×

打開微信,掃一掃二維碼
訂閱我們的微信公眾號

首頁 錦天城概況 專業領域 行業領域 專業人員 全球網絡 新聞資訊 出版刊物 加入我們 聯系我們 訂閱下載 錦天城二十周年 CN EN JP
首頁 > 出版刊物 > 專業文章 > 審議通過!萬字解讀《個人信息保護法》

審議通過!萬字解讀《個人信息保護法》

作者:吳衛明 劉昀東 劉芷均 2021-08-234757
[摘要]《中華人民共和國個人信息保護法》與《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》(將于2021年9月1日生效)共同確立了我國數據安全法律框架的重要組成部分,其立法進程一直備受矚目。

《中華人民共和國個人信息保護法》(以下簡稱“《個人信息保護法》”)與《中華人民共和國網絡安全法》(以下簡稱“《網絡安全法》”)、《中華人民共和國數據安全法》(將于2021年9月1日生效,以下簡稱“《數據安全法》”)共同確立了我國數據安全法律框架的重要組成部分,其立法進程一直備受矚目。


2020年10月21日,《中華人民共和國個人信息保護法(草案)》(以下簡稱“《一次審議稿》”)正式公開,向全社會公開征求意見。2021年4月26日,第十三屆全國人大常委會第二十八次會議對《中華人民共和國個人信息保護法(草案二次審議稿)》(簡稱“《二次審議稿》”)進行了審議。2021年8月20日,第十三屆全國人大常委會第三十次會議審議通過《中華人民共和國個人信息保護法》(簡稱《個人信息保護法》),并將于2021年11月1日起施行。


正式通過的《個人信息保護法》全文共計八章七十四條,圍繞個人信息的處理,從處理規則、跨境提供、個人權利、處理者義務、保護職責部門以及法律責任等不同角度確立了相應規則,并且針對敏感個人信息和國家機關處理強調了特別規則。筆者將從立法宗旨、重要概念辨析、個人信息處理規則、個人權利、處理者責任、個人信息跨境、社會化治理、罰則等八個方面進行解讀。


一、立法宗旨


(一)審慎對待數據流動


1、法條未直接規定“保障個人信息依法有序自由流動”


通過名稱不難看出,《個人信息保護法》的主要出發點是保護個人信息。這一點在第一條中予以了明確。對于《個人信息保護法》的立法宗旨,《一次審議稿》第一條的規定是“為了保護個人信息權益,規范個人信息處理活動,保障個人信息依法有序自由流動,促進個人信息合理利用,制定本法?!迸c《一次審議稿》相比,《二次審議稿》對于個人信息流動問題,采取了更為審慎的態度,刪除了“保障個人信息依法有序自由流動”的表述;而《個人信息保護法》除了沿用《二次審議稿》的表述外,還在“制定本法”之前增加了“根據憲法”的內容,對于憲法規定中的保障公民的人格尊嚴和其他權益具有重要意義。


2、如何平衡“個人信息保護”與“合理利用”


個人信息的數據價值能否合法有序流動,一直是大數據運用過程中的關鍵問題。特別是在十四五規劃將數據列入生產要素的背景下,如何促進數據要素的價值,對于數據行業以及傳統行業的數字化轉型均有重要的意義。

《個人信息保護法》維持了《二次審議稿》的表述,是否意味著數據要素流動的收緊呢?筆者認為,這一規定,并不意味著數據要素流動的收緊,而是立法對于數據要素流動內涵更加深層的表述,但也體現了更為精準的把握(詳見《<個人信息保護法>草案二次審議稿若干問題解讀》一文,吳衛明,www.485850.com)。理由如下:


數據作為生產要素,并不等同于個人信息可以自由流動。雖然按照十四五規劃及新的生產要素理論,數據可以作為生產要素,但數據本身具有雙重性的特征。一方面,數據是相關信息的記錄,可以是企業的商業秘密、個人信息,也可以是作品信息和其他公開信息。數據利用價值的背后,往往包含著其他主體的相應權利。


對于個人信息而言,這種雙重性突出的表現是個人的信息權利(人格權范疇)如何不被濫用和侵害。個人信息是數據的重要組成部分,此類數據的直接流動,必然涉及對于個人隱私及安全利益的影響,除非個人明確知悉這種影響,并明示同意,否則,個人信息流動本身就是一個非常敏感的問題。


事實上,個人信息保護與個人信息作為數據價值的有效利用,兩者之間并不是截然對立的,而是可以在一定程度上統一。如對于個人信息進行去標識化的處理后,可以用于大數據分析和群體畫像分析,從而為精準營銷、定制化的產品開發、市場拓展提供可行的參考依據(詳見《<個人信息保護法>草案二次審議稿若干問題解讀》一文,吳衛明,www.485850.com)。此外,在安全可控的前提下,使用現有的個人信息,也可以進行相關的模型訓練。上述基于個人信息產生的模型、群體畫像、市場預測與分析、產品開發策略等數據產品,可以進入數據市場進行流通,從而產生數據流通價值。


(二)域外管轄


《個人信息保護法》在域外管轄問題上,采用了與《數據安全法》同樣的原則,《數據安全法》第二條規定了,在中華人民共和國境外開展數據處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任。


《個人信息保護法》第三條規定了可進行域外管轄的三種情形,包括(1)以向境內自然人提供產品或者服務為目的;(2)為分析、評估境內自然人的行為;(3)法律、行政法規規定的其他情形。


在第三章“個人信息跨境提供的規則”中,也明確了制裁措施。其中第四十二條規定:境外的組織、個人從事侵害中華人民共和國公民的個人信息權益,或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的,國家網信部門可以將其列入限制或者禁止個人信息提供清單,予以公告,并采取限制或者禁止向其提供個人信息等措施。


二、重要概念辨析


(一)什么是“個人信息”


針對個人信息的定義,《個人信息保護法》在《網絡安全法》以及《中華人民共和國民法典》(以下簡稱“《民法典》”)規定的“識別”的基礎上,將個人信息的識別區分為“已識別”及“可識別”表述(表1)。即,凡是與“已識別”的自然人或“可識別”的自然人有關的信息,均為個人信息。這一規定,與《網絡安全法》以及《民法典》最顯著的區別在于,前述法律均以主觀上的“識別”作為界定個人信息的基礎,而《個人信息保護法》則以客觀上的“關聯”作為界定個人信息的基礎,“已識別”或“可識別”的自然人是進行相關行判斷的參照對象。但是,對于什么是“可識別”的自然人?《個人信息保護法》并沒有進一步作出界定。筆者認為,對于可識別的判斷,可以結合《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《司法解釋》)和作為推薦性國家標準的《信息安全技術 個人信息安全規范》(以下簡稱《規范》)的規定(表1)進行判斷。在《司法解釋》與《規范》中,規定了“與其他信息結合識別特定自然人身份或者反映特定自然人個人活動情況的各種信息”,信息的組合認定是否成為“可識別”的內涵,尚有待立法的進一步完善。由此可見,《個人信息保護法》在“識別”的基礎上作出了“已識別”與“可識別”的區分,并將“關聯”的要素融合了進來,將個人信息保護的外延進一步做了完善(詳見四大維度解讀《個人信息保護法(草案)》一文,吳衛明,劉昀東,www.485850.com)。


但是,也應看到,對于什么是“有關”,即如何認定關聯性的標準,《個人信息保護法》的規定在操作性方面有所欠缺,這可能給具體的執法與司法帶來較大的自有裁量空間。因此,建議在上述規定的基礎上,同時對個人信息進行必要的列舉,以降降低對個人信息認定的不確定性。


image.png


(二)個人信息的處理的界定與方式


1、處理的界定


在《網絡安全法》第七十六條中,處理是與收集、存儲、傳輸、交換平行的概念,但在《個人信息保護法》第四條中,處理成為了上位概念,而收集、存儲、使用、加工、傳輸、提供、公開、刪除則是信息處理的具體方式。這一表述形式與《民法典》一致,與《規范》類似。這種區別可能直接影響某項具體規定的適用范圍,因此需要注意不同語境中“處理”的范圍,以便精準理解不同法律法規之間的差別。


2、處理的方式


從個人信息處理方式看,在原有的收集、存儲、使用、加工、傳輸、提供、公開之外,新增了“刪除”這一處理方式。


三、處理規則方面的重要內容


《個人信息保護法》在處理規則方面,有以下內容值得關注:


(一) 不得過度收集個人信息


《個人信息保護法》在《二次審議稿》關于處理個人信息應當具有明確、合理的目的,并應當與處理目的直接相關,采取對個人權益影響最小的方式的基礎上,在第六條增加了不得過度收集個人信息的規定。這一規定,與近年來有關部委打擊APP及其他應用過度收集個人信息的大背景有關。將其納入法律規定,有利于規范個人信息的收集活動。


(二) 數據歧視的禁止


數據歧視,是大數據運用中常見的情形,也是個人信息保護中的難點問題。對此,《個人信息保護法》進行了規制。


1、數據質量引發的歧視


《個人信息保護法》在第八條中規定了“處理個人信息應當保證個人信息的質量,避免因個人信息不準確、不完整對個人權益造成不利影響?!?/p>


這一規定,將對大數據運用質量不高而造成的數據歧視形成制約。在一些大數據運用的案例中,由于數據更新不及時或者數據的質量有瑕疵,可能導致數據分析的結論不準確,甚至會對相關自然人帶來負面評價,從而導致其合法、正當權利受到影響。比如信用數據的不準確,可能導致用戶的消費或其他經濟活動受到不利影響(詳見《<個人信息保護法>草案二次審議稿若干問題解讀》一文,吳衛明,www.485850.com)。對此,將個人信息質量作為法定義務,有助于督促個人信息處理者提升數據獲取的準確度。


2、算法引發的歧視


大數據運用中,通過用戶畫像與自動化決策方式進行信息推送、商業營銷,是較為普遍的應用場景。但是,也帶來了算法歧視、大數據殺熟等問題。對此,《個人信息保護法》第二十四條對于利用個人信息進行自動化決策作了有針對性規范:


(1)不得實行不合理差別待遇


個人信息處理者保證自動化決策的透明度和結果的公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。


(2)便捷拒絕


個人信息處理者通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷拒絕的方式.


(3)說明義務


作出對個人權益有重大影響的決定,個人有權要求予以說明,并有權拒絕僅通過自動化決策的方式作出決定。(詳見《<個人信息保護法>草案二次審議稿若干問題解讀》一文,吳衛明,www.485850.com)


(三)將人力資源管理明確納入個人信息處理范圍


《個人信息保護法》在《二次審議稿》所規定可以處理個人信息的情形之外,將“按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需”列入可以處理個人信息的范圍。


人力資源管理場景比較特殊,由于員工與企業在工作關系中,具有隸屬關系。某些情況下,公司為了達到人力資源管理的合理目的,需要處理個人信息,而勞動合同中可能對于該種情況的個人信息處理并未明確約定,如果是遵循常規的告知-同意原則,將影響勞動合同目的的實現。而如果公司依法制定的規章制度,一經員工簽署或被告知,通常被認為是勞動合同的組成部分,從而可以被認為已經完成了告知-同意程序?;诖?,《個人信息保護法》在第十三條之(二)中增加了上述規定。


(四)撤回同意的便捷化


《個人信息保護法》第十五條規定了“基于個人同意而進行的個人信息處理活動,個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式”。


撤回同意,是個人信息主體處分自身權利的一種方式。然而在實際操作中,由于個人信息處理者提供的撤回方式、撤回渠道各不相同,其中有些措施缺乏便利性,導致撤回同意的權利行使成本較高。


《個人信息保護法》規定了便捷原則,雖然對于何為便捷,并未進行展開,但是,按照通常的理解,“撤回同意”的難度不應大于“同意”的難度。也就是說,按照人們對于互聯網業務便利性的一般理解,“撤回”按鈕應該位于頁面的醒目處,或者與“個人信息保護政策”(或隱私政策)處于同樣便于閱讀的位置,且在許可范圍內逐項給出“撤回同意”的勾選項。


(五)將未成年人信息處理歸入敏感信息處理


《個人信息保護法》第三十一條將不滿十四周歲未成年人的個人信息作為敏感個人信息,并要求個人信息處理者對此制定專門的個人信息處理規則。


這一規定的設置與《兒童個人信息網絡保護規定》的要求一脈相承,將這一規定提升至法律的高度,同時更加明確了只要涉及兒童的個人信息均以個人敏感信息的標準進行保護,體現了法律對于兒童(即不滿十四周歲的未成年人)個人信息保護的重視。


(六)告知同意與例外


在《個人信息保護法》之前,告知同意原則已經體現在《消費者權益保護法》《網絡安全法》《民法典》中。其中,《民法典》明確列明了存在例外情形——“但是法律、行政法規另有規定的除外”,體現了處理者在處理前的告知義務以及取得同意的前提條件,也給予了一些例外的空間。但目前在法律、行政法規層面,例外情形散見在不同規定中,比如《傳染病防治法》中即有對發現傳染病人病人向疾病預防控制機構報告義務的規定。(詳見《<個人信息保護法>草案二次審議稿若干問題解讀》一文,吳衛明,www.485850.com)在這種情況下,報告義務與取得個人同意義務構成競合,可以理解為是一種例外情形,但是對于適用者來說仍然不夠明確。而《規范》雖然規定了十一種更為明確的例外情形,但其法律層級較低,作為法律依據來說仍不夠充分。


《個人信息保護法》第十三條將合同必需、處理人力資源事項、法定責任、緊急情況、合理處理已公開信息、公共利益的報道與監督等六種情況列入告知同意的例外情形。此外,在《個人信息保護法》之中還存在另外一種例外情形,即第二十六條關于公共場所安裝的圖像采集、個人身份識別設備的規定,如果設置了顯著的提示標識,并且采集的個人圖像、個人身份特征信息用于維護公共安全的目的,則并未要求取得個人同意。如用于其他目的,需要取得個人單獨同意。


(七)國家機關的特別規定


在處理者中,國家機關屬于比較特殊的一種?!秱€人信息保護法》明確規定,在履行法定職責的情形下,告知同意仍然為基本原則,需要遵照執行,而將保密要求及妨礙情形作為例外。


而三十四條則規定了國家機關為履行法定職責處理個人信息…不得超出履行法定職責所必需的范圍和限度。對于什么是履行法定職責必需的范圍和限度,規定較為籠統。但是,需要考慮的是,在各地智慧城市發展的大背景下,運用公共數據為社會提供公共服務,是否屬于履行法定職責所必需的范圍和限度?是需要進一步思考的問題。


四、個人權利層面做了更加明確的界定


在《個人信息保護法》發布前,《網絡安全法》、《消費者權益保護法》都對個人信息相關的個人權利作出過規定。主要是圍繞“告知-同意”原則,規定了個人信息主體擁有知情權、同意權,未經同意不被收集、使用個人信息的權利。但最為明確、易于操作的還是《個人信息安全規范》中的規定,明確了查詢、更正、補充、刪除、撤回授權同意、注銷賬戶、獲取個人信息副本、被響應等個人信息主體權利。


《個人信息保護法》汲取了《個人信息安全規范》中有益經驗,并且在《個人信息安全規范范》原有查詢、更正、補充、刪除、撤回授權同意、被響應的基礎上,通過第四十四條至第五十條對個人在個人信息處理活動中的權利做了更加清晰的界定。值得關注的新增重要內容如下:


(一)個人信息的可攜帶權


《個人信息保護法》第四十五條在《二次審議稿》規定的基礎上,除了繼續規定個人有權向個人信息處理者查閱、復制其個人信息的情況外,還規定了個人信息的可攜帶權。即:個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑。


長期以來,各個互聯網平臺將用戶個人視為其重要的財產性權益,在依照請求刪除個人信息之外,通常并不協助或配合將個人信息轉移至其他個人制定的數據處理者。法律對于個人信息可攜帶權的規定,有利于個人自由處理其個人信息,對于信息跨平臺轉移提供了便利條件,也有利于打破數據壟斷和數據孤島(詳見《數據可攜帶的若干問題解析》一文,吳衛明)。


(二)逝者個人信息保護規則


針對個人去世以后,其生前使用的賬號是否仍有效以及其他人、何人有權利處置其生前使用的網絡賬號之類的問題,在近幾年愈發得到社會的關注。筆者認為,這一問題涉及個人信息的法律屬性問題,如果要對其進行明確的規定,勢必要對個人信息是否具備財產屬性予以明晰。


《個人信息保護法》第四十九條規定,自然人死亡的,其近親屬為了自身的合法、正當利益,可以對死者的個人信息行使本章規定的查閱、復制、更正、刪除等權利;死者生前另有安排的除外。


對比《二次審議稿》的規定,“自然人死亡的,本章規定的個人在個人信息處理活動中的權利,由其近親屬行使?!笨梢钥闯?,《二次審議稿》對待死者的個人信息,采取了類似于“繼承”的立法原則。這一處理方法,似乎是賦予了個人信息某種類似于“財產性權益”的保護方法。


從正式通過的《個人信息保護法》來看,并未就法律屬性這一問題進行明確的回應,而是從近親屬權益保護及逝者遺愿明確的角度出發,并沒有賦予近親屬全部的權利,而是在有限度范圍內,遵從逝者的意愿,遵循合法、正當的原則,允許近親屬查閱、復制、更正、刪除逝者的個人信息。這一處理方式,顯然更加符合個人信息作為人格權的屬性。


五、個人信息處理者責任層面


為了維護國家利益、保障個人權利,《個人信息保護法》通過處理規則和專門義務的方式列出了處理者責任?!秱€人信息保護法》在三次審議的過程中逐漸豐滿和充實,其中關于個人信息保護的措施也更加落地和細化,具備實操性和現實性?!秱€人信息保護法》在第五章規定了個人信息處理者的一些常規義務,如(1)采取必要保護措施;(2)大量個人信息處理者的專人負責;(3)境外處理者的專人負責;(4)定期審計;(5)個人信息影響評估與記錄;(6)泄露事件的補救措施與通知等。這些規定的表述雖然與《網絡安全法》并不完全相同,但總體思路大致相似。


本文將重點關注《個人信息保護法》的相關亮點:


(一)個人信息專人保護制度


《個人信息保護法》對于達到一定數量的個人信息處理者,以及境外的個人信息處理者,規定了“個人信息保護負責人”或“專門機構與指定代表” (詳見《<個人信息保護法>草案二次審議稿若干問題解讀》一文,吳衛明,www.485850.com)制度。


五十二條,針對的是“處理個人信息達到國家網信部門規定數量的個人信息處理者”,其應指定個人信息保護負責人,并應公開個人信息保護負責人的聯系方式, 并將個人信息保護負責人的姓名、聯系方式等報送履行個人信息 保護職責的部門。


五十三條,針對的是“中華人民共和國境外的個人信息處理者”,其應在中華人民共和國境內設立專門機構或者指定代表,負責處理個人信息保護相關事務,并將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門。


(二)重要互聯網平臺的特定義務


《個人信息保護法》第五十八條規定了提供基礎性互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者的特定義務。具體包括:


1、 按照國家規定建立健全個人信息保護合規制度體系

明確平臺需要建立健全個人信息保護合規制度體系,從而將“合規”體系的構建上升到法律層面。這一規定是《個人信息保護法》的新增內容,在《二次審議稿》中,并未出現。合規制度法制化,體現了立法機關希望企業通過自身合規建設降低個人信息處理的法律風險,提升數據治理水平的立法目標。


2、 引入外部人員組成獨立機構


成立主要由外部成員組成的獨立機構,對個人信息處理活動進行監督。這一制度設定,強化了外部監督力量的介入。由于重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者,其所擁有的個人信息具有非常巨大的利用價值,企業自身的內部控制制度、數據合規制度,在執行過程中,是否能夠真正落到實處,需要引入外部力量進行必要的監督(詳見《<個人信息保護法>草案二次審議稿若干問題解讀》一文,吳衛明,www.485850.com)。


3、 平臺監督職責


該條款規定:“對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者,停止提供服務?!边@一規定,與電子商務法中所規定的電子商務平臺經營者對平臺內電子商務經營者相關產品質量、知識產權、消費者保護的監督責任類似。


4、 社會責任報告


該條款還規定,定期發布個人信息保護社會責任報告,接受社會監督。按照這一原則,個人信息處理不僅僅是平臺與個人信息主體之間的關系,更是平臺社會責任的體現。


當然,對于社會責任報告應如何撰寫,哪些是必備內容,《個人信息保護法》未作規定,仍需法律授權監管機構做出進一步的規定。


(三)個人信息保護影響評估


《個人信息保護法》與《二次審議稿》相比,將“風險評估”改為“個人信息保護影響評估”?!秱€人信息保護法》第五十五條規定,(一)處理敏感個人信息;(二)利用個人信息進行自動化決策;(三)委托處理個人信息、向其他個人信息處理者(原表述:他人)提供個人信息、公開個人信息;(四)向境外提供個人信息;(五)其他對個人權益有重大影響的個人信息處理活動,應當事前進行個人信息保護影響評估(原表述:風險評估),并對處理情況進行記錄。


將“風險評估”改為“個人信息保護影響評估”是因為影響的外延大于風險,風險只是對于個人信息保護影響的重要因素,而非全部內涵。因此,從嚴謹的角度,用“個人信息保護影響評估”更能體現對于個人信息保護的全面性立法原則。


六、跨境傳輸及安全評估


與《個人信息出境安全評估辦法(征求意見稿)》相比,《個人信息保護法》不再將安全評估作為必要前提,而是在第三十八條規定了四種條件,應至少具備其中一種:(1)通過國家網信部門組織的安全評估;(2)通過專業機構的個人信息保護認證;(3)按照國家網信部門制定的標準合同與境外接收方訂立合同,明確雙方權利義務;(4)法律、 行政法規或者國家網信部門規定的其他條件。


對比《個人信息出境安全評估辦法(征求意見稿)》,《一次審議稿》及《二次審議稿》增加了標準合同的表述。這一標準合同的設置,意味著國家網信部門可以通過標準化合同條款來具體引導個人信息跨境提供的權利義務約定,從而更好地約束各方的行為;另外,通過標準合同條款,也可以提高跨境個人信息提供的合同簽訂效率。


《個人信息保護法》則進一步刪除了個人信息處理者在簽訂標準合同后“并監督其(境外接收方)個人信息處理活動達到本法規定的個人信息保護標準”??梢钥闯?,立法過程種,個人信息出境的限制規則在逐步放寬。


應當注意的是,當處理者屬于關鍵信息基礎設施運營者(可參考《關鍵信息基礎設施安全保護條例》,已于2021年7月30日發布,將于2021年9月1日起施行)或者處理的個人信息達到國家網信部門規定數量,則安全評估將成為硬性要求。


七、突出社會第三方機構的治理作用


《個人信息保護法》第六十四條規定:“履行個人信息保護職責的部門在履行職責中,發現個人信息處理活動存在較大風險或者發生個人信息安全事件的,可以按照規定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談,或者要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。個人信息處理者應當按照要求采取措施,進行整改,消除隱患?!?/p>

按照這一規定,委托專業機構對個人信息處理活動進行合規審計,是企業或其他機構在面臨風險或發生信息安全事件時,可以采取的一種補救措施。對于合規審計所發現的問題,個人信息處理者應當按照要求采取措施,進行整改,消除隱患。


專業機構審計的適用場景聚焦為“發現個人信息處理活動存在較大風險或者發生個人信息安全事件的”。在發生風險事件時,引入專業機構進行合規審計,體現了專業機構在風險應對方面的重要作用。


然而,對于什么樣的機構可以作為合規審計機構,《個人信息保護法》并未規定,仍需監管機構通過相關規則進一步予以明確。


八、處罰規則


《個人信息保護法》在處罰的措施的多樣性與處罰力度方面,均比之前的立法有大幅度的提升。第六十六條尤其具有代表性,該條針對違法處理個人信息,或者處理個人信息未履行《個人信息保護法》所規定個人信息保護義務的,設置了三類處罰措施:


1、暫?;蚪K止服務


對違法處理個人信息的應用程序,責令暫?;蛘呓K止提供服務。這一類型的處罰措施在某出行APP違法處理個人信息案例中已經得到適用。


2、大額罰款


針對法行為情節嚴重的,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照(詳見《<個人信息保護法>草案二次審議稿若干問題解讀》一文,吳衛明,www.485850.com)。


這一經濟處罰措施,對于企業而言,意味著合規不再是可有可無,而是關系到企業實實在在的經濟利益和生死存亡。


3、市場禁入


對于違法企業直接負責的主管人員和其他直接責任人員,并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。


《個人信息保護法》罰則的設計,在我國法律中是罕見的,在吸取國際經驗的同時,也顯示了國家的重視程度。


總結

縱觀《個人信息保護法》全文,明確從個人信息保護的角度出發,將個人權益置于重點位置,以規范處理活動為核心,與《網絡安全法》、《數據安全法》相互補充,將原來規定在《個人信息安全規范》中的許多內容提升至法律層級并做出了適當調整。同時,也將合規理念貫穿其中。


《個人信息保護法》的順利公布,無疑將深刻影響到互聯網、信息技術行業、其他掌握個人信息行業的個人信息處理行為。為保護個人信息的同時,也將給企業帶來新的機遇與挑戰,企業個人信息保護及治理能力將成為企業的重要競爭力。


對于重視個人信息保護,并且數據與個人信息保護合規體系成熟的企業而言,個人信息保護法將成為合規壁壘,將合規能力弱的企業擋在市場之外。對于企業而言,應按照《個人信息保護法》及相關規則的要求,建立或完善、優化自身的個人信息保護及數據安全合規體系,從而降低自身的法律風險。


久久久一本精品99久久精品66