亮點(diǎn)一 確立個人信息保護(hù)原則 個人信息保護(hù)的原則是收集、使用個人信息的基本遵循,是構(gòu)建個人信息保護(hù)具體規(guī)則的制度基礎(chǔ)。 個人信息保護(hù)法借鑒國際經(jīng)驗(yàn)并立足我國實(shí)際,確立了個人信息處理應(yīng)遵循的原則,強(qiáng)調(diào)處理個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則,具有明確、合理的目的并與處理目的直接相關(guān),采取對個人權(quán)益影響最小的方式,限于實(shí)現(xiàn)處理目的的最小范圍,公開處理規(guī)則,保證信息質(zhì)量,采取安全保護(hù)措施等。 “這些原則應(yīng)當(dāng)貫穿于個人信息處理的全過程、各環(huán)節(jié)?!睏詈蠎c說。
亮點(diǎn)二 規(guī)范處理活動保障權(quán)益 個人信息保護(hù)法緊緊圍繞規(guī)范個人信息處理活動、保障個人信息權(quán)益,構(gòu)建了以“告知-同意”為核心的個人信息處理規(guī)則。 “‘告知-同意’是法律確立的個人信息保護(hù)核心規(guī)則,是保障個人對其個人信息處理知情權(quán)和決定權(quán)的重要手段。”楊合慶說。 個人信息保護(hù)法要求,處理個人信息應(yīng)當(dāng)在事先充分告知的前提下取得個人同意,個人信息處理的重要事項(xiàng)發(fā)生變更的應(yīng)當(dāng)重新向個人告知并取得同意。同時(shí),針對現(xiàn)實(shí)生活中社會反映強(qiáng)烈的一攬子授權(quán)、強(qiáng)制同意等問題,個人信息保護(hù)法特別要求,個人信息處理者在處理敏感個人信息、向他人提供或公開個人信息、跨境轉(zhuǎn)移個人信息等環(huán)節(jié)應(yīng)取得個人的單獨(dú)同意,明確個人信息處理者不得過度收集個人信息,不得以個人不同意為由拒絕提供產(chǎn)品或者服務(wù),并賦予個人撤回同意的權(quán)利,在個人撤回同意后,個人信息處理者應(yīng)當(dāng)停止處理或及時(shí)刪除其個人信息。 此外,考慮到經(jīng)濟(jì)社會生活的復(fù)雜性,個人信息處理的場景日益多樣,個人信息保護(hù)法從維護(hù)公共利益和保障社會正常生產(chǎn)生活的角度,還對取得個人同意以外可以合法處理個人信息的特定情形作了規(guī)定。 此外,個人信息保護(hù)法還分別對共同處理、委托處理等實(shí)踐中較為常見的處理情形作出有針對性規(guī)定。
亮點(diǎn)三 禁止“大數(shù)據(jù)殺熟”規(guī)范自動化決策 當(dāng)前,越來越多的企業(yè)利用大數(shù)據(jù)分析、評估消費(fèi)者的個人特征用于商業(yè)營銷。有一些企業(yè)通過掌握消費(fèi)者的經(jīng)濟(jì)狀況、消費(fèi)習(xí)慣、對價(jià)格的敏感程度等信息,對消費(fèi)者在交易價(jià)格等方面實(shí)行歧視性的差別待遇,誤導(dǎo)、欺詐消費(fèi)者。其中,最典型的就是社會反映突出的“大數(shù)據(jù)殺熟”。 “‘大數(shù)據(jù)殺熟’行為違反了誠實(shí)信用原則,侵犯了消費(fèi)者權(quán)益保護(hù)法規(guī)定的消費(fèi)者享有公平交易條件的權(quán)利,應(yīng)當(dāng)在法律上予以禁止?!睏詈蠎c說。 對此,個人信息保護(hù)法明確規(guī)定:個人信息處理者利用個人信息進(jìn)行自動化決策,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正,不得對個人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。
亮點(diǎn)四 嚴(yán)格保護(hù)敏感個人信息 值得關(guān)注的是,個人信息保護(hù)法將生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息列為敏感個人信息。個人信息保護(hù)法要求,只有在具有特定的目的和充分的必要性,并采取嚴(yán)格保護(hù)措施的情形下,方可處理敏感個人信息,同時(shí)應(yīng)當(dāng)事前進(jìn)行影響評估,并向個人告知處理的必要性以及對個人權(quán)益的影響。 “這主要是考慮到此類信息一旦泄露或者被非法使用,極易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害,因此,對處理敏感個人信息的活動應(yīng)當(dāng)作出更加嚴(yán)格的限制。”楊合慶說。 值得關(guān)注的是,為保護(hù)未成年人的個人信息權(quán)益和身心健康,個人信息保護(hù)法特別將不滿十四周歲未成年人的個人信息確定為敏感個人信息予以嚴(yán)格保護(hù)。同時(shí),與未成年人保護(hù)法有關(guān)規(guī)定相銜接,要求處理不滿十四周歲未成年人個人信息應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意,并應(yīng)當(dāng)對此制定專門的個人信息處理規(guī)則。
亮點(diǎn)五 規(guī)范國家機(jī)關(guān)處理活動 為履行維護(hù)國家安全、懲治犯罪、管理經(jīng)濟(jì)社會事務(wù)等職責(zé),國家機(jī)關(guān)需要處理大量個人信息。保護(hù)個人信息權(quán)益、保障個人信息安全是國家機(jī)關(guān)應(yīng)盡的義務(wù)和責(zé)任。但近年來,一些個人信息泄露事件也反映出有些國家機(jī)關(guān)存在個人信息保護(hù)意識不強(qiáng)、處理流程不規(guī)范、安全保護(hù)措施不到位等問題。 對此,個人信息保護(hù)法對國家機(jī)關(guān)處理個人信息的活動作出專門規(guī)定,特別強(qiáng)調(diào)國家機(jī)關(guān)處理個人信息的活動適用本法,并且處理個人信息應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限和程序進(jìn)行,不得超出履行法定職責(zé)所必需的范圍和限度。
亮點(diǎn)六 賦予個人充分權(quán)利 個人信息保護(hù)法將個人在個人信息處理活動中的各項(xiàng)權(quán)利,包括知悉個人信息處理規(guī)則和處理事項(xiàng)、同意和撤回同意,以及個人信息的查詢、復(fù)制、更正、刪除等總結(jié)提升為知情權(quán)、決定權(quán),明確個人有權(quán)限制個人信息的處理。 同時(shí),為了適應(yīng)互聯(lián)網(wǎng)應(yīng)用和服務(wù)多樣化的實(shí)際,滿足日益增長的跨平臺轉(zhuǎn)移個人信息的需求,個人信息保護(hù)法對個人信息可攜帶權(quán)作了原則規(guī)定,要求在符合國家網(wǎng)信部門規(guī)定條件的情形下,個人信息處理者應(yīng)當(dāng)為個人提供轉(zhuǎn)移其個人信息的途徑。 此外,個人信息保護(hù)法還對死者個人信息的保護(hù)作了專門規(guī)定,明確在尊重死者生前安排的前提下,其近親屬為自身合法、正當(dāng)利益,可以對死者個人信息行使查閱、復(fù)制、更正、刪除等權(quán)利。
亮點(diǎn)七 強(qiáng)化個人信息處理者義務(wù) 個人信息處理者是個人信息保護(hù)的第一責(zé)任人。據(jù)此,個人信息保護(hù)法強(qiáng)調(diào),個人信息處理者應(yīng)當(dāng)對其個人信息處理活動負(fù)責(zé),并采取必要措施保障所處理的個人信息的安全。 在此基礎(chǔ)上,個人信息保護(hù)法設(shè)專章明確了個人信息處理者的合規(guī)管理和保障個人信息安全等義務(wù),要求個人信息處理者按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程,采取相應(yīng)的安全技術(shù)措施,指定負(fù)責(zé)人對其個人信息處理活動進(jìn)行監(jiān)督,定期對其個人信息活動進(jìn)行合規(guī)審計(jì),對處理敏感個人信息、利用個人進(jìn)行自動化決策、對外提供或公開個人信息等高風(fēng)險(xiǎn)處理活動進(jìn)行事前影響評估,履行個人信息泄露通知和補(bǔ)救義務(wù)等。
亮點(diǎn)八 賦予大型網(wǎng)絡(luò)平臺特別義務(wù) 互聯(lián)網(wǎng)平臺服務(wù)是數(shù)字經(jīng)濟(jì)區(qū)別于傳統(tǒng)經(jīng)濟(jì)的顯著特征。互聯(lián)網(wǎng)平臺為商品和服務(wù)的交易提供技術(shù)支持、交易場所、信息發(fā)布和交易撮合等服務(wù)。 “在個人信息處理方面,互聯(lián)網(wǎng)平臺為平臺內(nèi)經(jīng)營者處理個人信息提供基礎(chǔ)技術(shù)服務(wù)、設(shè)定基本處理規(guī)則,是個人信息保護(hù)的關(guān)鍵環(huán)節(jié)?!睏詈蠎c指出,提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者對平臺內(nèi)的交易和個人信息處理活動具有強(qiáng)大的控制力和支配力,因此在個人信息保護(hù)方面應(yīng)當(dāng)承擔(dān)更多的法律義務(wù)。 據(jù)此,個人信息保護(hù)法對這些大型互聯(lián)網(wǎng)平臺設(shè)定了特別的個人信息保護(hù)義務(wù),包括:按照國家規(guī)定建立健全個人信息保護(hù)合規(guī)制度體系,成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對個人信息保護(hù)情況進(jìn)行監(jiān)督;遵循公開、公平、公正的原則,制定平臺規(guī)則;對嚴(yán)重違法處理個人信息的平臺內(nèi)產(chǎn)品或者服務(wù)提供者,停止提供服務(wù);定期發(fā)布個人信息保護(hù)社會責(zé)任報(bào)告,接受社會監(jiān)督。個人信息保護(hù)法的上述規(guī)定是為了提高大型互聯(lián)網(wǎng)平臺經(jīng)營業(yè)務(wù)的透明度,完善平臺治理,強(qiáng)化外部監(jiān)督,形成全社會共同參與的個人信息保護(hù)機(jī)制。
亮點(diǎn)九 規(guī)范個人信息跨境流動 隨著經(jīng)濟(jì)全球化、數(shù)字化的不斷推進(jìn)以及我國對外開放的不斷擴(kuò)大,個人信息的跨境流動日益頻繁,但由于遙遠(yuǎn)的地理距離以及不同國家法律制度、保護(hù)水平之間的差異,個人信息跨境流動風(fēng)險(xiǎn)更加難以控制。 “個人信息保護(hù)法構(gòu)建了一套清晰、系統(tǒng)的個人信息跨境流動規(guī)則,以滿足保障個人信息權(quán)益和安全的客觀要求,適應(yīng)國際經(jīng)貿(mào)往來的現(xiàn)實(shí)需要?!睏詈蠎c介紹說,一是明確以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的,或者分析、評估境內(nèi)自然人的行為等,在我國境外處理境內(nèi)自然人個人信息的活動適用本法,并要求符合上述情形的境外個人信息處理者在我國境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表,負(fù)責(zé)個人信息保護(hù)相關(guān)事務(wù);二是明確向境外提供個人信息的途徑,包括通過國家網(wǎng)信部門組織的安全評估、經(jīng)專業(yè)機(jī)構(gòu)認(rèn)證、訂立標(biāo)準(zhǔn)合同、按照我國締結(jié)或參加的國際條約和協(xié)定等;三是要求個人信息處理者采取必要措施保障境外接收方的處理活動達(dá)到本法規(guī)定的保護(hù)標(biāo)準(zhǔn);四是對跨境提供個人信息的“告知-同意”作出更嚴(yán)格的要求,切實(shí)保障個人的知情權(quán)、決定權(quán)等權(quán)利;五是為維護(hù)國家主權(quán)、安全和發(fā)展利益,對跨境提供個人信息的安全評估、向境外司法或執(zhí)法機(jī)構(gòu)提供個人信息、限制跨境提供個人信息的措施、對外國歧視性措施的反制等作了規(guī)定。
亮點(diǎn)十 健全個人信息保護(hù)工作機(jī)制 個人信息保護(hù)涉及的領(lǐng)域廣,相關(guān)制度措施的落實(shí)有賴于完善的監(jiān)管執(zhí)法機(jī)制。 根據(jù)個人信息保護(hù)工作實(shí)際,個人信息保護(hù)法明確,國家網(wǎng)信部門和國務(wù)院有關(guān)部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)個人信息保護(hù)和監(jiān)督管理工作,同時(shí),對個人信息保護(hù)和監(jiān)管職責(zé)作出規(guī)定,包括開展個人信息宣傳教育、指導(dǎo)監(jiān)督個人信息保護(hù)工作、接受處理相關(guān)投訴舉報(bào)、組織對應(yīng)用程序等進(jìn)行測評、調(diào)查處理違法個人信息處理活動等。 此外,為了加強(qiáng)個人信息保護(hù)監(jiān)管執(zhí)法的協(xié)同配合,個人信息保護(hù)法還進(jìn)一步明確了國家網(wǎng)信部門在個人信息保護(hù)監(jiān)管方面的統(tǒng)籌協(xié)調(diào)作用,并對其統(tǒng)籌協(xié)調(diào)職責(zé)作出具體規(guī)定。
文稿編輯:魯濤