◆丹 青/ 文
近日,《中華人民共和國個(gè)人信息保護(hù)法(草案)》公布并公開征求社會公眾意見。該草案確立了“告知-同意”為核心的個(gè)人信息處理一系列原則,明確國家機(jī)關(guān)對個(gè)人信息的保護(hù)義務(wù),全面加強(qiáng)個(gè)人信息的法律保護(hù)。草案共八章七十條內(nèi)容,本文梳理了草案的十大核心亮點(diǎn)內(nèi)容,以供參考。
草案明確規(guī)定了個(gè)人信息、敏感個(gè)人信息、個(gè)人信息的處理、個(gè)人信息處理者以及自動化決策、去標(biāo)識化、匿名化等相關(guān)概念的定義。(草案第四條、第二十九條、第六十九條)
草案基于數(shù)據(jù)流動性的實(shí)際情況和有關(guān)國家、地區(qū)的現(xiàn)行做法,在堅(jiān)持“屬地管轄”原則的同時(shí),突出強(qiáng)調(diào)三種情況下必要的域外適用效力,包括以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的;為分析、評估境內(nèi)自然人的行為;法律、行政法規(guī)規(guī)定的其他情形。同時(shí),對相關(guān)情況下境外主體提出明確的合規(guī)要求。(草案第三條、第五十二條、第六十八條)
1.處理個(gè)人信息應(yīng)當(dāng)采用合法、正當(dāng)?shù)姆绞?,遵循誠信原則;
2.處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的,限于實(shí)現(xiàn)處理目的的最小范圍;
3.處理個(gè)人信息應(yīng)當(dāng)遵循公開、透明的原則,明示其處理規(guī)則;
4.處理個(gè)人信息應(yīng)當(dāng)確保信息準(zhǔn)確,并及時(shí)更新;
5.個(gè)人信息處理者應(yīng)采取必要措施保障所處理個(gè)人信息的安全。(草案第五條至第九條)
1.草案明確了“告知-同意”是個(gè)人信息處理的首要原則,即“個(gè)人在充分知情的前提下,自愿、明確做出的意思表達(dá)”。
2.草案規(guī)定了個(gè)人信息處理者在處理個(gè)人信息前應(yīng)當(dāng)向個(gè)人告知的四類事項(xiàng),強(qiáng)調(diào)告知方式的顯著明示和語言的清晰易懂,同時(shí)規(guī)定了基于保密要求的不需告知情形和緊急情況下的事后告知。
3.草案強(qiáng)調(diào)重要事項(xiàng)發(fā)生變更后,應(yīng)當(dāng)重新取得個(gè)人同意,包括個(gè)人信息的處理目的、處理方式、信息種類、個(gè)人信息處理者因控制權(quán)變動發(fā)生個(gè)人信息轉(zhuǎn)移等。
4.草案明確個(gè)人有權(quán)撤回對個(gè)人信息處理的同意,且個(gè)人信息處理者不得以個(gè)人不同意為由拒絕提供產(chǎn)品或者服務(wù)。
5.草案基于實(shí)際情況,規(guī)定了五種基于個(gè)人同意以外合法處理個(gè)人信息的情形,包括訂立/履行合同所必需、履行法定職責(zé)或義務(wù)所必需、應(yīng)對公共衛(wèi)生事件和緊急避險(xiǎn)所必需、公共報(bào)道和輿論監(jiān)督所合理必需、其他情形。
6.草案對個(gè)人信息的共同處理、委托處理、向第三方提供等實(shí)際情況提出了針對性要求,并對匿名化信息識別、自動化決策、公共場所的身份識別、處理已公開的個(gè)人信息等社會關(guān)切熱點(diǎn)問題做出了明確回應(yīng)。(草案第十三條至第二十八條)
1.草案設(shè)立專節(jié)對處理敏感個(gè)人信息作出增強(qiáng)性的規(guī)定,強(qiáng)調(diào)只有在具有特定的目的和充分的必要性的情形下方可處理敏感個(gè)人信息,并且應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意或者書面同意。
2.草案強(qiáng)調(diào)處理敏感個(gè)人信息的告知,除個(gè)人信息的一般告知事項(xiàng),還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對個(gè)人的影響。
3.草案強(qiáng)調(diào)針對敏感個(gè)人信息的法律適用,應(yīng)當(dāng)以“從嚴(yán)適用”為原則。(草案第二十九條至第三十二條)
1.草案設(shè)立專節(jié)規(guī)定國家機(jī)關(guān)處理個(gè)人信息的規(guī)則,在保障國家機(jī)關(guān)依法履行職責(zé)的同時(shí),要求國家機(jī)關(guān)處理個(gè)人信息應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限和程序進(jìn)行,不得超出履行法定職責(zé)所必需的范圍和限度。
2.草案要求國家機(jī)關(guān)處理的個(gè)人信息應(yīng)當(dāng)在境內(nèi)存儲,確需向境外提供的應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)評估。(草案第三十三條至第三十七條)
1.草案明確了個(gè)人信息處理者向境外提供個(gè)人信息的,至少要符合四類合規(guī)規(guī)則中的其中一條,包括通過國家網(wǎng)信部門的安全評估、個(gè)人信息保護(hù)認(rèn)證、合同約束并達(dá)到本法要求、其他條件。
2.草案明確了個(gè)人信息處理者在個(gè)人信息出境前應(yīng)當(dāng)向個(gè)人告知的事項(xiàng),包括接收方的身份、聯(lián)系方式、處理目的、處理方式以及維權(quán)方式等,并取得個(gè)人的單獨(dú)同意。
3.對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者、處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者、國際司法和行政執(zhí)法協(xié)助、國際條約規(guī)定等情形下的個(gè)人信息出境提出針對性要求。
4.明確賦予國家網(wǎng)信部門對境外從事危害我國個(gè)人信息權(quán)益、國家安全和公共利益的個(gè)人信息處理活動采取限制或禁止措施的權(quán)力,以充分保護(hù)我國境內(nèi)主體的合法權(quán)益。
5.強(qiáng)調(diào)“對等原則”,明確強(qiáng)調(diào)國家有權(quán)對針對我國的歧視性措施的國家和地區(qū)采取相應(yīng)措施。(草案第三十八條至四十三條)
1.草案與《民法典》第1034~1039條規(guī)定相銜接,明確在個(gè)人信息處理活動中個(gè)人的各項(xiàng)權(quán)利,包括知情權(quán)、決定權(quán)、查詢權(quán)、更正權(quán)、刪除權(quán)和規(guī)則說明權(quán)等,并要求個(gè)人信息處理者建立個(gè)人行使權(quán)利的申請受理和處理機(jī)制。
2.草案明確個(gè)人信息處理者的個(gè)人信息合規(guī)管理義務(wù),包括制定內(nèi)部管理制度和操作規(guī)程、對個(gè)人信息進(jìn)行分級分類管理、采取相應(yīng)的安全技術(shù)措施、合理確定個(gè)人信息處理的操作權(quán)限和定期人員安全教育培訓(xùn)、制定并組織個(gè)人信息安全事件應(yīng)急預(yù)案、定期對其個(gè)人信息活動進(jìn)行合規(guī)審計(jì)等。
3.草案對個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者,和境外個(gè)人信息處理提出針對性合規(guī)要求,包括確定個(gè)人信息保護(hù)負(fù)責(zé)人等。
4.草案明確個(gè)人信息處理者應(yīng)當(dāng)進(jìn)行事前風(fēng)險(xiǎn)評估的個(gè)人信息處理活動,包括處理敏感個(gè)人信息、自動化決策、委托處理和向第三方提供、個(gè)人信息公開、個(gè)人信息出境等,并規(guī)定了風(fēng)險(xiǎn)評估的內(nèi)容事項(xiàng)。
5.草案強(qiáng)調(diào)個(gè)人信息處理者的個(gè)人信息泄露通知和補(bǔ)救義務(wù),明確了泄露通知對象(主管部門和個(gè)人)和事項(xiàng)(事件原因、信息種類、事件危害、補(bǔ)救措施等)。(草案第四十四條至第五十五條)
1.草案明確了國家網(wǎng)信部門負(fù)責(zé)個(gè)人信息保護(hù)工作的統(tǒng)籌協(xié)調(diào)和相關(guān)監(jiān)督管理工作;國務(wù)院有關(guān)部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定,在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作;地方的個(gè)人信息保護(hù)和監(jiān)督管理職責(zé)按照國家有關(guān)規(guī)定確定。
2.草案明確上述部門應(yīng)當(dāng)履行的個(gè)人信息保護(hù)職責(zé),包括開展相關(guān)宣傳教育、接受和處理有關(guān)投訴舉報(bào)、調(diào)查和處理違法事件等。
3.草案明確了履行個(gè)人信息保護(hù)職責(zé)的部門可以采取的措施和相應(yīng)條件、程序,包括詢問、查閱和復(fù)制資料、現(xiàn)場檢查、查封和扣押、約談和要求整改等。(草案第五十六至六十一條)
1.草案明確了對于違反本法規(guī)定處理個(gè)人信息、或未按照規(guī)定采取必要安全保護(hù)措施的,情節(jié)嚴(yán)重的情況可以處以五千萬以下或上一年度營業(yè)額百分之五以下的罰款,并可責(zé)令其暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照。
2.草案明確個(gè)人信息處理者的個(gè)人信息處理活動侵害個(gè)人信息權(quán)益的,應(yīng)當(dāng)按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得利益承擔(dān)賠償責(zé)任。(草案第六十二條至第六十七條)