个人信息保护新纪元——《个人信息保护法》下的数据合规要点解读
文\文晓欢
北京岳成律师事务所北京总所律师助理
千呼万唤始出来,2021 年 8 月 20 日,历经三读的《个人信息保护法》正式通过,结束了中国个人信息保护基本法律缺位的历史,开启了一个时代的新篇章。《网络安全法》、《数据安全法》和《个人信息保护法》,共同搭建了中国网络安全领域的法律框架,为数字时代的网络安全、数据安全、个人信息权益保护提供了基础制度保障。
一、个人信息之内涵
我国法律法规对个人信息的定义及范围的相关规定主要有:
法律法规名称 | 个人信息定义及范围 |
《民法典》 | 第一千零三十四条第二款个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息, 包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。 |
《网络安全法》 | 第七十六条(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息包括但不限于自然人的姓名、出生日期、身份证件号码、个人 生物识别信息、住址、电话号码等。 |
《个人信息保护法》 | 第四条个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。 |
《信息安全技术个人信息安全规范》 | 3.1 个人信息以电子或其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或反映特定自然人活动情况的各种信 息。 |
《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》 | 第一条刑法第二百五十三条之一规定的“公民个人信息”, 是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。 |
何为个人信息?通过上表可见,《个人信息保护法》在《网络安全法》以及《民法典》规定的“识别” 的基础上,将个人信息的识别区分为“已识别”及“可识别”表述,即《个人信息保护法》对个人信息的定义采纳了《个人信息安全规范》个人信息定义的最宽入口模式,无论是识别法(从信息到个人) 或关联法(从个人到信息)得到的信息均属于个人信息,一定程度上扩大了个人信息保护的范围。
二、个人信息处理的重要规则
1、知情同意不再是处理个人信息的唯一合法基础《个人信息保护法》第十三条列举了多项处理个人信息无需取得个人同意的情形 , 包括:
(1)为履行合同、实施人力资源管理所必需;
(2)为履行法定义务所必需;
(3)为应对突发公共卫生事件所必需;
(4)为保护生命安全和财产安全所必需;
(5)为公共利益实施新闻报道等所必需;
(6)在合理范围内处理已公开的个人信息。
上述规定很大程度上放宽了个人信息处理的限制,突破了“告知同意”为核心的个人信息处理规则, 未来“知情同意”将不再是处理个人信息唯一的合法基础,这将进一步平衡个人信息保护与信息合理使用之间的矛盾,促进创新商业发展。
2、处理敏感个人信息应取得单独同意
“个人信息”系《民法典》所第五章所规定的“民事权利”之一,与《民法典》第五章相呼应,《个人信息保护法》设专章对与人格尊严、人身财产安全直接相关的敏感个人信息进行详细规定。
个人信息可以分为一般个人信息与敏感个人信息,在《个人信息保护法》中,敏感个人信息指生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。敏感个人信息受法律严格保护,《个人信息保护法》要求,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息,同时应当事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响。需特别注意的是,《个人信息保护法》已将不满十四周岁未成年人的个人信息也归纳于敏感个人信息。基于“知情同意”原则 ,《个人信息保护法》第二十九条进一步要求处理敏感个人信息应取得个人的“单独同意”。
3、严格监管向第三方提供和共享个人信息
向第三方提供和共享个人信息,一直以来都受到严厉监管。《网络安全法》第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是, 经过处理无法识别特定个人且不能复原的除外。此外,我国《刑法》第二百五十三条之一第三款规定, 窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条第二款规定,未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
而新出台的《个人信息保护法》第二十一至二十三条对“向第三方提供个人信息”进行了明确的限制。个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
企业对外提供个人信息 , 还需满足其他条件 , 包括 :
(1)履行告知义务;
(2)获取单独同意;
(3)事先进行风险评估;
(4)采取必要措施保障境外处理活动达到个人信息保护标准。
三、加强对侵犯个人信息行为的惩处互联网时代飞速发展,侵犯个人信息的行为亦层出不穷。顺应时代要求,《个人信息保护法》加强了对侵犯个人信息行为的惩处。
如《个人信息保护法》第六十六条,针对违法处理个人信息,或者处理个人信息未履行《个 人信息保护法》所规定个人信息保护义务的,设置了三类处罚措施:(1)暂停或终止服务;(2) 大额罚款;(3)市场禁入。
《个人信息保护法》围绕个人信息的处理,从处理规则、跨境提供、个人权利、处理者义务、保护职责部门以及法律责任等不同角度确立了相应规则,并且针对敏感个人信息和国家机关处理 强调了特别规则,加强了对侵犯个人信息行为的惩处力度,开启了我国个人信息保护的新纪元。
