来源: 杭州市发改委
2021年8月20日,《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)正式通过,并将于2021年11月1日正式施行。《个人信信保护法》的诞生,标志着我国网络数据法律体系中继《网络安全法》、《数据安全法》之后,具有重要意义的一块拼图终于落定。
不同于《网络安全法》侧重于网络空间综合治理,《数据安全法》作为数据领域的基础性法律主要围绕数据处理活动展开,《个人信息保护法》从自然人个人信息的角度出发,给个人信息上了一把“法律安全锁”,成为中国第一部专门规范个人信息保护的法律,对我国公民的个人信息权益保护以及各组织的数据隐私合规实都将产生直接和深远的影响。
一、概述
正式通过的《个人信息保护法》全文共计八章七十四条,围绕个人信息的处理,从处理规则、跨境提供、个人权力、处理者义务、保护职责部门以及法律责任等不同角度确立了相应规则,并且针对敏感个人信息和国家机关处理强调了特别规则。其出发点是保护个人对于个人信息处理享有的权利,厘清企业等个人信息处理者应当遵循的规则和履行的义务,同时明确违法和侵权行为的法律责任。
二、《个人信息保护法》的要点
(一)个人信息的定义与区分
《个人信息保护法》对一般的个人信息和敏感个人信息进行了定义与区分,以将其纳入相应的保护范围。
个人信息本身是一个宽泛的概念,指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息;而敏感个人信息是个人信息的一个被特殊保护的部分,指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
根据《个人信息保护法》的相关规定,个人信息处理者根据其处理的信息不同,需承担不同义务,就处理敏感个人信息而言,也存在特殊原则、规则。
(二)处理个人信息应遵循的原则、规则
个人信息的“处理”涵盖全周期、各个环节,包括:“收集”、“存储”、“使用”、“加工”、“传输”、“提供”、“公开”等活动,而《个人信息保护法》还新增了“删除”这一处理方式,并规定了处理个人信息时,处理者应当遵循的原则,包括:合法、正当、必要和诚信原则,目的限制、最小必要原则,公开、透明原则,准确性原则,当责原则等。
在前述框架下,《个人信息保护法》进一步对个人信息处理者在处理个人信息时应遵守的规则进行了详细规定,概要梳理和分析如下:
1、取得同意
原则上,个人信息处理者处理个人信息前均应取得个人同意。而作为例外情形,包括“为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”等特殊情况下,个人信息处理者可以在没有个人同意的情况下,处理相关个人信息。但是,个人信息处理者仍应当遵循各项处理原则、规制,不能非法、过度处理个人信息。
2、明确告知
除法定情形外,个人信息处理者在处理个人信息前,均应以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关事项,包括:(1)个人信息处理者的名称或者姓名和联系方式;(2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(3)个人行使权力的方式和程序;(4)其他应当告知的法定事项。并且,在相关事项变更时,个人信息处理者应当将变更部分告知个人,如通过制定个人信息处理规则的方式告知相关事项的,处理规则应当公开,并且便于查阅和保存。
3、处理敏感个人信息的特殊规则
对于敏感个人信息的处理,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息,并应当在明确告知必要性与影响的前提下,取得个人的单独同意。此外,个人信息处理者处理敏感个人信息还应当事前进行个人信息保护影响评估。
企业在经营活动中,涉及到处理个人敏感信息的情形非常常见。比如收集员工的家庭情况信息,在合规调查时收集员工的资产和金融信息,在开发客户业务过程中收集对方公司相关负责人的背景信息等。《个人信息保护法》对于敏感个人信息的处理规定了比较严苛的条件和程序,对于企业经营中的个人信息保护合规提出了巨大的挑战。
(三)个人信息处理者的义务
个人信息处理者除了应遵守上述个人信息处理的原则、规则等外,还应当履行《个人信息保护法》规定的特定义务。该等义务实质上对企业的合规发展提出了具体要求包括:(1)采取合规管控措施,如制定内部管理制度和操作规程、对个人信息实行分类管理、采取相应的加密、去标志化、操作权限控制等安全技术措施、定期对相关人员进行安全教育和培训、制定并组织实施个人信息安全事件应急预案等;(2)合规审计,对其处理个人信息遵守法律、行政法规的情况进行定期合规审计;(3)通报,发生或者可能发生个人信息泄露、篡改、丢失的,立即采取补救措施,并依法通知主管部门和个人;(4)个人信息保护影响评估,就处理敏感个人信息等特定情形应事前进行个人信息保护影响评估,并记录处理情况。
(四)个人信息的分类管理
关于个人信息分类管理问题,《个人信息保护法》的规定与《数据安全法》关于数据分类分级保护制度、加强重要数据保护的规定一脉相承。目前,关于重要数据目录、数据和个人信息分类、分级的统一标准尚不清晰,有待国家出台细则进行明确。
虽然《信息安全技术个人信息安全规范》(GB/T35273-2020)、《信息安全技术健康医疗数据安全指南》(GB/T39725-2020)等文件在不同程度上对数据和信息的范围判定、分类及定级制定了相应规范,具有一定参考价值,但是数据和个人信息处理者还需根据所处行业、自身业务等情况进行数据和个人信息分类、分级工作。
三、明确规定数据安全保护义务
《个人信息保护法》的出台,补齐了中国网络、数据安全和个人信息保护领域立法的重要一环,其与《网络安全法》、《数据安全法》共同构成了该领域的三大支柱。尽管某些具体问题尚待相关配套细则落地澄清,随着《个人信息保护法》生效在即,各行业企业(尤其是关键信息基础设施运营者及其供应商,互联网、金融、医疗健康、汽车及出行等行业处理重要数据和大量个人信息的企业)都应当即刻梳理、审阅自身业务、网络和信息系统、处理的数据和个人信息、组织架构、合规管理制度等,逐步推进合规工作并适时落地。
