在这个信息社会、大数据时代,我们出行、采购、到银行、去医院都要用手机或电脑,特别是大量的网上、线上活动,产生、留存了大量个人信息,身份证号、银行号、各种密码、刷脸信息、许多个人信息等等,如何保护我们的个人信息?违法使用个人信息对我们如果造成了侵害怎么办?
2021年8月20日,第十三届全国人民代表大会常务委员会第三十次会议审议并表决通过了《个人信息保护法》,自2021年11月1日起施行。
《个人信息保护法》是我国第一部规定个人信息保护的专门法,是个人信息保护立法领域一部提纲挈领的大法。全文共八章七十四条,主要内容包括个人信息处理规则、敏感个人信息的处理规则、国家机关处理个人信息的特别规定、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门等,可谓无微不至。
纵观整个《个人信息保护法》,既赋予个人信息保护的许多权利,又规定个人信息处理者的诸多义务,还专章对个人信息的跨境提供作出了规范。针对信息社会大数据时代个人信息泄露、个人信息被非法倒卖、大数据杀熟、人脸识别摄像头违规安装、霸王条款强取个人信息等乱象丛生的情况,作出了治理和规制,构筑了新时代个人信息保护的安全防护网和法律屏障。
(1)明确立法目的,界定信息范围,强调处理原则
《个人信息保护法》的立法目的,是为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用。明确个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。这个概念区别于以往法律法规中列举式的概念描述方式,采用了概括式的概念描述方式,受保护的信息范围更广更全面,同时明确了匿名化处理后的信息不属于需要保护的个人信息范畴。这里要注意,匿名化和去标识化是有区别的。
《个人信息保护法》强调了个人信息处理的“两个最小”原则,采取对个人权益影响最小的方式、限于实现处理目的的最小范围。明确了个人信息处理的原则、规则,要求保证质量、保障安全,禁止非法行为,提出国家将建立健全个人信息保护制度并积极参与个人信息保护国际规则的制定。
(2)明确处理规则,界定敏感信息,规范国家机关处理行为
《个人信息保护法》明确了以“同意”为核心的个人信息处理规则,要求除法定特殊情形外,处理个人信息必须经过个人同意,同意可以撤回。除法定特殊情形外,处理事项必须详细告知个人。明确个人信息的保存期限为实现处理目的所必要的最短时间。并对个人信息的共同处理、委托处理、转移承接、向第三方提供、对外公开、处理先行公开信息等作出了规范。对于“大数据杀熟”、违规人脸识别等社会关注的热点问题给予了回应,规范了自动化决策,限定了人脸识别使用范围。《个人信息保护法》规定,个人的生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息属于敏感个人信息,规定了更为严格的保护要求。处理敏感个人信息应当取得个人的单独同意,不可以通过约定一揽子同意的方式要求处理个人的敏感信息。对国家机关处理个人信息作出规范,要求依法进行、告知个人、境内存储等。
(3)明确跨境提供规则,强调跨境告知义务,规制跨境司法协助
《个人信息保护法》规定,个人信息跨境提供必须满足通过安全评估、经过保护认证、签订标准合同等条件之一,且应当采取必要保护措施。告知个人境外接收方的详细信息等内容并取得个人的单独同意。强调关键信息基础设施运营者和数量达标的处理者必须将个人信息存储在境内,确需向境外提供的,要通过安全评估。非经批准,不得向境外司法或者执法机构提供个人信息。将危害国家安全、公共利益、个人权益的境外主体列入黑名单,限制或者禁止向其提供个人信息。对境外在个人信息保护方面采取歧视性措施的,实施国际对等原则。
(4)明确个人权利,提出删除要求,新增逝者近亲属权
《个人信息保护法》明确赋予个人知情权、决定权、查阅权、复制权、可携带权、更正权、补充权、处理规则解释说明权、申请受理和要求处理权。要求处理者在处理目的已实现、停止提供产品或者服务、保存期限已届满、个人撤回同意、存在违法违规情形等情况下,主动删除个人信息,如果删除在技术上难以实现,可以继续保留,但应当停止除存储和安全保护之外的处理。新增了一项逝者近亲属权,规定自然人死亡的,其近亲属基于合法、正当利益,可以代死者行使相关权利。
(5)明确具体保护措施,新增合规审计和影响评估机制,规范重要互联网平台处理行为
《个人信息保护法》规定了制定内部管理制度和操作规程、分类管理、加密、去标识化、确定操作权限、定期培训、实施应急预案等具体的安全措施,并要求数量达标的处理者指定个人信息保护负责人。新增定期合规审计的要求,并要求在处理敏感信息、自动化决策、委托处理、向第三方提供、对外公开、跨境提供等情形下要经过事前影响评估。强调发生泄露、篡改、丢失的,要立即补救并通知主管部门和个人。对于重要互联网平台,要求健全合规制度体系、成立外部独立监督机构、制定平台规则、停止向违法违规主体提供平台服务、定期发布社会责任报告。
(6)界定主管部门职责,明确具体管控措施,强调当事人配合义务。
《个人信息保护法》明确主管部门具有宣传教育、指导监督、处理投诉举报、组织测评、调查处理等职责以及可以采取询问、调查、查阅、复制、检查、查封或者扣押等措施。对于发现存在较大风险或者发生安全事件的,可以约谈法定代表人或者主要负责人,或者要求合规审计。并强调当事人应当予以协助、配合,不得拒绝、阻挠。强调任何组织、个人有权进行投诉、举报。
