個(gè)人信息保護(hù)新紀(jì)元——《個(gè)人信息保護(hù)法》下的數(shù)據(jù)合規(guī)要點(diǎn)解讀
文\文曉歡
北京岳成律師事務(wù)所北京總所律師助理
千呼萬(wàn)喚始出來(lái),2021 年 8 月 20 日���,歷經(jīng)三讀的《個(gè)人信息保護(hù)法》正式通過(guò)�����,結(jié)束了中國(guó)個(gè)人信息保護(hù)基本法律缺位的歷史����,開(kāi)啟了一個(gè)時(shí)代的新篇章?�!毒W(wǎng)絡(luò)安全法》�����、《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》�����,共同搭建了中國(guó)網(wǎng)絡(luò)安全領(lǐng)域的法律框架����,為數(shù)字時(shí)代的網(wǎng)絡(luò)安全、數(shù)據(jù)安全���、個(gè)人信息權(quán)益保護(hù)提供了基礎(chǔ)制度保障��。
一����、個(gè)人信息之內(nèi)涵
我國(guó)法律法規(guī)對(duì)個(gè)人信息的定義及范圍的相關(guān)規(guī)定主要有:
法律法規(guī)名稱 | 個(gè)人信息定義及范圍 |
《民法典》 | 第一千零三十四條第二款個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息, 包括自然人的姓名��、出生日期�����、身份證件號(hào)碼�、生物識(shí)別信息、住址��、電話號(hào)碼����、電子郵箱、健康信息��、行蹤信息等�。 |
《網(wǎng)絡(luò)安全法》 | 第七十六條(五)個(gè)人信息,是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息包括但不限于自然人的姓名��、出生日期��、身份證件號(hào)碼�、個(gè)人 生物識(shí)別信息、住址����、電話號(hào)碼等。 |
《個(gè)人信息保護(hù)法》 | 第四條個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息���,不包括匿名化處理后的信息�。 |
《信息安全技術(shù)個(gè)人信息安全規(guī)范》 | 3.1 個(gè)人信息以電子或其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或反映特定自然人活動(dòng)情況的各種信 息���。 |
《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》 | 第一條刑法第二百五十三條之一規(guī)定的“公民個(gè)人信息”, 是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息����,包括姓名��、身份證件號(hào)碼����、通信通訊聯(lián)系方式、住址��、賬號(hào)密碼、財(cái)產(chǎn)狀況�����、行蹤軌跡等�。 |
何為個(gè)人信息?通過(guò)上表可見(jiàn)��,《個(gè)人信息保護(hù)法》在《網(wǎng)絡(luò)安全法》以及《民法典》規(guī)定的“識(shí)別” 的基礎(chǔ)上����,將個(gè)人信息的識(shí)別區(qū)分為“已識(shí)別”及“可識(shí)別”表述,即《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息的定義采納了《個(gè)人信息安全規(guī)范》個(gè)人信息定義的最寬入口模式�,無(wú)論是識(shí)別法(從信息到個(gè)人) 或關(guān)聯(lián)法(從個(gè)人到信息)得到的信息均屬于個(gè)人信息,一定程度上擴(kuò)大了個(gè)人信息保護(hù)的范圍�。
二、個(gè)人信息處理的重要規(guī)則
1�����、知情同意不再是處理個(gè)人信息的唯一合法基礎(chǔ)《個(gè)人信息保護(hù)法》第十三條列舉了多項(xiàng)處理個(gè)人信息無(wú)需取得個(gè)人同意的情形 , 包括:
(1)為履行合同�����、實(shí)施人力資源管理所必需�;
(2)為履行法定義務(wù)所必需�����;
(3)為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件所必需;
(4)為保護(hù)生命安全和財(cái)產(chǎn)安全所必需��;
(5)為公共利益實(shí)施新聞報(bào)道等所必需����;
(6)在合理范圍內(nèi)處理已公開(kāi)的個(gè)人信息。
上述規(guī)定很大程度上放寬了個(gè)人信息處理的限制����,突破了“告知同意”為核心的個(gè)人信息處理規(guī)則, 未來(lái)“知情同意”將不再是處理個(gè)人信息唯一的合法基礎(chǔ)���,這將進(jìn)一步平衡個(gè)人信息保護(hù)與信息合理使用之間的矛盾��,促進(jìn)創(chuàng)新商業(yè)發(fā)展�����。
2��、處理敏感個(gè)人信息應(yīng)取得單獨(dú)同意
“個(gè)人信息”系《民法典》所第五章所規(guī)定的“民事權(quán)利”之一��,與《民法典》第五章相呼應(yīng)����,《個(gè)人信息保護(hù)法》設(shè)專章對(duì)與人格尊嚴(yán)、人身財(cái)產(chǎn)安全直接相關(guān)的敏感個(gè)人信息進(jìn)行詳細(xì)規(guī)定��。
個(gè)人信息可以分為一般個(gè)人信息與敏感個(gè)人信息���,在《個(gè)人信息保護(hù)法》中��,敏感個(gè)人信息指生物識(shí)別�����、宗教信仰����、特定身份��、醫(yī)療健康�����、金融賬戶�、行蹤軌跡等信息����。敏感個(gè)人信息受法律嚴(yán)格保護(hù)�����,《個(gè)人信息保護(hù)法》要求�,只有在具有特定的目的和充分的必要性��,并采取嚴(yán)格保護(hù)措施的情形下����,方可處理敏感個(gè)人信息,同時(shí)應(yīng)當(dāng)事前進(jìn)行影響評(píng)估�,并向個(gè)人告知處理的必要性以及對(duì)個(gè)人權(quán)益的影響。需特別注意的是�����,《個(gè)人信息保護(hù)法》已將不滿十四周歲未成年人的個(gè)人信息也歸納于敏感個(gè)人信息��?��;凇爸橥狻痹瓌t ,《個(gè)人信息保護(hù)法》第二十九條進(jìn)一步要求處理敏感個(gè)人信息應(yīng)取得個(gè)人的“單獨(dú)同意”�����。
3�、嚴(yán)格監(jiān)管向第三方提供和共享個(gè)人信息
向第三方提供和共享個(gè)人信息,一直以來(lái)都受到嚴(yán)厲監(jiān)管��?����!毒W(wǎng)絡(luò)安全法》第四十二條規(guī)定���,網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露���、篡改、毀損其收集的個(gè)人信息����;未經(jīng)被收集者同意,不得向他人提供個(gè)人信息�����。但是���, 經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外�����。此外���,我國(guó)《刑法》第二百五十三條之一第三款規(guī)定����, 竊取或者以其他方法非法獲取公民個(gè)人信息的����,依照第一款的規(guī)定處罰�。《最高人民法院����、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》第三條第二款規(guī)定,未經(jīng)被收集者同意��,將合法收集的公民個(gè)人信息向他人提供的��,屬于刑法第二百五十三條之一規(guī)定的“提供公民個(gè)人信息”�����,但是經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。
而新出臺(tái)的《個(gè)人信息保護(hù)法》第二十一至二十三條對(duì)“向第三方提供個(gè)人信息”進(jìn)行了明確的限制���。個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息的��,應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名�、聯(lián)系方式��、處理目的���、處理方式和個(gè)人信息的種類�,并取得個(gè)人的單獨(dú)同意���。接收方應(yīng)當(dāng)在上述處理目的��、處理方式和個(gè)人信息的種類等范圍內(nèi)處理個(gè)人信息���。接收方變更原先的處理目的、處理方式的�����,應(yīng)當(dāng)依照本法規(guī)定重新取得個(gè)人同意。
企業(yè)對(duì)外提供個(gè)人信息 , 還需滿足其他條件 , 包括 :
(1)履行告知義務(wù)����;
(2)獲取單獨(dú)同意;
(3)事先進(jìn)行風(fēng)險(xiǎn)評(píng)估���;
(4)采取必要措施保障境外處理活動(dòng)達(dá)到個(gè)人信息保護(hù)標(biāo)準(zhǔn)�。
三�����、加強(qiáng)對(duì)侵犯?jìng)€(gè)人信息行為的懲處互聯(lián)網(wǎng)時(shí)代飛速發(fā)展���,侵犯?jìng)€(gè)人信息的行為亦層出不窮��。順應(yīng)時(shí)代要求,《個(gè)人信息保護(hù)法》加強(qiáng)了對(duì)侵犯?jìng)€(gè)人信息行為的懲處����。
如《個(gè)人信息保護(hù)法》第六十六條,針對(duì)違法處理個(gè)人信息��,或者處理個(gè)人信息未履行《個(gè) 人信息保護(hù)法》所規(guī)定個(gè)人信息保護(hù)義務(wù)的��,設(shè)置了三類處罰措施:(1)暫停或終止服務(wù)���;(2) 大額罰款�����;(3)市場(chǎng)禁入�����。
《個(gè)人信息保護(hù)法》圍繞個(gè)人信息的處理�����,從處理規(guī)則��、跨境提供����、個(gè)人權(quán)利����、處理者義務(wù)、保護(hù)職責(zé)部門以及法律責(zé)任等不同角度確立了相應(yīng)規(guī)則,并且針對(duì)敏感個(gè)人信息和國(guó)家機(jī)關(guān)處理 強(qiáng)調(diào)了特別規(guī)則���,加強(qiáng)了對(duì)侵犯?jìng)€(gè)人信息行為的懲處力度���,開(kāi)啟了我國(guó)個(gè)人信息保護(hù)的新紀(jì)元。
