首頁 >> 正文
????《個人信息保護法》是我國第一部個人信息保護方面的專門法律,,其頒行將極大地加強我國個人信息保護的法制保障,。
????《個人信息保護法》對個人信息處理規(guī)則作出了詳細的規(guī)定,,包括公眾廣泛關(guān)注的“大數(shù)據(jù)殺熟”問題,、“人臉識別”問題,,對個人信息跨境提供的規(guī)則,、個人在個人信息處理活動中的權(quán)利,、個人信息處理者的義務(wù)作出了詳細的規(guī)定,。
????2021年8月20日,,第十三屆全國人大常委會第三十次會議審議通過了《中華人民共和國個人信息保護法》(以下稱《個人信息保護法》),,它是我國第一部個人信息保護方面的專門法律?!秱€人信息保護法》的頒行將極大地加強我國個人信息保護的法制保障,;它以嚴密的制度、嚴格的標(biāo)準(zhǔn),、嚴厲的責(zé)任規(guī)范個人信息處理活動,,規(guī)定了完備的個人在個人信息處理活動中的權(quán)利,全方位落實各類組織,、個人等個人信息處理者的義務(wù)與責(zé)任,;科學(xué)協(xié)調(diào)個人信息權(quán)益保護與個人信息合理利用的關(guān)系,建立了權(quán)責(zé)明確,、保護有效,、利用規(guī)范的個人信息處理規(guī)則,,從而在保障個人信息權(quán)益的基礎(chǔ)上,促進包括個人信息在內(nèi)的數(shù)據(jù)信息的自由安全的流動與合理有效的利用,,推動數(shù)字經(jīng)濟的健康發(fā)展,。
????科學(xué)合理的個人信息處理規(guī)則
????個人信息處理規(guī)則就是處理個人信息如個人信息的收集、存儲,、使用,、加工、傳輸,、提供,、公開、刪除時遵循的規(guī)則,,包括法律規(guī)定的和處理者自己制定的,。法律規(guī)定的個人信息處理規(guī)則,是強制性的,。個人信息處理規(guī)則既是個人信息處理者的行為規(guī)范,,也是個人信息權(quán)益的保護規(guī)范。因此,,《個人信息保護法》第二章對個人信息處理規(guī)則作出了詳細的規(guī)定,。
????首先,《個人信息保護法》第13條建立了個人信息處理活動的多元化合法性基礎(chǔ),。不僅是取得個人的同意可以作為處理個人信息的合法根據(jù),,而且為訂立、履行個人作為一方當(dāng)事人的合同所必需,,按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需,,履行法定職責(zé)或者法定義務(wù)所必需,為應(yīng)對突發(fā)公共衛(wèi)生事件或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需等,,也都可以成為處理個人信息的合法性根據(jù),。這樣一來,就很好地協(xié)調(diào)了個人信息權(quán)益的保護與個人信息的合理利用的關(guān)系,。
????其次,,詳細規(guī)定了告知同意規(guī)則,要求個人信息處理者處理個人信息前,,必須以顯著方式,、清晰易懂的語言真實、準(zhǔn)確,、完整地向個人告知法律規(guī)定的事項,,除非法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知,或者告知將妨礙國家機關(guān)履行法定職責(zé),。如果個人信息處理者是基于個人同意而處理個人信息的,,那么個人的同意必須是個人在充分知情的前提下自愿、明確的作出,,個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,,拒絕提供產(chǎn)品或者服務(wù)。
????再次,,就所謂的“大數(shù)據(jù)殺熟”問題,,《個人信息保護法》第24條規(guī)定,個人信息處理者利用個人信息進行自動化決策,,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平,、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇,。通過自動化決策方式向個人進行信息推送,、商業(yè)營銷,應(yīng)當(dāng)同時提供不針對其個人特征的選項,,或者向個人提供拒絕的方式,。通過自動化決策方式作出對個人權(quán)益有重大影響的決定,個人有權(quán)要求個人信息處理者予以說明,,并有權(quán)拒絕個人信息處理者僅通過自動化決策的方式作出決定,。
????第四,針對社會公眾廣泛關(guān)注的“人臉識別”問題,,《個人信息保護法》第26條規(guī)定,,在公共場所安裝圖像采集、個人身份識別設(shè)備,,應(yīng)當(dāng)為維護公共安全所必需,遵守國家有關(guān)規(guī)定,,并設(shè)置顯著的提示標(biāo)識,。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的,,不得用于其他目的,;取得個人單獨同意的除外。這就是說,,不是任何主體都有權(quán)在公共場所安裝圖像采集,、個人身份識別設(shè)備,必須是為了維護公共安全并且要符合國家有關(guān)規(guī)定,,同時還要通過設(shè)置顯著的提示標(biāo)識加以告知,。對于收集的個人圖像、身份識別信息只能用于特定的目的即維護公共安全,未取得個人單獨同意的,,不得用于其他目的,。
????最后,對敏感個人信息進行了更嚴格的保護,。敏感個人信息,,是一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴受到侵害或者人身,、財產(chǎn)安全受到危害的個人信息,,包括生物識別、宗教信仰,、特定身份,、醫(yī)療健康、金融賬戶,、行蹤軌跡等信息,,以及不滿十四周歲未成年人的個人信息?!秱€人信息保護法》規(guī)定,,處理者只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,,才能處理敏感個人信息,。并且,處理敏感個人信息應(yīng)當(dāng)取得個人的單獨同意,。此外,,為了更好保護未成年人的個人信息權(quán)益,《個人信息保護法》將不滿十四周歲未成年人個人信息作為敏感個人信息要求,,要求處理者只有在取得未成年人的父母或者其他監(jiān)護人的同意后才能處理,,并且還要制定專門的個人信息處理規(guī)則。
????安全與自由兼具的
????個人信息跨境提供規(guī)則
????個人信息跨境提供,,是指一國境內(nèi)的個人信息或個人數(shù)據(jù)流出境內(nèi),,為他國的公權(quán)力機關(guān)或民事主體所讀取、收集,、存儲,、加工、使用等,。網(wǎng)絡(luò)科技已經(jīng)打破了物理上的國境限制,,隨著網(wǎng)絡(luò)科技高速發(fā)展與經(jīng)濟的全球化,各國間無時無刻不在進行著人員往來,、貨物流動,、服務(wù)提供,,云計算、物聯(lián)網(wǎng)和跨境電子商務(wù)的飛速發(fā)展,,使得包括個人數(shù)據(jù)在內(nèi)的數(shù)據(jù)流動越來越頻繁,,也越來越重要。數(shù)據(jù)的跨境流動在全球蓬勃發(fā)展的數(shù)字經(jīng)濟中發(fā)揮著越來越重要的作用,。然而,,數(shù)據(jù)的跨境流動也帶來了很多的問題,如不利于保護本國境內(nèi)個人的權(quán)利,,重要數(shù)據(jù)出境會危害國家安全,,有礙本國數(shù)字經(jīng)濟的發(fā)展等。為了既保護個人信息的安全,,同時又能實現(xiàn)個人信息數(shù)據(jù)的自由跨境流動,,促進數(shù)字經(jīng)濟的發(fā)展,我國《個人信息保護法》對個人信息跨境提供的規(guī)則作出了如下規(guī)定,。
????首先,,為了實現(xiàn)個人信息的自由跨境流動,《個人信息保護法》允許處理者因業(yè)務(wù)等需要向境外提供個人信息,,并且提供了多種可供選擇的條件,,如按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證,按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同等,。但是,,為了保護個人信息安全,明確規(guī)定,,關(guān)鍵信息基礎(chǔ)設(shè)施運營者以及處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者,,均應(yīng)將在我國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)。如果確需向境外提供個人信息的,,應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估,。此外,所有的向境外提供個人信息的處理者應(yīng)當(dāng)采取必要措施,,保障境外接收方處理個人信息的活動達到我國《個人信息保護法》規(guī)定的個人信息保護標(biāo)準(zhǔn),。
????其次,為了將來我國和其他國家締結(jié)的條約或者參加的國際條約,、協(xié)定等對跨境提供個人信息作出相應(yīng)的安排,《個人信息保護法》第38條第2款規(guī)定,,中華人民共和國締結(jié)或者參加的國際條約,、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的,可以按照其規(guī)定執(zhí)行,。例如,,2020年11月15日,東盟十國與我國、日本,、韓國,、澳大利亞、新西蘭共15個國家正式簽署了《區(qū)域全面經(jīng)濟伙伴關(guān)系協(xié)定》(RCEP),,該協(xié)定第十二章“電子商務(wù)”中,,要求締約方為電子商務(wù)創(chuàng)造有利環(huán)境,保護電子商務(wù)用戶的個人信息,,為在線消費者提供保護,,并針對非應(yīng)邀商業(yè)電子信息加強監(jiān)管和合作等。
????最后,,為了保障個人權(quán)利,,防止個人信息跨境提供損害個人權(quán)利和自由,《個人信息保護法》規(guī)定,,個人信息處理者向我國境外提供個人信息的,,應(yīng)當(dāng)向個人告知境外接收方的名稱或者姓名、聯(lián)系方式,、處理目的,、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權(quán)利的方式等事項,,并取得個人的單獨同意,。
????詳細規(guī)定
????個人在個人信息處理活動中的權(quán)利
????《個人信息保護法》第四章對“個人在個人信息處理活動中的權(quán)利”作出了詳細的規(guī)定。之所以采取“個人在個人信息處理活動中的權(quán)利”這一名稱,,是為了強調(diào)這些權(quán)利的主體是作為信息主體的個人,,這些權(quán)利指向的義務(wù)人是個人信息處理者,并非其他主體,。此外,,也表明個人是在個人信息處理活動中才享有這些權(quán)利的。個人在個人信息處理活動中的權(quán)利屬于手段性權(quán)利或救濟性權(quán)利,,目的在于保護自然人的個人信息權(quán)益,。我國《個人信息保護法》立足于我國個人信息保護實踐的要求,吸收借鑒比較法上的優(yōu)秀成果,,對個人在個人信息處理活動中的權(quán)利作出了系統(tǒng)全面的規(guī)定,。該法規(guī)定的個人在個人信息處理活動中享有的權(quán)利包括:對個人信息處理的知情權(quán)與決定權(quán)、查閱復(fù)制權(quán),、可攜帶權(quán),、更正補充權(quán)、刪除權(quán),、解釋說明權(quán)等,。
????需要注意的是,,首先,《個人信息保護法》明確承認了可攜帶權(quán),,即該法第45條第3款規(guī)定,,個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者,符合國家網(wǎng)信部門規(guī)定條件的,,個人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑,。可攜帶權(quán)是由歐盟《一般數(shù)據(jù)保護條例》首次規(guī)定的一種新型的數(shù)據(jù)主體權(quán)利,??蓴y帶權(quán)有利于加強個人對其個人信息的控制,可以很好預(yù)防和制止平臺經(jīng)濟領(lǐng)域內(nèi)的壟斷行為,,保護市場公平競爭,,促進平臺經(jīng)濟規(guī)范有序創(chuàng)新健康發(fā)展,維護消費者利益和社會公共利益,。故此,,我國《個人信息保護法》承認了可攜帶權(quán),但是對該權(quán)利的具體行使條件作出了限定,,授權(quán)國家網(wǎng)信部門作出具體的規(guī)定,。
????其次,《個人信息保護法》第49條規(guī)定,,自然人死亡的,,其近親屬為了自身的合法、正當(dāng)利益,,可以對死者的相關(guān)個人信息行使本章規(guī)定的查閱,、復(fù)制、更正,、刪除等權(quán)利,;死者生前另有安排的除外。這是對死者個人信息保護的規(guī)定,。在《民法典》第994條已經(jīng)明確保護死者的姓名,、肖像、名譽,、榮譽,、隱私等的情形下,《個人信息保護法》承認一定條件下死者的近親屬可以針對死者的相關(guān)個人信息行使查閱,、復(fù)制,、更正、刪除等權(quán)利,,既有利于更好維護死者近親屬自身的合法,、正當(dāng)利益,也有利于尊重死者的遺愿并保護死者本人及其交往者的隱私和通信秘密,。
????嚴格完整的
????個人信息處理者的義務(wù)體系
????為了加強個人信息權(quán)益保護,,貫徹落實合法原則與責(zé)任原則,我國《個人信息保護法》專章對個人信息處理者的義務(wù)作出了詳細的規(guī)定,,并構(gòu)建了一個嚴格完整的處理者的義務(wù)體系,。
????首先,明確了個人信息處理者的基本義務(wù),,即個人信息處理者應(yīng)當(dāng)根據(jù)個人信息的處理目的,、處理方式、個人信息的種類以及對個人的影響,、可能存在的安全風(fēng)險等,,采取相應(yīng)的措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定,,并防止未經(jīng)授權(quán)的訪問以及個人信息泄露,、篡改、丟失,。該條列舉了個人信息處理者應(yīng)當(dāng)采取的五種具體的措施,。
????其次,要求處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者必須指定個人信息保護負責(zé)人制度,,監(jiān)督個人信息處理活動以及采取的保護措施,,進一步確保個人信息處理活動的合法性與個人信息的安全性。如果是必須適用《個人信息保護法》的我國境外的個人信息處理者,,也應(yīng)當(dāng)在我國境內(nèi)設(shè)立專門機構(gòu)或者指定代表,,負責(zé)處理個人信息保護相關(guān)事務(wù),并將有關(guān)機構(gòu)的名稱或者代表的姓名,、聯(lián)系方式等報送履行個人信息保護職責(zé)的部門,。
????再次,規(guī)定了個人信息處理者的定期合規(guī)審計義務(wù),,使個人信息處理者能夠持續(xù)保證個人信息處理活動符合法律,、行政法規(guī),并且有能力向監(jiān)管部門舉證證明,。
????第四,,從事前、事中和事后三個維度規(guī)定了個人信息處理者的保護個人信息安全的義務(wù),。一方面,,針對高風(fēng)險的個人信息處理活動,要求個人信息處理者在事前進行個人信息保護影響評估,,并對處理情況進行記錄,;另一方面,,一旦發(fā)生個人信息泄露,要求個人信息處理者立即采取補救措施并通知監(jiān)管機構(gòu)和個人,。
????最后,,對特定的個人信息處理者即提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大,、業(yè)務(wù)類型復(fù)雜的個人信息處理者確立了所謂的“守門人義務(wù)”,,要求其除了履行一般的個人信息處理者的義務(wù)外,還必須按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系,,成立主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督,;遵循公開、公平,、公正的原則,,制定平臺規(guī)則,明確平臺內(nèi)產(chǎn)品或者服務(wù)提供者處理個人信息的規(guī)范和保護個人信息的義務(wù),;對嚴重違反法律,、行政法規(guī)處理個人信息的平臺內(nèi)的產(chǎn)品或者服務(wù)提供者,停止提供服務(wù),;定期發(fā)布個人信息保護社會責(zé)任報告,,接受社會監(jiān)督。
????(作者為清華大學(xué)法學(xué)院副院長,、教授,、博士生導(dǎo)師)
????
|
陜西打通科技成果轉(zhuǎn)化“最后一公里”
科教大省陜西擁有豐富的科技創(chuàng)新資源,,但長期以來大批技術(shù)成果“沉睡”在高校院所,導(dǎo)致科技優(yōu)勢無法有效轉(zhuǎn)化為高質(zhì)量發(fā)展優(yōu)勢,。
·陜西安康:聚才引智助推高質(zhì)量發(fā)展
