文\刘德龙
北京岳成律师事务所北京总所律师助理
2021年8月20日,第十三届全国人大常委会第三十次会议于通过了《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),该法自2021年11月1日起施行。
现实生活中,随意收集个人信息的场景十分常见,免费领取的气球小玩具要求扫码关注获取个人信息,商场停车要求微信公众号注册缴纳停车费,餐厅点餐需要扫码下单获取不必要个人信息等等。个人信息频繁被收集使用,个人生活安宁被不断侵扰,用户合法权益得不到切实保障,甚至滋生长链条的黑色产业。《个人信息保护法》的出台有效回应了这些不规范、不合法的问题。
《个人信息保护法》是我国第一部个人信息保护方面的专门法律,构建了完整的个人信息保护框架,为个人信息处理活动提供了明确的法律依据,为个人维护其个人信息权益提供了充分保障,为企业合规处理提供了操作指引,标志着我国进入了更高水平的个人信息保护的法治时代。
首先,明确了个人信息保护的调整范围。《个人信息保护法》第四条第一款明确了“个人信息”的定义:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”该定义与《民法典》和《网络安全法》中的“个人信息”定义在基本概念上保持了一致,但又有不同。
《个人信息保护法》中的“个人信息”定义增加了“不包括匿名化处理后的信息”,明确了“个人信息”经匿名化处理后不属于个人信息,也就无须适用《个人信息保护法》的相关规定,体现了《个人信息保护法》的“保护”和“利用”并重。
第二,确立了个人信息处理活动应当遵循的基本原则和要求。个人信息处理活动不仅要满足合法、正当、必要和诚信原则,还应当具有明确、合理的目的,同时必须采取对个人权益影响最小的方式,限于实现处理目的的最小范围,遵循公开、透明的原则,保证个人信息的准确、完整性,并采取必要措施保障个人信息的安全。这些原则的根本目的就是要规范个人信息处理者的处理活动,保护个人信息权益。个人信息处理者应当保障所处理的个人信息的安全。任何组织、个人都不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
第三,制定了个人信息处理的规则。《个人信息保护法》明确提出了“知情—同意规则”,要求必须保证个人的知情权,明确在处理个人信息前,个人信息处理者应当以显著方式、清晰易懂的语言真实、准确、完整地将个人信息处理的目的、处理方式等相关事项告知个人,个人在充分知情的前提下自愿、明确作出同意。个人还有权随时撤回其同意,并且不影响撤回前基于个人同意已进行的个人信息处理活动的效力,个人信息处理者不得以个人不同意或者撤回同意为由拒绝提供产品或者服务。
第四,明确了个人信息处理活动过程中的权利和义务。《个人信息保护法》明确了个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理。具体规定了查阅、复制权、可携带权、更正补充权、删除权、请求解释权。对于自然人死亡的,也明确了其近亲属行使相关权利的规定。
同时,对个人信息处理者的职责和义务提出了严格的要求。一是对于处理个人信息达到国家网信部门规定数量的个人信息处理者,要求指定个人信息保护负责人;二是对于境外个人信息处理者,要求在中国境内设立专门机构或者指定代表;三是特定情形下应当进行个人信息保护影响评估;四是对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者还应当履行更高水平的保护义务,要求成立外部独立监督机构、制定平台规则、阻断违法活动、定期发布履责报告等。
第五,确定了履行个人信息保护职责部门的职责。《个人信息保护法》对个人信息保护体制进行了明确安排。由国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,履行个人信息保护职责的部门需要接受、处理与个人信息保护有关的投诉、举报,并调查、处理违法个人信息处理活动,由县级以上地方人民政府有关部门确定个人信息保护和监督管理职责。此外,针对个人信息处理者违反本法规定处理个人信息,侵害众多个人权益的情况,为了降低维权成本,《个人信息保护法》进一步规定了公益诉讼制度,规定人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
第六,规定了较为严厉的法律责任。《个人信息保护法》第五十四条规定,个人信息处理者应当定期对其个人信息处理活动遵守法律、行政法规的情况进行合规审计。在行政责任方面,《个人信息保护法》设置了全面的行政处罚手段,包括警告、没收违法所得、罚款、责令暂停相关业务或者停业整顿、吊销许可或者营业执照。
其中,对于违法处理个人信息的应用程序,可以责令暂停或者终止提供服务。罚款的最高数额可达五千万元人民币。在民事责任方面,《个人信息保护法》规定了过错推定原则,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
个人信息的保护,一方面依托于国家法律提供的制度保护,另一方面公民自身也要养成个人信息保护的意识。相信随着《个人信息保护法》的颁布,公民个人信息保护意识会不断提高;基于侵犯、滥用个人信息的违法犯罪行为惩戒力度的加大,个别商家和不法分子发现违法犯罪成本提高,相信个人信息被滥用的情况会越来越少。
