文\劉德龍
北京岳成律師事務(wù)所北京總所律師助理
2021年8月20日��,第十三屆全國人大常委會第三十次會議于通過了《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)�,該法自2021年11月1日起施行。
現(xiàn)實生活中����,隨意收集個人信息的場景十分常見,免費領(lǐng)取的氣球小玩具要求掃碼關(guān)注獲取個人信息��,商場停車要求微信公眾號注冊繳納停車費�,餐廳點餐需要掃碼下單獲取不必要個人信息等等。個人信息頻繁被收集使用����,個人生活安寧被不斷侵擾,用戶合法權(quán)益得不到切實保障�����,甚至滋生長鏈條的黑色產(chǎn)業(yè)��?���!秱€人信息保護法》的出臺有效回應(yīng)了這些不規(guī)范、不合法的問題�����。
《個人信息保護法》是我國第一部個人信息保護方面的專門法律����,構(gòu)建了完整的個人信息保護框架,為個人信息處理活動提供了明確的法律依據(jù)�,為個人維護其個人信息權(quán)益提供了充分保障,為企業(yè)合規(guī)處理提供了操作指引�����,標志著我國進入了更高水平的個人信息保護的法治時代。
首先�����,明確了個人信息保護的調(diào)整范圍�。《個人信息保護法》第四條第一款明確了“個人信息”的定義:“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息��,不包括匿名化處理后的信息����。”該定義與《民法典》和《網(wǎng)絡(luò)安全法》中的“個人信息”定義在基本概念上保持了一致���,但又有不同����。
《個人信息保護法》中的“個人信息”定義增加了“不包括匿名化處理后的信息”����,明確了“個人信息”經(jīng)匿名化處理后不屬于個人信息,也就無須適用《個人信息保護法》的相關(guān)規(guī)定���,體現(xiàn)了《個人信息保護法》的“保護”和“利用”并重����。
第二�����,確立了個人信息處理活動應(yīng)當遵循的基本原則和要求��。個人信息處理活動不僅要滿足合法��、正當�、必要和誠信原則,還應(yīng)當具有明確�、合理的目的,同時必須采取對個人權(quán)益影響最小的方式�,限于實現(xiàn)處理目的的最小范圍,遵循公開�、透明的原則,保證個人信息的準確���、完整性�����,并采取必要措施保障個人信息的安全�。這些原則的根本目的就是要規(guī)范個人信息處理者的處理活動,保護個人信息權(quán)益�����。個人信息處理者應(yīng)當保障所處理的個人信息的安全���。任何組織����、個人都不得非法買賣����、提供或者公開他人個人信息;不得從事危害國家安全����、公共利益的個人信息處理活動。
第三�����,制定了個人信息處理的規(guī)則���?��!秱€人信息保護法》明確提出了“知情—同意規(guī)則”��,要求必須保證個人的知情權(quán)��,明確在處理個人信息前,個人信息處理者應(yīng)當以顯著方式�����、清晰易懂的語言真實����、準確、完整地將個人信息處理的目的��、處理方式等相關(guān)事項告知個人��,個人在充分知情的前提下自愿����、明確作出同意。個人還有權(quán)隨時撤回其同意��,并且不影響撤回前基于個人同意已進行的個人信息處理活動的效力,個人信息處理者不得以個人不同意或者撤回同意為由拒絕提供產(chǎn)品或者服務(wù)�。
第四,明確了個人信息處理活動過程中的權(quán)利和義務(wù)�����?���!秱€人信息保護法》明確了個人對其個人信息的處理享有知情權(quán)、決定權(quán)����,有權(quán)限制或者拒絕他人對其個人信息進行處理。具體規(guī)定了查閱����、復(fù)制權(quán)、可攜帶權(quán)���、更正補充權(quán)����、刪除權(quán)、請求解釋權(quán)����。對于自然人死亡的,也明確了其近親屬行使相關(guān)權(quán)利的規(guī)定�����。
同時�����,對個人信息處理者的職責和義務(wù)提出了嚴格的要求��。一是對于處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者�,要求指定個人信息保護負責人���;二是對于境外個人信息處理者���,要求在中國境內(nèi)設(shè)立專門機構(gòu)或者指定代表;三是特定情形下應(yīng)當進行個人信息保護影響評估���;四是對于提供重要互聯(lián)網(wǎng)平臺服務(wù)��、用戶數(shù)量巨大���、業(yè)務(wù)類型復(fù)雜的個人信息處理者還應(yīng)當履行更高水平的保護義務(wù)���,要求成立外部獨立監(jiān)督機構(gòu)、制定平臺規(guī)則����、阻斷違法活動、定期發(fā)布履責報告等�����。
第五�����,確定了履行個人信息保護職責部門的職責��?���!秱€人信息保護法》對個人信息保護體制進行了明確安排。由國家網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào)個人信息保護工作和相關(guān)監(jiān)督管理工作����,履行個人信息保護職責的部門需要接受��、處理與個人信息保護有關(guān)的投訴�����、舉報����,并調(diào)查����、處理違法個人信息處理活動,由縣級以上地方人民政府有關(guān)部門確定個人信息保護和監(jiān)督管理職責����。此外�����,針對個人信息處理者違反本法規(guī)定處理個人信息,侵害眾多個人權(quán)益的情況����,為了降低維權(quán)成本,《個人信息保護法》進一步規(guī)定了公益訴訟制度��,規(guī)定人民檢察院����、法律規(guī)定的消費者組織和由國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。
第六��,規(guī)定了較為嚴厲的法律責任��?����!秱€人信息保護法》第五十四條規(guī)定�,個人信息處理者應(yīng)當定期對其個人信息處理活動遵守法律、行政法規(guī)的情況進行合規(guī)審計����。在行政責任方面,《個人信息保護法》設(shè)置了全面的行政處罰手段��,包括警告�����、沒收違法所得、罰款����、責令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、吊銷許可或者營業(yè)執(zhí)照���。
其中��,對于違法處理個人信息的應(yīng)用程序�,可以責令暫?;蛘呓K止提供服務(wù)。罰款的最高數(shù)額可達五千萬元人民幣��。在民事責任方面���,《個人信息保護法》規(guī)定了過錯推定原則��,處理個人信息侵害個人信息權(quán)益造成損害�����,個人信息處理者不能證明自己沒有過錯的,應(yīng)當承擔損害賠償?shù)惹謾?quán)責任���。
個人信息的保護�,一方面依托于國家法律提供的制度保護,另一方面公民自身也要養(yǎng)成個人信息保護的意識��。相信隨著《個人信息保護法》的頒布�����,公民個人信息保護意識會不斷提高�;基于侵犯、濫用個人信息的違法犯罪行為懲戒力度的加大��,個別商家和不法分子發(fā)現(xiàn)違法犯罪成本提高�����,相信個人信息被濫用的情況會越來越少�����。
