随着信息化社会的不断发展,个人信息保护成为了社会各界重点关注的问题。2018年9月,关于个人信息保护的法律正式被纳入全国人民代表大会的立法计划,历时近三年,2021年8月20日,十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”或“该法”),该法自2021年11月1日起施行。
《个人信息保护法》分为八章共七十四条,明晰了个人信息处理活动中的相关主体的权利义务边界。该法是我国首部明确规定个人信息处理规则的法律,区别于之前分散颁布的部门规章,其较高的位阶反映了该法所调整的法律关系之重要性。该法对违法处理个人信息的处罚作出了严厉的规定,全面提升了违法违规成本,除了民事责任外,相关的处罚包括责令改正、给予警告,没收违法所得,责令暂停或者终止提供服务、罚款等行政责任,以及刑事责任。其中,针对情节严重的违法处理个人信息行为,可处五千万元以下或者上一年度营业额百分之五以下罚款;该项用营业额进行处罚的规定是继《中华人民共和国反垄断法》之后,我国第二部涉及按营业收入百分比进行行政处罚的法律,可对个人信息处理者起到较强的震慑作用。
本文将简要梳理《个人信息保护法》的要点,以为个人信息处理者提供若干合规参考。
一、《个人信息保护法》的部分要点梳理
(一)个人信息及个人信息处理活动的定义
根据《个人信息保护法》第四条的规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息;个人信息处理活动则包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
根据上述规定,个人信息需具有可识别性并需与特定自然人相联系,匿名化处理后的信息不属于个人信息范畴;与《民法典》的规定相比,在个人信息处理活动的类型上,该法新增了“删除”这一类型。
(二)《个人信息保护法》的适用主体及域外效力
根据《个人信息保护法》第三条、第五十八条、第六十八条等规定,凡是在我国境内处理自然人个人信息,均适用该法。这就意味着,除法律另有规定外,无论是国家机关、企事业单位、法人企业,或者非法人组织以及自然人,其实施的个人信息处理活动都适用《个人信息保护法》。
此外,《个人信息保护法》第三条第二款规定,“在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。”鉴于互联网的开放性以及数据的流通性,《个人信息保护法》第三条第一款在明确我国对个人信息处理活动的调整坚持以“属地管辖”为原则的同时,兼采“保护原则”,凡是属于向境内自然人提供产品或者服务为目的,或分析、评估境内自然人的行为以及法律、行政法规规定的其他情形的,无论个人信息处理活动在境内抑或在境外进行,均适用该法。
(三)个人信息处理的原则及规则
《个人信息保护法》第五条、第六条、第七条、第八条对个人信息处理进行了原则的规定,具体需遵循的原则包括合法、正当、必要和诚信原则、合法正当目的、对个人权益影响最小以及公开、透明、确保准确性原则。
对于个人信息处理的具体规则,《个人信息保护法》第二章进行了明确的规定,该等规定既明确了个人信息处理的合法性来源,也为个人信息处理者合规处理个人信息提供了清晰的指引。现将该等规则的要点概括如下:
[2]《中华人民共和国数据安全法》第二十一条明确提出,国家建立数据分类分级保护制度。为贯彻落实国家数据分类分级保护制度,各部门和各行业都在推动制定信息安全等级保护制度。例如中国人民银行于2020年2月13日发布的《个人金融信息保护技术规范》(标准号:JR/T0171—2020)、工业和信息化部于2020年2月27日发布的《工业数据分类分级指南(试行)》等,前述规范、指南均规定了数据的分级、分类方法,并对不同级别的数据制定了不同的管理制度、安全准则。
本文章仅为交流之目的,不构成李伟斌律师事务所任何形式的法律意见。欢迎转发本文章。如需转载或引用本文章的内容,请注明文章来源。
}
1、中华人民共和国宪法
第三十三条凡具有中华人民共和国国籍的人都是中华人民共和国公民。
中华人民共和国公民在法律面前一律平等。
第三十八条中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。
第三十九条中华人民共和国公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。
第四十条中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。
第四十一条中华人民共和国公民对于任何国家机关和国家工作人员,有提出批评和建议的权利;对于任何国家机关和国家工作人员的违法失职行为,有向有关国家机关提出申诉、控告或者检举的权利,但是不得捏造或者歪曲事实进行诬告陷害。
对于公民的申诉、控告或者检举,有关国家机关必须查清事实,负责处理。任何人不得压制和打击报
由于国家机关和国家工作人员侵犯公民权利而受到损失的人,有依照法律规定取得赔偿的权利。
第四十七条中华人民共和国公民有进行科学研究、文学艺术创作和其他文化活动的自由。国家对于从事教育、科学、技术、文学、艺术和其他文化事业的公民的有益于人民的创造性工作,给以鼓励和帮助。
第五十一条中华人民共和国公民在行使自由和权利的时候,不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利。
中华人民共和国宪法修正案(2004年)
第二十四条宪法第三十三条增加一款,作为第三款:“国家尊重和保障人权。”第三款相应地改为第四款。
2、中华人民共和国民法通则
第九十九条公民享有姓名权,有权决定、使用和依照规定改变自己的姓名,禁止他人干涉、盗用、假冒。
法人、个体工商户、个人合伙享有名称权。企业法人、个体工商户、个人合伙有权使用、依法转让自己的名称。
第一百条公民享有肖像权,未经本人同意,不得以营利为目的使用公民的肖像。第一百零一条公民、法人享有名誉权,公民的人格尊严受法律保护,禁止用侮辱、诽谤等方式损害公民、法人的名誉。
第一百零二条公民、法人享有荣誉权,禁止非法剥夺公民、法人的荣誉称号。
3、中华人民共和国妇女权益保障法(2005修正)
第四十二条妇女的名誉权、荣誉权、隐私权、肖像权等人格权受法律保护。
}