【导读】随着数字技术的不断完善,个人信息处理的安全性成为人们越来越关注的话题。如何在经济社会发展中合理利用个人信息,拒绝滥用的信息安全风险,传统信息系统亟待更新。我们来看看《个人信息保护法》的具体实施内容吧!
11月1日《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式实施。这标志着个人信息权益有了更加系统的法律保障,个人信息处理活动有了更加明确的法律指导,中国数字经济的发展和治理从此进入新阶段。
一、如何理解《个人信息保护法》的介绍
信息不是一个新概念,个人信息的保护也不是一个新命题。个人信息保护相关的法律规则此前并不是空白。为什么现在要推出a 《个人信息保护法》?
进入数字时代后,情况发生了革命性的变化。正如中共中央总书记* * * *指出的:“数字技术以新思想、新业态、新模式全面融入人类经济、政治、文化、社会、生态文明建设的各个领域和全过程,给人类生产生活带来了广泛而深刻的影响。”随着数字技术的加速创新和数字经济的蓬勃发展,个人信息处理的复杂性和广泛性与日俱增,个人信息合理使用的经济社会价值和滥用滥用的侵权安全风险同时凸显,传统的社会法律规则需要系统更新。
数字时代,保护个人信息权益,需要降低维权成本,增加侵权和违法成本,赋予相对弱势的个人更丰富的权利和更强的救济机制,发挥监管部门行政执法的主动性和专业性优势。传统民事规则主要调整平等民事主体之间的法律关系,在大规模、多样化、广泛互联的信息使用过程中,无法有效、及时地调整多个主体之间复杂的社会关系。
因此,需要补充专门的民事责任规则和诉讼权利保护程序,明确行政执法权限和加强行政处罚力度,规定个人信息监管部门的职责范围和如何监管执法。更重要的是,各级国家机关和法律法规授权的具有管理公共事务职能的组织在履行法定公共职责过程中处理个人信息的情况很多。这些公主的个人信息处理活动也需要规范。
同时,个人信息权利的保护不应影响个人信息的合理使用。虽然个人信息被称为个人信息,但在信息公共价值日益凸显的背景下,所有与个人相关的信息都不应该由个人独占控制。对个人信息的保护不能是绝对的,这成为个人信息促进经济社会发展和提高数字经济国家竞争力的障碍。正因如此,《民法典》并没有将个人信息作为一项民事权利整体,只是说明自然人的个人信息受法律保护,为执法和司法自由裁量权留有余地,为个人信息主体以外的其他主体依法合理使用个人信息留有余地。进一步,要对如何合理利用个人信息建立法律规则,对个人信息的权益包括哪些内容、如何实现、个人信息处理者的义务包括哪些内容、如何履行等做出规定。
信息全球化是继商品全球化和资本全球化之后的最新阶段。随着数字经济的跨境发展和平台经济的跨境运营,个人信息的全球流动在不断变化的形势下给全球化带来了新的机遇和挑战。在公司背景下
因此,针对境外国家在个人信息保护方面对我国采取歧视性禁止、限制或其他类似措施的情况,我们应提前做好安排。以欧盟为代表的域外个人信息保护立法不仅为我们提供了立法经验和教训,也因其“长臂管辖”给我国个人信息处理主体带来了冲击和影响。以跨国公司为代表,在业务发展过程中对个人信息有着显著的跨境需求。此外,境外司法或执法机关也可能调取存储在境内的个人信息,境外组织和个人可能从事损害中国公民个人信息权益、危害中国国家安全和公共利益的个人信息处理活动。因此,需要从国际趋势出发,积极应对当前国际竞争的需要,明确境外提供个人信息的条件、程序和管理要求;依法限制境外司法或执法机构跨境访问,反制任何国家或地区在个人信息保护方面对我国采取的歧视性禁止、限制或其他类似措施。
《消费者权益保护法》第二次修改和《民法典》 《网络安全法》的制定,及时回应了个人信息保护实践中的一些热点难点问题。但是,受立法目的和立法体例的限制,它们不能系统地解决上述问题。正如《电子商务法》起草说明所指出的,“应当在现有法律的基础上制定和颁布专门法律,增强法律规范的系统性、针对性和可操作性,形成更加完备的体系,为个人信息保护提供更加有力的法律保障。”
个人信息保护事关人民安全感、获得感和幸福感,事关数字经济健康持续发展,事关国家安全和竞争新优势。***,总书记多次强调,要坚持网络安全为人民、依靠人民,保障个人信息安全,维护公民在网络空间的合法权益,对加强个人信息保护提出了明确要求。
《个人信息保护法(草案)》的介绍是基于宪法的全面总结。
《民法典》《网络安全法》等法律制定和实施经验,深入研究信息时代个人信息处理基本规律,借鉴有关国家和地区成功的立法经验,形成一部适应新时代中国特色社会主义发展要求,全面调整不同主体个人信息处理活动的法律,充分发挥法治固根本、稳预期、利长远、促发展的规范、引导、教育、保障作用。
二、如何处理个人信息
与《民法典》《数据安全法》保持一致,《个人信息保护法》规定了个人信息“处理”这一法律概念,将其作为个人信息收集、存储、使用、加工、传输、提供、公开、删除等活动的统称。实施《个人信息保护法》的关键,就在于按照其规定的个人信息处理基本原则,规范个人信息处理活动。
第一,坚持合法正当诚信原则。处理个人信息应当遵循合法、正当、诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。利用个人信息进行自动化决策,应当保证决策结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
第二,坚持处理必要原则。《个人信息保护法》对个人信息的收集范围、处理方式、保存期限等作了严格限制。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。处理个人信息应当采取对个人权益影响最小的方式。除非处理个人信息属于提供产品或者服务所必需,个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务。除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需。对于敏感个人信息,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理。
第三,坚持目的特定原则。处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关。个人信息的处理目的发生变更的,应当重新取得个人同意。受托人应当按照约定处理个人信息,不得超出约定的处理目的处理个人信息。因合并、分立、解散、被宣告破产等原因需要接收个人信息的接收方,变更原先的处理目的的,应当依照重新取得个人同意。在公共场所安装图像采集、个人身份识别设备,所收集的个人信息,除非取得个人多带带同意,只能用于维护公共安全的目的,不得用于其他目的。处理目的已实现、无法实现或者为实现处理目的不再必要的,个人信息处理者应当主动删除个人信息。
第四,坚持知情同意原则。知情同意是个人信息处理活动中最普遍的合法性基础。除非包括该法在内的法律、行政法规有特殊规定,处理个人信息应当取得个人的同意。包括地方性法规、部门规章和地方政府规章在内的其他立法,不能创设例外。基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。个人信息处理者向其他个人信息处理者提供其处理的个人信息、公开其处理的个人信息、处理敏感个人信息、向境外提供个人信息的,还应当取得个人的多带带同意。
第五,坚持个体参与原则。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明。
第六,坚持保证质量原则。处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。
第七,坚持公开透明原则。处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知法定事项;通过制定个人信息处理规则的方式告知必要事项的,处理规则应当公开,并且便于查阅和保存。个人信息处理者应当公开个人信息保护负责人的联系方式。个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度;处理敏感个人信息的,除非法律另有规定,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;向境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项。
第八,坚持安全保障原则。个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全;根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取相应的保护措施。接受委托处理个人信息的受托人,应当按照规定,采取必要措施保障所处理的个人信息的安全。
三、不合规会承担哪些法律责任
《个人信息保护法》既对个人信息处理各环节作了全流程规范,也对个人信息处理不合规可能承担的民事、行政和刑事责任作了综合性规定。
个人信息处理者如果不规范处理活动,产生侵权后果,就要依法承担民事责任。《个人信息保护法》充分考虑个人信息权益主体在维权过程中相对弱势的地位,确立了过错推定责任规则。处理个人信息如果侵害个人信息权益,并造成损害,除非个人信息处理者能够证明自己没有过错,否则就要承担损害赔偿等侵权责任。
当然,个人信息权益主体仍负有证明存在侵害行为,并因此产生损害的责任。只是当完成这一证明责任后,个人信息权益主体就不必再去证明个人信息处理者存在过错。不过,个人信息处理者只要违反了上述基本原则,就很难证明自己没有过错。此外,针对个人信息处理者违反本法规定处理个人信息,侵害众多个人权益的情况,为了降低维权成本,《个人信息保护法》进一步规定了公益诉讼制度,规定人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
如果违法处理个人信息,或未履行个人信息保护义务,履行个人信息保护职责的部门还可以根据情节,对个人信息处理者采取包括巨额罚款在内的行政处罚。罚款金额最高可以达5000万元人民币,或者个人信息处理者上一年度营业额的5%。为了让个人信息处理者相关责任人切实承担责任,《个人信息保护法》也对其设定了法律责任。违法情节严重的,对直接负责的主管人员和其他直接责任人员,可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。如果个人信息处理者是国家机关,存在不履行该法规定的个人信息保护义务的,由该国家机关上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员,也依法给予处分。
个人信息处理活动违反该法规定,如果构成违反治安管理行为的,公安机关还可以依据《治安管理处罚法》给予个人信息处理者治安管理处罚。例如,散布涉及个人隐私的个人信息,可处5日以下拘留或者500元以下罚款;情节较重的,处5日以上10日以下拘留,可以并处500元以下罚款。
个人信息处理活动违法程度足以构成犯罪的,依法追究个人信息处理者的刑事责任。例如,根据《刑法》和相关司法解释的规定,出售或者提供行踪轨迹信息,被他人用于犯罪的;知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的,都可处三年以下有期徒刑或者拘役,并处或者单处罚金。
四、走向更规范的新时代
法律的生命在于实施,法律的权威也在于实施。《个人信息保护法》的施行,只是开启了数字中国法治的一扇大门。个人信息权益能否真正得到保障、个人信息利用效能可否更好发挥,需要所有个人信息处理者切实落实《个人信息保护法》的管理要求。
原则之下,更需细化规则。《个人信息保护法》尽管是综合且全面的,但毕竟不能涵盖所有的个人信息处理细节。无论是履行个人信息保护职责的部门依法履职,还是个人信息处理者依法合规,都需要更加具体的规则甚至标准指引。更何况《个人信息保护法》本身就将许多规则的具体设计,授予了以国家网信部门为代表的监管机构。
例如,专业机构如何进行个人信息保护认证?按照怎样的标准合同,可以通过与境外接收方订立合同,向境外提供个人信息?在何种条件下,个人可以请求将个人信息转移至其指定的个人信息处理者,要求个人信息处理者为此提供转移的途径?对于监管部门而言,这既是权力,更是责任。如果这些配套规定不能及时出台,《个人信息保护法》的实施效果显然将受到影响。
法律之外,也需技术。个人信息处理活动是高度技术性的,法律规则能否得到遵循也离不开技术的评估、审计、验证和检查。《个人信息保护法》也充分考虑到技术治理的必要性和重要性。一方面注重明确技术措施要求:个人信息处理者应当根据比例原则,采取加密、去标识化等技术措施保障所处理的个人信息的安全;把所采取的安全保护措施是否合法、有效并与风险程度相适应,明确为个人信息保护影响评估的法定内容。另一方面,也鼓励应用有利于保护个人信息的先进技术:如果应用匿名化技术,使得个人信息经过处理无法识别特定自然人且不能复原,就可以豁免该法针对个人信息处理的各项要求。更规范的个人信息处理,也离不开包括隐私计算、量子加密等安全技术的发展和应用。
未来已来。我们已经进入数字社会,《个人信息保护法》带来的影响必然也是广泛而深远的。个人信息处理的整体规范化、合规化将是一个系统的工程,需要政府、产业和社会投入相当大的人力、物力、技术资源。信息的处理已经技术化,监管与合规唯有辅以相当的技术能力,才能“魔高一尺道高一丈”,实现个人信息处理的真实、持续规范。可以预见,《个人信息保护法》的实施也会带来新的经济增长点。把握个人信息处理规范的时代机遇,无论合规科技,还是监管科技,都会迎来、也应该去开拓它们的“蓝海”。
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/179473.html