8月20日����,十三屆全國(guó)人大常委會(huì)第三十次會(huì)議通過了個(gè)人信息保護(hù)法�,將于2021年11月1日起施行��。
個(gè)人信息保護(hù)法共8章74條�,明確了個(gè)人信息處理活動(dòng)應(yīng)遵循的原則,構(gòu)建以“告知-同意”為核心的個(gè)人信息處理規(guī)則�����,保障個(gè)人在個(gè)人信息處理活動(dòng)中的各項(xiàng)權(quán)利����,強(qiáng)化個(gè)人信息處理者的義務(wù),明確個(gè)人信息保護(hù)的監(jiān)管職責(zé)�,并設(shè)置嚴(yán)格的法律責(zé)任。全國(guó)人大常委會(huì)組成人員普遍表示����,這部專門法律充分回應(yīng)了社會(huì)關(guān)切,為破解個(gè)人信息保護(hù)中的熱點(diǎn)難點(diǎn)問題提供了強(qiáng)有力的法律保障���。
確立個(gè)人信息保護(hù)原則
個(gè)人信息保護(hù)的原則是收集��、使用個(gè)人信息的基本遵循�����,是構(gòu)建個(gè)人信息保護(hù)具體規(guī)則的制度基礎(chǔ)���。
強(qiáng)調(diào)處理個(gè)人信息應(yīng)當(dāng)遵循合法���、正當(dāng)、必要和誠(chéng)信原則��,具有明確�、合理的目的并與處理目的直接相關(guān),采取對(duì)個(gè)人權(quán)益影響最小的方式���,限于實(shí)現(xiàn)處理目的的最小范圍�,公開處理規(guī)則�����,保證信息質(zhì)量���,采取安全保護(hù)措施等,這些原則應(yīng)當(dāng)貫穿于個(gè)人信息處理的全過程�����、各環(huán)節(jié)。
“‘告知-同意’是法律確立的個(gè)人信息保護(hù)核心規(guī)則�,是保障個(gè)人對(duì)其個(gè)人信息處理知情權(quán)和決定權(quán)的重要手段。”全國(guó)人大常委會(huì)法工委經(jīng)濟(jì)法室副主任楊合慶在答記者問時(shí)說���。
個(gè)人信息保護(hù)法要求處理個(gè)人信息��,應(yīng)當(dāng)在事先充分告知的前提下取得個(gè)人同意�����,個(gè)人信息處理的重要事項(xiàng)發(fā)生變更的應(yīng)當(dāng)重新向個(gè)人告知并取得同意��。
同時(shí)��,針對(duì)現(xiàn)實(shí)生活中社會(huì)反映強(qiáng)烈的一攬子授權(quán)����、強(qiáng)制同意等問題����,個(gè)人信息保護(hù)法特別要求個(gè)人信息處理者在處理敏感個(gè)人信息、向他人提供或公開個(gè)人信息、跨境轉(zhuǎn)移個(gè)人信息等環(huán)節(jié)應(yīng)取得個(gè)人的單獨(dú)同意����,明確個(gè)人信息處理者不得過度收集個(gè)人信息,不得以個(gè)人不同意為由拒絕提供產(chǎn)品或者服務(wù)���,并賦予個(gè)人撤回同意的權(quán)利���,在個(gè)人撤回同意后,個(gè)人信息處理者應(yīng)當(dāng)停止處理或及時(shí)刪除其個(gè)人信息���。
此外��,考慮到個(gè)人信息處理的場(chǎng)景日益多樣���,個(gè)人信息保護(hù)法還對(duì)取得個(gè)人同意以外可以合法處理個(gè)人信息的特定情形作了規(guī)定。比如�����,針對(duì)濫用人臉識(shí)別技術(shù)問題��,本法要求����,在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備����,應(yīng)設(shè)置顯著的提示標(biāo)識(shí);所收集的個(gè)人圖像����、身份識(shí)別信息只能用于維護(hù)公共安全的目的。
禁止“大數(shù)據(jù)殺熟”等行為
當(dāng)前�,有一些企業(yè)通過掌握消費(fèi)者的經(jīng)濟(jì)狀況、消費(fèi)習(xí)慣�、對(duì)價(jià)格的敏感程度等信息,對(duì)消費(fèi)者在交易價(jià)格等方面實(shí)行歧視性的差別待遇�����,誤導(dǎo)����、欺詐消費(fèi)者,其中最典型的就是“大數(shù)據(jù)殺熟”��。
對(duì)此��,個(gè)人信息保護(hù)法明確規(guī)定:個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平���、公正���,不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。
嚴(yán)格保護(hù)敏感個(gè)人信息
個(gè)人信息保護(hù)法將生物識(shí)別�、宗教信仰、特定身份����、醫(yī)療健康、金融賬戶����、行蹤軌跡等信息,以及不滿十四周歲未成年人的個(gè)人信息列為敏感個(gè)人信息�。
楊合慶表示,主要考慮是此類信息一旦泄露或者被非法使用��,極易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身��、財(cái)產(chǎn)安全受到危害�,對(duì)處理敏感個(gè)人信息的活動(dòng)應(yīng)當(dāng)作出更加嚴(yán)格的限制。
對(duì)此����,個(gè)人信息保護(hù)法要求只有在具有特定的目的和充分的必要性��,并采取嚴(yán)格保護(hù)措施的情形下,方可處理敏感個(gè)人信息����,同時(shí)應(yīng)當(dāng)在事前進(jìn)行影響評(píng)估,并向個(gè)人告知處理的必要性以及對(duì)個(gè)人權(quán)益的影響�。
賦予個(gè)人充分的權(quán)利、強(qiáng)化個(gè)人信息處理者的義務(wù)
個(gè)人信息保護(hù)法將個(gè)人在個(gè)人信息處理活動(dòng)中的各項(xiàng)權(quán)利���,包括知悉個(gè)人信息處理規(guī)則和處理事項(xiàng)���、同意和撤回同意,以及個(gè)人信息的查詢���、復(fù)制���、更正、刪除等總結(jié)提升為知情權(quán)���、決定權(quán)���,明確個(gè)人有權(quán)限制個(gè)人信息的處理�����。
同時(shí)��,為了適應(yīng)互聯(lián)網(wǎng)應(yīng)用和服務(wù)多樣化的實(shí)際���,滿足日益增長(zhǎng)的跨平臺(tái)轉(zhuǎn)移個(gè)人信息的需求,個(gè)人信息保護(hù)法對(duì)個(gè)人信息可攜帶權(quán)作了原則規(guī)定��,要求在符合國(guó)家網(wǎng)信部門規(guī)定條件的情形下��,個(gè)人信息處理者應(yīng)當(dāng)為個(gè)人提供轉(zhuǎn)移其個(gè)人信息的途徑��。
“個(gè)人信息處理者是個(gè)人信息保護(hù)的第一責(zé)任人��。”楊合慶介紹說��,個(gè)人信息保護(hù)法強(qiáng)調(diào)�����,個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé)�����,并采取必要措施保障所處理的個(gè)人信息的安全。
在此基礎(chǔ)上�,個(gè)人信息保護(hù)法設(shè)專章明確了個(gè)人信息處理者的合規(guī)管理和保障個(gè)人信息安全等義務(wù),要求個(gè)人信息處理者按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程����,采取相應(yīng)的安全技術(shù)措施�����,指定負(fù)責(zé)人對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督�,定期對(duì)其個(gè)人信息活動(dòng)進(jìn)行合規(guī)審計(jì),對(duì)處理敏感個(gè)人信息�����、利用個(gè)人信息進(jìn)行自動(dòng)化決策�����、對(duì)外提供或公開個(gè)人信息等高風(fēng)險(xiǎn)處理活動(dòng)進(jìn)行事前影響評(píng)估�,履行個(gè)人信息泄露通知和補(bǔ)救義務(wù)等。
加大違法處理個(gè)人信息行為的懲戒力度
個(gè)人信息保護(hù)法根據(jù)個(gè)人信息處理的不同情況���,對(duì)違法處理個(gè)人信息的行為設(shè)置了不同梯次的行政處罰��。對(duì)未造成嚴(yán)重后果的輕微或一般違法行為�����,可由執(zhí)法部門責(zé)令改正���、給予警告���、沒收違法所得,對(duì)拒不改正的最高可處一百萬(wàn)元罰款��;對(duì)情節(jié)嚴(yán)重的違法行為����,最高可處五千萬(wàn)元或上一年度營(yíng)業(yè)額百分之五的罰款,并可以對(duì)相關(guān)責(zé)任人員作出相關(guān)從業(yè)禁止的處罰�。同時(shí),個(gè)人信息保護(hù)法還專門規(guī)定�����,對(duì)違法處理個(gè)人信息的應(yīng)用程序����,可以責(zé)令暫?�;蚪K止提供服務(wù)���。
在民事責(zé)任方面,個(gè)人信息保護(hù)法明確��,處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害的�,個(gè)人信息處理者如不能證明自己沒有過錯(cuò)的,應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任�����。
同時(shí)�,個(gè)人信息保護(hù)法還對(duì)侵害眾多個(gè)人權(quán)益的民事公益訴訟作了規(guī)定�����。
京公網(wǎng)安備 11010202007567號(hào)京ICP備17054264號(hào)
