二、《个人信息保护法》逐条解读
第一章 总则
第1条 为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。
【解读】
本条阐明了《个人信息保护法》的立法目的。
《宪法》规定,国家尊重和保障人权,公民的人格尊严不受侵犯,公民的通信自由和通信秘密受法律保护。制定《个人信息保护法》,是保障公民上述宪法权利的重要举措。
在我国一些早期立法中,已经对于“个人信息”保护有所提及,如2004年1月1日生效的《居民身份证法》第6条规定:“公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息,应当予以保密。”2007年1月1日生效的《护照法》第12条规定:“护照签发机关及其工作人员对因制作、签发护照而知悉的公民个人信息,应当予以保密。”
这一时期关于“个人信息保护”的法律规定相对分散且仅适用于个别领域。在2008年《全国人民代表大会法律委员会关于第十一届全国人民代表大会第一次会议主席团交付审议的代表提出的议案审议结果的报告》中,多位代表均提出“我国在个人信息保护方面缺乏相应的法律法规,公民个人信息被不正当采集、恶意使用、非法转卖牟利等现象屡屡发生,建议尽快制定个人信息保护法,完善合理的个人信息保护制度”。
2009年,《刑法》首先对个人信息保护的需求作出了回应。通过刑法修正案增设了“出售、非法提供公民个人信息罪”,将“个人信息”明文纳入了刑法的保护范围,是我国对个人信息进行立法保护的里程碑之一。
随后在2012年,全国人民代表大会常务委员会发布《关于加强网络信息保护的决定》,第1条明确:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。”2013年通过的《消费者权益保护法》也吸取了上述规定的精神,第29条规定:“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。”
随着互联网时代的到来,公民在享受更多便利的同时,自身的个人信息也暴露在更大的风险之下。2014年,最高人民法院公布了《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,将利用网络公开个人信息认定为一种侵权行为,并明确因此受到损害的被侵权人有权要求赔偿。2017年,《网络安全法》正式实施,从“网络信息安全”的角度明确规定了网络运营者的多项个人信息保护义务。同年,《民法总则》颁布,第111条中规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”从民事基本法层面确立了公民就个人信息享有权益。2020年通过的《民法典》在此基础上更进一步,于“人格权编”下以专章对“隐私权和个人信息保护”作出了规定。
相较于《民法典》侧重于个人信息保护的立场,本法第1条即明确其立法目的在于实现个人信息权益保护与合理利用之间的平衡。就保护而言,《民法典》将自然人的个人信息权益作为人格权益进行保护,明确了个人信息保护的基本规则,《个人信息保护法》系在《民法典》个人信息保护规则基础上进一步细化。同时,在数字时代,个人信息的价值不由分说,个人信息的合理利用可以为人们的生产、生活带来巨大便利,推动经济发展,二者不可偏废。因此,在保护个人信息的基础上合法利用个人信息,在合法利用个人信息的过程中持续保护个人信息才是最为恰当的作法。
本条作为原则性规定,可能在本法未明确规则的场景下为监管部门或司法机构援引或适用,如从法益平衡的角度来分析对个人信息处理者的某些信息保护要求是否合理。是否会对信息的利用产生不利影响。
第2条 自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。
【解读】
本条明确了自然人享有个人信息权益。
本条承袭自《民法典》第111条与第1034条,再次重申自然人的个人信息受法律保护,并强调任何人不得侵害自然人的“个人信息权益”。类似表述亦见于2021年7月28日发布的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第2条中。该条将对个人信息中人脸识别信息的侵害认定为对自然人人格权益的侵害,从而明确了自然人就个人信息享有人格权性质的权益。
第3条 在中华人民共和国境内处理自然人个人信息的活动,适用本法。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。
【解读】
本条明确了《个人信息保护法》的适用范围。
与世界各国和地区的主流实践相类似,本条采取了属地与属人相结合的适用范围,并赋予了必要的域外适用效力,以更好地实现维护自然人个人信息权益的目的。在《个人信息保护法》生效前审议通过的《数据安全法》第2条也采取了类似的立法思路。考虑到个人信息与数据保护的特殊性,此类域外适用效力的规定或将成为未来该领域立法与规范性文件的常见条款。
此外,对于在中国境外处理境内自然人个人信息的情形,本法第53条提出了在中国境内设立专门机构或指定代表负责处理个人信息保护相关事务的要求,此举有助于有效实现本条第2款的立法目的,提高境内自然人或监管机构与个人信息处理者的沟通效率,以切实维护自然人的权利,并改善对境外主体实施监管的效果。
第4条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
【解读】
本条规定了“个人信息”和“个人信息的处理”的定义。
从“个人信息”的定义看,本条延续了《网络安全法》第76条第1款第5项和《民法典》第1034条的思路,并借鉴了GDPR第4条的界定标准,采用“识别+关联”的方式划定了个人信息的范围,即“与已识别或者可识别的自然人有关的各种信息”。此外,本条将“匿名化处理后的信息”排除在“个人信息”的范围之外,意味着匿名化信息不受本法的规制。需要注意的是,个人信息是否实现“匿名化”也有明确的标准,本法第72条第1款第4项明确规定,“匿名化”的信息不仅应当“无法识别特定自然人”,还必须确保“不能复原”。如不满足上述条件,相关信息即不属于“匿名化”的个人信息,依然需要受《个人信息保护法》的规制。
从“个人信息的处理”的定义来看,本条在沿用《民法典》第1035条第2款以及《数据安全法》第3条的基础上,将个人信息的删除亦纳入个人信息处理的范畴内,基本涵盖了个人信息全生命周期的各项活动,意味着个人信息全生命周期的处理活动均受到本法的规制,处理者在每个环节的个人信息处理行为都应当遵守《个人信息保护法》的规定。
第5条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
【解读】
本条明确了处理个人信息的合法、正当要求。
在《网络安全法》第41条第1款要求收集使用个人信息应遵循合法、正当原则的基础上,本条与《民法典》第1035条第1款的规定类似,要求包括收集、使用个人信息等在内的个人信息处理活动均应当遵守合法、正当、必要的原则。在此基础上,本条增加了“诚信原则”作为个人信息处理的原则之一。诚信原则是我国民法中的一项重要原则,也与本条中“不得通过误导、欺诈、胁迫等方式”处理个人信息的要求相呼应。
第6条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
【解读】
本条明确了处理个人信息必要性要求的具体内涵。
本条汲取了《个人信息安全规范》第5.2条的精神,对处理个人信息必要性要求的内涵作了具体阐释。其一,个人信息的处理应当与处理目的有直接的关联,即若没有相关信息的参与,处理目的无法实现。其二,收集个人信息应当限于实现处理目的的最小范围,这里的最小范围不仅包括收集数量的最小化,亦包括信息收集频率的最小化。
第7条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
【解读】
本条明确了明示个人信息处理规则的要求。
与《网络安全法》第41条以及《民法典》第1035条第1款第2项类似,本条要求个人信息处理者明示个人信息处理规则。意味着个人信息处理者要让个人信息处理在阳光下进行,不得隐瞒个人信息处理规则。公开个人信息处理规则,本质上是保障权利人的知情权。就处理规则的内容上,至少应当包括处理个人信息的目的、方式、范围等。
第8条 处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
【解读】
本条明确了个人信息的准确、完整要求。
与GDPR第5条第1款d项的规定类似,本条提出了个人信息的准确、完整要求。在大数据时代,每时每刻都有海量的信息正在产生、流动和被使用,其中不乏过期、存在疏漏和偏差的信息。挖掘个人信息的目的在于更好地利用个人信息,如果个人信息本身就存在偏差,那么利用该数据得出的结论也未必能够与权利人相符合。其结果不仅可能对权利人的利益造成损害,对个人信息处理者自身业务的开展也可能带来负面的影响。
第9条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
【解读】
本条明确了个人信息处理者承担保障个人信息安全责任的要求。
在《个人信息保护法》出台前,《网络安全法》与《数据安全法》均从各自的角度就如何保障个人信息/数据的安全作出了规定。《网络安全法》第42条第2款规定:“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”《数据安全法》则在第四章“数据安全保护义务”以整章规定了数据处理者应当承担的各类义务。本条规定亦承袭了上述规定的精神。就个人信息处理者的个人信息处理全生命周期而言,其都需要履行本条规定的个人信息安全保障义务。
第10条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
【解读】
本条规定了个人信息处理者不得实施的个人信息处理行为。
在《民法典》第1035条第1款第4项要求的基础上,本条新增了处理个人信息不得危害国家安全、公共利益的要求,划定了处理个人信息的红线。此外,本条通过列举的方式,注明了几种违反法律、行政法规的规定的典型情况,处理者应当对此给予足够的重视,避免此类情形出现。
第11条 国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。
【解读】
本条规定了国家在个人信息保护工作中的职责。
以个人信息保护制度为基础,预防和惩治侵害行为,加强宣传教育,积极推动政府、企业、社会组织、公众参与个人信息保护,如此多措并举,能够有效提高我国个人信息保护的整体水平。
第12条 国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。
【解读】
本条明确了个人信息保护领域的国际合作机制。
积极参与国际交流与合作,参与国际规则的制定,推动规则、标准等的互认,能够在推动国际合作的同时更好地维护我国的国家利益和公民的个人信息权益。
第二章 个人信息处理规则
第一节 一般规定
第13条 符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
依照本法其他有关规定,处理个人信息应当取得个人同意,但有前款第二项至第七项规定情形的,不需取得个人同意。
【解读】
本条明确了处理个人信息的合法性基础。
作为《个人信息保护法》最核心、最重要的条文之一,本条大范围扩张了处理个人信息的合法性基础。从处理个人信息合法性基础的演变来看,《网络安全法》41条第1款明确了收集使用个人信息的合法性基础为“被收集者同意”。自《网络安全法》2017年6月1日生效以来,“同意”成为收集使用个人信息的唯一合法性基础。《民法典》第1035条第1款第1项沿用了“同意”作为合法性基础,同时增加了“法律、行政法规另有规定的除外”的例外规定。《个人信息保护法》即属于此处“另有规定”的法律,其与《民法典》第1035条第1款相衔接,并基于此增加了多项个人信息处理的合法性基础。
从内容看,本条第1款第1~5项的规定,与GDPR第6条第1款a~e项相类似,又存在一定区别。
第1项规定的情形为“同意”,结合《网络安全法》实施以来的实践情况,《个人信息保护法》就如何取得同意在本章中进行了进一步的细化,此处不再赘述。
第2项规定的情形为“订立或履行个人作为一方当事人的合同所必需或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”。“订立或履行个人作为一方当事人的合同所必需”指如果一项个人信息处理行为系个人信息处理者作为一方当事人订立或者履行合同时所必需的,则该个人信息处理行为合法,换言之,若该个人信息处理行为并非合同订立时或履行过程中所期待发生的,则无法适用本项作为合法性基础。“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”系本条新增的内容,旨在调整单位与员工的个人信息处理关系。实践中,部分单位存在基于员工同意处理员工个人信息的情形。考虑到劳动关系中,员工对企业依附性较强,企业往往处于较为强势的地位,在该情形下,同意是否系员工自主作出,是否体现了员工的真实意思亦不易判断。境外实践中,不乏认定企业基于同意处理员工个人信息不合法的先例。或是出于这样的考量,本条增加了“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”作为处理员工个人信息的合法性基础。实践中,若无法充分论证该同意系员工自愿作出,或只能依据本项,在实施人力资源管理所必需的范畴内处理员工个人信息。
第3项规定的情形为“为履行法定职责或者法定义务所必需”。在《网络安全法》项下,“同意”是收集、使用个人信息的唯一合法性基础,这意味着即使企业因法定职责或义务的要求而需要收集个人信息,仍需要取得个人同意。在该等情形下,若个人拒绝同意,可能产生不同法律关系下企业义务与个人同意之间的冲突,基于此,有必要明确个人信息处理者基于履行法定职责或者法定义务处理个人信息的合法性。根据本项规定,若个人信息处理者要以本项作为处理个人信息的合法性基础,则意味着其个人信息处理行为需要有明确的法律依据作为支撑。例如,《反洗钱法》第三章专章规定了金融机构的反洗钱义务,并在第16条第2款规定“金融机构在与客户建立业务关系或者为客户提供规定金额以上的现金汇款、现钞兑换、票据兑付等一次性金融服务时,应当要求客户出示真实有效的身份证件或者其他身份证明文件,进行核对并登记”,在该场景下,金融机构收集客户的身份证件信息属于履行法定职责或者法定义务所必需的个人信息处理,具备合法性基础。
第4项规定的情形为“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”。此项明确了在某些特殊情形下,公共利益、自然人的生命健康和财产安全优先于自然人的个人信息权益。该等个人信息的处理是从应对突发公共卫生事件,维护公共利益的角度出发,在此情形下,相较于自然人的个人信息权益,公共利益的保护应当优先。同样,在某些紧急情况下,可能为保护自然人的生命健康和财产安全所必需处理的自然人个人信息,如再通过同意或其他方式获取个人信息主体的同意,或难以实现在紧急情况下保护自然人生命健康和财产安全的需要。此项实质上为个人信息处理者在特定情形下处理个人信息提供了依据。
第5项规定的情形为“为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息”。本项明确了为实施新闻报道、舆论监督等行为可以在合理范围内处理个人信息,但对于该行为施加了“公共利益”目的作为限缩。例如,若为了报道某官员的贪腐行为,收集并通过新闻向社会公众传递其贪腐行为相关的个人信息,一般来说可以适用本项。
第6项规定为依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。本项为新增的一项。对已经依法公开的个人信息,信息主体往往已经知悉个人信息公开的情形,且其公开个人信息的行为亦意味着信息主体对于该等被公开的个人信息可能被收集、使用的情况有所预期。同时,在部分情形下,个人信息处理者直接接触个人信息主体可能存在一定的困难,允许其在合理范围内处理已公开的个人信息亦是为了解决该等现实需求。
第7项进行了兜底规定,为“法律、行政法规规定的其他情形”留下了口子,保留了一定的条款弹性。
同时,本条第2款明确,依照“同意”之外的合法性基础处理个人信息,无须取得个人同意,强调了7项合法性基础之间是并列关系,亦有效避免了法律内在的冲突。
第14条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
【解读】
本条规定了个人信息处理者在基于同意处理个人信息的情形下取得同意的方式。
就一般情形而言,个人信息处理者需要依据本法第7条的规定向个人明示个人信息处理规则,在确保个人充分知情的基础上,由个人自愿作出明确的意思表示。
就特殊情形而言,若法律或行政法规明确规定在某些场景下处理个人信息应当取得个人单独同意或者书面同意的,则个人信息处理者应当遵守相应的规定。本法第24条、第26条、第27条、第30条、第39条规定了需要单独同意的5种情形,分别是“向第三方提供其处理的个人信息”“公开其处理的个人信息”“对外提供个人图像、个人身份特征信息”“基于个人同意处理敏感个人信息的”以及“向中国境外提供个人信息”。
同时,本条第2款要求个人信息处理者在“处理目的、处理方式和处理的个人信息种类发生变更”的情形下,需要重新取得个人信息主体的同意。鉴于个人信息主体是否同意个人信息处理主要是基于对处理目的、处理方式和处理个人信息种类的认识,并在此基础上作出判断,当处理目的、方式和信息种类发生变更时,原有的同意亦自然失效。此时要求个人信息处理者重新取得个人同意,亦是对信息主体权利的尊重。
第15条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
【解读】
本条明确了在个人信息处理者基于同意处理个人信息的情形下,个人有撤回同意的权利。
相较于《网络安全法》和《民法典》,本法首次专门从法律层面规定了个人有权撤回同意,并要求个人信息处理者提供便捷的撤回同意方式,便于个人信息主体行权。
同时,考虑到撤回同意前的处理行为系合法作出,本条第2款明确撤回授权同意不影响撤回前基于授权同意的个人信息处理。
第16条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
【解读】
本条要求个人信息处理者不得将同意个人信息的处理作为提供产品或者服务的前提条件。
如果个人不同意处理其个人信息或者撤回其对个人信息处理的同意,而相应的个人信息属于提供产品或服务所必需的,则个人信息处理者可以拒绝提供产品或服务。但个人信息处理者不得将信息主体同意处理非必要信息作为提供产品或者服务的前提,不得因信息主体不同意非必需的个人信息处理而拒绝提供产品或者服务。
第17条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
【解读】
本条规定了处理个人信息前告知信息主体的要求。
本条第1款列举了详细的告知要求,包含以下几个要点:(1)告知时间:处理个人信息前;(2)告知语言要求:以显著方式、清晰易懂的语言告知,即不得使用有歧义、容易引起误解或者大量使用晦涩难懂的专业术语进行告知;(3)告知的原则:真实、准确、完整;(4)告知的具体内容要求,包括“处理者的身份和联系方式”“处理目的、处理方式、处理的个人信息种类、保存期限”“个人行使本法规定权利的方式和程序”“法律、行政法规规定应当告知的其他事项”。
第2款规定了告知事项变更的情况下的告知要求,即应当重新告知信息主体。
第3款规定了通过制定个人信息处理规则的方式告知的特殊要求,要求规则应该公开,且便于查阅和保存。一方面确保信息主体在需要时能够随时查看、了解个人信息处理规则,另一方面要求相关规则便于“保存”,意味着个人信息处理者需要提供保存的方式或途径供个人信息主体保存,如提供下载个人信息保护政策的途径等。
需要指出的是,本条并未对告知要求的适用情形作出任何限制,这意味着无论基于《个人信息保护法》项下任何一类合法性基础处理个人信息,均需要履行本条规定的告知要求,除非属于本法第18条规定的例外情形。
第18条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后予以告知。
【解读】
本条规定了个人信息处理者履行告知义务的例外情形。
首先,在“有法律、行政法规规定应当保密或者不需要告知”的范围内,个人信息处理者可以不向信息主体履行告知义务。例如,《反恐怖主义法》第51条规定,“公安机关调查恐怖活动嫌疑,有权向有关单位和个人收集、调取相关信息和材料。有关单位和个人应当如实提供”,根据该条规定,如果公安机关向某恐怖活动嫌疑人的工作单位或者亲属收集调取嫌疑人的个人信息,则无须向嫌疑人进行告知。
其次,基于本法第13条第1款第4项中“紧急情况下为保护自然人的生命健康和财产安全所必需”的情形处理个人信息时,考虑到事先告知不具有可操作性,本条豁免了个人信息处理者的处理前告知义务。但在紧急情况消除后,个人信息处理者仍应当履行相应的告知义务。
第19条 除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。
【解读】
本条规定了个人信息保存期限最小化的要求。
本条源于《个人信息安全规范》第6.1a)条,系最小、必要原则在个人信息存储方面的体现,要求个人信息处理者应当在实现处理目的所必要的最短时间内保存个人信息。
同时,本条规定了法律、行政法规另有规定的除外情形。例如,《反洗钱法》第19条第3款规定“客户身份资料在业务关系结束后、客户交易信息在交易结束后,应当至少保存五年”。据此,虽然相应业务关系已经结束,相应的个人信息处理目的已经实现,但出于反洗钱的要求,金融机构仍需要将该信息至少保存五年。
第20条 两个或者两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。
个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当承担连带责任。
【解读】
本条明确了共同个人信息处理者的责任分配方式。
实践中,共同处理个人信息的情形常有发生。例如,实践中许多网站、App往往需要调用供应商提供的地图API接口为客户提供同其地理位置相关的服务。在这一过程中,网站、App的运营者同地图API接口的提供者即构成共同个人信息处理者。
从内部权利义务划分与个人权利主张主体看,本条第1款的规定与GDPR第26条相类似,要求共同处理个人信息的处理者内部划分权利和义务,但不得影响个人向任一处理者要求行使个人权利,这就要求处理者在内部划分权利和义务时,需要就响应个人权利主张和后续的内部责任划分作出相应约定。
从责任承担看,共同个人信息处理者的个人信息处理行为构成共同侵权,按照《民法典》第1168条规定,应当承担连带责任。本条第2款要求个人信息处理者“依法承担连带责任”,亦同《民法典》的要求保持了一致。
第21条 个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。
受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。
未经个人信息处理者同意,受托人不得转委托他人处理个人信息。
【解读】
本条规定了委托处理个人信息情形下的责任分配方式,并明确了委托处理个人信息场景下委托方与受托方的义务内容。
从委托方的义务看,本条第1款主要从通过合同文本约束受托方和对受托方进行监督两方面规定了委托处理个人信息的情况下委托方的义务,约定的内容至少应当包括委托处理的目的、处理方式、个人信息的种类、保护措施以及双方的权利和义务等。
从受托方的义务看,本条第2款明确受托方仅能在委托方委托的范围内按约处理个人信息,并应当在不再承担受托处理义务后,及时返还个人信息或删除个人信息。
同时,本条第3款单独强调了在委托处理个人信息的情形下,受托方未经委托方同意不得转委托,以确保信息主体及委托方能够通过受托方实现对个人信息处理行为的控制。
第22条 个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
【解读】
本条明确了合并、分立、解散、被宣告破产等需要转移个人信息情形下的要求。
诚然,个人信息是企业重要的资源,且企业对于个人信息所享有的竞争性财产权益也已被司法实践所认可,但个人信息的人格权益属性使得其在企业合并、分立的过程中不像其他有形或无形资产一样便于确定权属,除考虑个人信息的经济价值外,亦应当考虑保护信息主体的个人信息权益,确保信息主体对其个人信息的控制。
本条沿袭自《个人信息安全规范》第9.3条,肯定了合并、分立场景下个人信息转移的正当性,并从法律的层面明确提出了合并、分立等需要转移个人信息的情形下个人信息处理者和个人信息接收方的义务,旨在平衡企业合并、分立与个人信息保护之间的关系。
对于解散、被宣告破产等情形,企业在停止运营之前,亦面临相关个人信息如何处理的问题。若需要将相关个人信息转移给第三方的,仍应当遵守本条之规定。
从个人信息处理者的义务看,其不需要取得信息主体同意,但应当向个人告知接收方的身份、联系方式。从接收方的义务看,其应当继续履行个人信息处理者的义务,不得因个人信息的转移而减弱对个人信息提供保护的力度。若基于同意处理个人信息的,在变更处理目的和处理方式的情况下,个人信息处理者应当按照本法第14条的规定,重新向个人告知并取得个人同意。
第23条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
【解读】
本条明确了个人信息处理者向他人提供个人信息的要求。
就作为提供方的个人信息处理者而言,同《网络安全法》第42条第1款和《民法典》第1038条第1款相类似,本条要求其应当向个人告知“第三方的身份、联系方式、处理目的、处理方式和个人信息的种类”,并取得个人的单独同意。需要指出的是,根据本法第13条,上述“告知-同意”的要求限于基于同意开展的个人信息处理活动,若基于第13条项下的其他合法性基础对外提供个人信息的,无须取得信息主体同意。
从接收个人信息的第三方的义务看,第三方不能够超出信息主体的同意的目的、方式和范围处理个人信息,若确需变更处理目的和处理方式的,应当重新获得信息主体同意。
第24条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
【解读】
本条明确了利用个人信息进行自动化决策的要求。
自动化决策技术本身具备一定的复杂性,且可能受个人信息处理者商业化决策的影响。在这种情形下,自动化决策算法犹如一个“黑箱”,信息主体无法知悉其决策流程,亦无法对其直接进行评判和监督,基于此,有必要对使用自动化决策的个人信息处理者予以必要的限制。
从自动化决策的过程和结果要求看,本条第1款与GDPR第22条相类似,强调自动化决策的透明和处理结果的公平公正。同时,本条第1款进一步强调个人信息处理者不得对个人在交易价格等交易条件上实行不合理的差别待遇,直指实践中常见的“大数据杀熟”行为。
同时,针对利用自动化决策开展商业营销、信息推送等对个人信息权益有直接影响的行为,本条第2款要求个人信息处理者同时提供不针对其个人特征的选项,这与《电子商务法》第18条第1款规定相类似。
此外,本条第3款为个人提供了救济途径,即对于通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝。举例来说,在金融借贷场景下,如果依据数据模型自动决定个人贷款额度的,个人可以要求个人信息处理者作出说明并有权拒绝仅以数据模型自动决策的方式作出决定,相对应的,在个人依据本条提出权利主张的情况下,个人信息处理者可能需要对个人的贷款额度进行人工复核。
第25条 个人信息处理者不得公开其处理的个人信息;取得个人单独同意的除外。
【解读】
本条规定了公开个人信息的要求。
一般而言,公开个人信息可能加大个人信息权益受侵犯的风险。个人信息公开后,不特定人即可进行包括收集、使用、存储在内的个人信息处理行为,而该等个人信息处理行为可能超出信息主体的控制。基于此,本条明确规定个人信息处理者原则上不得公开其处理的个人信息。同时,本条将取得个人单独同意的情况作为例外,在上述情形下,个人信息处理者可以公开个人信息。
第26条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
【解读】
本条明确了公共场所安装图像采集、个人身份识别设备的要求。
从目的来看,若个人信息处理者确要在公共场所安装图像采集、个人身份识别设备的,仅可出于维护公共安全所必需的目的,如安防监控、犯罪追踪等。实践中,企业于公共场所安装图像采集、个人身份识别设备的情形普遍存在,如零售商店安装人脸识别摄像头,用于统计人流量和识别VIP客户等。但前述场景中图像采集、个人身份识别设备的运营多是出于优化用户体验、营销等商业目的,较难论证符合本条规定的公共安全目的。《个人信息保护法》生效后,若仍基于前述目的安装图像采集、个人身份识别设备,可能存在被认定为违规的风险。
从提示的方式来看,除仅限维护公共安全所必需外,本条还要求在公共场所安装图像采集、个人身份识别设备时应当设置显著的提示标识。就设置提示标识的位置而言,宜设置在信息主体即将进入图像采集或个人身份识别区域时易于发现的醒目位置。
从处理限制来看,本条对收集后的个人图像、个人身份识别信息规定了处理目的的限制。即该等信息只可以用于维护公共安全的目的,而不能用于除此之外的其他任何目的,除非获得信息主体的单独同意。符合本法规定的单独同意可能包括信息主体收到单独弹窗后主动进行点击或勾选,信息主体签署单独文件等。一般而言,若个人信息处理者同信息主体之间未发生任何业务关系,取得符合本法规定的单独同意可能存在一定障碍。但若未取得信息主体单独同意,个人信息处理者应当严守本条规定,不得将收集到的个人图像、个人身份识别信息用于除维护公共安全以外的其他目的。
第27条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。
【解读】
本条规定了处理已公开的个人信息的要求。
《民法典》第1036条规定:“处理个人信息,有下列情形之一的,行为人不承担民事责任:(一)在该自然人或者其监护人同意的范围内合理实施的行为;(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外……”将对已公开个人信息的合理处理作为个人信息处理的免责事由。
本条延续了《民法典》的相关规定,要求个人信息处理者仅可以在合理范围内处理已公开的个人信息,除非个人明确拒绝。
若利用已公开的个人信息从事对个人有重大影响的活动,本条要求个人信息处理者应当取得个人同意,体现了对个人控制权的尊重。
第二节 敏感个人信息的处理规则
第28条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
【解读】
本条规定了敏感个人信息的定义及处理的要求。
本条第1款明确了敏感个人信息的定义。仅从定义的角度出发,相较于《个人信息安全规范》第3.2条对于“个人敏感信息”的定义,本条对敏感个人信息的定义划分似乎更为严格、范围有所限缩。第2款明确,仅有可能导致个人人身、财产遭受严重危害的个人信息才属于敏感个人信息,而个人信息安全规范附录中所列举的“身份证件号码、通信记录和内容、财产信息、征信信息、住所信息、交易信息”等均未被划入敏感个人信息的范畴。同时,本条对于处理敏感个人信息规定了更严格的规范要求,这或许也是本法对敏感个人信息的范围进行一定限缩的原因。需要注意的是,本条将不满十四周岁未成年人的个人信息亦纳入了敏感个人信息的范畴,体现了对未成年人利益的保护。
同时,本条第2款明确规定了处理敏感个人信息应遵循的要求,即应当满足“特定的目的”和“充分的必要性”要求,且必须采取严格的保护措施。
第29条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
【解读】
本条明确了基于个人同意处理敏感个人信息的要求。
就同意的方式而言,本条区分了一般情况和特殊情况。在一般情况下,基于个人同意处理敏感个人信息,应当取得个人的单独同意。考虑到处理敏感个人信息可能给当事人个人信息权益带来的风险大于一般的个人信息处理,本条对于该等情形下的同意提出了更高要求,以强化个人对该等信息处理行为的控制。《网络交易监督管理办法》亦有类似规定,其要求网络经营者“收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的,应当逐项取得消费者同意”,同“单独同意”的要求较为类似。
同时,本条明确若法律、行政法规规定处理个人敏感信息应当取得书面同意的,需要取得个人的书面同意,为后续法律、行政法规对某些特定信息提出更高合规要求留下了口子。
第30条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。
【解读】
本条明确了处理敏感个人信息的特殊告知要求。
本法第18条第1款对处理个人信息时告知的内容和方式进行了规定,对于处理敏感个人信息的个人信息处理者而言,除了需要根据本法第18条对用户进行告知外,还需要告知该等处理行为的必要性以及对个人权益的影响,告知的要求更加严格。
第31条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
【解读】
本条规定了处理不满十四周岁未成年人个人信息的特殊要求。
对于不满十四周岁的未成年人而言,其认知水平可能尚不成熟,对个人信息处理行为对其可能产生的影响认识并不充分。在基于同意处理个人信息的情形下,未成年人可能基于不充分的认识作出同意的决定。从保护未成年人个人信息权益的角度出发,有必要引入其父母或者其他监护人履行监护职责,以保障未成年人的个人信息权利。《儿童个人信息网络保护规定》第9条规定“网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意”。本条延续了这一要求,进一步体现了对未成年人利益的保护。基于此,本条第1款明确规定处理不满十四周岁未成年人个人信息应当取得父母或者其他监护人同意。
《儿童个人信息网络保护规定》第8条规定,“网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。”考虑到针对为未成年人个人信息应采取更为严格的保护措施,同其他个人信息的处理可能存在较大的差别,故本条第2款沿用了该规定,要求个人信息处理者应当针对儿童个人信息制定专门的个人信息处理规则,单独对儿童个人信息的处理情况进行说明。
第32条 法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。
【解读】
本条明确了处理敏感个人信息的特殊限制情形,若法律、行政法规要求处理敏感个人信息应当取得相关行政许可或符合其他条件的,则个人信息处理者应当取得相关许可或者符合法律、行政法规规定的其他条件。
第三节 国家机关处理个人信息的特别规定
第32条 国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。
【解读】
本条明确了国家机关处理个人信息应适用的规则。
从一般规则看,国家机关处理个人信息需要适用本法的一般规定;从特殊规则看,如果本节对国家机关处理个人信息进行了特殊规定,则相关个人信息处理行为需要适用本节的特殊规定。
第34条 国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。
【解读】
本条明确了国家机关为履行法定职责处理个人信息的原则要求。
从适用范围来看,本条适用于国家机关为履行法定职责处理的个人信息。国家机关基于履行法定职责之外的个人信息处理行为不适用本条规定,而应适用本法的一般规定。
从条件和程序来看,国家机关处理个人信息应当依照法律、行政法规规定的条件和程序进行。例如,根据《网络安全法》等法律规定,公安机关有权依法对互联网服务提供者和联网使用单位履行法律、行政法规规定的网络安全义务情况进行安全监督检查,监督检查过程中很可能涉及对用户个人信息的处理。《公安机关互联网安全监督检查规定》第三章对于公安机关进行互联网监督检查的程序进行了专章的规定,实践中公安机关开展涉个人信息的安全监督检查需要遵守该等规定。
从处理的具体要求来看,本条要求国家机关处理个人信息的行为不得超出履行法定职责所必需的范围和限度,意在防止国家机关以履行法定职责为由随意、过度收集个人信息的情况,保障信息主体合法的个人信息权益。
第35条 国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。
【解读】
本条明确了国家机关为履行法定职责处理个人信息的告知要求。
原则上,国家机关为履行法定职责处理个人信息,需要向个人告知。由于在国家机关处理个人信息的场景下,国家机关的履职行为系行使国家公权力,国家机关与个人信息主体之间已不是平等主体之间的关系,故从保护个人信息权益的角度出发,明确告知的要求有利于对国家机关的行为形成一定的约束,亦同本法中同告知相关的规定相符。
本条亦规定了无须告知的例外情形,即“法律、行政法规规定应当保密,或者告知、取得同意将妨碍国家机关履行法定职责的除外”。例如,出于犯罪侦查目的处理嫌疑人个人信息的,可以不向嫌疑人告知也无须获得其同意。
第36条 国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。
【解读】
本条明确了国家机关存储个人信息的要求。
根据本条规定,国家机关处理的个人信息原则上应在中华人民共和国境内存储,不得出境,除非确有必要且已经进行了安全评估。
第37条 法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息,适用本法关于国家机关处理个人信息的规定。
【解读】
本条明确了法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息的行为适用同国家机关处理个人信息有关的规定。
实践中,法律、法规授权的具有管理公共事务职能的组织承担了部分公共事务职能,其履职过程中不可避免地需要收集、使用、存储个人信息,规定相关处理行为适用有关国家机关处理个人信息的规定,有利于明确相关个人信息处理行为中各方的权利义务关系,以更好地保护该等情形下个人的个人信息权益。
第三章 个人信息跨境提供的规则
第38条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
【解读】
本条明确了个人信息处理者向境外提供个人信息的条件。
在个人信息活动的全生命周期中,个人信息的出境是一个颇为特殊的环节。应该说,个人信息跨境是数据流转过程中对权利人保护最弱的场景之一。这主要归因于以下几点:
首先是数据控制者的改变,个人信息跨境意味着个人信息在不同主体之间流转。由于不同数据控制者的数据保护能力难以避免地存在差异,个人信息跨境几乎必然导致对个人信息的保护能力发生变化。其次是权利维护能力的改变,对于一般自然人而言,个人信息跨境往往意味着一旦发生数据安全事件,其需要向境外主体,或到境外主张权利。个人信息主体的维权能力和维权意愿在个人信息跨境场景下将大大被削弱。再次是监管能力的改变。基于国家主权平等原则,且结合当前国际实践,作为监管部门的行政机关大多无法直接行使域外管辖权对域外的主体进行监管。而若域外数据处理者实质上仅受到本法域监管部门的监管,则由于不同法域的监管部门监管能力并不相同,会在一定程度上影响个人信息的保护力度。最后是适用法律的改变,个人信息跨境往往意味着适用法律的变化,域外数据控制者往往仅需要遵守其本国法律对于个人信息的保护要求。而由于不同法域对个人信息的保护力度有强有弱,亦可能导致信息主体在个人信息跨境后所享有的个人信息权益有所削弱。
尽管可能对个人信息主体的权益造成一定的影响,但个人信息跨境往往是经济活动和交往活动所必需的,信息流动自由化也是国际实践中确立的一项基本原则。为了在保障信息流动自由化的同时充分保护个人信息,对于个人信息出境,各国往往会建立专门的法律制度加以保护。本法以专章的形式对个人信息跨境规则进行规制,亦是为了平衡跨境数据流动与个人信息保护之间的关系。
在《个人信息保护法》出台前,《个人信息出境安全评估办法(征求意见稿)》曾要求所有个人信息出境的情形均应当报请安全评估。相较之下,本条并未一刀切地要求个人信息处理者所有向境外提供个人信息的情形均应进行安全评估,而是根据不同的出境情形,对于个人信息处理者设置了不同的出境要求,兼顾了实践中的不同个人信息出境需求。
根据本条第1款规定,个人信息出境的前提是个人信息处理者因业务需要。在满足该前提的情形下,个人信息处理者可以在满足本条规定的4种情形之一的情况下向境外提供个人信息。
本条第1款第1项基于本法第40条规定,当个人信息处理者为关键信息基础设施运营者或个人信息处理者处理的个人信息达到国家网信部门规定数量时,其应当通过国家网信部门组织的安全评估,方可向境外传输个人信息。而当个人信息处理者并非关键信息基础设施运营者且处理的个人信息数量未达到国家网信部门规定的数量时,则应当满足本条第1款规定的其他3项条件中的任意一种。
第1款第2项为按照国家网信部门的规定经专业机构进行个人信息保护认证,对于认证实施的主体、认证实施的程序以及认证的具体内容都有待国家网信部门出台具体规定加以明确。第1款第3项为按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务,该条同欧盟的“标准合同条款”(Standard Contractual Clause)相似,旨在通过模板化的合同条款明确双方权利义务,并要求境外接收方提供必要的个人信息保护水平。此外,第1款第4项设置了“法律、行政法规或者国家网信部门规定的其他条件”这一兜底性条款,保留了立法的弹性。考虑到个人信息领域实践的变化,这一规定为将来根据实践发展的需要增设其他条件留下了空间。
本条第2款明确了我国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。考虑到个人信息的跨境流动可能涉及不同的国际法主体,在个人信息跨境流动方面建立相应的合作机制或有利于加强该领域的国际合作。
本条第3款强调了个人信息跨境场景下,个人信息处理者应当保障数据接收方所提供的数据保护水平不得低于本法提供的保护标准。考虑到不同法域之间个人信息保护立法存在较大差异,对个人信息提供的保护水平不尽相同,要求个人信息处理者采取措施保障接收方提供的数据保护水平是在个人信息跨境场景下保护个人信息权益的重要手段。实践中,个人信息处理者可以通过合同等方式对数据接收方应当提供的个人信息保护标准予以约定,并定期或不定期对数据接收方履行该项合同义务的程度进行必要的监督。
第39条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
【解读】
本条明确了向境外提供个人信息的告知要求与同意要求。
就同意的形式而言,本条明确个人信息处理者应当取得个人的单独同意。
就告知的内容而言,本条采取的了“列举+兜底”的方式,明确规定至少应当告知“境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序”等事项,有助于权利人行使本法项下的信息主体权利,以及在发生个人信息安全事件后采取维权措施。
第40条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
【解读】
本条规定了特殊个人信息处理者向境外提供个人信息的专门要求。
就主体而言,本条规制的个人信息处理者包括“关键信息基础设施运营者”及“处理个人信息达到国家网信部门规定数量的个人信息处理者”,相较于《网络安全法》第37条进行了必要的扩张。对于“网信部门规定数量”,网信办尚未作出明确界定,有待配套监管规则确认。《个人信息和重要数据出境安全评估办法(征求意见稿)》第9条规定,含有或累计含有50万人以上的个人信息的网络运营者,在个人信息数据出境之前应当报请行业主管或监管部门组织安全评估,或可一定程度上作为参考。
就行为要求而言,本条原则上规定前述个人信息处理者在境内收集和产生的个人信息应进行本地化存储。仅在确需向境外提供的情形下,且通过国家网信部门组织的安全评估后,方可向境外提供个人信息。
就评估的组织主体来看,本条明确了安全评估“由国家网信部门组织”,确定了安全评估组织者的层级,有利于统一国家对个人信息出境的监管尺度,避免出现各地出境标准不一的问题,使得监管权力和责任也更为清晰。
就例外情形而言,本条在《网络安全法》第37条规定的“法律、行政法规”基础上增加了“国家网信部门规定”,将确定例外情形的权力从人大、国务院进一步下放至国家网信部门。相较于法律、行政法规相对漫长的制定周期,国家网信部门的规定通常可以更为快速、灵活地作出调整。这也与安全评估作为一种监管手段,需要及时匹配客观实践的现实需求相符合。
第41条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。
【解读】
本条明确了向境外司法或执法机构提供个人信息的批准要求。
本条强调了对于外国司法或者执法机构索要境内个人信息的请求,应当由中华人民共和国主管机关进行处理。
在文本上,本条相较于《个人信息保护法(草案)》作出了比较大的调整。首先,本条将《个人信息保护法(草案)》中的“应当依法申请有关主管部门批准”修改为“非经中华人民共和国主管机关批准,不得提供”,从而明确了本条属于法律上的禁止性规定,违反该条款向境外提供个人信息的约定无效,且可能对个人信息处理者合规产生重大的影响。其次,从适用范围上,本条将《个人信息保护法(草案)》中的“因国际司法协助或者行政执法协助”扩大为“境外的司法或者执法机构要求”,避免了境外司法、执法机构通过司法协助或者行政执法协助之外的途径绕开本条获取个人信息的可能性,有助于更好地封堵境外司法、执法机构的“长臂管辖”行为。最后,在国际条约、协定之外,本条明确了亦可基于“互惠原则”对外提供个人信息。互惠原则作为一项重要的国际法原则,将有利于推动在该领域我国主管机关同其他国家、地区主管机关的国际合作。
第42条 境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。
【解读】
本条规定了“限制或者禁止个人信息提供清单”制度。
在实践中,个人信息一旦非法出境,则权利人再想维护自己的权利或消除泄露的影响就极其困难,因此需要通过事后的一些手段对于个人信息非法出境的行为进行震慑。对于境内主体,我国自然可以依据国内的法律法规进行惩处,然而对于境外的各类机构,长期以来一直都缺乏有效的威慑手段。《个人信息保护法》立法中增加“限制或者禁止个人信息提供清单”制度,就是对于这一需求作出了回应。
首先,本条明确了该制度的适用情形,即“损害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益”的境外组织、个人。从“损害个人信息权益”到“危害公共利益”,这一范围基本涵盖了个人信息违法出境可能导致的所有损害后果,为该制度的适用留下了相对灵活的空间。
从实施主体来看,限制或者禁止个人信息提供清单制度的实施主体为国家网信部门。事实上,在《个人信息保护法》出台之前,我国也已经在其他领域制定了类似的制度,例如2020年,商务部就发布了《不可靠实体清单规定》。因此,在《个人信息保护法》施行后,国家网信部门亦可能会负责牵头制定适用于“限制或者禁止个人信息提供清单制度”的规范性文件,落实“限制或者禁止个人信息提供清单”的认定流程。
从法律后果上来看,对于被列入清单的组织或个人,可以采取包括限制或者禁止向其提供个人信息在内的措施。这无疑会对相关主体的在中国境内的业务及其声誉产生严重的负面影响,具有相当大的威慑力。
值得注意的是,参考之前发布的《不可靠实体清单规定》,截至2021年7月,我国尚未明确将任何境外主体列为不可靠实体,可见我国政府对于适用此类“清单”始终保持着一种相对审慎的态度。因此,本条的“限制或者禁止个人信息提供清单”也可能成为一种不会被轻易使用的“最终杀器”,我国未来也可能针对境外机构设置一些法律责任相对更轻的惩处措施,以适用于不同程度的损害行为。
第43条 任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
【解读】
本条就我国对其他国家或地区在个人信息保护方面采取对等反制措施作出了规定。
就立法基础而言,此类反制措施符合国际法上长久以来的“对等原则”,也与我国目前立法中的《出口管制法》第48条、《数据安全法》第26条所体现的立法精神相协一致。
第四章 个人在个人信息处理活动中的权利
第44条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。
【解读】
本条规定了信息主体的知情权和决定权。
个人信息知情权是指信息主体所享有的知悉自己个人信息被处理的一切相关情况的权利,其权利行使范围包括信息处理者的身份、处理依据、处理目的、处理方式、处理持续期间以及是否向他人或境外传输等。
个人信息决定权是指信息主体对于个人信息的支配并排斥他人非法干涉的权利,具体而言,自然人有权控制其个人信息是否被收集使用、何时以及通过何种方法被处理和使用。
或是为了保障立法的弹性,本条并未如GDPR第13条、第14条一般,对知情权的内容进行详尽的说明,一般来说,“知情权”指向个人有权知晓其个人信息被处理的情况;就“决定权”的内容而言,从条文文本本身来看,与GDPR中的限制处理权及拒绝权相类似,主要表现为“限制或拒绝他人的处理”,更多表现为一种被动的防御。就两者的关系而言,知情权系行使决定权的前提,明确个人享有知情权和决定权,有利于个人更好地实现对其个人信息的控制。
此外,本条留有但书规定,即“法律、行政法规另有规定的除外”,体现了在立法过程中对于个人信息权利保护和信息流通的平衡。例如,若告知将妨碍国家机关履行职务的,个人信息处理者可以拒绝个人行使其知情权和决定权。
第45条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。
个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。
个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
【解读】
本条明确了信息主体的查阅权、复制权和可携带权。
个人信息查阅权是指信息主体享有向个人信息处理者要求查询阅览其个人信息的权利。查阅权是知情权的延伸,也是实现知情权的重要方式,该权利强调信息主体向个人信息处理者的主动查阅,更好地体现出个人信息自决的特征。个人信息复制权是指信息主体享有向个人信息处理者要求抄录和复制个人信息的权利,赋予权利主体以更完善的信息保护权利,从而保障个人信息权利的圆满实现。
个人信息查阅、复制权的立法表述首次见于《民法典》第1037条,查阅、复制个人信息是更正权、删除权的前提和基础,便于个人有效行使更正、删除个人信息的权利,有助于加强个人对个人信息的了解和控制。区别于《民法典》相关规定,本条增加了查阅、复制权行使的例外,即“有法律、行政法规规定应当保密或者不需要告知的情形”。在该等情形下,个人信息处理者有权拒绝个人查阅、复制个人信息的请求,体现出立法者对于个人信息保护与公共利益的权衡。
个人信息可携带权是指个人要求控制其个人信息的个人信息处理者将其个人信息转移给其他个人信息处理者的权利。个人信息可携带权是《个人信息保护法》的新规定,标志着可携带权正式成为个人信息处理活动中公民的一项独立权利并被纳入我国个人信息保护法律体系之中。
比较法下的可携带权立法最初见于GDPR第20条,该条明确数据主体有权将其个人数据直接无障碍地从一个控制者处转移至另一个控制者处且无须事先下载。与之相较,本条对于个人信息可携带权进行了一定的限制,仅在“符合国家网信部门规定条件的”情形下,个人信息处理者有义务配合个人将其个人信息转移至其他个人信息处理者。对于行使可携带权的条件,或有待立法落实。
可携带权的落地,赋予了个人信息控制者在一定条件下控制其个人信息流转的权利,有利于破除大型平台对用户个人信息的“垄断”,借此打破“数据孤岛”,推动和加快数据的自由流动。
第46条 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。
个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。
【解读】
本条明确了信息主体的信息更正权和补充权。
个人信息更正权是指当信息主体发现被控制或处理的个人信息存在错误时,请求信息处理者及时更改并加以修正的权利。
个人信息补充权,是指信息主体有权要求个人信息处理者对其记载不全面的个人信息予以补充、完善的权利。更正权和补充权的行使以信息记载不准确或不全面为前提,其本质是一种人格权请求权,基于信息主体的请求而履行相应配合义务则是个人信息处理者对其记载的不准确或不完整个人信息的修正和补救,亦符合本法第8条的要求。
《网络安全法》第43条、《民法典》第1037条均规定了个人的更正权,本条在对信息主体的更正权予以重申的同时,区分了个人信息不准确及不完整的情形,并针对个人信息不完整的情形规定了信息主体的补充权,以使个人信息权利体系更加完善。
第47条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
(一)处理目的已实现、无法实现或者为实现处理目的不再必要;
(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;
(三)个人撤回同意;
(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
(五)法律、行政法规规定的其他情形。
法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
【解读】
本条明确了信息主体的删除权。
个人信息删除权是指出现法定或约定情形时,信息主体有权请求信息处理者删除其个人信息。《网络安全法》第43条、《民法典》第1037条均规定了在个人信息处理者违法或违约处理个人信息的情形下个人的删除权,本条对于删除权适用的情形进行了扩张,增加了本条第1款第1~3项、第5项作为个人有权行使删除权的情形。
本条新增的4项删除权行使条件同个人信息存储期限最小化的要求密切相关。在处理目的已实现、个人信息处理者停止提供产品或者服务以及个人撤回同意的情形下,个人信息处理者不再处理用户个人信息,其继续保存用户个人信息可能违反必要性原则,此时,用户有权要求其删除。本条对删除权的具体行使条件进行了细致规定,使得更多具体情形下的个人信息删除事宜有了直接依据,更有利于实现个人信息权益的周全保护。
同时,立法也兼顾了个人信息删除的技术难度、个人信息处理者的法定义务与法律适用的协调适配。基于以上原因无法实现删除的情形下,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
第48条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。
【解读】
本条规定了个人信息处理者的解释与说明义务,是对本法第44条规定的个人信息处理者知情权的进一步细化。
个人信息处理者往往为具有专业知识和技术能力,处于优势地位的主体,其所提供的个人信息处理规则少则几千字,多则万余字,且其中不乏个人信息处理过程中的专业术语,对于社会一般公众而言,要求其自行完全理解上述信息处理规则并不现实,亦不符合公平原则。故本条进一步明确了个人信息处理者的解释与说明义务,使信息处理规则切实落地于信息主体可理解的范围内,保障信息主体的知情权,进一步确保信息主体能够充分知晓个人信息处理规则,实现对个人信息权益的控制。
第49条 自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。
【解读】
本条是有关自然人死亡后个人信息处理活动中相关权利行使的规定。
本条系自《个人信息保护法(草案二审稿)》后新增的内容,本条与《民法典》第994条相衔接,允许死者近亲属代为行使死者在个人信息处理活动中的权利,扩大了个人信息保护范围。
《个人信息保护法》出台前,立法及理论界对于死者继承人是否享有死者个人信息的继承权这一问题始终未达成共识。司法实践中,多有个人信息处理者基于用户协议对账号等虚拟财产权益存在人身专属性的约定,而拒绝继承人行使权利或者申请继承的要求。个人信息权益作为同样具有人身专属性的权利,其能否继承存在一定的争议。本条将从立法层面上确认个人信息权利人的近亲属可在其死亡且死者无另行安排的情况下,取得死者个人信息处理活动中查阅、复制、更正、删除等权利,从事实层面上实现个人信息权利的延续。
第50条 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。
个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。
【解读】
本条明确了个人信息处理者建立个人信息权益申请受理和处理机制的要求。
本条规定的申请受理与处理机制的建立实际上为信息主体权利实现的途径,本法所规定的信息主体享有的全部权利(包括但不限于知情权、决定权、查询权、更正权、删除权等)均须依托于本条方可真正快捷地实现。同时,个人信息处理者唯有建立有效的申请与受理机制,权利人方有渠道向个人信息处理者反馈并要求停止对信息主体的违法侵害行为。
本条所述申请受理和处理机制建立的要求,不仅适用于对个人信息权利人的信息保护,也适用于对侵害个人信息违法违规行为的管制。
本条第2款系增加的内容,给予了个人信息权利人行权的二重保障,个人信息权利人不仅可以要求个人信息处理者说明拒绝其行权的原因,还可以选择向法院提起诉讼。同时,立法并未明确规定这两种方式存在适用上的顺序限制,这意味着信息主体可以在权利请求被拒绝后直接提起诉讼。
第五章 个人信息处理者的义务
第51条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
【解读】
本条规定了个人信息处理者的安全保护义务。
安全保护义务,是指个人信息处理者为确保个人信息处理活动的合法合规、防止出现未经授权的访问以及个人信息泄露等其他安全问题而采取必要措施之义务。同时,本条亦对个人信息处理者履行安全保护义务所应采取必要措施的具体类型及内容进行了规定。
就内部管理制度和操作规程而言,结合本法第4条之规定,管理制度和操作规程至少应覆盖个人信息收集、存储、使用、加工、传输、提供、公开、删除等个人信息全生命周期流程。
就个人信息分类管理而言,《网络安全法》第21条首次在法律层面提出了“数据分类”的要求,《数据安全法》亦提出了数据分类分级的保护制度。不同类型的个人信息对于个人信息主体的重要性不同,被泄露、非法提供或滥用造成的损害和后果也不同。如果统一采取过度保护的策略,反而会造成不必要的资源浪费,也可能会影响个人信息的正常流动和价值实现。因此,需要对个人信息分类分级,根据个人信息所属的类型,给予相适应的保护,这样方能更好地实现个人信息保护和利用的平衡。
就应采取的安全技术措施而言,本条要求企业采取加密、去标识化处理等安全技术措施。去标识化是指个人可识别信息在技术的作用下,可以去除其身份性因素,从而除去数据和数据主体之间的关联。其基本原理是试图断开或削弱数据与数据主体之间的关联,即在数据共享前将数据中包含个人信息的字段删除。这种删除仍然可能有隐患,非直接的识别符可能不会被删除,第三方仍然有可能通过留存的数据结合外部数据的分析重新识别到个人,从而挖掘出被隐藏的数据主体身份。[3]因此参照《个人信息安全规范》第6.2条,企业宜基于个人信息分类的结果,通过将可用于恢复识别个人的信息和已加密、去标识化的信息分开存储并加强访问和使用的权限管理方式,降低个人信息安全事件发生的系统性风险。对于敏感程度较高的个人信息,建议采取更为严格的安全技术措施,以降低个人信息可能面临的风险。
就内部操作权限配置而言,参照《个人信息安全规范》第7.1a)条,合理的内部操作权限配置应符合最小授权的访问控制策略,使被授权访问个人信息的人员只能访问职责所需的最小必要的个人信息,且仅具备完成职责所需的最少的数据操作权限。
就从业人员管理而言,本条明确要求个人信息处理者应定期对从业人员进行安全教育和培训,使其掌握岗位职责和个人信息处理的政策策略及规范规程。
就制定并组织实施个人信息安全事件应急预案而言,参照《个人信息安全规范》《国家网络安全事件应急预案》的规定,个人信息处理者应对涉及个人信息泄露或者被窃取、篡改、删除的重大安全事件制定包括监测预警、应急处置、调查评估在内的一系列应急预案措施,并开展日常演练、宣传、培训等工作。
此外,本条第1款第6项留下了弹性空间,即“法律、行政法规规定的其他措施”,意味着如果法律、行政法规对个人信息保护者提出其他保护措施要求的,应依照其规定。
第52条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
【解读】
本条明确了个人信息处理者指定个人信息保护负责人的条件、个人信息保护负责人的职责以及个人信息处理者应当承担的义务。
个人信息保护负责人,是指个人信息处理者内部对个人信息处理活动及采取的保护措施进行监督并承担责任的自然人主体。该制度与(GDPR中规定的“数据保护官”有相似的逻辑,旨在通过建立个人信息处理者与社会公众、监管部门之间的联系,有效强化对个人信息处理活动的监督。
就主体范围上来看,本条明确仅有处理个人信息达到国家网信部门规定数量的个人信息处理者才负有指定个人信息保护负责人的义务。但就何者需承担前述义务,是否沿用采纳《个人信息安全规范》第11.1 c)条规定的判断标准[4],有待网信部门制定详细的实施细则以进一步完善。
就职责范围上来看,个人信息保护负责人需要对个人信息处理活动及采取的相应保护措施进行监督,
同时,本条亦要求个人信息处理者履行履职信息公开及报送的义务。区别于《个人信息保护法(草案)》第51条,本条删除了要求向社会公开个人信息保护负责人姓名的表述,但仍保留了将其姓名与联系方式等相关信息报送相关监管部门的要求。
第53条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
【解读】
本条明确了境外个人信息处理者设立专门机构或指定代表的义务。
由境外机构于境内设立的专门机构或指定代表承担个人信息保护责任的规定曾见于《个人信息出境安全评估办法(征求意见稿)》第20条,目的在于通过对境外个人信息处理者于境内设立的专门机构或指定代表的管辖而间接实现对境外个人信息处理者的管辖。这一要求有助于实现本法第2条之立法精神,切实达到对境外个人信息处理主体实施监管的目的,从而防范境外个人信息处理者损害我国境内公民个人信息权益的情形发生。
第54条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
【解读】
本条明确了个人信息处理者的合规审计义务。
个人信息安全审计,是揭示信息安全风险的最佳手段,亦是改进信息安全现状的有效途径。可以说,定期进行个人信息安全审计,是个人信息处理者满足个人信息安全合规要求的有力武器。
第55条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
【解读】
本条明确个人信息处理者应当事前进行个人信息保护影响评估。
在个人信息处理动作愈发复杂且不断演化的当下,直接的行为规范可能不足以应对所有个人信息处理活动中潜在的风险,基于此,不少国家和地区的个人信息保护立法提出一种“评估式合规”要求(assessment-based compliance)。这类规定并没有针对特定的个人信息处理活动提出明晰、确定的安全控制措施,而是要求组织针对特定个人信息处理活动,开展具体的风险分析并采取与风险相称的安全控制措施,将对个人信息主体合法权益产生不利影响的风险降低到可接受的程度,才符合其规定。本条出的“个人信息保护影响评估”和GDPR提出的“数据保护影响评估”(data protection impact assessment)即为典型的例子。这样的规范路径并不事先设定,而是要求个人信息处理者完成一个完整的风险评估流程,并根据评估得到的风险自主提出合规措施,其核心目的是在一定场景中,超越“静态底线式”的个人信息保护合规,实现有效、全面地掌握信息处理行为对个人合法权益影响的风险变化,有针对性地提出安全保护措施,最终达到动态优化式的权益保护效果。[5]
本条对个人信息保护影响评估的适用情形进行了明确规定,主要集中于自动化决策、处理敏感个人信息等对个人权益有重大影响的个人信息处理活动。同时本条亦明确要求个人信息处理者对处理情况进行记录,以更好地实现对个人信息处理行为的全程控制。
第56条 个人信息保护影响评估应当包括下列内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存三年。
【解读】
本条明确了个人信息保护影响评估的具体内容。
本条强调事前个人信息保护影响评估所需考虑的具体要素主要包括以下三点:
第一,个人信息的处理目的、处理方式是否符合本法第5条、第6条规定的合法、正当、必要原则;
第二,个人信息处理者应重点分析特定个人信息处理活动对个人信息主体合法权益的影响以及相应的安全风险;
第三,在上述第二点的基础上,个人信息保护影响评估还应当考虑所采取的个人信息安全保护措施是否合法、有效并与风险程度相适应,真正做到全盘统筹兼顾。
第57条 个人信息处理者发现个人信息泄露的,应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:
(一)个人信息泄露的原因;
(二)泄露的个人信息种类和可能造成的危害;
(三)已采取的补救措施;
(四)个人可以采取的减轻危害的措施;
(五)个人信息处理者的联系方式。
个人信息处理者采取措施能够有效避免信息泄露造成损害的,个人信息处理者可以不通知个人;但是,履行个人信息保护职责的部门认为个人信息泄露可能对个人造成损害的,有权要求个人信息处理者通知个人。
【解读】
本条明确了个人信息泄露时个人信息处理者的处置义务。
本条强调在发生个人信息安全事件时个人信息处理者如何处置,并将处置义务具象为补救和通知。
就补救和通知义务的触发时点而言,只要个人信息处理者发现了该等信息泄露的情形,便应当立即通知并采取补救措施。
就补救义务的内容而言,主要表现为采取可以避免信息泄露造成严重损害或防止损害继续扩大的相关措施。
就通知义务的具体内容而言,本条列举了个人信息泄露的原因、涉及的信息种类和可能造成的危害、已采取的补救措施、个人可以采取的减轻危害的措施以及联系方式等;就通知义务的范围而言,个人信息处理者对个人和有关监管部门的通知义务略有区别:本条第2款规定了可以不通知个人的例外情形,即个人信息处理者采取措施能够有效避免信息泄露造成损害的,以及例外情形的例外,即履行个人信息保护职责的部门认为个人信息泄露可能对个人造成损害的,个人信息保护部门有权要求个人信息处理者通知个人。
第58条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构,对个人信息保护情况进行监督;
(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(四)定期发布个人信息保护社会责任报告,接受社会监督。
【解读】
本条明确了重要互联网平台特定的个人信息保护义务。
本条系《个人信息保护法(草案二审稿)》新增的条款,首次从法律层面明确提出并强化重要互联网平台个人信息保护义务的要求,实践中有学者将本条称之为“守门人义务”条款。[6]
对于本条之规定,需要重点理解“适用主体”“健全体系”“外部监督”“制定平台规则”“平台治理”和“社会责任报告”6个要点:
1.“适用主体”,即哪些个人信息处理者属于“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”
(1)“重要互联网平台服务”。对于“互联网平台”的理解,可供参照的规定为2021年2月7日发布并生效的《国务院反垄断委员会关于平台经济领域的反垄断指南》,第2条明确了“互联网平台”和“平台经营者”的概念:“相关概念(一)平台,本指南所称平台为互联网平台,是指通过网络信息技术,使相互依赖的双边或者多边主体在特定载体提供的规则下交互,以此共同创造价值的商业组织形态。(二)平台经营者,是指向自然人、法人及其他市场主体提供经营场所、交易撮合、信息交流等互联网平台服务的经营者。”中国互联网协会于2021年4月27日发布了《互联网平台企业依法合规经营倡议书》,并得到首批150家互联网企业积极响应,其中涉及的这150家互联网平台企业亦可以作为理解本条范围的参考。
需要指出的是,本条还增加了“重要”的限制,也就意味着并非所有互联网平台企业都能纳入本条的适用范围。相较于《个人信息保护法(草案二审稿)》中采用“基础性”的表述,本条将互联网平台服务的前缀修饰调整为“重要”,扩大了需适用本条并履行本条项下特定个人信息保护义务的主体范围,使得更多网络平台服务企业被纳入规制的范畴中。区别于GDPR中有明确年营业额、平均市值、月活跃终端用户数量作为“守门人企业”的确切判断标准,我国对“重要”互联网平台服务的理解尚无具体的认定标准,仍应当以后续立法部门、监管部门等职能部门的准确认定为标准。
(2)“用户数量巨大”。对于如何界定“用户数量巨大”,在比较法视角下能够提供一定参考:欧盟委员会于2020年12月15日公布《数字市场法(草案)》(Digital Markets Act),第3条第2款对“守门人”(在数字市场中达到一定规模或具有一定影响的科技企业)采取的界定标准之一为“使用核心平台服务的月活跃终端用户数超过4500万,包含本土用户和暂居于欧盟境内的用户;或者上一财政年度内拥有注册于欧盟境内的商业用户超过10000家”。
而我国人口基数、经济发展水平、互联网平台发展情况等与欧盟均存在明显的差异,用户数量过亿甚至月活用户过亿的平台都不在少数,完全参照上述标准不具备可适用性。如何认定“用户数量巨大”,有待相关立法解释、配套规定的明确和实践的探索。
(3)“业务类型复杂”。以实践中的企业作为参考,特定行业的专营平台显然不属于“业务类型复杂”的范畴,功能众多、应用广泛的分发平台更容易被认定为满足上述要求。就业务复杂性的判断来说,尽管《国务院反垄断委员会关于平台经济领域的反垄断指南》等文件中亦有“平台经济业务类型复杂”的表述,但始终缺乏业务复杂性的具体判断标准,有待相关部门制定配套的实施细则予以完善。
2.“健全体系”,即“按照国家规定建立健全个人信息保护合规制度体系”
“建立健全个人信息保护合规制度体系”,从理解的角度,要求个人信息处理者建立健全以本法为主要框架,各类规定、管理办法、配套实施细则等规范性文件以及强制性或推荐性的国家、行业标准为具体内容的完整个人信息保护合规制度体系。这不仅体现了国家强化个人信息保护的立法倾向,也反映了未来对个人信息处理活动日益严格的监管要求。
伴随着本法的颁布,我国的个人信息保护体系已初具雏形,但细节方面还有待立法部门、监管部门等职权部门不断加以完善。这要求个人信息处理者及时、准确地学习最新法规、监管政策,并在此基础上强化内部管理,健全个人信息保护体系、提高个人信息保护能力。
3.“外部监督”,即“成立主要由外部成员组成的独立机构,对个人信息保护情况进行监督”
“外部成员组成的独立机构”,有助于加强对重要互联网平台的监督,一定程度上提高其处理个人信息活动的透明度。从理解的角度,这些外部成员应属于与公司无劳动关系、无关联关系、无隶属关系等无任何可能影响公平、公正履职情形的人员。对于适合的成员,可能包括长期从事个人信息保护研究的法学专家、技术测评专家、律师等。
对于该等规定,在我国现行公司法相关实践中,可供参照的类似实践为公司的独立董事、外部董事等。在企业相关实践中,腾讯于2018年12月27日邀请知名行业专家、学者担任隐私观察员,一定程度上是对本条规定的“先行先试”和有益探索。[7]
4.“制定平台规则”,即“遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务”
想要让平台企业在个人信息保护治理中发挥更大作用,首要任务就是让重要互联网平台服务企业制定出公开、公平、公正的平台规则。具体来说,重要互联网平台服务企业可通过修改平台内产品或者服务提供商“入驻协议”的方式将个人信息保护的具体要求纳入合同规制中去,通过规定严重违反相应“行为准则”的不利后果,形成对平台内产品或者服务提供商个人信息处理活动的“软约束”。实践中,一些电商平台对入驻商家在个人信息保护方面提出的内部管理规则,在某种程度上可视为对该模式的良好探索。
当然,关于重要互联网平台服务企业制定平台规则的范围和边界问题,如何防止平台滥用自身的优势地位给内部产品和服务提供商苛加不必要之义务,以及制定的平台规则是否需要备案或审批等具体问题,还有待相关立法部门、监管部门等职权部门进一步明确。
5.“平台治理”,即“对平台内的违法违规的产品或者服务提供者,停止提供服务”
平台对平台内的产品或者服务提供商负有监督、管理的责任和义务,几乎已经成为实践中的普遍共识,在个人信息保护领域,这一“平台治理”的规则依然奏效。由于相关部门无力对我国海量的个人信息处理者进行垂直监管,且平台企业在行业发展中的引领作用显著,将个人信息保护职责前移,由重要互联网平台服务企业承担更多个人信息保护义务和部分监管职责成为一种新的趋势。本条第1款第2项规定的“停止向平台内违法违规的产品或者服务提供者提供服务”,可以理解为这一立法倾向的典型代表和集中体现。
实际上,欧盟委员会于2020年12月出台的《数字服务法(草案)》(Digital Services Act)中界定了“守门人”企业,主要是指对欧盟市场有重大影响、运营核心平台服务、在业务中享有稳固和持久地位的核心平台服务提供商[8];张新宝教授为《个人信息安全法(草案)》提供立法建议时,也引入了“守门人”概念,亦可作为理解本条项下“特定个人信息保护义务”的参考。其将“守门人”界定为“控制关键环节,有资源赋予其他个人信息处理者处理个人信息能力的互联网运营者”,主要包括应用程序的分发平台、移动终端操作系统、搭载小程序的大型App平台。[9]
上述观点和思路,在我国法律法规的部分条款之中已经有所体现,例如,工信部于2021年5月26日发布的《移动互联网应用程序个人信息保护规定(征求意见稿)》第9条对App分发平台、第10条对移动智能终端生产企业提出了个人信息保护义务的具体要求。
6.“社会责任报告”,即“定期发布个人信息保护社会责任报告”
企业社会责任报告作为企业接受社会监督的一种表现形式,在实践中已屡见不鲜,其内容一般包含企业为科技创新、社会发展、公益事业、节能减排等作出的努力和贡献。但“个人信息保护社会责任报告”则是本法首次明确提出的概念和要求。与之相类似的企业探索为部分企业发布的《隐私保护白皮书》,如腾讯、蚂蚁等均发布过《隐私保护白皮书》。
对于“个人信息保护社会责任报告”的内容,从理解的角度,可能包括本公司个人信息保护战略、个人信息保护合规体系、个人信息保护相关制度情况、个人信息保护安全措施、防范和处理个人信息安全威胁或安全事件情况、参与个人信息保护相关立法、国家标准等文件制定、修改的情况、举办个人信息保护相关论坛、讲座、研讨会等的情况、赞助、支持个人信息保护相关研究活动和技术攻关等活动的情况、对用户个人信息保护的教育、用户个人信息权益主张的响应情况等。准确的报告内容要求,还需要后续相关立法解释、配套规定的明确和实践的探索。
第59条 接受委托处理个人信息的受托方,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。
【解读】
本条明确了受托方的个人信息安全保护义务。
本条规定和《个人信息安全规范》第9.1条“委托处理”中对受托者的规定在精神上有相似之处。尽管受托方并非本法规定的个人信息处理者,无法控制以何种目的、何种方式处理个人信息,但考虑到受托方在受托处理个人信息的过程中实际接触了相关个人信息,其仍应当履行本法项下的个人信息安全保护义务,采取必要措施保障个人信息安全,防止个人信息被不当处理、泄露或发生其他个人信息安全事件。
本条规定的受托人“协助个人信息处理者履行本法规定”的相关义务系新增内容。考虑到在委托处理场景下,委托方履行某些个人信息处理者义务可能需要受托方配合,如当委托处理过程中发生及处置安全事件,响应个人信息处理者权利请求等,本条明确受托人的协助义务,有利于更好地实现委托处理场景下个人信息权益的保护。
第六章 履行个人信息保护职责的部门
第60条 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。
前两款规定的部门统称为履行个人信息保护职责的部门。
【解读】
本条明确了履行个人信息保护的具体行政监管部门。
在中央政府层面,本条明确了国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国家网信部门在个人信息保护和相关监督管理方面已经积累了相当丰富的实践经验,通过本条进一步明确其职能有助于建立集中统一高效的个人信息保护监管体系。同时,国务院各有关部门,包括工业和信息化部、公安部、市场监督管理总局等主管部门以及中国人民银行等行业主管部门在各自职权范围内负责个人信息保护和监管工作,亦兼顾了各部门和各行业的差异性。
在地方政府层面,本条明确了由县级以上地方人民政府有关部门履行个人信息保护和监督管理职责。考虑到个人信息保护工作责任繁杂,事务众多,而地方人民政府在前期个人信息保护监管中已经积累了相对丰富的经验,明确地方人民政府监管职责,引导地方人民政府更多参与到个人信息保护监管中来,能够更好地促进个人信息保护工作的协同开展。
第61条 履行个人信息保护职责的部门履行下列个人信息保护职责:
(一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;
(二)接受、处理与个人信息保护有关的投诉、举报;
(三)组织对应用程序等个人信息保护情况进行测评,并公布测评结果;
(四)调查、处理违法个人信息处理活动;
(五)法律、行政法规规定的其他职责。
【解读】
本条明确了履行个人信息保护职责的部门的工作内容和职责。
本条明确履行个人信息保护职责的部门的职责包括开展宣传教育,指导监督个人信息保护工作,接受处理个人信息相关投诉举报,组织应用程序关于个人信息保护的测评并公布结果,调查处理违法个人信息处理活动等。
其中,组织对应用程序等个人信息保护情况进行测评并公布测评结果是新增内容。实践中,在工业和信息化部、国家网信办、公安部和市场监督管理总局协同开展的App专项治理活动中,测评应用程序并公示问题应用程序已经颇为常见[10],于法律层面将其明确为履行个人信息保护职责的部门的职责,意味着应用程序治理将是一项长期工作,相关企业应当对此充分重视。
第62条 国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:
(一)制定个人信息保护具体规则、标准;
(二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;
(三)支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;
(四)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;
(五)完善个人信息保护投诉、举报工作机制。
【解读】
本条明确了国家网信部门作为中央层面履行个人信息保护职责的部门的特殊职责。
除履行本法第61条规定的基本职责外,国家网信部门还应统筹协调有关部门组织制定一般性和专门性个人信息保护的相关规则和标准、推进个人信息保护社会化服务体系建设,承担支持有关机构开展相关评估、认证服务的责任,并完善投诉和举报工作机制。
第63条 履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:
(一)询问有关当事人,调查与个人信息处理活动有关的情况;
(二)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;
(三)实施现场检查,对涉嫌违法个人信息处理活动进行调查;
(四)检查与个人信息处理活动有关的设备、物品;对有证据证明是用于违法个人信息处理活动的设备、物品,向本部门主要负责人书面报告并经批准,可以查封或者扣押。
履行个人信息保护职责的部门依法履行职责,当事人应当予以协助、配合,不得拒绝、阻挠。
【解读】
本条明确了履行个人信息保护职责的部门履行个人信息保护职责可采取的措施。
本条明确了相关主管部门为履行职责可以采取的措施,一方面为相关主管部门实施的履职行为提供法律依据,使其在履职时有法可依;另一方面也有助于其履职过程中行政相对人了解相关部门的职责范围,实现对相关部门履职行为的监督。
第64条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。
履行个人信息保护职责的部门在履行职责中,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。
【解读】
本条划定了履行个人信息保护职责的部门的具体执法权限。
如相关主管部门在发现个人信息处理活动存在较大风险或者发生个人信息安全事件时,可以采取约谈、合规审计等措施;如发现违法处理个人信息涉嫌犯罪的,应当采取及时移送公安机关的措施。本条专门规定了相关主管部门对较大风险、个人信息安全事件及涉及个人信息犯罪时可以及应当采取的措施,强化监管部门的监管职责。
第65条 任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。
履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。
【解读】
本条规定了个人信息保护相关的投诉、举报制度。
从举报主体看,任何组织和个人都可以进行举报,意味着用户、非用户、竞争对手、第三方测评机构、自媒体等都可以作为举报主体,有助于推动形成本法第11条所称的“共同参与个人信息保护的良好环境”。
从受理部门来看,无论中央或是地方,只要是履行个人信息保护职责的部门都可以受理举报。
从举报处理来看,收到投诉、举报的部门应当依法及时处理并将处理结果告知投诉、举报人。若相应部门未能及时处理或未能将处理结果进行告知,可能需要承担相应的责任。
同时,本条亦强调履行个人信息保护职责的部门应履行行政公开义务,公开接受投诉、举报的联系方式。
第七章 法律责任
第66条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
【解读】
《个人信息保护法》在《网络安全法》等的基础上,史无前例地加重了个人信息违法行为的法律责任,规定了责令改正、警告、没收违法所得、责令暂停或终止提供服务等多类行政处罚,旨在通过较为严厉的处罚,大幅提高个人信息违法成本,体现了我国打击违法处理个人信息行为的决心。
1.首次明确责令违法处理个人信息的应用程序暂停或者终止提供服务的法律依据
相较于《个人信息保护法(草案二审稿)》,本法增加了“对违法处理个人信息的应用程序,责令暂停或者终止提供服务”这一处罚类型。虽然实践中,已有对应用程序处以暂停服务处罚措施的先例,但本条系在个人信息立法领域首次明确对应用程序处以暂停提供服务或终止提供服务的直接法律依据,进一步加大了个人信息违法行为的处罚力度。根据本法现行规定,只要处理个人信息行为违反《个人信息保护法》的任一规定,履行个人信息保护职责的部门即可对个人信息处理者处以责令改正、警告、没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务等行政处罚;拒不改正的,可以对个人信息处理者和直接负责的主管人员和其他直接责任人员处以罚金。
2.大幅提高罚金上限
《个人信息保护法》的一大亮点即在于借鉴了GDPR第83条的监管思路,将“违反本法规定处理个人信息”或者“处理个人信息未按照规定采取必要的安全保护措施”的法律责任显著地提高至“五千万元以下或者上一年度营业额百分之五”。
尽管《网络安全法》第64条亦规定了针对个人信息违法行为的相关行政处罚,但就一般的个人信息侵权行为,其罚款金额上限为一百万元,对于企业而言,违法成本相对较低,惩治力度相对有限,对企业的威慑也比较小。本条在第1款延续了《网络安全法》第64条规定的基础上于第2款大幅提高了罚款上限金额,对于情节严重的个人信息违法行为,规定了五千万元以下或上一年度营业额百分之五以下罚款的罚款上限,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照,且可对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。值得注意的是,监管部门在处以罚款时,可以自行选择“五千万元以下”或“上一年度营业额百分之五以下”作为罚款的上限,这也给了监管部门选择罚款上限的一定空间。
此外,计算罚金上限金额的基数是企业的上一年度营业额而非利润。违法成本的大幅提高,有利于更好地对企业起到警示作用,督促企业切实履行个人信息安全保护义务。
3.首次明确个人信息行业的禁入制度
同时,本法参照证券市场禁入制度,设立了个人信息行业的禁入制度,对直接负责的主管人员和其他直接责任人员可施以禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人的处罚,这也从个人责任的角度极大地震慑了个人信息处理者相关负责人员。
值得注意的是,有别于证券市场禁入制度中“禁入行业”的程序,本条中省级以上履行个人信息保护职责的部门在违法行为情节严重时禁止相关责任人员担任相关企业的董监高和个人信息保护负责人,这里的“相关企业”推测应为违法企业和其关联企业。
《个人信息保护法》构建的罚则体系,是我国在国际经验的基础上作出的本土化调整,体现了我国整治个人信息违法行为的决心和力度。
第67条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
【解读】
本条明确了对个人信息违法行为人的信用惩戒制度,建立起了“个人信息违法行为的信用档案制度”。
类似条文可见《网络安全法》第71条、《电子商务法》第86条及《儿童个人信息网络保护规定》第27条。对于企业而言,这意味着一旦发生个人信息违法行为,企业不仅将面临相应的索赔,还将面临对其商业信誉的不利影响及潜在的舆情压力,这将加大违法者的违法成本。无形中也提高了个人信息违法成本,有利于在社会层面起到普遍的警示作用。
第68条 国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。
【解读】
本条规定了国家机关不履行个人信息保护义务的法律责任。
尽管本法第二章第三节对国家机关处理个人信息时应履行的义务作出了特别规定,但本条并未将所指的个人信息保护义务限定于第三节中的相关条文。从文义理解,若国家机关作为个人信息处理者违反了本法第二章第三节和该节之外其他条文规定的个人信息保护义务,均需要承担本条规定的法律责任。
从法律责任的角度,上级主管部门或相关履职部门不仅有权要求履职部门责令其改正,还将处罚责任落实到人,对直接负责的主管人员和其他直接责任人员给予处分,以通过加大处罚力度、处罚范围反向促进履职部门更好地履行自身监管职能的作用。这与《网络安全法》第72条的规定有一定程度的相似。
本条增加了“履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分”,进一步明确了在不构成犯罪的情况下,履行个人信息保护职责的部门的工作人员仍要面临机关内部的处分或由监察机关依法给予的政务处分。
第69条 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
【解读】
本条规定了个人信息侵权行为的民事责任。
就侵权损害赔偿的计算方式而言,本条与《民法典》第1182条规定的侵害人身权益情形下侵权损害赔偿的计算方式基本一致,但删去了“被侵权人和侵权人就赔偿数额协商不一致,向人民法院提起诉讼的”的表述。
就归责原则来看,在《个人信息保护法(草案)》出台前,由于《侵权责任法》并未对个人信息侵权行为的归责原则进行特殊规定,实践中个人信息侵权案件只能依一般侵权适用过错责任,处于弱势一方的用户通常不掌握证明对方存在过错的证据,导致个人在诉讼中承担了过高的举证责任。虽然部分案件中法院对举证责任进行了一定的调整和突破,但此类突破尚缺乏充分的上位法依据。
《个人信息保护法(草案)》在归责原则的表述上,同《民法典》第1199条、第1238条、第1239条有一定相似性,似有明确个人信息侵权行为适用过错推定责任的意图。但《个人信息保护法(草案)》中“个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任”可能引起一定理解上的争议,即使个人信息处理者能够证明自己不存在过错,仍可能被要求承担相应的赔偿责任,对于个人信息处理者而言,所承担的义务要求可能相对过高。
而本法最终明确了适用过错推定责任,大大减轻了个人信息主体的举证责任,有助于解决在既往司法实践中,适用过错责任和“谁主张谁举证”原则导致的个人信息主体维权成本高且举证难的问题,体现了个人信息侵权的举证责任已经过渡到过错推定责任。在过错推定责任中,举证责任倒置,个人无须就个人信息处理者的过错负有举证责任,而由个人信息处理者证明自己没有过错才可免责。
第70条 个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
【解读】
本条规定了个人信息公益诉讼制度。
1.公益诉讼的适用情形
公益诉讼制度见于《民事诉讼法》第55条,其规定,“对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为,法律规定的机关和有关组织可以向人民法院提起诉讼。”
2.侵害个人信息权益之公益诉讼的违法行为
对于违反本法规定处理个人信息,侵害众多个人的个人信息权益的行为,可以提起公益诉讼。该等行为属于《民事诉讼法》规定的“损害社会公共利益的行为”,属于可以提起个人信息公益诉讼的情形。
3.侵害个人信息权益之公益诉讼的提起主体
本条规定人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以作为公益诉讼的提起主体。实践中,人民检察院提起个人信息公益诉讼已较为普遍,但该等个人信息公益诉讼多系基于《最高人民法院、最高人民检察院关于检察公益诉讼案件适用法律若干问题的解释》提起的刑事附带民事公益诉讼。《个人信息保护法》落地后,以法律的形式对个人信息公益诉讼的形式予以确认,或将扩大个人信息公益诉讼的适用范围,更好地保护公民的个人信息权益。相较于《个人信息保护法(草案二审稿)》,本条将“履行个人信息保护职责的部门”改为“法律规定的消费者组织”,避免了由履行个人信息保护职责的部门起诉带来的属性导向,改为消费者组织这一更为中立的第三方,更为妥当。根据《消费者权益保护法》的规定,消费者组织是指消费者协会和其他消费者组织依法成立的对商品和服务进行社会监督的保护消费者合法权益的社会组织。除了消费者协会,未来是否会成立专门针对个人信息权益保护的社会组织,以及“国家网信部门确定的组织”具体是何部门,有待进一步明确。
第71条 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
【解读】
本条明确了个人信息违法行为的治安管理处罚和刑事责任的衔接性条款,行文表述与《个人信息保护法(草案)》《个人信息保护法(草案二审稿)》保持一致。
本条作为兜底性的责任条款,明确了个人信息违法行为视情节不同,将可能面临治安管理处罚或刑事处罚,与《网络安全法》第74条第2款、《数据安全法》第52条基本一致。
1.治安管理处罚
除《个人信息保护法》外,其他有关个人信息违法行为的行政责任条款散见在不同法律当中,如《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络安全法》《电子商务法》《消费者权益保护法》《治安管理处罚法》等。
本法对个人信息、敏感个人信息的处理规则、提供规则、跨境提供的特别情形均作了详细的规定,若个人信息处理者未遵循法律法规的规定处理、提供个人信息、违反了个人信息处理者的义务,则由国家网信部门、县级以上地方人民政府有关部门依照《个人信息保护法》开展调查、处理违法个人信息处理活动,同时构成违反治安管理行为的,由公安机关依照《治安管理处罚法》对相关责任主体进行治安管理处罚。如《治安管理处罚法》第42条,对偷窥、偷拍、窃听、散布他人隐私的,处五日以下拘留或者五百元以下罚款;情节较重的,处五日以上十日以下拘留,可以并处五百元以下罚款。通过对侵害隐私行为的打击,在一定程度上起到了对个人信息的保护。
2.刑事责任
2009年《刑法修正案(七)》增设了金融机构等特定人员出售、非法提供公民个人信息罪(刑法第253条之一)。2015年《刑法修正案(九)》对刑法第253条之一进行了修正,放宽了犯罪主体的限制,提升了法定最高刑的刑期,并规定对于在履行职责或者提供服务过程中获得的公民个人信息,非法出售或提供的行为,可以从重处罚。修改后,“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。该罪名在客观方面表现为两类行为:一类是“提供”,即向他人出售或者提供公民个人信息,根据《侵犯公民个人信息罪司法解释》,将“通过信息网络或者其他途径发布公民个人信息的”方式亦解释为“提供”。另一类是“其他非法获取”,即窃取或者以其他方法非法获取公民个人信息的,《侵犯公民个人信息罪司法解释》第4条规定,违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于“以其他方法非法获取公民个人信息”。构成该罪名必须“违反国家有关规定”,根据《侵犯公民个人信息罪司法解释》,“违反国家有关规定”是指违反法律、行政法规、部门规章有关公民个人信息保护的规定,在《个人信息保护法》出台后,违反《个人信息保护法》中有关公民个人信息保护的规定,情节严重的,将构成侵犯公民个人信息罪。
对于侵犯公民个人信息罪的构成要件、量刑标准和具体法律适用问题等具体可以参见《侵犯公民个人信息罪司法解释》,以及2019年最高人民检察院发布的《检察机关办理侵犯公民个人信息案件指引》(高检发侦监字〔2018〕13号)和最高人民法院、最高人民检察院联合发布的《网络犯罪解释》,其对于侵犯公民个人信息案件的具体构成要件,明确了更为细致的证据审查要求和更加清晰的定罪量刑标准。
若在侵犯公民个人信息权益的同时,还涉嫌危害国家安全,可能还会构成危害国家安全罪,如提供国家秘密、情报罪。
第八章 附则
第72条 自然人因个人或者家庭事务处理个人信息的,不适用本法。
法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定。
【解读】
本条规定了不适用本法的情形。
对于因个人或家庭事务进行的个人信息处理行为,因其涉及的个人信息有限,与社会的融合度较低,产生的社会影响力较小,需要法律调整的必要性较小,因此被排除在本法调整的范围之内。
对于《统计法》《档案法》等相关法律法规规定中涉及的个人信息,因其收集使用的主体特定,适用前述特别法相关的法律规定,因此也被排除在本法调整的范围之外。
第73条 本法下列用语的含义:
(一)个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
(二)自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。
(三)去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。
(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。
【解读】
关于“个人信息处理者”的表述,与《个人信息安全规范》第3.4条“个人信息控制者”的定义一致,强调对个人信息处理目的、方式的“决定”。对于受托处理而无法决定处理方式和处理目的的主体,不属于本法规定的个人信息处理者。
关于“自动化决策”的定义,本法强调了决策方式系通过计算机程序自动分析和评估,并列举了具体的可纳入自动化分析进行评估的场景,包括但不限于个人的行为习惯、兴趣爱好、经济、健康和信用状况。
关于“去标识化”的定义,基本沿用了《个人信息安全规范》第3.15条对“去标识化”的定义,仅删除了“或者关联”的表述。删除“或者关联”的表述可能系基于同本法下“个人信息”定义的统一,并不必然意味着对“去标识化”概念的放宽。
关于“匿名化”的定义,基本沿用了《个人信息安全规范》第3.14条对“匿名化”的定义,仅删除了“或者关联”的表述。删除“或者关联”的表述可能系基于同本法下“个人信息”定义的统一,并不必然意味着对“匿名化”概念的放宽。
第74条 本法自2021年11月1日起施行。
【解读】
本条规定了本法的具体施行时间。