于11月1日实施的《中华人民共和国个人信息保护法》,在国家层面建立了个人信息保护制度。为加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境,确保个人信息保护法的各项要求和规定在社会生活中落到实处,建议在学习和贯彻实施个人信息保护法中重点把握好以下十大核心要点。
第一,“规范个人信息处理活动”是个人信息保护法的核心。个人信息保护法第一条规定:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”由此可见,就个人信息保护法的实质功能而言,它是一部个人信息处理活动行为规范法,“规范个人信息处理活动”处于整个个人信息保护法的核心地位,只有夯实这一关键环节,才能确保实现保护个人信息权益和促进个人信息合理利用之目的。
第二,个人信息的内涵与匿名化。个人信息保护法第四条第一款明确了“个人信息”的定义:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”这意味着“个人信息”经匿名化处理后即不属于个人信息,也就无需适用个人信息保护法的相关规定,这一规定体现了个人信息保护法对个人信息“保护”和“利用”并重的立法精神。
第三,个人信息保护法的域外效力。根据我国个人信息保护法第三条第二款规定,在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。
第四,个人信息处理的核心原则。个人信息保护法主要确立以下五项重要原则:一是遵循合法、正当、必要和诚信原则;二是采取对个人权益影响最小的方式,限于实现处理目的的最小范围原则;三是处理个人信息应当遵循公开、透明原则;四是处理个人信息应当保证个人信息质量原则;五是采取必要措施确保个人信息安全原则等。需要注意的是,个人信息保护法总则部分第六条确立的两个“最小原则”,即“采取对个人权益影响最小的方式”“限于实现处理目的的最小范围”,是个人信息处理应遵循的核心原则,尤其是后者,是禁止“过度收集个人信息”的关键要点。
第五,以“告知—知情—同意”为核心的个人信息处理规则。个人信息保护法构建了以“告知—知情—同意”为核心的个人信息处理规则体系。个人信息处理者“告知”的目的是为了确保被告知者的充分“知情”,只有被告知者在充分知情的前提下才能自愿、明确地作出决定。为此,个人信息保护法第十四条明确规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。”
第六,敏感个人信息的认定与保护规则。个人信息保护法对自然人的隐私信息未作出专门规定,而是将个人信息分为敏感信息和非敏感信息,并专节设置了“敏感个人信息的处理规则”。并采用了“个人信息被泄露或者非法使用+危害后果+列举重要敏感个人信息”的立法技术,明确“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”。
第七,严禁“大数据杀熟”以及为“用户画像”等涉及不当自动化决策的做法。针对“大数据杀熟”“用户画像”和“算法推荐”等涉及个人信息自动化决策的热点问题,个人信息保护法予以明确规范:首先,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇;其次,个人信息处理者通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项或者向个人提供便捷的拒绝方式;再次,个人信息处理者通过自动化决策方式作出对个人权益有重大影响的决定时,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
第八,个人信息跨境提供规则。个人信息保护法明确了个人信息处理者向境外提供个人信息应当具备的基本条件,如关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估;对于其他需要跨境提供个人信息的,应由专业机构进行个人信息保护认证;个人信息处理者因业务需要向境外提供个人信息,须按照国家网信部门的标准合同与境外接收方订立合同;对我国缔结或者参加的国际条约、协定对向我国境外提供个人信息的条件等有规定的,可以按照其规定执行等。
第九,个人在个人信息处理活动中的七项权利。个人信息保护法全面构建了个人在个人信息处理活动中的权利,包括知情权、决定权(限制、拒绝和撤回权)、查阅复制权、个人信息可移转权、更正补充权、删除权、规则解释权。这些权利的设定,表明了个人信息保护法对个人信息保护与利用的平衡,即在保护中利用,在利用中保护。
第十,重要互联网平台的“守门人”制度。鉴于重要互联网平台掌握海量用户数据,一旦发生信息泄露或滥用,可能导致严重后果,个人信息保护法专门要求其履行“守门人”角色,并承担更多责任。主要包括:应按照国家规定建立健全个人信息保护合规制度体系;成立主要由外部成员组成的独立机构进行监督;遵循公开、公平、公正的原则制定平台规则;对严重违法处理个人信息的平台内产品或服务提供者停止提供服务;定期发布个人信息保护社会责任报告并接受社会监督等。
此外,为了确保个人信息处理者遵守个人信息保护法之义务,严格规范个人信息的处理活动,个人信息保护法设置了严格的行政和民事法律责任。例如,个人信息保护法第六十六条对违法处理个人信息,或者处理个人信息未履行法定的个人信息保护义务设置了三项法律责任:一是由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;二是拒不改正的,并处一百万元以下罚款;三是对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
如果有上述规定的违法行为,且情节严重的,设置了两项更严格的法律责任:一是由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;二是对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
(□ 王春晖 作者系浙江大学教授)