8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),自11月1日起施行。作为我国首部针对个人信息保护的专门性立法,《个人信息保护法》构建了完整的个人信息保护框架,对个人信息处理规则、个人信息跨境传输、个人信息处理活动的权利、信息处理者的义务、监管部门职责以及罚则等作出了全面的规定。

主要内容

(一)采取一般个人信息与敏感个人信息分级保护

个人信息是与已识别或者可识别的自然人有关的各种信息(匿名化处理后的信息不属于个人信息)。个人敏感信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,以及不满十四周岁未成年人的个人信息。

1、一般个人信息保护规则

处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整的告知个人信息处理者的名称或者姓名和联系方式,个人信息的处理目的、方式、种类、保存期限,个人行权的方式和程序。

处理个人信息应取得个人的明确同意,若处理的目的、方式、种类发生变更,应当重新取得同意。

2、敏感个人信息保护规则

只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。

除处理一般个人信息应当告知的内容外,还应当告知处理敏感个人信息的必要性以及对个人权益的影响。

处理个人敏感信息应当取得个人的单独同意。而处理不满十四周岁未成年人个人信息的,应当取得其父母或者其他监护人的同意。

(二)扩大个人信息处理的合法性基础

除取得个人同意外,明确了处理个人信息处理的多元合法性基础:

1、为订立、履行合同所必需,或者依法依约实施人力资源管理所必需;

2、为履行法定职责或者法定义务所必需;

3、为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

4、为公共利益在合理的范围内处理个人信息;

5、在合理的范围内处理个已经合法公开的个人信息;

6、法律、行政法规规定的其他情形。

(三)明确个人信息跨境提供的规则

1、跨境提供个人信息需同时满足如下条件:

告知向境外提供个人信息的情况,包括境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项。

取得个人的单独同意,或具备其他合法性基础。

境外接收方未被网信部门列入限制或禁止个人信息提供清单。

2、跨境提供个人信息需遵循如下法律路径:

关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者应当通过网信部门组织的安全评估,另有规定的除外。

其他个人信息处理者可选择以下任一路径:通过网信部门组织的安全评估,通过专业机构进行个人信息保护认证,与境外接收方订立网信部门制定的标准合同,或者遵循其他法定路径。

(四)新设个人信息可携权

个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。

(五)完善近亲属行使死者个人信息权利的要求

自然人死亡,其近亲属可以对死者的个人信息行使一定权利,但需符合如下条件:

1、为了自身的合法、正当利益;

2、权利类型仅包括查阅、复制、更正、删除;

3、死者生前无其他安排。

(六)明确个人信息处理者的义务,区分大小型个人信息处理者

1、采取必要措施保障个人信息处理合法合规,防范个人信息管理风险。

2、定期开展合规审计。

3、处理个人信息对个人权益有重大影响的,应事前进行个人信息保护影响评估,相关记录至少保存三年。

4、发生个人信息安全事件应立即采取补救措施,并通知专职部门以及个人。

5、对于大型个人信息处理者(包括提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者),应当承担额外的个人信息保护义务。

6、对于小型个人信息处理者,由网信部门制定专门的个人信息保护规则、标准。

(七)衔接民法、行政法、刑法,明确法律责任

1、提高行政处罚上限,引入高管禁业,违法行为计入征信。

违法处理个人信息,情节严重的,将会被没收违法所得,至高处五千万或上一年度营业额百分之五的罚款,责令暂停业务或停业整顿。吊销业务许可或营业执照;直接责任人员至高将被处罚款一百万元,及被禁止担任董监高或个人信息保护负责人。

2、侵权责任认定采取过错推定原则。

处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。两个以上个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当承担连带责任。

法律风险分析及建议

(一)处理个人信息应取得同意

取得个人合法有效同意作为处理个人信息的合法性基础,是个人对其个人信息的处理享有决定权的表现。若该同意是未经充分告知前提下作出,同意的形式不符合法律要求,超范围处理个人信息,处理情况发生变更未重新取得同意,或者未提供撤回同意的方式等,均可被认定为未经个人同意处理个人信息,属于侵犯个人决定权的行为。

因此,基于个人同意处理个人信息的,应满足以下要求:

1、处理个人信息前,应以显著方式、清晰易懂的语言真实、准确、完整地告知个人信息处理者的基本情况,信息处理的目的、方式、范围、保存期限,个人的法定权利等事项,保障个人的知情权。

2、一般应取得个人的明确同意,特殊情况下还需取得单独同意或书面同意。如向第三方提供个人信息、公开处理的个人信息、处理敏感信息、向境外提供个人信息的,应取得单独同意。

3、个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得同意。

4、提供便捷的撤回同意的方式。

(二)不得通过自动化决策实行不合理的差别待遇

自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。通过自动化决策实行不合理的差别待遇,包括歧视性定价、定向推送不支持关闭等行为,均为《个人信息保护法》所明确禁止。

禁止基于自动化决策实行不合理的差别待遇并不等于禁止自动化决策方式,个人信息处理者通过自动化决策的,应满足以下要求:

1、保证决策的透明度和结果公平、公正,不得对个人在交易条件上实行不合理的差别待遇。

2、进行定向推送时,应提供非定向推送的选项或便捷的拒绝方式。

3、对个人权益有重大影响的,应按照个人要求予以说明,并提供拒绝方式。

(三)个人信息跨境传输应满足法定条件和路径

原则上,个人信息处理者应将个人信息存储在境内,确需向境外提供个人信息的,应当符合法定条件。对于关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者向境外提供个人信息的,还需通过网信部门组织的安全评估。

个人信息处理者,尤其是特定的个人信息处理者应当对信息出境事项进行梳理,并采取以下措施:

1、修改隐私文件或其他方式,将出境情况充分告知个人,并征得其单独同意,除非可以依赖其他合法性基础。

2、与境外接收方签署标准合同(由国家网信部门制定),或者通过个人信息保护认证,并采取包括但不限于合同约束、技术限制、定期复核、合规审计等必要措施,确保接收方妥善保护个人信息。

(四)个人信息处理者应尽安全保障义务

个人信息处理者对于信息处理负有确保处理活动合法合规、防范未经授权的访问和保障个人信息安全的义务,否则可能会承担一定的过错责任。

具体来说,个人信息处理者应根据处理目的、方式、种类及对个人权益的影响、安全风险等,采取如下安保措施:

1、制定内部管理制度和操作规程。

2、对个人信息实行分类管理。

3、采取加密、去标识化等安全技术措施。

4、合理确定个人信息处理的操作权限,并定期进行安全教育和培训。

5、制定并组织实施个人信息安全事件应急预案。

6、个人信息处理活动对个人权益有重大影响的,应事前进行个人信息保护影响评估。

(五)大型个人信息处理者负有额外义务

由于大型个人信息处理者(提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者)与小型个人信息处理者在技术水平、风险等级上存在较大差异,《个人信息保护法》强化了对大型个人信息处理者的监管,提出了额外要求。

对于大型个人信息处理者,除了需要履行一般个人信息处理者的义务,还应履行下列义务:

1、建立健全个人信息保护合规制度体系,成立独立机构对个人信息保护情况进行监督;

2、制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;

3、对严重违法违规处理个人信息的平台内产品或服务提供者停止提供服务;

4、定期发布个人信息保护社会责任报告。

(六)共同个人信息处理者间承担连带责任

实务中,数据处理过程中可能涉及到多方主体,共同处理者(共同决定个人信息的处理目的和处理方式的个人信息处理者)侵害个人信息权益造成损害的,互相之间承担连带责任,且该连带责任不因双方约定而排除。

为保护一方个人信息处理者的权益,在共同处理个人信息前应注意以下几点:

1、充分评估合作方的个人信息保护水平,以及共同处理信息的合法性、正当性、必要性,采取必要措施保障信息安全。

2、通过协议明确约定共同处理个人信息的目的、方式、范围,各自的权利和义务,并制定个人信息应急预案。

3、引入专业个人信息保护认证机构,监督合作方合法合规处理个人信息。

本文由“苏宁金融研究院”原创,作者为苏宁金融研究院特约研究员惕若