《個人信息保護(hù)法(草案)》詳細(xì)解讀來了-這六點(diǎn)需注意
文章來源:四九八網(wǎng)絡(luò)發(fā)布時間:2020-10-22 15:31:17熱度:3426498科技訊:2020年10月13日,十三屆全國人大常委會第二十二次會議首次審議了《個人信息保護(hù)法(草案)》。2020年10月21日,中國人大網(wǎng)公布《個人信息保護(hù)法(草案)》(以下簡稱“《草案》”),向社會公開征求意見,意見反饋時間截至2020年11月19日。
《草案》吸收了《網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》《廣告法》《電子商務(wù)法》《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》《信息技術(shù)安全個人信息安全規(guī)范》等法律文件對個人信息保護(hù)的相關(guān)規(guī)定,并結(jié)合實(shí)踐經(jīng)驗(yàn),同時吸收GDPR等國際經(jīng)驗(yàn),形成了一部相對完善的立法草案??傮w而言,《草案》主要有六大亮點(diǎn)。
一、適用范圍:明確域外適用效力
《草案》第三條指出,該法適用于組織、個人在中國境內(nèi)處理自然人個人信息的活動。該條明確域外適用效力,當(dāng)中國境外處理中國境內(nèi)自然人個人信息的活動,具備下列情形之一的,也適用《草案》:
“(一)以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的;
(二)為分析、評估境內(nèi)自然人的行為;
(三)法律、行政法規(guī)規(guī)定的其他情形?!?/p>
上述規(guī)定與歐盟的GDPR有著相似之處,GDPR第三條規(guī)定:
“2.本條例適用于在歐盟領(lǐng)域內(nèi)沒有設(shè)立機(jī)構(gòu)的數(shù)據(jù)控制者或數(shù)據(jù)處理者對歐盟內(nèi)的數(shù)據(jù)主體的個人數(shù)據(jù)進(jìn)行的與以下事項(xiàng)相關(guān)的處理活動。
(a)向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù),無論是否需要該數(shù)據(jù)主體支付對價;或
(b)監(jiān)控數(shù)據(jù)主體的行為,只要其行為發(fā)生在歐盟領(lǐng)域內(nèi)?!?/p>
同時,《草案》借鑒GDPR第二條排除了自然人因個人或家庭事務(wù)而處理個人信息的法律適用。當(dāng)法律對各級人民政府及其有關(guān)部門組織實(shí)施的統(tǒng)計、檔案管理活動中的個人信息處理有規(guī)定時,應(yīng)當(dāng)優(yōu)先適用該特殊規(guī)定。
二、激發(fā)活力:增加個人信息處理合法性基礎(chǔ)
“告知-同意”仍是個人信息處理的重要規(guī)則,《草案》第二章“個人信息處理規(guī)則”的大部分規(guī)定可以說都是“告知-同意”規(guī)則的細(xì)化或延伸。“告知-同意”規(guī)則要求處理個人信息的同意,應(yīng)當(dāng)由個人在充分知情的前提下,自愿、明確作出意思表示。法律、行政法規(guī)規(guī)定處理個人信息應(yīng)當(dāng)取得個人單獨(dú)同意或者書面同意的,從其規(guī)定?!恫莅浮费永m(xù)了《信息安全技術(shù)個人信息安全規(guī)范》(GB/T35273-2020)(以下簡稱“《個人信息安全規(guī)范》”)的很多要求,具體可參考下列對比表格,在此不再贅述。
但《草案》對已公開的個人信息的處理規(guī)則,相較《個人信息保護(hù)規(guī)范》將個人信息已公開視為獲取同意的豁免條件不同,其第二十八條規(guī)定,個人信息處理者處理已公開的個人信息,應(yīng)當(dāng)符合該個人信息被公開時的用途;超出與該用途相關(guān)的合理范圍的,應(yīng)當(dāng)依照本法規(guī)定向個人告知并取得其同意。個人信息被公開時的用途不明確的,個人信息處理者應(yīng)當(dāng)合理、謹(jǐn)慎地處理已公開的個人信息;利用已公開的個人信息從事對個人有重大影響的活動,應(yīng)當(dāng)依照本法規(guī)定向個人告知并取得其同意。
立法者亦已逐漸意識到“告知-同意”規(guī)則的不足,《民法典》第一千零三十六條在“自然人或者其監(jiān)護(hù)人同意”上增加了“合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息”與“為維護(hù)公共利益或者該自然人合法權(quán)益”兩種個人信息處理合法性基礎(chǔ),首次在法律層面上對未經(jīng)同意合法處理個人信息的情形作出規(guī)定。
《草案》在此基礎(chǔ)上,吸收《個人信息安全規(guī)范》等規(guī)范內(nèi)容,對“告知-同意”規(guī)則進(jìn)行一定程度的弱化,其第十三條增加了數(shù)項(xiàng)合法性基礎(chǔ),一定程度上放寬了個人信息的處理限制,有利于平衡個人信息保護(hù)和利用間的利益沖突,激發(fā)數(shù)字經(jīng)濟(jì)創(chuàng)新活力。
三、有序流動:構(gòu)建個人信息跨境流動制度
《草案》首次在法律層面構(gòu)建了相對全面的個人信息跨境流動制度。與國家互聯(lián)網(wǎng)信息辦公室2019年發(fā)布的《個人信息出境安全評估辦法(征求意見稿)》不同,《草案》沒有要求所有個人信息跨境流動活動均需經(jīng)過安全評估?!恫莅浮芬苑旨壏诸惞芾硭枷朐O(shè)計了一個相對寬松的個人信息跨境流動制度。
《草案》原則上要求國家機(jī)關(guān)處理的個人信息以及關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者在中國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)。但在確需向境外提供的情況下,國家機(jī)關(guān)處理的個人信息應(yīng)當(dāng)進(jìn)行風(fēng)險評估;而關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者在中國境內(nèi)收集和產(chǎn)生的個人信息則需先通過國家網(wǎng)信部門組織的安全評估。此處的“風(fēng)險評估”應(yīng)與《草案》第五十四條的“風(fēng)險評估”涵義相同。但“風(fēng)險評估”和“安全評估”的具體操作流程和標(biāo)準(zhǔn)如何,兩者是否需一并進(jìn)行還有待后續(xù)規(guī)定的進(jìn)一步明確。
其他個人信息處理者在至少滿足以下一項(xiàng)條件的情況下,可向中國境外提供個人信息:
(一)按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個人信息保護(hù)認(rèn)證;
(二)與境外接收方訂立合同,約定雙方的權(quán)利和義務(wù),并監(jiān)督其個人信息處理活動達(dá)到本法規(guī)定的個人信息保護(hù)標(biāo)準(zhǔn);
(三)符合中國締結(jié)或者參加的國際條約、協(xié)定中對向中國境外提供個人信息規(guī)定的;
(四)因國際司法協(xié)助或者行政執(zhí)法協(xié)助,需要向中國境外提供個人信息,經(jīng)有關(guān)主管部門批準(zhǔn)的;
(五)法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。
此外,《草案》明確了個人信息跨境數(shù)據(jù)流動的限制情形:
(一)境外的組織、個人從事?lián)p害中國公民的個人信息權(quán)益,或者危害中國國家安全、公共利益的個人信息處理活動的,國家網(wǎng)信部門可以將其列入限制或者禁止個人信息提供清單,予以公告,并采取限制或者禁止向其提供個人信息等措施;
(二)任何國家和地區(qū)在個人信息保護(hù)方面對中國采取歧視性的禁止、限制或者其他類似措施的,中國可以根據(jù)實(shí)際情況對該國家或者該地區(qū)采取相應(yīng)措施。
四、保障權(quán)利:明確個人信息主體權(quán)利
上述權(quán)利在《民法典》《電子商務(wù)法》《網(wǎng)絡(luò)安全法》等法律中均有部分體現(xiàn),《草案》在前述規(guī)定基礎(chǔ)上,進(jìn)一步構(gòu)筑更為全面的個人信息主體權(quán)利體系,有利于個人信息主體主張權(quán)利,并在遭受侵害時捍衛(wèi)自身權(quán)益?!恫莅浮返诹鍡l規(guī)定,因個人信息處理活動侵害個人信息權(quán)益的,按照個人因此受到的損失或者個人信息處理者因此獲得的利益承擔(dān)賠償責(zé)任;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的,由人民法院根據(jù)實(shí)際情況確定賠償數(shù)額。個人信息處理者能夠證明自己沒有過錯的,可以減輕或者免除責(zé)任。
個人信息處理者應(yīng)當(dāng)針對個人信息主體的各項(xiàng)權(quán)利,建立相應(yīng)的申請受理和處理機(jī)制。拒絕個人行使權(quán)利的請求的,應(yīng)當(dāng)說明理由。
五、促進(jìn)合規(guī):增強(qiáng)個人信息處理者責(zé)任
《草案》增加了數(shù)項(xiàng)個人信息處理的合法性基礎(chǔ),其中,“為訂立或者履行個人作為一方當(dāng)事人的合同所必需”一項(xiàng)提高了個人信息處理者處理個人信息的自由度,與之相對地,個人信息處理者亦需承擔(dān)更為嚴(yán)格的個人信息保護(hù)責(zé)任。
六、加強(qiáng)監(jiān)管:國家機(jī)關(guān)的權(quán)力與義務(wù)
不同行業(yè)的個人信息保護(hù)有著不同的特點(diǎn)和需求,《草案》沒有一刀切地將個人信息保護(hù)職責(zé)單獨(dú)賦予某一部門,而是由國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個人信息保護(hù)工作和相關(guān)監(jiān)督管理工作。國務(wù)院有關(guān)部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定,在各自職責(zé)范圍內(nèi)負(fù)責(zé)個人信息保護(hù)和監(jiān)督管理工作。同時,按照國家有關(guān)規(guī)定,確定縣級以上地方人民政府有關(guān)部門的個人信息保護(hù)和監(jiān)督管理職責(zé),從而形成了一個以行業(yè)為橫軸的,從中央到地方的個人信息保護(hù)監(jiān)管體系。在要求個人信息處理者加強(qiáng)內(nèi)部個人信息保護(hù)制度建設(shè)的基礎(chǔ)上,從外部施加監(jiān)管壓力,促進(jìn)個人信息處理者落實(shí)個人信息保護(hù)要求。
《草案》也設(shè)置了較為嚴(yán)格的法律責(zé)任條款。根據(jù)《草案》第六十二條,違反規(guī)定處理個人信息,或者處理個人信息未按照規(guī)定采取必要的安全保護(hù)措施的,由履行個人信息保護(hù)職責(zé)的部門責(zé)令改正,沒收違法所得,給予警告;拒不改正的,并處一百萬元以下罰款;對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。而情節(jié)嚴(yán)重的,由履行個人信息保護(hù)職責(zé)的部門責(zé)令改正,沒收違法所得,并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照;對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款。有前述違法行為的,將依照有關(guān)法律、行政法規(guī)的規(guī)定記入信用檔案,并予以公示。
《草案》還明確了可以提起公益訴訟的主體,個人信息處理者違反本法規(guī)定處理個人信息,侵害眾多個人的權(quán)益的,人民檢察院、履行個人信息保護(hù)職責(zé)的部門和國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。個人信息保護(hù)公益訴訟在實(shí)踐中已有案例,比如2020年3月12日,虹口檢察院針對兩起教育培訓(xùn)行業(yè)從業(yè)人員侵犯公民個人信息案件提起刑事附帶民事公益訴訟,為個人信息保護(hù)的公益訴訟作出有益探索。在信息主體和企業(yè)的場景中,個人信息主體往往作為消費(fèi)者使用企業(yè)提供的產(chǎn)品或服務(wù),在此過程中也面臨著個人信息侵害風(fēng)險。將各級消費(fèi)者權(quán)益保護(hù)協(xié)會亦可成為消費(fèi)者集體的代言人,針對企業(yè)在個人信息保護(hù)方面存在的不當(dāng)行為提起公益訴訟,彌補(bǔ)個人信息主體的弱勢地位結(jié)語。
《個人信息保護(hù)法(草案)》從源頭上賦予了自然人各項(xiàng)個人信息權(quán)利,明確個人信息處理者義務(wù),并加強(qiáng)國家機(jī)關(guān)監(jiān)管,我國個人信息保護(hù)立法已經(jīng)走出了重要一步。
我們建議個人信息處理者不僅應(yīng)密切關(guān)注《草案》制定的后續(xù)動態(tài),還應(yīng)積極投入到《草案》的意見征求環(huán)節(jié)之中。同時早作準(zhǔn)備,參照《草案》目前的要求對本個人信息處理者內(nèi)部的個人信息保護(hù)情況進(jìn)行摸底和前期評估,以有效應(yīng)對《個人信息保護(hù)法》及各項(xiàng)配套措施的出臺及實(shí)施。
原創(chuàng)作者:四九八科技。禁止轉(zhuǎn)載,本文鏈接:
- 上一篇: 工信部完成32萬款A(yù)PP檢測-這34款拒不整改APP被強(qiáng)制下架
- 下一篇: 中國支付清算協(xié)會發(fā)布開展2020年度收單外包服務(wù)機(jī)構(gòu)評級工作的通知
您關(guān)注的城市合伙人案例
查看更多成功案例
云收單
10年老牌支付專家
新大陸旗下成員企業(yè)
400-0591-498
|最新文章
|聚合支付的使用場景
- 餐飲
- 超市
- 酒店
- KTV
|熱門關(guān)注