当前位置>网信普法

观点 | 《个人信息保护法(草案)》亮点浅析与建议
发布时间:2020-11-09 13:23:24  作者:本站  来源:中国信息安全


● 北京德和衡(上海)律师事务所高级联席合伙人、国际隐私保护协会专家会员、上海律协法律合规业务研究委员会委员 陈国彧;北京德和衡(上海)律师事务所执业律师 范思佳

2020年10月21日,《个人信息保护法(草案)》(下称“《草案》”)由十三届全国人大常委会第二十二次会议审议后公布并公开征求社会公众意见,征求意见截止日期为2020年11月19日。针对这次亮相的草案。笔者在研究了《个人信息保护法(草案)》的历史沿革和发展之后,结合本次《草案》的亮点简要评述,并结合实践,对《草案》提出建议。


一、《个人信息保护法(草案)》出台背景

2020年10月21日《个人信息保护法(草案)》出台引起各界广泛关注。早在2000年初,我国就提出将个人信息保护成文法化。当时许多学者纷纷提出自己的方案,但由于当时互联网刚刚兴起,法典化的条件不成熟。2017 年 12月29日,全国信息安全标准化技术委员会发布的《信息安全技术:个人信息安全规范》(GB/T 35273-2017),以技术文件的形式明确了个人信息保护领域的法律术语,确立了个人信息处理活动中应遵循的原则性的安全要求。2018年9 月10日,《个人信息保护法》被列入十三届全国人大常委会立法规划。2018 年 11月 30 日,公安部发布《互联网个人信息安全保护指引(征求意见稿)》,指导互联网企业建立健全公民个人信息安全保护管理制度和技术措施,有效防范侵犯公民个人信息违法行为,保障网络数据安全和公民合法权益。2020年5月28日发布的《民法典》也设定了专章,对隐私权和个人信息进行保护,本次草案的出台留下上位法的法律依据。
随着互联网、通讯技术以及产业数字化,近年来,各国纷纷出台对信息数据安全的成文法律。2018年5月25日,欧盟的《通用数据保护条例》(GDPR)正式实施。2018年6月28日美国加州通过了《加州消费者隐私法案》(CCPA),2020年1月1日正式实施。2018年8月14日,巴西《通用数据保护法》(LGPD)也正式通过,2020年2月15日正式实施。
亚洲各国也在如火如荼地推进个人信息保护立法。2011年3月,韩国实施《个人信息保护法》。同年9月30日,《个人信息保护法施行令》和《个人信息保护法施行规则》作为《个人信息保护法》的配套措施一并开始施行。2017年5月30日,日本新修订的《个人信息保护法》(PIPA)也开始实施。印度也于2019年12月11日发布了《2019个人数据保护法案(草案)》。
《草案》的出台,一方面响应数字化变革导致全球数据立法浪潮,另一方面也凸显我国无论是立法部门、学界、实务界一直对个人信息权利护的重视。《草案》的出台必将进一步完善补充关于个人信息权的相关法律法规,在充分保护个人信息权益方面也将踏出一大步。


二、亮点综述

《中华人民共和国个人信息保护法(草案)》的体系明确,从总则中立法目的(第一条)、保护原则(第二条)(第五条)(第六条)(第七条)、管辖范围(第三条)、个人信息定义(第四条)、国际衔接(第十二条)等到分则部分设立专章,对不同主体如何处理和管理个人信息作出明确的规定和安排。本文总结《草案》有以下七部分的亮点。
亮点1: 确定以“属地主义”为主,“信息活动路径“为辅的管辖方式。(第三条)
亮点2:与《民法典》相比,个人信息的定义更为概括,以“原则+例外“的方式对该条进行规定,同时增加了个人信息处理的范围。(第四条)
亮点3: 多元化个人信息处理方获得授权路径。(第十三条)
按照个人信息处理的方式,《草案》根据优先性分别列出了个人同意、合同约定、法定义务或职责、公共利益、新闻和舆论监督。就公共利益和新闻报道等,虽然此条可能将牺牲个人的部分利益,即不需要个人同意获得授权。但是,法律对此的规定是严格和明确规定的,即存在生命健康和财产安全的必须时才能纳入;只有新闻报道和舆论监督才能成为例外。同时《草案》的第十九条与此条形成良好的呼应。
亮点4: 对两个以上的信息处理者的义务划分明确化,将连带责任纳入共同处理个人信息的侵权行为,建立明确的法律责任承担方式。(第二十一条)
亮点5: 对第三方受托人的地位和权利义务进行明确的界定,强调了第三方受托人的合法授权必须单独去的个人信息处理者的同意。同时严厉禁止了第三方利用技术手段破解个人身份。(第二十二条到二十四条)
亮点6: 具体罗列个人敏感信息,确定敏感信息的外延。尤其是对个人生物特征、医疗健康、金融账户、个人行踪的确定。
亮点7:明确法律责任,即确定量化了罚款数额,从相关企业、机构到企业、机构负责人,确定到“责任人”。
综上,可看到,从立法的的技术以及自身的特点,我国的《草案》由原则到细节,考量到各方的利益,建立了具有我国特色的《个人信息保护法》。


三、建议部分

目前《草案》正在征求意见阶段,结合实践中可能会遇到需要进一步明确的问题和方向,拟提出以下建议。
(1)建议进一步明确是否适用于政府部门以及政府部门处理的个人信息
《草案》第三条规定“组织、个人在中华人民共和国境内处理自然人个人信息的活动,适用本法”。并未规定《个人信息保护法》适用于政府部门以及政府部门境内处理个人信息的行为。《草案》第十一条规定,“国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动行成政府、企业、相关行业组织、社会公众共同参与个人信息保护的良好环境”。《草案》第三十三条规定,“国家机关处理个人信息的活动适用本法;本节有特别规定的,适用本节规定”。
在《草案》第三条的法律适用范围中,并未明确将政府部门、具有公共职能的企业单位以及受委托代理部分公共职能的企事业单位及其数据处理行为作为本法约束和管辖的主体,建议进一步明确。
(2)建议个人信息的分类与范围进一步明确
按照《草案》第四条的规定,“个人信息是以电子或者其他方式记录的已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”《草案》中对于个人信息定义的内涵虽明确,但对于“已识别”或者“可识别”的外延规定则相对模糊。
个人信息作为一个相对抽象的概念,立法者有必要列举个人信息的种类、类型以及表现形式,进而进一步界定和确定个人信息的具体范围。笔者认为,仅仅从信息可能存在的路径,即收集、储存、使用、加工、传输、提供、公开等活动,来确定个人信息的范围过于宽泛,希望在正式发布的条文对此有更详细的规定。
(3)建议对目前被消费者广泛投诉非法利用个人信息进行直接营销、电话营销的行为做专章规定并进行处罚
电话营销、垃圾营销短信及垃圾营销短信是历年来被消费者广泛投诉的个人信息被滥用的老问题。相比较其他亚洲国家和地区对直接营销(电话、短信、电子邮件)做出严格规定,本次《草案》并未涉及到利用个人信息进行直接营销的问题。以香港地区为例,如收集个人信息用于直接营销,需要在收集之前以简单明确的书面语言通知被收集个人信息的主体并应获得被收集者的明确同意。并且,个人信息的处理者应提供方式方法,便利于个人随时撤回同意。违法利用个人信息直接营销规则的公司、企业、政府部门需要承担相应处罚甚至刑事处罚。
(4)建议明确《草案》的执行细则即个人信息权被侵权滥用的具体救济机制和步骤
《草案》第六章规定“履行个人信息保护职责的部门”为国家网信部门、国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作;县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。
《草案》第七章规定违法行为、处罚形式,处罚金额以及具体法律责任的定性。
在《草案》的第六章、第七章之间欠缺个人发现个人信息被滥用、被侵权之后的具体投诉、救济、复议机制和步骤,建议进一步明确,从而能够使一旦个人发现个人信息被侵权、滥用、盗用,则可以遵循具体的救济步骤获得救济包括获得专家意见、法律意见的权利。
(5)建议增加国家网信办及县级以上的网信部门为推动个人信息保护工作的社会公益职责
由于个人信息保护在国内尚处于萌芽阶段,建议网信办增加相关社会公益职责。具体包括教育公众、企事业单位、其他组织在多种场景下如何做个人信息保护。例如公共场所的监控细则、工作场所的员工隐私保护、电话营销利用个人信息的相关指引等。此外,在个人信息保护的初期,网信办或县级以上网信部门编纂指引性文件,将对提高公众个人信息保护的法律意识有很大助益。


四、结语

数字化变革对各大行业都产生深刻影响。全球范围对个人信息保护立法已形成风潮。一方面,从便利贸易的角度,我国需要提高个人信息保护水平,便于与海外趋严的个人信息安全立法监管要求对接;另一方面,《个人信息保护法》的立法也回应国内消费者对个人信息保护的呼声。以法律形式避免个人信息被滥用、盗用,切实保护个人信息权。我们认为,《个人信息保护法》从《草案》到正式立法,必将会对中国社会、企事业单位以及政府部门产生深远的影响。


工作动态

举报指南