《个人信息保护法(草案)》六大亮点解读
吴丹君律师团队移动支付网2020/10/22 14:34:41

作者:吴丹君律师 张振君律师助理

2020年10月13日,十三届全国人大常委会第二十二次会议首次审议了《个人信息保护法(草案)》。2020年10月21日,中国人大网公布《个人信息保护法(草案)》(以下简称“《草案》”),向社会公开征求意见,意见反馈时间截至2020年11月19日。

《草案》吸收了《网络安全法》《消费者权益保护法》《广告法》《电子商务法》《关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《信息技术安全个人信息安全规范》等法律文件对个人信息保护的相关规定,并结合实践经验,同时吸收GDPR等国际经验,形成了一部相对完善的立法草案。总体而言,《草案》主要有六大亮点。

一、适用范围:明确域外适用效力

《草案》第三条指出,该法适用于组织、个人在中国境内处理自然人个人信息的活动。该条明确域外适用效力,当中国境外处理中国境内自然人个人信息的活动,具备下列情形之一的,也适用《草案》:

“(一)以向境内自然人提供产品或者服务为目的;

(二)为分析、评估境内自然人的行为;

(三)法律、行政法规规定的其他情形。”

上述规定与欧盟的GDPR有着相似之处,GDPR第三条规定:

“2.本条例适用于在欧盟领域内没有设立机构的数据控制者或数据处理者对欧盟内的数据主体的个人数据进行的与以下事项相关的处理活动。

(a)向欧盟内的数据主体提供商品或服务,无论是否需要该数据主体支付对价;或

(b)监控数据主体的行为,只要其行为发生在欧盟领域内。”

同时,《草案》借鉴GDPR第二条排除了自然人因个人或家庭事务而处理个人信息的法律适用。当法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定时,应当优先适用该特殊规定。

二、激发活力:增加个人信息处理合法性基础

“告知-同意”仍是个人信息处理的重要规则,《草案》第二章“个人信息处理规则”的大部分规定可以说都是“告知-同意”规则的细化或延伸。“告知-同意”规则要求处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。《草案》延续了《信息安全技术个人信息安全规范》(GB/T35273-2020)(以下简称“《个人信息安全规范》”)的很多要求,具体可参考下列对比表格,在此不再赘述。

但《草案》对已公开的个人信息的处理规则,相较《个人信息保护规范》将个人信息已公开视为获取同意的豁免条件不同,其第二十八条规定,个人信息处理者处理已公开的个人信息,应当符合该个人信息被公开时的用途;超出与该用途相关的合理范围的,应当依照本法规定向个人告知并取得其同意。个人信息被公开时的用途不明确的,个人信息处理者应当合理、谨慎地处理已公开的个人信息;利用已公开的个人信息从事对个人有重大影响的活动,应当依照本法规定向个人告知并取得其同意。

立法者亦已逐渐意识到“告知-同意”规则的不足,《民法典》第一千零三十六条在“自然人或者其监护人同意”上增加了“合理处理该自然人自行公开的或者其他已经合法公开的信息”与“为维护公共利益或者该自然人合法权益”两种个人信息处理合法性基础,首次在法律层面上对未经同意合法处理个人信息的情形作出规定。

《草案》在此基础上,吸收《个人信息安全规范》等规范内容,对“告知-同意”规则进行一定程度的弱化,其第十三条增加了数项合法性基础,一定程度上放宽了个人信息的处理限制,有利于平衡个人信息保护和利用间的利益冲突,激发数字经济创新活力。

三、有序流动:构建个人信息跨境流动制度

《草案》首次在法律层面构建了相对全面的个人信息跨境流动制度。与国家互联网信息办公室2019年发布的《个人信息出境安全评估办法(征求意见稿)》不同,《草案》没有要求所有个人信息跨境流动活动均需经过安全评估。《草案》以分级分类管理思想设计了一个相对宽松的个人信息跨境流动制度。

《草案》原则上要求国家机关处理的个人信息以及关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者在中国境内收集和产生的个人信息存储在境内。但在确需向境外提供的情况下,国家机关处理的个人信息应当进行风险评估;而关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者在中国境内收集和产生的个人信息则需先通过国家网信部门组织的安全评估。此处的“风险评估”应与《草案》第五十四条的“风险评估”涵义相同。但“风险评估”和“安全评估”的具体操作流程和标准如何,两者是否需一并进行还有待后续规定的进一步明确。

其他个人信息处理者在至少满足以下一项条件的情况下,可向中国境外提供个人信息:

(一)按照国家网信部门的规定经专业机构进行个人信息保护认证;

(二)与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准;

(三)符合中国缔结或者参加的国际条约、协定中对向中国境外提供个人信息规定的;

(四)因国际司法协助或者行政执法协助,需要向中国境外提供个人信息,经有关主管部门批准的;

(五)法律、行政法规或者国家网信部门规定的其他条件。

此外,《草案》明确了个人信息跨境数据流动的限制情形:

(一)境外的组织、个人从事损害中国公民的个人信息权益,或者危害中国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施;

(二)任何国家和地区在个人信息保护方面对中国采取歧视性的禁止、限制或者其他类似措施的,中国可以根据实际情况对该国家或者该地区采取相应措施。

四、保障权利:明确个人信息主体权利

上述权利在《民法典》《电子商务法》《网络安全法》等法律中均有部分体现,《草案》在前述规定基础上,进一步构筑更为全面的个人信息主体权利体系,有利于个人信息主体主张权利,并在遭受侵害时捍卫自身权益。《草案》第六十五条规定,因个人信息处理活动侵害个人信息权益的,按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。

个人信息处理者应当针对个人信息主体的各项权利,建立相应的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。

五、促进合规:增强个人信息处理者责任

《草案》增加了数项个人信息处理的合法性基础,其中,“为订立或者履行个人作为一方当事人的合同所必需”一项提高了个人信息处理者处理个人信息的自由度,与之相对地,个人信息处理者亦需承担更为严格的个人信息保护责任。

六、加强监管:国家机关的权力与义务

不同行业的个人信息保护有着不同的特点和需求,《草案》没有一刀切地将个人信息保护职责单独赋予某一部门,而是由国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。同时,按照国家有关规定,确定县级以上地方人民政府有关部门的个人信息保护和监督管理职责,从而形成了一个以行业为横轴的,从中央到地方的个人信息保护监管体系。在要求个人信息处理者加强内部个人信息保护制度建设的基础上,从外部施加监管压力,促进个人信息处理者落实个人信息保护要求。

《草案》也设置了较为严格的法律责任条款。根据《草案》第六十二条,违反规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。而情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。有前述违法行为的,将依照有关法律、行政法规的规定记入信用档案,并予以公示。

《草案》还明确了可以提起公益诉讼的主体,个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼。个人信息保护公益诉讼在实践中已有案例,比如2020年3月12日,虹口检察院针对两起教育培训行业从业人员侵犯公民个人信息案件提起刑事附带民事公益诉讼,为个人信息保护的公益诉讼作出有益探索。<i>在信息主体和企业的场景中,个人信息主体往往作为消费者使用企业提供的产品或服务,在此过程中也面临着个人信息侵害风险。将各级消费者权益保护协会亦可成为消费者集体的代言人,针对企业在个人信息保护方面存在的不当行为提起公益诉讼,弥补个人信息主体的弱势地位。[ii]

结语

《个人信息保护法(草案)》从源头上赋予了自然人各项个人信息权利,明确个人信息处理者义务,并加强国家机关监管,我国个人信息保护立法已经走出了重要一步。

我们建议个人信息处理者不仅应密切关注《草案》制定的后续动态,还应积极投入到《草案》的意见征求环节之中。同时早作准备,参照《草案》目前的要求对本个人信息处理者内部的个人信息保护情况进行摸底和前期评估,以有效应对《个人信息保护法》及各项配套措施的出台及实施。

<i>参见林中明、王晓阳:《上海虹口:两起刑事附带民事公益诉讼案获判》,载《检察日报》2020年3月24日第4版。

[ii]参见丁晓东:《个人信息私法保护的困境与出路》,载《法学研究》2018年第6期。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消