大数据时代,最典型的互联网应用场景就是2B的平台商或独立服务提供商通过收集广大用户的个人信息,经过算法匹配后再向用户分别推送相应的信息、服务或商品。所有互联网企业的业务本质都离不开数据,而这其中,重中之重的就是“个人信息”。因此《个人信息保护法》将成为所有企业管理运营人员的必修课。
随着法律的颁布,各专业机构纷纷对《个人信息保护法》进行了较为全面的解读,本文仅从一些重点条文,谈谈笔者的见解。
立法背景
2021年8月20日,第十三届全国人民代表大会第三十次会议表决通过了《中华人民共和国个人信息保护法》,该法案将于2021年11月1日起施行。
从2020年10月一审稿草案发布至今,历经三次全国人大会议审议,历时十个月的讨论、修改,伴随着疫情下线上经济的不断发展以及“滴滴下架”等热点新闻事件,《个人信息保护法》被民众广泛关注。
《个人信息保护法》共由八章七十四条组成。以专门立法的形式,对于个人信息处理、个人信息跨境传输、个人信息主体权利、个人信息处理者义务、监管机构个人信息保护职责及适用法律责任等内容作出了全方位、系统性的规定。为企业和组织提供了落实个人信息保护责任的法律依据,明确了个人信息处理和利用的合规要求,为公民个人提供了个人信息权益保护的法律保障。
重点内容解读
01个人信息及个人信息处理的定义
个人信息的定义历经了《网络安全法》、《个人信息安全规范》和《民法典》的多次修正,在本次立法确立了 “识别”和“关联”这个两个特征标准,凡符合识别标准或关联标准,均可能构成个人信息。另外明确了匿名化之后的数据不再属于个人信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。其中“删除”是本次《个人信息保护法》新增内容,体现立法者对于个人信息全生命周期保护的进一步强化,也有利于将个人信息处理者删除、销毁个人信息的活动纳入本法关于个人信息处理活动的规制范围。
《个人信息保护法》第四条
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
02个人信息处理活动的七项法律基础
《个人信息保护法》在第十三条列举了七项处理个人信息,的法律基础。包括:1) 为履行合同、实施人力资源管理所必需;2) 为履行法定义务所必需;3) 为应对突发公共卫生事件所必需;4) 为保护生命安全和财产安全所必需;5) 为公共利益实施新闻报道等所必需;6) 在合理范围内处理已公开的个人信息。
上述规定很大程度上放宽了个人信息处理的限制, 突破了“告知-同意”为核心的单一个人信息处理规则, 意味着未来“知情同意”将不再是处理个人信息唯一的合法基础。
《个人信息保护法》在“履行合同所必需”的法律基础下提出了人力资源管理的情形,为企业收集、处理员工的个人信息提供了更加明确的合规路径。在“处理已公开的个人信息”这一法律基础之上,进一步对个人信息被公开的渠道进行了细化解释,包括个人自行公开的个人信息及其他已经合法公开的个人信息。
《个人信息保护法》第十三条
符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
03规制自动化决策使用场景,禁止大数据杀熟
自动化决策的本质是服务企业通过一个智能的算法来识别特定的消费者,然后去给这个特定的消费者呈现经过筛选的内容或附加一些不同的交易条件。运用数据进行自动化决策本身并不是问题,而滥用数据进行“杀熟”,采取歧视性交易条件才是需要杜绝禁止的行为。
《个人信息保护法》细化了利用个人信息进行自动化决策的要求。即自动化决策的基本决策逻辑应“保证决策的透明度和结果公平公正”,并且“不得对个人在交易价格等交易条件上实行不合理的差别待遇”。在决策对个人权益造成重大影响时赋予个人主体释明权和拒绝权,并要求个人信息处理者在“信息推送、商业营销”中,同时向个人提供“不针对其个人特征的选项”,或者“向个人提供便捷的拒绝方式”。
GDPR(欧盟《通用数据保护条例》2018)中,有关自动化决策相关指引说明,可以作为参考。
《个人信息保护法》第二十四条
个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
04限制公共场所采集个人图像、身份识别信息
2021年315晚会曝光的人脸识别乱象以及最新的公共场所人脸识别案件引发人们对此事件广泛关注。企业收集人脸信息用于商业营销目的时,仅在门店区域进行显著标识已无法满足收集的合法性。
在公共场所安装图像采集、个人身份识别设备收集个人图像和身份识别信息,必修满足如下条件:
目的限制:应当出于维护公共安全所必须,遵守国家有关规定;
告知形式限制:设置显著的提示标志;
用途限制:只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
企业应审慎应该人脸识别相关技术,具体可参照2021年8月1日正式施行的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》。
《个人信息保护法》第二十六条
在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
05限制公共场所采集个人图像、身份识别信息
《个人信息保护法》第四章全面规定了个人在个人信息处理活动中的多项法定权利。包括知情权(第四十四条)、决定权(第四十四条)、限制权(第四十四条)、拒绝权(第四十四条)、查阅权(第四十五条)、复制权(第四十五条)、可携带权(第四十五条)、更正权(第四十六条)、删除权(第四十七条)、自动化决策相关权利(第二十四条)。
其中第四十五条第二款首次引入了GDPR(欧盟《通用数据保护条例》和CCPA(《加利福尼亚州消费者隐私法》)项下的可携带权,即“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”。它是个人信息查询、复制权的重要补充。增强了用户对个人信息的控制权,促进数据流动,有助于防范企业数据垄断、数据不正当竞争。
《个人信息保护法》第四十五条
个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。
个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。
个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
06压实“看门人”职责
《个人信息保护法》第五十八条即是关于“看门人”制度的规范内容,其中所指的重要互联网平台一般包括三类:一是应用程序的分发平台,二是操作系统,三是大型平台App。
该条文规制要求平台本身引入机构监督,平台内有关处理和保护个人信息规则的制定,对平台内产品或服务违规行为的管理,以及通过发布社会责任报告接受社会监督四类模式共存。通过平台实现个人信息治理,助力个人信息保护相关法律义务履行的有效落地。
《个人信息保护法》第五十八条
提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(四)定期发布个人信息保护社会责任报告,接受社会监督。
07连带责任及过错责任推定“组合拳”
《个人信息保护法》第二十条为关于信息处理者承担连带责任的规范内容。该条文使得《个人信息保护法》可以直接作为优先适用的特别法规定,使共同信息处理者承担连带责任成为常态。补足个人信息保护在司法层面的保护水平。
第六十九条为关于信息处理者承担连带责任的规范内容。过错推定责任意味着承担举证责任的主体为信息处理者。这大大提高了相关企业的应诉难度,需要其自证清白。
以上两项制度形成“组合拳”有利的保障了个人信息权益。
《个人信息保护法》第二十条
两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。
个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。
《个人信息保护法》第六十九条
处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
08显著提高行政责任处罚标准,引入高管禁业处罚
《个人信息保护法》明确了个人信息处理者的法律责任和义务。对标了GDPR中2000万欧元或者企业上一年度全球营收的4%(两者取其高)罚款的严厉处罚思路。《个人信息保护法》中,行政责任的处罚标准在延续《网络安全法》的百万处罚标准基础上,新设了“情节严重”的处罚标准。同时,新引入了高管禁业处罚。
处罚措施包括:
1) 责令改正、没收违法所得,处最高五千万元或上年营业额百分之五以下罚款;
2) 责令暂停相关业务、停业整顿;
3) 通报有关主管部门吊销相关经营许可证或吊销营业执照;
4) 对直接负责主管和其他直接责任人员,处十万元以上一百万元以下罚款;
5) 禁止主管人员在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
《个人信息保护法》第六十六条
违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
结语
2021年,先后密集的出台了《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等网络数据法律体系中重磅规定。意味着大数据时代下,对于企业而言,网络安全与数据合规已经越来越关系着企业命脉。各项新规的确立,将引发行业产品设计理念和业务操作规范的巨变。企业亟需重塑内部合规体系与管理制度,依据法律法规要求进行管理和技术升级,尽早采取应对措施。
《个人信息保护法》八大重点内容导读
作者:王佳琳来源:北京桦天律师事务所

大数据时代,最典型的互联网应用场景就是2B的平台商或独立服务提供商通过收集广大用户的个人信息,经过算法匹配后再向用户分别推送相应的信息、服务或商品。