媒體報道

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2021 > 正文

《個人信息保護(hù)法》解讀看這一篇就夠了

閱讀量：次

8月20日，十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護(hù)法》，自2021年11月1日起施行。

《中華人民共和國個人信息保護(hù)法》全文發(fā)布，安恒信息專家結(jié)合全文給出詳細(xì)解讀。

立法背景

隨著信息化與經(jīng)濟社會持續(xù)深度融合，網(wǎng)絡(luò)已成為生產(chǎn)生活的新空間、經(jīng)濟發(fā)展的新引擎、交流合作的新紐帶。截至2020年12月，我國互聯(lián)網(wǎng)用戶已達(dá)9.89億，互聯(lián)網(wǎng)網(wǎng)站超過443萬個、應(yīng)用程序數(shù)量超過345萬個，個人信息的收集、使用更為廣泛。

雖然近年來我國個人信息保護(hù)力度不斷加大，但在現(xiàn)實生活中，一些企業(yè)、機構(gòu)甚至個人，從商業(yè)利益等出發(fā)，隨意收集、違法獲取、過度使用、非法買賣個人信息，利用個人信息侵?jǐn)_人民群眾生活安寧、危害人民群眾生命健康和財產(chǎn)安全等問題仍十分突出。從2020年中信銀行泄露脫口秀演員池子個人信息案件以及各大平臺的“大數(shù)據(jù)殺熟”、今年“3·15”爆出的各種個人隱私泄露事件，似乎在告訴我們一個不大愿意相信但確實已經(jīng)存在了的事實：經(jīng)營者在數(shù)字技術(shù)上應(yīng)用的更加專業(yè)、純熟，消費者就越發(fā)的處于弱勢地位，個人隱私已成為經(jīng)營者手中用于交換利益的廉價或免費的籌碼。

為進(jìn)一步加強個人信息保護(hù)法制保障、維護(hù)網(wǎng)絡(luò)空間良好生態(tài)、促進(jìn)數(shù)字經(jīng)濟健康發(fā)展，制定本法。

立法過程

2019年3月5日第十三屆全國人大常委會第二次會議，將制定《中華人民共和國個人信息保護(hù)法》列入本屆立法規(guī)劃。

2020年10月13日第十三屆全國人大常委會第二十二次會議對《中華人民共和國個人信息保護(hù)法（草案）》進(jìn)行了初次審議。

2021年4月26日第十三屆全國人大常委會第二十八次會議對《中華人民共和國個人信息保護(hù)法（草案二審稿）》進(jìn)行了審議，在一審稿的基礎(chǔ)上主要修訂增加內(nèi)容如下：

進(jìn)一步完善明確個人信息處理應(yīng)遵循的原則；
參照民法典中的規(guī)定，增加了對死者的個人信息保護(hù)條款；
增加了超大互聯(lián)網(wǎng)平臺特定的個人信息保護(hù)義務(wù)的要求；
明確了由國家網(wǎng)信部門統(tǒng)籌推進(jìn)個人信息保護(hù)有關(guān)工作；
明確了個人信息侵權(quán)行為的歸責(zé)原則為過錯推定。

2021年8月20日第十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護(hù)法》，自2021年11月1日起施行。在二審稿的基礎(chǔ)上主要修訂增加內(nèi)容如下：

在第一條中增加規(guī)定“根據(jù)憲法”制定本法；
進(jìn)一步完善個人信息處理規(guī)則，特別是對應(yīng)用程序（APP）過度收集個人信息、大數(shù)據(jù)殺熟以及非法買賣、泄露個人信息等作出針對性規(guī)范；
將未成年人的個人信息作為敏感個人信息，并制定專門的處理規(guī)則；
完善個人信息跨境提供的規(guī)則；
增加個人信息可攜帶權(quán)的規(guī)定，完善死者個人信息保護(hù)的規(guī)定；
完善個人信息保護(hù)投訴、舉報工作機制及對違法處理個人信息涉嫌犯罪案件的移送提出明確要求。

本法結(jié)構(gòu)

《個人信息保護(hù)法》全文涵蓋了八章，七十四條內(nèi)容。分別為總則、個人信息處理規(guī)則、個人信息跨境提供的規(guī)則、個人在個人信息處理活動中的權(quán)利、個人信息處理者的義務(wù)、履行個人信息保護(hù)職責(zé)的部門、法律責(zé)任和附則。

第一章?總則（12條）
第二章個人信息處理規(guī)則（25條）
第三章個人信息跨境提供的規(guī)則（6條）
第四章?個人在個人信息處理活動中的權(quán)利（7條）
第五章個人信息處理者的義務(wù)（9條）
第六章履行個人信息保護(hù)職責(zé)的部門（6條）
第七章法律責(zé)任（6條）
第八章附則（3條）

要點解讀

1、術(shù)語界定

個人信息：是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

個人信息的處理：包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

敏感個人信息：一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

2、范圍界定

境內(nèi)：組織、個人在中華人民共和國境內(nèi)處理自然人個人信息的活動，適用本法。

境外：在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個人信息的活動，有下列情形之一的，也適用本法：

以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；
分析、評估境內(nèi)自然人的行為；
法律、行政法規(guī)規(guī)定的其他情形。

另：境外的個人信息處理者，應(yīng)當(dāng)在中華人民共和國境內(nèi)設(shè)立專門機構(gòu)或者指定代表，負(fù)責(zé)處理個人信息保護(hù)相關(guān)事務(wù)，并將有關(guān)機構(gòu)的名稱或者代表的姓名、聯(lián)系方式等報送履行個人信息保護(hù)職責(zé)的部門。

3、個人信息處理規(guī)則

確立個人信息處理應(yīng)遵循的原則，強調(diào)處理個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則，具有明確、合理的目的，限于實現(xiàn)處理目的的最小范圍，公開處理規(guī)則，保證信息準(zhǔn)確，采取安全保護(hù)措施等，并將上述原則貫穿于個人信息處理的全過程、各環(huán)節(jié)。(第五條至第九條)

確立以“告知-同意”為核心的個人信息處理一系列規(guī)則，要求處理個人信息應(yīng)當(dāng)在事先充分告知的前提下取得個人同意，并且個人有權(quán)撤回同意；重要事項發(fā)生變更的應(yīng)當(dāng)重新取得個人同意；不得以個人不同意為由拒絕提供產(chǎn)品或者服務(wù)?？紤]到經(jīng)濟社會生活的復(fù)雜性和個人信息處理的不同情況，本法還對基于個人同意以外合法處理個人信息的情形作了規(guī)定。(第十三條至第十九條)

根據(jù)個人信息處理的不同環(huán)節(jié)、不同個人信息種類，對個人信息的共同處理、委托處理、向第三方提供、公開、用于自動化決策、處理已公開的個人信息等提出有針對性的要求。(第二十一條至第二十七條)

設(shè)專節(jié)對處理敏感個人信息作出更嚴(yán)格的限制，只有在具有特定的目的和充分的必要性的情形下，方可處理敏感個人信息，并且應(yīng)當(dāng)取得個人的單獨同意或者書面同意。(第二十八條至第三十二條)

設(shè)專節(jié)規(guī)定國家機關(guān)處理個人信息的規(guī)則，在保障國家機關(guān)依法履行職責(zé)的同時，要求國家機關(guān)處理個人信息應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限和程序進(jìn)行。(第三十三條至第三十七條)

4、個人信息跨境提供規(guī)則

明確關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的處理者，確需向境外提供個人信息的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估；對于其他需要跨境提供個人信息的，規(guī)定了經(jīng)專業(yè)機構(gòu)認(rèn)證等途徑。(第三十八條、第四十條)

對跨境提供個人信息的 “告知-同意”作出更嚴(yán)格的要求。(第三十九條，應(yīng)告知接收方詳細(xì)信息，并取得單獨同意)

未經(jīng)中華人民共和國主管機關(guān)批準(zhǔn)，個人信息處理者不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的個人信息。(第四十一條)

對從事?lián)p害我國公民個人信息權(quán)益等活動的境外組織、個人，以及在個人信息保護(hù)方面對我國采取不合理措施的國家和地區(qū)，規(guī)定了可以采取的相應(yīng)措施。(第四十二條、第四十三條，國家網(wǎng)信部門可以將其列入限制或者禁止個人信息提供清單，予以公告，并采取限制或者禁止向其提供個人信息等措施。)

5、個人信息處理活動中個人的權(quán)利和處理者義務(wù)

與民法典的有關(guān)規(guī)定相銜接，明確在個人信息處理活動中個人的各項權(quán)利，包括知情權(quán)、決定權(quán)、查詢權(quán)、更正權(quán)、刪除權(quán)等，并要求個人信息處理者建立個人行使權(quán)利的申請受理和處理機制。(第四十四條至第五十條)

明確個人信息處理者的合規(guī)管理和保障個人信息安全等義務(wù)(第五十一條至第五十六條)

按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程，采取相應(yīng)的安全技術(shù)措施，并指定負(fù)責(zé)人對其個人信息處理活動進(jìn)行監(jiān)督；
定期對其個人信息活動進(jìn)行合規(guī)審計；
對處理敏感個人信息、向境外提供個人信息等高風(fēng)險處理活動，事前進(jìn)行風(fēng)險評估；
履行個人信息泄露通知和補救義務(wù)等。

明確提供基礎(chǔ)性互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者的義務(wù)(第五十七條)

建立健全個人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨立機構(gòu)，對個人信息處理活動進(jìn)行監(jiān)督；
遵循公開、公平、公正的原則，明確處理個人信息的規(guī)范和保護(hù)個人信息的義務(wù)；
對嚴(yán)重違反法律、行政法規(guī)處理個人信息的平臺內(nèi)的產(chǎn)品或者服務(wù)提供者，停止提供服務(wù)；
定期發(fā)布個人信息保護(hù)社會責(zé)任報告，接受社會監(jiān)督。

6、履行個人信息保護(hù)職責(zé)的部門

個人信息保護(hù)職責(zé)部門的定義。（第六十條）

國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個人信息保護(hù)工作和相關(guān)監(jiān)督管理工作。
國務(wù)院有關(guān)部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)個人信息保護(hù)和監(jiān)督管理工作。
縣級以上地方人民政府有關(guān)部門的個人信息保護(hù)和監(jiān)督管理職責(zé)，按照國家有關(guān)規(guī)定確定。

明確個人信息保護(hù)部門的職責(zé)。(第六十一條、第六十二條)

個人信息保護(hù)部門可以采用的措施，包括詢問、查閱、復(fù)制資料、現(xiàn)場檢查、檢查設(shè)備及物品、查封或者扣押、約談主要負(fù)責(zé)人、進(jìn)行合規(guī)審計等。(第六十三條、第六十四條)

對個人信息違法活動的投訴、舉報及處置進(jìn)行規(guī)定。(第六十五條)

7、法律責(zé)任

違反規(guī)定。（第六十六條）

責(zé)令改正，給予警告，沒收違法所得；
拒不改正的，并處一百萬元以下罰款;
相關(guān)責(zé)任人：一萬元以上十萬元以下罰款；

情節(jié)嚴(yán)重。（第六十六條）

責(zé)令改正，沒收違法所得；
五千萬元以下或者上一年度營業(yè)額百分之五以下罰款；
責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照；
相關(guān)責(zé)任人：十萬元以上一百萬元以下罰款；

存在違法行為的依照有關(guān)規(guī)定記入信用檔案，并予以公示。（第六十七條）

國家機關(guān)不履行保護(hù)義務(wù)的處罰進(jìn)行規(guī)定。（第六十八條）

個人信息侵權(quán)行為的歸責(zé)原則為過錯推定。（第六十九條）

個人信息主體可以對侵權(quán)行為發(fā)起集體訴訟。（第七十條）

與治安管理、刑法相銜接。（第七十一條）

熱點聚焦

因為涉及面廣、影響范圍大、發(fā)生頻率高，廣大人民群眾苦“個人信息濫用”久矣，因此本法第第二十四、第二十六條專門針對個人信息的濫用這一社會熱點問題進(jìn)行了明確規(guī)定。

1、針對新技術(shù)新引用進(jìn)行了高度關(guān)注

第二十四條個人信息處理者利用個人信息進(jìn)行自動化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。通過自動化決策方式向個人進(jìn)行信息推送、商業(yè)營銷，應(yīng)當(dāng)同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。通過自動化決策方式作出對個人權(quán)益有重大影響的決定，個人有權(quán)要求個人信息處理者予以說明，并有權(quán)拒絕個人信息處理者僅通過自動化決策的方式作出決定。

針對當(dāng)前社會各方面對于用戶畫像、算法推薦等新技術(shù)新應(yīng)用高度關(guān)注，對相關(guān)產(chǎn)品和服務(wù)中存在的信息騷擾、“大數(shù)據(jù)殺熟”等問題強烈反應(yīng)。個人信息保護(hù)法立足于維護(hù)廣大人民群眾的網(wǎng)絡(luò)空間合法權(quán)益，對利用個人信息進(jìn)行自動化決策作出有針對性規(guī)范，明確要求提供個人拒絕的選項。

2、針對公共場所安裝攝像頭有了明確規(guī)定

第二十六條在公共場所安裝圖像采集、個人身份識別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，遵守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識。所收集的個人圖像、身份識別信息只能用于維護(hù)公共安全的目的，不得用于其他目的；取得個人單獨同意的除外。

人臉識別是人工智能技術(shù)的重要應(yīng)用，在為社會生活帶來便利的同時，其所帶來的個人信息保護(hù)問題也日益凸顯?！?·15晚會”曝光人臉識別技術(shù)濫用亂象、“我國人臉識別第一案”中強制顧客激活人臉識別系統(tǒng)等，體現(xiàn)出人臉識別技術(shù)廣泛應(yīng)用與個人信息保護(hù)的矛盾日益尖銳。個人信息保護(hù)法做了明文規(guī)定，只能用于公共安全。

我國“十四五”規(guī)劃、“新基建”等政策將持續(xù)深入推進(jìn)數(shù)據(jù)要素安全管控和市場化，提升社會數(shù)據(jù)資源價值。信息化時代，個人信息保護(hù)已成為廣大人民群眾最關(guān)心最直接最現(xiàn)實的利益問題之一。未來，數(shù)據(jù)安全及個人信息保護(hù)能力將成為政企數(shù)字化轉(zhuǎn)型成果的“試金石”。隨著《數(shù)據(jù)安全法》、《個人信息保護(hù)法》等法律實施，表明我國數(shù)據(jù)安全保護(hù)已進(jìn)入法制化時代，更是國家安全戰(zhàn)略的核心部分。

安恒信息站在時代與理論前沿，為客戶提供多場景下的數(shù)據(jù)安全解決方案，包含數(shù)據(jù)安全咨詢規(guī)劃、數(shù)據(jù)安全防護(hù)體系建設(shè)、數(shù)據(jù)安全運營服務(wù)的數(shù)據(jù)安全治理體系建設(shè)方案。安恒信息提出以“CAPE”數(shù)據(jù)安全能力框架為核心的數(shù)據(jù)安全管控體系，包含數(shù)據(jù)安全管控、數(shù)據(jù)可控流通、數(shù)據(jù)可信融合計算三大核心能力，實現(xiàn)數(shù)據(jù)“可用不可見”的安全目標(biāo)，持續(xù)為數(shù)字經(jīng)濟產(chǎn)業(yè)的培育、發(fā)展貢獻(xiàn)力量。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>