搜索关键词:
2021年8月20日,第十三届全国人民代表大会常务委员会第三十次会议通过《中华人民共和国个人信息保护法》,该法将在2021年11月1日起实施。
淄明所组织全体工作人员,于9月4日集体学习了这部与每个人密切相关的新法律。本次学习由李旭律师讲解,他从个人信息处理的基本原则、到个人信息跨境提供规则、再到数据主体个人权利、落脚至监管机构职责及法律责任等方面,给大家作了详细讲解。李旭律师主要从以下12个方面做了讲解:
1 明确域外效力及适用对象
该法采用了属地原则+属人原则相结合的适用范围,确立了该法在“向境内自然人提品或者服务目的、为分析、评估境内自然人的行为”及其兜底性条款条件下的域外效力。并且在第五十三条中要求境外处理者在中国境内设立专门机构或指定代表人作为对接人,负责处理个人信息保护相关事务要求,一方面便于落实法律相关要求,另一方面也便于基于司法主权向该境内主体追责,以切实实现对境外主体的监管。关于调整对象,明确了个人信息及数据处理活动的定义。
2 扩大了处理个人信息的合法基础并明确了告知、同意的有效标准
个人信息保护法扩大了处理个人信息的合法性基础,将履约、法定职责等其他条件纳入合法基础范围,且保留了兜底性条款。另外,有两个颇具特色的合法基础:“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”、“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”。明确将公开信息排除在本法的调整对象之外,还特别强调了应告知个人行使权利的方式和程序及公开处理规则的要求及在法律规定或紧急情况下的告知豁免或延迟的具体条件。
3 明确了不同对外传输场景下的法律责任
个人信息保护法将个人信息的共享分为三个场景——共同控制场景、委托处理场景、向第三方提供场景,并对不同的场景提出了不同的合规要求。
4 确定了进行自动化决策的要求
未禁止自动化决策,而是提出了透明、公平性、可拒绝的要求,并特别强调了"不得对个人在交易价格等交易条件上实行不合理的差别待遇"与重点打击的大数据杀熟现象直接关联。
5 处理敏感信息需额外告知主体其必要性
规定了可处理敏感个人信息的前提条件,仅在同时具备“特定目的性”、“充分必要性”及“采取严格保护措施”的条件下,才可以处理个人信息。实践中大量的人脸采集场景如人脸打卡,刷脸支付的行为将极可能失去合法性。
6 机关处理个人信息应遵循本地化要求
机关处理个人信息的本地化及向境外提供的要求则与其他场景不同。
7 明确了个人信息跨境提供的规则
关于跨境传输的核心原则极具中国特色。该法确立的核心基础是“能通过安全性评估和认证”,无论是“通过网信部门组织的安全性评估”,还是“按照网信部门的规定经专业机构进行个人信息保护认证”,都是为了确保接收方本身的实质安全性。
8 个人在其信息处理活动中享有诸多权利
个保法明确规定了个人在其信息活动中所享有的权利:知情权、决定权、限制/拒绝权、查阅、复制权、更正、补充权、目的实现、服务停止、撤回同意、违法违约情况下的删除权、要求解释权、已逝者权利
9 数据处理者应履行诸多信息保护义务
首先,明确规定了处理者应履行的安全保障义务。内部管理制度,要求处理者建立覆盖数据处理生命周期的操作管理流程;个人信息分级分类管理,要求处理者对所有个人信息处理领域进行梳理,依据其敏感程度,对照国标分级分类指南,制定符合企业内部业务生态的分级规范;合理安全措施,要求处理者根据分级结果确定不同的安全措施等。
其次,规定达到一定条件的个人信息处理者要制定责任人负责相关事务。具体的达标信息数量有待进一步解释或规定。
再次,明确了信息处理者的个人信息安全审计要求。
另外,规定了处理者应进行风险评估的条件及必要内容,并且特别规定了风险评估报告和处理情况的记录应该至少保存三年,为个人信息处理者开展个人信息事前风险评估指明了方向。
,明确了个人信息泄露时处理者的补救和通知义务。特别的是,亦规定了可以不通知个人的例外情况,即通过采取措施能有效避免造成损害,可以不另行通知。在保证不减损个人权利的前提下,减轻了处理者所付的通知义务。
10 明确了平台责任
明确规定平台责任,也是这部法的“创举”之一。明确平台规则、隐私保护合规体系的相关标准,以便更好执行。
11 确定了多元化的个人信息保护履职体系
规制个人信息保护监管体系。网信部门作为总统筹方的同时,国务院各有关部门各自职权范围内负责个人信息保护和监管工作,兼顾了行业差异性。在地方层面,县级以上地方人民有关部门作为具体实施监督方,履行个人信息保护和监督管理职责,兼顾了地区差异性,形成了行业监管为横轴、地方监管为纵轴的十字监督体系,有利于法令的彻底落实。
12 明确分级化的法律责任
首先,依据违法程度轻重不同,规定了多元化的处罚措施,包括警告、责令改正、没收违法所得、吊销营业执照、罚款等措施,既有助于处罚的合理匹配,又与我国现行的商法及行政法的违法处罚方式相衔接。同时,针对一般违法和情节严重的违法进行了区分,符合法律责任与行为的危害程度相关联的基本原则;
其次,规定了个人责任。对直接负责的主管人员或其他直接责任人员处以罚款,责任具体到个人,从反面促进个保法的贯彻落实;
再次,明确了侵权行为民事责任确定的具体方式,并考虑到个人信息领域个人举证存在举证困难,确立了推定过错的损害赔偿责任,即信息处理者若不能举证自己无过错的,则需承担损害赔偿责任;
,明确将个人信息纳入可提起公益诉讼的范畴,处理者面临的诉讼风险极大程度提高。
个人信息保护具有民事权利属性,《个人信息保护法》属于《民法典》的特别法,对《民法典》作出补充和例外规定,对其一般性规定进行了变通和突破。《民法典》在总则编(第111条)和人格权编(第1034—1039条)以多个条文对个人信息保护作出了重要规定,奠定了个人信息保护制度的规则框架;《个人信息保护法》是一部全面、系统规定个人信息保护的单行法。淄明律师通过学习,深刻认识到个人信息保护的范围、程序、法律责任等重要制度和这部法律与民法典的关系,为今后服务打下坚实的基础。
报道:任万洲
