8月20日,十三届全国人大常委会第三十次会议通过了个人信息保护法,将于2021年11月1日起施行。
个人信息保护法共8章74条,明确了个人信息处理活动应遵循的原则,构建以“告知-同意”为核心的个人信息处理规则,保障个人在个人信息处理活动中的各项权利,强化个人信息处理者的义务,明确个人信息保护的监管职责,并设置严格的法律责任。全国人大常委会组成人员普遍表示,这部专门法律充分回应了社会关切,为破解个人信息保护中的热点难点问题提供了强有力的法律保障。
确立个人信息保护原则
个人信息保护的原则是收集、使用个人信息的基本遵循,是构建个人信息保护具体规则的制度基础。
强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等,这些原则应当贯穿于个人信息处理的全过程、各环节。
“‘告知-同意’是法律确立的个人信息保护核心规则,是保障个人对其个人信息处理知情权和决定权的重要手段。”全国人大常委会法工委经济法室副主任杨合庆在答记者问时说。
个人信息保护法要求处理个人信息,应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。
同时,针对现实生活中社会反映强烈的一揽子授权、强制同意等问题,个人信息保护法特别要求个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意,明确个人信息处理者不得过度收集个人信息,不得以个人不同意为由拒绝提供产品或者服务,并赋予个人撤回同意的权利,在个人撤回同意后,个人信息处理者应当停止处理或及时删除其个人信息。
此外,考虑到个人信息处理的场景日益多样,个人信息保护法还对取得个人同意以外可以合法处理个人信息的特定情形作了规定。比如,针对滥用人脸识别技术问题,本法要求,在公共场所安装图像采集、个人身份识别设备,应设置显著的提示标识;所收集的个人图像、身份识别信息只能用于维护公共安全的目的。
禁止“大数据杀熟”等行为
当前,有一些企业通过掌握消费者的经济状况、消费习惯、对价格的敏感程度等信息,对消费者在交易价格等方面实行歧视性的差别待遇,误导、欺诈消费者,其中最典型的就是“大数据杀熟”。
对此,个人信息保护法明确规定:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
严格保护敏感个人信息
个人信息保护法将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息列为敏感个人信息。
杨合庆表示,主要考虑是此类信息一旦泄露或者被非法使用,极易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,对处理敏感个人信息的活动应当作出更加严格的限制。
对此,个人信息保护法要求只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息,同时应当在事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响。
赋予个人充分的权利、强化个人信息处理者的义务
个人信息保护法将个人在个人信息处理活动中的各项权利,包括知悉个人信息处理规则和处理事项、同意和撤回同意,以及个人信息的查询、复制、更正、删除等总结提升为知情权、决定权,明确个人有权限制个人信息的处理。
同时,为了适应互联网应用和服务多样化的实际,满足日益增长的跨平台转移个人信息的需求,个人信息保护法对个人信息可携带权作了原则规定,要求在符合国家网信部门规定条件的情形下,个人信息处理者应当为个人提供转移其个人信息的途径。
“个人信息处理者是个人信息保护的第一责任人。”杨合庆介绍说,个人信息保护法强调,个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
在此基础上,个人信息保护法设专章明确了个人信息处理者的合规管理和保障个人信息安全等义务,要求个人信息处理者按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,指定负责人对其个人信息处理活动进行监督,定期对其个人信息活动进行合规审计,对处理敏感个人信息、利用个人信息进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估,履行个人信息泄露通知和补救义务等。
加大违法处理个人信息行为的惩戒力度
个人信息保护法根据个人信息处理的不同情况,对违法处理个人信息的行为设置了不同梯次的行政处罚。对未造成严重后果的轻微或一般违法行为,可由执法部门责令改正、给予警告、没收违法所得,对拒不改正的最高可处一百万元罚款;对情节严重的违法行为,最高可处五千万元或上一年度营业额百分之五的罚款,并可以对相关责任人员作出相关从业禁止的处罚。同时,个人信息保护法还专门规定,对违法处理个人信息的应用程序,可以责令暂停或终止提供服务。
在民事责任方面,个人信息保护法明确,处理个人信息侵害个人信息权益造成损害的,个人信息处理者如不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
同时,个人信息保护法还对侵害众多个人权益的民事公益诉讼作了规定。