2022年度《八五普法导读》---五、中华人民共和国个人信息...

admin

                 

立法背景

随着移动互联生态的崛起，我们所有人都被包围在一个由互联网编织而成的世界中。从购物到生活、从学习到工作，中国的互联网建设已经遍及到了村级，除了荒山野岭等人迹罕至的地方，你几乎可以在任何地方收到网络信号。大数据给我们的生活带来了很多便利，但甘蔗没有两头甜，随之而来的个人信息安全的问题日益严重，买房信息泄露、 App过度收集信息、视频平台索要会员照片等现象频频出现在我们身边，极大地影响了人们的个人安全，社会对个人信息保护立法的需求越来越迫切。

习近平总书记指出：“网信事业发展必须贯彻以人民为中心的发展思想，把增进人民福祉作为信息化发展的出发点和落脚点，让人民群众在信息化发展中有更多获得感、幸福感、安全感。 ”2021年 8月 20日，第十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》），于 2021年 11月 1日正式施行。

《个人信息保护法》是个人信息保护领域的首部专门立法，是继 2015年《刑法修正案（五）》开启个人信息保护以来，经历《刑法修正案（七）》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络安全法》等之后，对《民法典》总则编、人格权编中有关个人信息保护的内容进行了更为细化和系统的规定，是在个人信息保护方面的“集大成者”和“终极版本”，为个人信息保护筑起法律的“铜墙铁壁”，为企业规范利用个人信息提供指引，也为数字经济在法治轨道上健康发展提供了法治保障。

内容解读

1.个人信息处理的底线规则

2021年，工信部陆续对外通报多批侵害用户权益行为的 App，南方航空、春秋航空等 App因超范围收集个人信息， App强制、频繁、过度索取权限，强制用户使用定向推送功能等被通报；格林、我行我宿、驴妈妈旅游等 App因违规收集个人信息被通报。对于收集个人信息的 App，《个人信息保护法》规定了要遵循的五个基本规则：一是遵循合法、正当、必要和诚信原则；二是采取对个人权益影响最小的方式，限于实现处理目的的最小范围原则；三是处理个人信息应当遵循公开、透明原则；四是处理个人信息应当保证个人信息质量原则；五是采取必要措施确保个人信息安全原则等。以上个人信息处理原则，划出了维护公共安全所必须遵循的底线规则，充分体现出对人民群众迫切需求的积极回应。

2.以“告知—知情—同意”为核心的个人信息处理规则

“告知—同意”这一个人信息处理规则，在《网络安全法》《消费者权益保护法》以及《民法典》等法律中均有规定。然而，2021年央视“ 3·15”晚会爆料，多家知名商店安装人脸识别摄像头，海量人脸信息被收集，却没有一个商家明确告知消费者，并征得其同意。针对这类问题，《个人信息保护法》构建了以“告知—知情—同意”为核心的个人信息处理规则体系。个人信息处理者“告知”的目的是确保被告知者充分“知情”，只有被告知者在充分知情的前提下才能自愿、明确地作出决定。为此，《个人信息保护法》明确规定：基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。

3.政府是提高网络综合治理水平的“管理员”，是个人信息的“守护者”

对保护个人信息，政府应该加强监管。政府应当努力践行其在个人信息保护中的职责，扮演好自身角色。一是加强网络环境监管，构建安全稳定的网络环境。网络技术的提高给时代发展带来巨大红利，但也导致个人信息安全问题日趋严峻、公民个人信息泄露严重，因此加强网络信息保护、加大网络管理力度、维系健康有序的网络环境是保护公民个人信息安全的根本。二是加大对《个人信息保护法》的宣传力度，提高公民自我保护意识。目前，公民对个人信息安全保护的重视程度不够，对个人信息安全保护的意识不强，对《个人信息保护法》了解程度不高，因此，政府应当采取多样化的方式进行法律宣传，如进行法律宣讲，在街道、社区、学校等地通过讲座等形式进行宣传。三是政府以身作则保护公民个人信息。政府对于采集的公民个人信息，必须加强管理，提倡使用内网以防信息泄露，加强内部监管以防信息被盗。

4.企业要走好个人信息保护和利用的“平衡木”

国家移动互联网应用安全管理中心数据显示，《个人信息保护法》2021年 11月 1日实施以来，仍有 44款 App被发现存在隐私不合规行为，其中不乏如多点、亚马逊购物等安装量超过千万次的热门 App。2020年 8月，不法分子与圆通快递多个“内鬼”勾结，通过有偿租用圆通员工系统账号盗取公民个人信息，再层层倒卖，导致 40万条公民个人信息被泄漏。多起案件表明，企业作为个人信息处理重要主体之一，必须在法律规定的范围内行事，平衡好个人信息保护与利用的关系：一是持续完善合规制度体系，杜绝过度收集用户个人信息。企业作为信息收集的主体，必须严格按照国家相关法律法规、标准对 App索要权限执行“最小必要”原则的严格管理，合法合规收集使用用户个人信息。二是打好技术“补丁”，升级保护系统。企业必须做好个人信息的“守卫者”，加大技术投入，打好技术“补丁”，以防收集的个人信息泄露。三是积极构建全方位立体化监督体系，提高信息存储安全度。企业“内鬼”出现以致个人信息泄露的事件时有发生，企业内部必须严格信息管理制度，建立日常监测机制，加强对员工的监督与管理，杜绝用户个人信息悄无声息被泄露。

5.敏感个人信息处理，要慎之又慎

2020年 4月，一起代号为“ 3·26”的特大贷款类电信网络诈骗案被江苏省公安机关成功侦破。不法分子之所以能够对受害人实施精准诈骗，关键在于一些非法网络推广团伙获取了 40万条贷款申请人的个人信息，并以每条 30至 50元不等的价格出售给电信网络诈骗分子，受害人达 4700名，涉案金额 1.1亿元。申请贷款的个人信息属于《个人信息保护法》中的敏感个人信息。因为敏感个人信息一旦泄露或者被非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

《个人信息保护法》对处理敏感个人信息作出了严格的限制性规定，即在履行“告知—知情—同意”原则的基础上，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。特别是处理敏感个人信息应当取得个人的单独同意，如果法律、行政法规规定处理敏感个人信息应当取得书面同意的，应当从其规定。

6.严禁“大数据杀熟”以及为“用户画像”等涉及不当自动化决策

如果我们在同一时间、同一平台店铺，用不同手机下单同样的三杯奶茶，可能会发现，未下过单的手机上的费用比数次下单的手机上的费用低几块钱。这就是人们常说的“大数据杀熟”问题。《个人信息保护法》对于这类大数据杀熟、用户画像等热点问题作出了明确规范：第一，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇；第二，通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式；第三，通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

7.加大打击力度，杜绝“有恃无恐”的违法行为

为了确保个人信息处理者遵守个人信息保护之义务，严格规范个人信息的处理活动，《个人信息保护法》设置了严格的行政和民事法律责任。对违法处理个人信息，或者处理个人信息未履行法定的个人信息保护义务设置了三项法律责任：一是由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；二是拒不改正的，并处一百万元以下罚款；三是对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。如果有上述规定的违法行为且情节严重的，违法主体将最高可处五千万元以下或者上一年度营业额百分之五以下的罚款。以某电商企业为例，其 2019年的中国销售额为 4557.12亿元，如果处以顶格的 5%罚款，那么罚款总额将会达到 227.856亿元。如此高额的罚款，足以让大多数公司对侵犯个人信息的行为望而却步。

条文链接

《个人信息保护法》第十三条  符合下列情形之一的，个人信息处理者方可处理个人信息：（一）取得个人的同意；（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；（三）为履行法定职责或者法定义务所必需；（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；（七）法律、行政法规规定的其他情形。依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

《个人信息保护法》第二十八条  敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

《个人信息保护法》第六十六条  违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。