個人信息保護法亮點解讀
2021年8月20日��,第十三屆全國人大常委會第三十次會議審議通過《中華人民共和國個人信息保護法》���。個人信息保護法是我國第一部個人信息保護方面的專門法律��,以嚴密的制度��、嚴格的標準�、嚴厲的責任規范個人信息處理活動����,規定了個人在個人信息處理活動中的權利����,全方位落實各類組織�����、個人等個人信息處理者的義務與責任����,有力維護了網絡空間良好生態����,滿足人民日益增長的美好生活需要���。個人信息保護法協調個人信息權益保護與個人信息合理利用的關系���,建立了權責明確��、保護有效���、利用規范的個人信息處理規則�,從而在保障個人信息權益的基礎上���,促進包括個人信息在內的數據信息的自由安全的流動與合理有效的利用�,推動數字經濟健康發展�。
個人信息保護法是保護個人信息的法律�,也是保護個人信息權益的專門法律�����。個人信息權益是自然人針對個人信息享有的受到法律保護的權益���。保護個人信息權益是我國個人信息保護法的重要立法目的��,該法第一條明確規定�����,為了保護個人信息權益����,規范個人信息處理活動��,促進個人信息合理利用�,根據憲法�����,制定本法�。第二條再次明確���,自然人的個人信息受法律保護��,任何組織����、個人不得侵害自然人的個人信息權益���。
筆者認為�����,個人信息保護法的亮點主要有以下幾個方面���。
確立個人信息處理活動基本原則
個人信息保護法包括合法�����、正當�、必要���、誠信����、目的限制����、最小必要�����、質量�����、責任等原則���。這些原則的根本目的就是要規范個人信息處理者的處理活動�����,保護個人信息權益�。例如����,依據第六條所確立的目的限制原則�,處理個人信息應當具有明確���、合理的目的����,并應當與處理目的直接相關��,采取對個人權益影響最小的方式�。收集個人信息�,應當限于實現處理目的的最小范圍�����,不得過度收集個人信息���。無論什么樣的個人信息處理者為了何種處理目的��,以何種方式實施個人信息處理活動����,都應當遵循這些基本原則���。不僅如此�,調整規范個人信息處理活動的法規規章�,也不能違反這些基本原則�����。
詳細規定告知同意規則
明確個人信息處理者處理個人信息前��,必須以顯著方式�、清晰易懂的語言真實�����、準確�、完整地向個人告知法律規定的事項���,除非法律����、行政法規規定應當保密或者不需要告知�,或者告知將妨礙國家機關履行法定職責�����。如果個人信息處理者基于個人同意而處理個人信息���,那么個人的同意必須是個人在充分知情的前提下自愿�、明確地作出�,個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由����,拒絕提供產品或者服務���。
對“大數據殺熟”“人臉識別”等問題予以回應
個人信息保護法明確要求個人信息處理者保證自動化決策的透明度和結果公平�、公正����,不得對個人在交易價格等交易條件上實行不合理的差別待遇���。如果通過自動化決策方式作出對個人權益有重大影響的決定���,個人有權要求個人信息處理者予以說明�����,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定���。在公共場所安裝圖像采集��、個人身份識別設備��,應當為維護公共安全所必需�,遵守國家有關規定�����,并設置顯著的提示標識�。所收集的個人圖像����、身份識別信息只能用于維護公共安全的目的�,不得用于其他目的�����,除非取得個人單獨同意�����。
界定敏感個人信息并給予嚴格保護
敏感個人信息����,即一旦泄露或者非法使用���,容易導致自然人的人格尊嚴受到侵害或者人身��、財產安全受到危害的個人信息���,包括生物識別�����、宗教信仰���、特定身份�、醫療健康����、金融賬戶����、行蹤軌跡等信息���,以及不滿十四周歲未成年人的個人信息�。依據個人信息保護法的規定�����,只有在具有特定的目的和充分的必要性����,并采取嚴格保護措施的情形下����,個人信息處理者方可處理敏感個人信息�。同時����,處理敏感個人信息應當取得個人的單獨同意����,處理不滿十四周歲未成年人個人信息的�����,應當取得未成年人的父母或者其他監護人的同意�。
專章規定個人在個人信息處理活動中的權利
個人在個人信息處理活動中的權利屬于手段性權利或救濟性權利�����,規定這些權利的目的就是為了保護自然人的個人信息權益����。個人信息保護法在網絡安全法�、民法典規定的基礎上��,立足于我國個人信息保護實踐的要求��,吸收借鑒比較法上的優秀成果����,對個人在個人信息處理活動中的權利作出系統全面的規定����,明確個人在個人信息處理活動中享有:對個人信息處理的知情權與決定權���、查閱復制權�����、可攜帶權�、更正補充權�����、刪除權���、解釋說明權等����。此外�,為了維護死者近親屬的合法�����、正當利益��,個人信息保護法還規定�,自然人死亡的���,其近親屬為了自身的合法��、正當利益�,可以對死者的相關個人信息行使本章規定的查閱��、復制�����、更正�����、刪除等權利��,死者生前另有安排的除外����。
對個人信息處理者的義務作出詳細規定
個人信息保護法構建了完整的義務體系�。這些義務包括:個人信息處理者采取措施確保個人信息處理活動合法并保護個人信息安全的義務�����,按照規定指定個人信息保護負責人的義務���,定期合規審計的義務����,對于高風險個人信息處理活動進行個人信息保護影響評估并對處理情況記錄的義務�����,在發生或可能發生個人信息泄露等安全事件時立即采取補救措施并通知監管機構和個人的義務�,提供重要互聯網平臺服務����、用戶數量巨大��、業務類型復雜的個人信息處理者負有的“守門人義務”���。
明確違法行為處罰規定
個人信息保護法對于違法處理個人信息或者沒有履行法律規定的個人信息保護義務的行為規定了嚴格的行政處罰�����。如對于違法行為情節嚴重的�,沒收違法所得����,并處五千萬元以下或者上一年度營業額百分之五以下罰款����,并可以責令暫停相關業務或者停業整頓���、通報有關主管部門吊銷相關業務許可或者吊銷營業執照等���。對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款����,并可以決定禁止其在一定期限內擔任相關企業的董事�����、監事�、高級管理人員和個人信息保護負責人���。再如����,對于違反個人信息保護法違法行為的�,明確依照有關法律���、行政法規的規定記入信用檔案��,并予以公示���。
規定民事責任制度以及民事公益訴訟
依據個人信息保護法的規定�,處理個人信息侵害個人信息權益造成損害����,個人信息處理者不能證明自己沒有過錯的�,應當承擔損害賠償等侵權責任�。侵害個人信息權益造成損害的賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定��;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的����,根據實際情況確定賠償數額����。在個人信息處理者違反個人信息保護法規定處理個人信息����,侵害眾多個人的權益時�,人民檢察院�、法律規定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟���。
□ 清華大學法學院副院長�、教授��、博士生導師 程嘯
來源:信用中國網
您現在的位置: 
