【小结】专家解读全面保护个人信息权益的重要法律
2021年8月20日,第十三届全人大常委会第三十次会议审议通过了华人民和个人信息保护法,它是我第一部个人信息保护方面的专门法律。个人信息保护法的颁行极大地加强我个人信息保护的法制保障,在个人信息保护方面形成了更加完备的制度提供了更有力的法律保障;个人信息保护法以严密的制度严格的标准严厉的责任规范个人信息处理活动,规定了完备的个人在个人信息处理活动的权利,全方位落实各类组织个人等个人信息处理者的义与责任,有力地维护了网络空间良好生态,满足人民日益增长的美好生活需要;个人信息保护法科学地协调个人信息权益保护与个人信息合理利用的关系,建立了权责明确保护有效利用规范的个人信息处理规则,从而在保障个人信息权益的基础上,促进了包括个人信息在内的数据信息的自由安全的流动与合理有效的利用,推动了数字经济的健康发展。
个人信息保护法,顾名思义,就是保护个人信息的法律,也就是保护个人信息权益的专门法律。个人信息权益是自然人针对个人信息享有的受到法律保护的权益。保护个人信息权益是我个人信息保护法的重要立法目的,该法第一条就明确规定,为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。第2条再次明确自然人的个人信息受法律保护,任何组织个人不得侵害自然人的个人信息权益。为了实现对个人信息权益的全面的充分的保护,个人信息保护法作出了如下系统全面科学细致的规定。 1.确立了个人信息处理活动应当遵循的基本原则,包括合法正当必要诚信目的限制最必要质量责任等原则。这些原则的根本目的就是要规范个人信息处理者的处理活动,保护个人信息权益。例如,依据第6条所确立的目的限制原则,处理个人信息应当具有明确合理的目的,并应当与处理目的直接相关,采取对个人权益影响最的方式。收集个人信息,应当限于实现处理目的的最范围,不得过度收集个人信息。无论什么样的个人信息处理者为了何种处理目的,以何种方式实施个人信息处理活动,都应当遵循这些基本原则。不仅如此,调整规范个人信息处理活动的法规规章,也不能违反这些基本原则。 2.详细规定告知同意规则,明确了个人信息处理者处理个人信息前,必须以显著方式清晰易懂的语言真实准确完整地向个人告知法律规定的事项,除非法律行政法规规定应当保密或者不需要告知,或者告知将妨碍家机关履行法定职责。如果个人信息处理者是基于个人同意而处理个人信息的,那么个人的同意必须是个人在充分知情的前提下自愿明确地作出,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供品或者服。 3.对于社会普遍关注的大数据杀熟人脸识别等问题,明确要求个人信息处理者保证自动化决策的透明度和结果公公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。如果通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。在公场所安装图像采集个人身份识别设备,应当为维护公安全所必需,遵守家有关规定,并设置显著的提示标识。所收集的个人图像身份识别信息只能用于维护公安全的目的,不得用于其他目的,除非取得个人单独同意。 4.界定了敏感个人信息并给予非常严格的保护。敏感个人信息,即一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身财安全受到危害的个人信息,包括生物识别宗教信仰特定身份医疗健康金融账户行踪轨迹等信息,以及不满十四岁未成年人的个人信息。依据个人信息保护法的规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。同时,处理敏感个人信息应当取得个人的单独同意,处理不满十四岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。 5.专章规定了个人在个人信息处理活动的权利。个人在个人信息处理活动的权利属于手段性权利或救济性权利,规定这些权利的目的就是为了保护自然人的个人信息权益。个人信息保护法在网络安全法民法典的规定的基础上,立足于我个人信息保护实践的要求,吸收借鉴比较法上的优秀成果,对个人在个人信息处理活动的权利作出了系统全面的规定,规定了个人在个人信息处理活动享有对个人信息处理的知情权与决定权查阅复制权可携带权更正补充权删除权解释说明权等。此外,为了维护死者的亲属的合法正当利益,个人信息保护法还规定,自然人死亡的,其亲属为了自身的合法正当利益,可以对死者的相关个人信息行使本章规定的查阅复制更正删除等权利;死者生前另有安排的除外。 6.对个人信息处理者的义作出了集详细的规定,构建了完整的义体系。这些义包括个人信息处理者采取措施确保个人信息处理活动合法并保护个人信息安全的义;按照规定指定个人信息保护负责人的义;定期进行合规审计的义;对于高风险个人信息处理活动进行个人信息保护影响评估并对处理情况进行记录的义;在发生或可能发生个人信息泄露等安全事件时立即采取补救措施并通知监管机构和个人的义;提供重要互联网台服用户数量巨大业类型复杂的个人信息处理者负有的守门人义。 7.对于违法处理个人信息或者没有履行法律规定的个人信息保护义的行为规定了严格的行政处罚,如对于违法行为情节严重的,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业或者停业整顿通报有关主管部门吊销相关业许可或者吊销营业执照等。对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事监事高级管理人员和个人信息保护负责人。再如,对于违反个人信息保护法的违法行为的,明确了依照有关法律行政法规的规定记入信用档案,并予以公示。 8.规定了科学合理的民事责任制度以及民事公益诉讼。依据个人信息保护法的规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。侵害个人信息权益造成损害的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。在个人信息处理者违反个人信息保护法规定处理个人信息,侵害众多个人的权益时,人民检察法律规定的消费者组织和由家网信部门确定的组织可以依法向人民法提起诉讼。作者程啸,清华大学法学副长教授博士生导师 专家解读|个人信息保护法治的方案 专家解读|个人信息保护法为数字社会治理与数字经济发展构建基本法 专家解读|个人信息保护法解决广大人民群众最关心最直接最现实的利益问题 专家解读|吸收接轨际立法 探索开创路径读华人民和个人信息保护法 专家解读|个人信息保护法的深远意义与世界 专家解读|8章74条,个人信息保护法了!权威解读十大亮点
