法律要点解读
2021年8月20日,《个人信息保护法》 (以下简称“个保法”) 正式公布,该为中国首部个人信息保护的专门性立法。那么正式颁布版相对此前审议稿,具体发生了哪些重大变化?下面我们从要点入手进行解析。
首先,个人信息保护法增加到74条。即原有二审稿的第五十五条,在三审稿当中被拆分为两条。
然后,本此审议稿的重要改变,集中体现在如下方面:
1.引用宪法概念:并在本法中提到人格尊严。
2.定义变化:个人信息处理、个人信息处理者、自动化决策和个人敏感信息等定义变化。
3.敏感信息内容发生较大变化,且规定未成年人个人信息都是敏感信息,并制定专门的处理规则。
4.明确提出不得过度收集个人信息。
5.进一步完善自动化决策条款,避免“大数据杀熟”。
6.风险评估更改为安全评估,并引入个人信息影响评估。
7.国家机关履行法定职责履行告知即可,去除取得同意。
8.多处将数据泄露等更改为:泄露、篡改、丢失等。
9.完善个人信息跨境规则:增加中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的分为两种情况:业务需要和外国私法执法机构要求。
10.增加个人信息的可携带权。
11.自然人死亡后个人信息可继承权的具体细化。
12.完善针对小型个人信息处理者的保护规则、标准;推广应用安全;完善个人信息保护、投诉机制。
13.加大违法处理力度:分别针对个人信息处理者的负责人和履行个人信息保护职责的部门的工作人员。
14.通过自动化决策方式向个人进行信息推送、商业营销,应提供不针对其个人特征的选项或提供便捷的拒绝方式。
15.处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息,应取得个人的单独同意。
16.对违法处理个人信息的应用程序,责令暂停或者终止提供服务。
法律详情解读
下文为主要发生变化条款:其中蓝色字体为三审稿增加内容。绿色字体为三审稿去除内容,黄色字体为三审稿修改内容。
第一条制定本法依据增加了根据宪法。因为我国宪法规定,国家尊重和保障人权,公民的人格尊严不受侵犯,公民的通信自由和通信秘密受法律保护。个人信息处理的概念增加了个人信息的删除。
第五条处理个人信息应当遵循合法、正当、必要和诚信原则。
小知解读:增加了正当,即处理个人信息除了合法,还要合理。
第六条 不得进行与处理目的无关的个人信息处理更改为与处理目的直接相关。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
第十条原有不得违反法律、行政法规的规定处理个人信息,细化为非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
第十三条处理个人信息的前提条件中增加 (二) 为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(六) 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
小知解读:其中特意强调是已经合法公开的个人信息。
第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:……
第二十二条 个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。
小知解读:相较原文增加了解散、被宣告破产两项需要转移个人信息的场景。应该向个人告知接收方的身份更改为更加具体的名称或姓名。
第二十四条个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝的方式。
小知解读:该条款更加明确了 “大数据杀熟”的情况。避免了我们平时在购买产品或享受服务时,遇到不同平台或人员产生不一样的价格,此条规定充分保护了个人消费者的利益。同时也明确提出,关闭自动化决策要以便捷的方式呈现,避免了某些商家故意用复杂形式隐藏选项。
第二十六条 在公共场所安装图像采集、个人身份识别设备,去掉了不能公开或者向他人提供。
第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
第二十八条 敏感信息的定义有所调整。敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。去除种族、民族。
小知解读: 增加人格尊严、特定身份,去除种族、民族。个人生物特征调整为生物识别,更加明确是身份验证信息。调整最大的是把不满十四岁未成年人的个人信息都定义为敏感信息。并且在第三十一条中提到处理未成年人个人信息,应当制定专门的个人信息处理规则。另外,敏感个人信息定义增加人格尊严,此处对应到了第一条中根据宪法,因为宪法中提到人格尊严。
第三十条 个人信息处理者处理敏感信息的告知情况增加了不用告知的例外情况:依照本法规定可以不向个人告知的除外。因为本法第三十五条中规定国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务。
第三十五条 国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务。去除原有需取得同意。
第三十六条 向境外提供数据前应进行风险评估更改为进行安全评估。
第三十八条 因业务需要确实要向外传输数据的,增加了:中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。另外,本条第三款按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务,去除并监督其个人信息处理活动达到本法规定的个人信息保护标准;因本款在实际执行当中会遇到各种问题,难以落地。
小知解读:这里提到向外传输数据,仅限因业务需要,并有相关国际条约、协定等,可以按照其规定执行。但是本法第四十一条中明确规定处理外国司法或者执法机构关于提供存储于境内个人信息的请求,非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。
第四十一条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。
小知解读:原有条款是中华人民共和国缔结或者参加的国际条约、协定有规定的,可以按照其规定执行。本条变动较大,调整为国外私法或执法机构如提出存储于境内的个人信息请求,必须经中华人民共和国主管机关批准。
第四十五条 增加了个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。增加了数据的可携权。
小知解读:本条款的增加项代表我们以后在某平台的个人信息可以根据我们自己的意愿,以简单的电子格式,直接转移到另外一个平台。
第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
(一) 处理目的已实现、无法实现或者为实现处理目的不再必要;
小知解读:增加了当个人信息已经无法实现个人信息处理者收集信息时的目的,也应主动删除个人信息。
第四十九条 明确了自然人死亡后,其近亲属为了自身的合法、正当利益,可以对死者的个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。
小知解读:原二审稿中只是提到权利,并未具体说明。且文中并未提到可携带权。通俗的理解就是享有数据的继承权,这里和GDPR有明显区别。
第五十条个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。
个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。
第五十一条 个人信息处理者应采取适当的保护措施,防止为经授权的访问以及个人信息泄露或者篡改,丢失。该条款去除原有被泄漏。
小知解读:把删除更改为丢失,原有被泄露去除,即对应到了数据的CIA属性。
二审稿第五十五条拆分为现有五十五和五十六条,个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,更改为个人信息保护影响评估,并把个人信息影响评估作为第五十六条。
小知解读:个人信息保护影响评估,借鉴了DPIA的概念。
第五十七条 把单纯的泄露扩展到数据的CIA三方面。并将原有5条融合为3条。
第五十八条 提供重要 (二审稿为基础性) 互联网平台服务的,原有 (一) 增加了按照国家规定建立健全个人信息保护合规制度体系。并且增加了一条 (二) 遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。
小知解读:相比审议稿,重要互联网平台相比基础性范围更广。此增加条款说明了保护个人信息的义务,需要个人信息处理者根据平台产品或者服务,自行明确清楚。
第六十一条 履行个人信息保护职责的部门履行下列个人信息保护职责增加了一条义务。(三) 组织对应用程序等个人信息保护情况进行测评,并公布测评结果。
小知解读:意味各保护职责部门需要组织相关力量对应用程序做类似于数据安全评估的测评工作,并且将测评结果向社会公布。
第六十二条 国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:
(二) 针对小型个人信息处理者执行制定专门的个人信息保护规则、标准;
(三) 支持研究开发和推广应用安全、方便的电子身份认证技术;
(五) 完善个人信息保护投诉、举报工作机制。
小知解读:更加严格的个人信息处理保护政策,需要对小型个人处理者有单独的保护规则、标准等。明确提出了应用安全,相关管理机构需要完善个人信息的保护的投诉,举报机制。解决目前发现问题举报无门的现状。
第六十四条 履行个人信息保护职责的部门在履行职责中,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。
小知解读:更加严格的法律条款,发现涉嫌违法的,可以借用更多,更强的力量,提升事件的等级。
第六十六条 违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;情节严重的 需要由省级以上履行个人信息保护职责的部门责令改正,没收违法所得。请假严重的除对单位和负责人罚款外还增加并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
小知解读:原有个人信息保护措施更改为保护义务,强调了保护个人数据是个人信息处理处理者应尽的法律义务。现在可以直接责令停止或终止提供服务,让违法成本变得更高。情节严重,要有更高的保护职责部门责令整改,这样就缓解执法力度不足的情况。并加大了对企业直接负责人的处理力度,除罚款外还禁止担任高职职务,进一步彰显惩治违法犯罪的决心。
第六十八条 国家机关不履行本法规定的个人信息保护义务的增加了履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。
小知解读:此条款也是除了对不履行保护意外的机关进行处理之外,增加了对相关部门工作人员的处罚,以保证相关人员不敢懈怠,并能推进本法的落地执行。
结语
综上所述,正式颁布的个保法与此前的审议稿相比进一步回应了更多的社会关切。其中特别是对敏感信息类别、应用程序过度收集个人信息、"大数据杀熟"等作出针对性规范,多处将个人信息泄露等更改为泄露、篡改、丢失,同时对个人信息跨境提供规则作出相关规定。
个保法更为详细的变化请参考全知关联文章《一图看懂 <个人信息保护法> 》,为您带来的审议稿VS正式颁布版的全文参照对比,敬请关注。