一般規(guī)定、敏感個人信息的處理規(guī)則、國家機關處理個人信息的特別規(guī)定三個方面。需要注意的是,本法確立以“告知—同意”為核心的個人信息處理規(guī)則,同時也新增了同意的例外事由,如《個人信息保護法》第十三條中提到的“前款第二項至第七項規(guī)定情形的,不需取得個人同意” 。

4.png

  個人信息跨境提供的規(guī)則:本法構建了一套清晰、系統(tǒng)的個人信息跨境流動規(guī)則,以滿足保障個人信息權益和安全的客觀要求,適應國際經(jīng)貿(mào)往來的現(xiàn)實需要。關于跨境提供場景下的規(guī)則要求詳細如下圖所示:

5.png

  2.2.6 相關主體

  本法涉及個人、個人信息處理者、監(jiān)管部門三大強相關的主體,如下圖所示,分別就個人權利、個人信息處理者的義務、監(jiān)管部門所履行個人信息保護職責進行闡述。

6.png

  2.2.7 強監(jiān)管和懲處力度

  近年來,有關個人信息權益侵權案件逐漸增多,比如“告知—同意”的認定、人格權糾紛、人臉識別等與個人信息主體強相關的權益。因此,本法在這方面加強了監(jiān)管和提高了懲處力度。本法規(guī)定了“一般的個人信息違法行為”和“情節(jié)嚴重的個人信息違法行為”,雖然對這兩者沒有嚴格的界定和說明,但可參照以往的司法案例或借鑒GDPR相關處罰案例。詳細懲處要求如下圖所示:

7.png

  2.3 橫向對比

  為了便于對《個人信息保護法》進一步理解,本文通過列表的方式對國內(nèi)強相關的幾部法律法規(guī)進行橫向對比,如下圖所示。本文對照僅限于非法律專業(yè)視角進行對照,因此嚴格意義上來說不能準確對比分析法律效力位階的相關問題。

8.png

  通過以上從定義、側重方向、局限性三個方面進行橫向對比后,本文得出如下參考結論:

  1) 隨著我國法律法規(guī)的不斷完善,各行各業(yè)首先需要考慮的是“合規(guī)”問題,特別需要關注具體的、可落地的安全要求;

  2) 各項法律法規(guī)間各有側重點和存在一定的相互關聯(lián)性,需特別注意上位法的法律效力;在具體實踐過程中,均需遵照執(zhí)行;

  3) 《數(shù)據(jù)安全法》和《個人信息保護法》都提出落實處理者的責任和義務,對企業(yè)而言,是否需要建立兩套標準呢?答案是否定的,建議將其融合,組織建設、制度流程等可合二為一,人員能力、技術措施需有所針對性實施,具體要求方面再進行細化和管控。

  2.4 解讀思考

  2.4.1 典型問題QA

  典型問題一:關于“告知+同意”。

  依據(jù):第14條將“充分知情”作為“同意”的前提條件“,需要取得”單獨同意“的情況:第23、25、26、29、39條。

  解答:通過用戶主動勾選、瀏覽隱私政策等獲得個人信息的授權使用,并賦予用戶撤回同意的權利;同時梳理”單獨同意“的場景并進行對應功能調(diào)整。

  典型問題二:關于生物特征等敏感個人信息。

  依據(jù):第26條規(guī)定的”所收集的個人圖像、身份識別信息只能用于維護公共安全的目的“、第28條規(guī)定的”特定的目的和充分的必要性“的前提,第29規(guī)定的”單獨同意“,第30條規(guī)定的”必要性以及對個人權益的影響“的告知。

  解答:重視敏感個人信息的處理規(guī)則,并做好相關充分告知和影響評估等工作。

  典型問題三:關于”個人信息保護負責人“。

  依據(jù):第52條規(guī)定”處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應當指定個人信息保護負責人。“

  解答:其中”規(guī)定數(shù)量“在本法中未明確規(guī)定,但可參照《個人信息安全規(guī)范》的規(guī)定:從業(yè)人員規(guī)模大于200人、處理超過100萬人的個人信息、處理超過10萬人的個人敏感信息的。

  典型問題四:關于影響評估。

  依據(jù):第55條規(guī)定”有下列情形之一的,個人信息處理者應當事前進行個人信息保護影響評估,并對處理情況進行記錄。“

  解答: 結合《個人信息安全規(guī)范》和《影響評估指南》相關要求,進行個人信息安全影響評估落地執(zhí)行。

  以上思考的問題僅為冰山一角,建議組織結合自身實際情況,制定相應安全策略,落實個人信息保護責任。

  2.4.2 主要關注點

  1) 明確個人信息保護責任制,落實全生命周期管控責任。

  內(nèi)容:建立個人信息保護組織架構,明確崗位職責,制定對應的全流程管理規(guī)范、制度、流程等。

  方案支撐:數(shù)據(jù)安全管理體系建設。

  2) 通過個人信息分類(分級)管理,實現(xiàn)建設第一步。

  內(nèi)容:建立個人信息管理機制,明確保護對象及策略。

  方案支撐:數(shù)據(jù)分類分級。

  3) 發(fā)現(xiàn)企業(yè)個人信息安全隱患,降低信息泄露風險。

  內(nèi)容:利用風險評估手段識別發(fā)現(xiàn)企業(yè)的個人信息安全風險,協(xié)助企業(yè)進行整改,提升企業(yè)個人信息保護建設水平。

  方案支撐:個人信息安全影響評估、APP個人信息安全評估。

  4) 識別個人信息處理活動,落實安全技術措施。

  內(nèi)容:梳理個人信息全生命周期處理活動,制定相對應的安全要求,對各風險點進行提示,包含可落地執(zhí)行的機制等。

  方案支撐:個人信息保護專項規(guī)劃、數(shù)據(jù)安全管控平臺。

  5) 建立個人信息安全事件應急響應機制。

  內(nèi)容:建立個人信息安全應急預案,明確個人信息事件的應急方針、政策,應急組織結構及相關應急職責。

  方案支撐:應急響應體系建設。

  6) 組織開展個人信息安全培訓教育。

  內(nèi)容:組織開展個人信息安全專業(yè)培訓,提升企事業(yè)單位個人信息安全保護意識,加強個人信息安全人員專業(yè)能力提升。

  方案支撐:個人信息安全專業(yè)教育培訓。

  7) 聚焦個人信息跨境提供,保障國家安全、公共利益及個人權益。

  內(nèi)容:建立個人信息跨境提供全流程管理規(guī)范、制度、流程等;明確合規(guī)路徑,并征得用戶的單獨同意,確保個人信息安全流通。

  方案支撐:遵循國家個人信息出境相關規(guī)定。

  3. 總結與展望

  2021年可謂是數(shù)據(jù)保護元年,《數(shù)據(jù)安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例(國務院令第745)》等一系列法律法規(guī)的頒布和即將實施,標志著我國在數(shù)據(jù)安全和個人信息保護方面正式進入2.0時代。而數(shù)據(jù)安全和個人信息保護密不可分,就像是一對孿生兄弟。針對個人信息保護的應對思路,可在數(shù)據(jù)安全建設的基礎上進行專項設計和實施,形成個人信息保護體系的長效機制(IRCSS)。該機制主要通過五個方面進行個人信息安全落地建設,幫助組織確立管理制度和操作流程,全面了解個人信息安全狀況,提升個人信息安全監(jiān)測與防護措施,通過優(yōu)化改進與持續(xù)運營,實現(xiàn)持續(xù)自適應的個人信息安全防護能力。

9.png

  4. 場景探討:”雙十一“的網(wǎng)購狂歡

  近年來,”雙十一“網(wǎng)購狂歡的同時, 也是個人信息泄露的高峰。《個人信息保護法》恰好也將在2021年11月1日施行,面對今年的”雙十一“,消費者、商家、互聯(lián)網(wǎng)平臺運營者、監(jiān)管部門等該如何使用《個人信息保護法》賦予的權益,又該如何履行《個人信息保護法》規(guī)定的責任呢?接下來,本文嘗試站在這四類主體的角度來思考如何面對。

  



微信圖片_20210517164139.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者。如涉及作品內(nèi)容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:[email protected]