》重點內(nèi)容解讀.jpg "《個人信息保護法(草案)》重點內(nèi)容解讀.jpg")
2020年10月13日����,十三屆全國人大常委會第二十二次會議第一次審議了《個人信息保護法(草案)》(以下簡稱“草案”)�����,并于隨后的21日公之于眾�。該草案不僅承繼了前序法律的相關(guān)設(shè)置�,還在多方面借鑒國外有益經(jīng)驗,賦予個人信息主體更多的個人權(quán)益�,同時賦予個人信息處理者更為細(xì)致的合規(guī)義務(wù)。不同于《網(wǎng)絡(luò)安全法》以及《民法典》對個人信息保護“有所涉獵”���,《個人信息保護法》作為此領(lǐng)域的特殊法以及上位法�����,針對個人信息的定義與原則�����、法律管轄力����、數(shù)據(jù)境外傳輸、有效同意標(biāo)準(zhǔn)等作出了創(chuàng)新規(guī)定�,其權(quán)威性與原則性也為之后的實施細(xì)則提供了指引與補足空間。
于是�����,值此個人信息保護立法風(fēng)起云涌之際���,本文嘗試對草案中的重點內(nèi)容進(jìn)行簡單的介紹與評析����,以期拋磚引玉�����,百花齊放。
草案第四條規(guī)定�,“個人信息是以電子或其他方式記錄的與已識別或可識別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息�����?���!?/span>
首先,此定義采取純粹�����、模糊定義的方式�,為后續(xù)的列舉解釋留下空間,并且明確了“匿名化信息”不屬于個人信息的范疇��。其次�����,定義中使用了“個人信息”詞條���,而非歐盟GDPR中的“個人數(shù)據(jù)(personal data)����。數(shù)據(jù)與信息常常替代使用,但二者其實具有不同內(nèi)涵�����?�?梢哉f���,數(shù)據(jù)是信息的載體����,信息是有背景的數(shù)據(jù)(徐子沛 《善數(shù)者成》P003)�。因此,較于GDPR���,草案的定義范圍相對較窄���。
草案第三條第一款規(guī)定,“組織�、個人在中華人民共和國境內(nèi)處理自然人個人信息的活動,適用本法�����?����!钡诙钜?guī)定���,“以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的,或者為分析�、評估境內(nèi)自然人的行為等發(fā)生在我國境外的個人信息處理活動,也適用本法��?����!?/span>
相較于現(xiàn)行相關(guān)立法的屬地管轄原則��,草案增加了保護管轄��,賦予《個人信息保護法》一定的域外適用效力。此條亦是借鑒歐盟GDPR��、美國CLOUD法案的長臂管轄���,可以說正與國際接軌���。
草案第三章規(guī)定���,個人信息處理者向境外傳輸個人信息的�����,需采取“告知+單獨同意”的措施����,對于關(guān)鍵信息基礎(chǔ)設(shè)施運營者���,則不僅要采取前述措施��,還須通過國家網(wǎng)信部門組織的安全評估�����,且接收方未被列入限制或禁止個人信息提供清單�。
草案關(guān)于“個人信息跨境運輸”的翔實規(guī)定,不僅對《網(wǎng)絡(luò)安全法》中的“關(guān)鍵信息基礎(chǔ)設(shè)施運營者的數(shù)據(jù)跨境運輸要求“作出補充����,而且為其下位的法規(guī)規(guī)章,以及行業(yè)規(guī)范等規(guī)范性文件提供了依據(jù)��。不過��,與GDPR中的”白名單“��,以及美國CCPA法案的“數(shù)據(jù)自由流通”相比�,草案其實為企業(yè)的個人信息保護合規(guī)加設(shè)了不小的壓力����。
草案第四十四條至四十九條明確賦予個人信息主體一系列權(quán)利����,如知情權(quán)、決定權(quán)�����、查詢權(quán)、復(fù)制權(quán)�����、更正權(quán)�、補充權(quán)、刪除權(quán)�����、解釋權(quán)����,并要求個人信息處理者建立個人行使權(quán)利的申請受理和處理機制。相較于《民法典》第1037條規(guī)定的“查閱�、復(fù)制權(quán)、更正權(quán)����、刪除權(quán)”,草案的個人信息權(quán)顯然擁有更廣的外延���,在立法層面與實踐層面都取得了長足進(jìn)步�。不過與西方國家相比��,仍有一段差距,諸如“被遺忘權(quán)”的立法空白�。
草案第六十二條規(guī)定����,“違法本法規(guī)定處理個人信息,或者處理個人信息未按照規(guī)定采取必要的安全保護措施的���,由履行個人信息保護職責(zé)的部門責(zé)令改正����,沒收違法所得�,給予警告;拒不改正的�����,并處一百萬以下罰款�����;對直接負(fù)責(zé)的主管人員和其他直接負(fù)責(zé)人員處一萬元以上十萬元以下罰款��。有前款規(guī)定的違法行為���,情節(jié)嚴(yán)重的�����,由履行個人信息保護職責(zé)的部門責(zé)令改正�,沒收違法所得�����,并處五千萬元以下����,或者上一年度營業(yè)額百分之五以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)�����、停業(yè)整頓��、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照�����?�!?/span>
草案中的高額罰款向GDPR看齊,顯然表明了立法者制定數(shù)據(jù)規(guī)則���,整頓行業(yè)亂象的決心�����。與此對應(yīng)的是����,草案第六十六條規(guī)定����,“個人信息處理者違反本法規(guī)定處理個人信息,侵害眾多個人的權(quán)益的�,人民檢察院、履行個人信息保護職責(zé)的部門和國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟�����?��!贝藯l拓展了個人信息主體尋求救濟的途徑,也為執(zhí)法者提供了新的執(zhí)法方向����??梢哉f����,企業(yè)只要“一數(shù)不合”,“達(dá)摩克里斯之劍”便會駭然落下���。
GDPR(General Data Protection Regulation)�,即《通用數(shù)據(jù)保護條例》���;
CLOUD Act(The Clarifying Lawful Overseas Use of Data Act)��,即《澄清境外數(shù)據(jù)的合法使用法案》�,聯(lián)邦法�;
CCPA(California Consumer Privacy Act),即《2018加州消費者隱私保護法案》�,州法。
