数字时代下个人信息的“保护神” ——《个人信息保护法(草案)》解读
关于《中华人民共和国个人信息保护法(草案)》的说明
关于《中华人民共和国个人信息保护法(草案)》的说明文章属性•【公布机关】全国人大常委会•【公布日期】2020.10.13•【分类】立法草案及其说明正文关于《中华人民共和国个人信息保护法(草案)》的说明——2020年10月13日在第十三届全国人民代表大会常务委员会第二十二次会议上全国人大常委会法制工作委员会副主任刘俊臣委员长、各位副委员长、秘书长、各位委员:我受委员长会议的委托,作关于《中华人民共和国个人信息保护法(草案)》的说明。
一、关于制定本法的必要性随着信息化与经济社会持续深度融合,网络已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带。
截至2020年3月,我国互联网用户已达9亿,互联网网站超过400万个、应用程序数量超过300万个,个人信息的收集、使用更为广泛。
虽然近年来我国个人信息保护力度不断加大,但在现实生活中,一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。
在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。
社会各方面广泛呼吁出台专门的个人信息保护法,本届以来,全国人大代表共有340人次提出39件相关议案、建议,全国政协委员共提出相关提案32件。
党中央高度重视网络空间法治建设,对个人信息保护立法工作作出部署。
习近平总书记多次强调,要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益,对加强个人信息保护工作提出明确要求。
为及时回应广大人民群众的呼声和期待,落实党中央部署要求,制定一部个人信息保护方面的专门法律,将广大人民群众的个人信息权益实现好、维护好、发展好,具有重要意义。
第一,制定个人信息保护法是进一步加强个人信息保护法制保障的客观要求。
党的十八大以来,全国人大及其常委会在制定关于加强网络信息保护的决定、网络安全法、电子商务法、修改消费者权益保护法等立法工作中,确立了个人信息保护的主要规则;在修改刑法中,完善了惩治侵害个人信息犯罪的法律制度;在编纂民法典中,将个人信息受法律保护作为一项重要民事权利作出规定。
浅析大数据时代个人信息的法律保护
浅析大数据时代个人信息的法律保护随着大数据时代的到来,个人信息的获取、存储、利用和传播已经成为一种全新的挑战。
在这个数字化信息丰富的时代,个人信息的保护已经成为社会和政府关注的焦点。
而在法律保护方面,我们还需要深入浅析大数据时代个人信息的法律保护。
大数据时代带来了巨大的信息积累和传播的便利,在这样的环境下,个人信息的保护显得尤为重要。
大数据时代的个人信息包括个人的基本信息、健康信息、消费行为、社交网络、甚至包括个人的思想、信仰、性取向等隐私信息,这些信息对于个人来说具有极高的敏感性和私密性,一旦被不法分子或者不法机构窥视、获取和利用,就会严重侵犯个人信息的隐私权和个人的合法权益。
大数据时代的个人信息法律保护是一个系统性的工程。
我们需要建立一个完善的法律框架来保护个人信息的隐私权,不仅需要有相关的法律法规,还需要建立健全的制度机制和有效的监督和惩处机制。
目前我国已经出台了《个人信息保护法》,这是我国个人信息保护的第一部基础性法律。
《个人信息保护法》明确规定了个人信息的保护范围、权利和义务、违法行为和处罚等内容,为解决大数据时代个人信息法律保护问题提供了有力的法律武器。
大数据时代的个人信息法律保护需要充分尊重和保障个人的知情权、选择权和控制权。
在信息收集、存储、利用和传播的过程中,必须遵循合法、正当和必要的原则,明确告知信息主体个人信息的收集目的、使用范围、方式和方法等相关信息,并且取得信息主体的明确同意。
必须保证信息主体对个人信息的控制权,充分尊重信息主体的选择权,确保信息主体能够随时撤回同意、修改或删除个人信息。
大数据时代的个人信息法律保护需要强化行政监督和执法力度。
政府和有关部门应该建立健全的信息安全保护机制,明确相关部门的职责和权力,加强对个人信息的行政监督和执法力度,加大对违法行为的惩处力度,形成对违法机构和个人的震慑效应,保护个人信息的安全和隐私权。
要建立健全的企业自律和行业协同机制,引导和规范企业合法、合规和道德的行为,推动企业自愿引入第三方监督和认证机构,增强企业的社会责任感和诚信意识。
《个人信息保护法(草案)》视角下5G数据安全的挑战及应对
《个人信息保护法(草案)》视 角下5G数据安全的挑战及应对■董宏伟苗运卫袁艺I文在科技革命和产业变革的时代背景下,5G作为信息通信技术迭代的新一代产物,对 实现万物互联和推动数字经济具有重要意义。
然而,在给经济和社会带来深刻变革的同时,5G也面临着不同场景下的数据安全挑战。
数 据是基础性、战略性资源,事关国家安全、经济发展、社会治理和人民生活。
为应对其 中的安全问题,我国立法持续跟进。
《网络 安全法》《数据安全法(草案)》等的不断 出台,构建起数据战略的法治化基础,也为 5G数据安全提供法制保障。
个人信息是数据 中反映个人特征的内容,其安全不容忽视。
作为一部保障个人信息安全的法律,《个人 信息保护法(草案 >》(以下简称《草案》)于2020年10月公布,规定了个人信息保护的行为规范、权利规范和治理规范等内容,丰富并完善了数据安全的保护体系,成为保障5G数据安全的重要依据。
场戛E分下昀5G輝瑪幸全排珙5G相较前代移动通信技术而言进步巨大,速度、功耗、时延全面提升,因此基于 5G的应用也将更为广泛。
根据应用业务和信 息交互对象等区别,可将5G划分为三大应用 场景:增强型移动宽带(e M B B)、大规模机器类通信(m M TC)、超可靠低延迟通信 (URLLC)。
不同的应用场景划分将移动通 信带入了场景定制的时代,各种不同的5G数 据安全挑战也随之出现。
增强型移动宽带(eM BB)场景下的数据安全挑战5G的e M B B场景是前代移动通信技术中个人用户业务的进一步延伸,也最先满足 商用需求,其提供大带宽高速率的移动通信服务,实现对超高清音频、视频、增强现实与虚拟现实技术(A R/V R)等应用的支持。
在此场景下,既存的通信信息和移动终端等方面的数据安全问题将继续存在,且更高通 信速率会让数据安全威胁扩散得更加快速与广泛。
同时,此应用场景的对象为个人用户,中国电傕让37对个人信息的收集更加直接,汇聚的个人信 息将经过系统快速分析发挥个性化推荐等作 用,对个人信息的依赖将令其面对更多的安 全威胁。
法律法规:个人信息保护法解读与适用
法律法规:个人信息保护法解读与适用1. 简介个人信息保护法是一项旨在保护公民个人信息的重要法律法规。
本文将对个人信息保护法进行解读和探讨,包括其背景、目的、适用范围和关键内容。
2. 背景随着互联网和技术的快速发展,个人信息泄露和滥用日益严重。
为了保障公民的合法权益,个人信息保护法应运而生。
本部分将介绍个人信息保护法制定的背景和必要性。
3. 目的个人信息保护法的主要目的是确保公民对其个人信息具有相应的控制权,并加强组织对于个人信息安全和隐私保护的义务。
本部分将详细阐述该法律所追求的目标以及从中受益的各方。
4. 适用范围本部分将说明哪些实体、活动或场景适用于个人信息保护法,并介绍相关定义以消除概念上的混淆。
此外,还会提及可能存在一些例外情况或特殊规定。
5. 关键内容解读本部分将对个人信息保护法中的关键内容进行详细解读,包括但不限于以下方面: - 个人信息的定义与分类; - 个人信息处理原则和限制; - 组织责任和义务; - 公民权益保护措施; - 监管机构和执法措施。
6. 合规指南为了帮助企业和组织更好地遵守个人信息保护法,本部分将提供一些实用的合规指南,例如合规程序、安全措施和相关政策建议等。
7. 典型案例分析为了更好地理解个人信息保护法在实际应用中的具体情况,本部分将通过一些典型案例来深入分析,并总结学习经验和教训。
8. 小结与展望本文将对前述内容进行总结,并展望未来个人信息保护法发展可能面临的挑战和趋势。
同时也会强调公众参与以及持续监督在个人信息保护领域中的重要性。
以上是关于《法律法规:个人信息保护法解读与适用》的文档内容。
希望对您有所帮助,请注意遵守法律法规并谨慎使用个人信息。
数据隐私保护新政解读
数据隐私保护新政解读近年来,随着数字经济的蓬勃发展和信息技术的飞速进步,个人数据已成为重要的生产要素和战略资源。
然而,数据泄露、滥用等问题频发,严重威胁个人权益和社会安全,也阻碍了数字经济的健康发展。
为此,国家出台了一系列数据隐私保护新政,旨在规范数据处理活动,保障个人信息安全,促进数字经济健康发展。
本文将对这些新政进行解读,并探讨其对企业和个人产生的影响。
一、主要法律法规及政策解读目前,我国数据隐私保护主要依靠以下法律法规和政策:•《中华人民共和国网络安全法》(以下简称《网络安全法》):这是我国网络安全领域的基础性法律,其中对个人信息保护作出了规定,明确了网络运营者的数据安全责任,包括数据安全管理、个人信息保护等方面。
•《中华人民共和国数据安全法》(以下简称《数据安全法》):该法是专门针对数据安全进行立法,对数据安全管理、数据跨境传输等方面作出了详细规定,为数据安全治理提供了法律依据。
•《个人信息保护法》(以下简称《个人信息保护法》或《PIPL》):这是我国首部专门针对个人信息保护的法律,对个人信息的定义、处理原则、权利保障等方面作出了全面规定,是目前我国数据隐私保护的基石。
该法强调“知情同意”原则,规定了个人信息处理者的义务,并赋予个人更多权利,例如查询、更正、删除个人信息等。
•《关于加强网络信息安全工作的指导意见》:该意见对网络信息安全工作提出了总体要求,强调要加强个人信息保护,防止数据泄露和滥用。
•其他相关规章制度:除了上述主要法律法规外,国家还出台了一系列其他相关规章制度,例如《网络交易管理办法》、《互联网广告管理暂行办法》等,这些规章制度也对个人信息保护提出了具体要求。
二、核心概念解读理解数据隐私保护新政,需要掌握以下核心概念:•个人信息:是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括但不限于姓名、出生日期、身份证号码、生物识别信息、住址、电话号码、电子邮箱等。
中华人民共和国个人信息保护法 解读
中华人民共和国个人信息保护法解读
中华人民共和国个人信息保护法是为了保护个人信息安全,促进个人信息的合理利用而制定的法律。
该法案于2021年10月29日由全国人民代表大会常务委员会审议通过,并将于2022年11月1日正式实施。
该法案的主要内容包括明确个人信息的范围和保护原则、建立个人信息处理规则、规定个人信息安全保护要求、加强个人信息处理的监管和责任追究。
首先,个人信息的范围涵盖了任何能够单独或者与其他信息结合识别特定自然人身份的信息,包括但不限于个人身份信息、生物识别信息、通信记录等。
法律强调保护个人信息的权利,要求个人信息处理者应当依法、正当、必要地收集、使用和处理个人信息,并明确告知信息主体个人信息处理的目的、方式和范围。
其次,个人信息保护法要求个人信息处理者建立与处理规模和风险相适应的个人信息处理规则,确保个人信息的安全性和保密性。
个人信息处理者应采取合理的技术手段和管理措施,防止个人信息被泄露、丢失、篡改或被非法获取。
此外,个人信息保护法还加强了对个人信息处理的监管和责任追究。
法律规定了个人信息保护的监管机构,负责组织和实施个人信息保护工作,并对个人信息处理者的违法行为进行监督和处罚。
对于个人信息处理违法行为,法律还规定了相应的处罚措施,包括警告、罚款和吊销许可证等。
总体而言,中华人民共和国个人信息保护法的出台是我国加强个人信息保护的重要举措。
它将有效保护个人信息安全,加强个人信息处理者的责任意识,促进个人信息合理利用,为我国数字经济和科技创新提供了有力支持。
大数据时代的个人信息民法保护
大数据时代的个人信息民法保护在当今大数据时代,人们的个人信息变得越来越重要,而保护这些信息也变得越来越关键。
个人信息是指任何可以被用来识别个人身份的数据,包括姓名、地址、电话号码、电子邮件地址等。
保护个人信息的法律法规在不同国家和地区略有不同,但它们的目标主要是为了保护个人信息的隐私和保密性。
在中国,个人信息保护的法规主要是《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”),该法规于2021年6月1日正式实施。
个人信息保护法明确规定,个人信息是个人的重要权益,应该得到保护和尊重。
任何单位和个人都不得非法获取、使用和泄露个人信息。
这些规定适用于所有收集、使用、存储和传输个人信息的组织和个人。
在社交网络、电子商务和金融行业等随处可见的大数据应用中,人们的个人信息正受到越来越多的关注和威胁。
随着越来越多的公司和组织收集和使用个人信息,泄露和滥用问题也越来越严重。
不仅如此,许多互联网公司也在未经用户同意的情况下,将用户的个人信息出售给第三方,使得个人信息的保护面临更严峻的挑战。
为了解决这些问题,个人信息保护法明确规定了个人信息收集和使用的规则,以及个人信息泄露和滥用的惩罚措施。
根据这个法规,任何组织或个人在收集、使用、存储和传输个人信息时都必须经过个人同意,并且必须告知个人相关信息的收集、使用目的、使用方式、存储期限和安全措施等。
对于违反法规的行为,个人信息保护法明确规定了罚款、吊销经营许可证等多种违法处罚。
此外,个人信息保护法还规定了严格的个人信息出境规则。
任何组织或个人在向境外传输个人信息时,必须经过个人同意,并且必须遵守相关的安全审查和程序。
这些规定旨在保证个人信息不会在出境时被滥用或泄露,并保护个人信息的国家安全和公共利益。
总的来说,随着大数据时代的到来,人们个人信息的保护变得越来越重要。
在此背景下,个人信息保护法的实施为个人信息的保护提供了更加有力的法律保障。
同时,我们也应该加强个人信息保护的意识,避免在不知情的情况下泄露个人信息,保护个人隐私权和权益。
个人信息保护法逐条解读
个人信息保护法逐条解读
个人信息保护法是中国自2021年9月1日起实施的一部专门法律,用于保护个人信息的收集、存储、使用和处理过程中的权益和隐私。
以下是个人信息保护法的逐条解读:
第一条:个人信息保护法的目的是保护个人信息的合法权益,推动个人信息的合理、安全、有序的流动。
第二条:个人信息保护法适用于收集、存储、使用和处理个人信息活动中的主体,包括自然人、法人和其他组织。
第三条:个人信息保护应当遵循合法、正当、必要的原则,并通过技术手段和组织措施保障个人信息的安全。
第四条:个人信息主体有权了解、访问、更正、删除、注销自己的个人信息,主体可以向个人信息处理者提出上述请求。
第五条:个人信息的处理应当明确目的,并在达到目的后及时删除或匿名化。
第六条:个人敏感信息的收集、处理需要事先取得信息主体的明示同意,并应当告知信息主体收集信息的目的、方式和范围。
第七条:个人信息安全风险评估应当由个人信息处理者进行,评估结果应当采取相应的安全保护措施。
第八条:个人信息安全事件发生后,个人信息处理者应当立即采取应急措施,及时告知信息主体,并报告有关部门。
第九条:个人信息处理者应当建立和完善内部管理制度,明确个人信息保护的责任和义务。
第十条:依法成立的个人信息保护组织可以对个人信息处理活动进行监督检查,要求个人信息处理者履行其义务。
第十一条:个人信息处理者违反个人信息保护法的规定,造成个人信息泄露、损毁等后果,应当承担相应的法律责任。
通过这些条款,个人信息保护法明确了个人信息的保护原则和相关责任,强化了个人信息主体的权益保护,促进了个人信息的安全和流动,增强了人们对个人信息保护意识的认识。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
数字时代下个人信息的“保护神”——《个人信息保护法(草案)》解读一、出台背景随着全球网络基础设施的不断完善,移动互联网、物联网、云计算等服务的普及,世界已步入数字化时代。
在数字时代下,数据成为了关键的生产要素,而其中个人信息占有重要比重。
数字诊疗、人脸识别、人工智能等领域的技术发展给人们生活带来便捷的同时,也使得个人信息遭受侵害的风险成几何量级增大,导致泄露事件层出不穷、愈演愈烈。
因此,个人信息保护逐渐成为各国立法机构关注的重要议题。
至今,全球已经有140多个国家和地区制定了个人信息保护有关的法律。
2018年5月25日实施的欧盟《通用数据保护条例》(“GDPR”,GeneralDataProtectionRegulation)独树一帜,成为众多国家立法的重要参考。
一方面是因为GDPR设计了一整套较完备的个人信息保护制度,其中很多保护原则和理念得到国际认同;另一方面是因为欧盟是一个重要市场,很多国家(例如,印度)为了促进该国与欧盟之间的数字贸易发展,不断提高本国的个人信息保护水平,向GDPR的标准看齐。
近年来,我国作为数字经济的大国也在搭建个人信息保护方面的基本法律框架,其中,《民法典》设立专章规范隐私权和个人信息保护,《刑法修正案》增加“侵犯公民个人信息罪”等罪名,《网络安全法》确立个人信息保护的原则,《数据安全法(草案)》(“数安法”)从数据作为信息的底层载体的角度提出数据安全措施要求,《消费者权益保护法》明确“商品和服务提供者”对消费者个人信息的保护义务,《电子商务法》对电子商务经营者提出个人信息保护要求,《个人信息出境安全评估办法(征求意见稿)》详细规定个人信息出境的安全评估要求等等。
不过,个人信息保护的专门法律一直缺位,社会各界呼吁制定《个人信息保护法》的声音越来越高。
2020年10月21日,“中国版GDPR”,即《个人信息保护法(草案)》(“本法”),经全国人民代表大会常委会审议后的正式“亮相”,全文八章七十条。
下文将就本法的重点章节进行解读。
二、健全个人信息处理原则(一)六大处理原则本法确立了处理个人信息应遵循六个主要原则:方式合法正当(第5条)、目的明确合理(第6条)、最小必要(第6、20条)、处理公开透明(第7条)、准确性(第8条)、安全保护(第9条)。
上述原则与世界趋同的个人信息保护原则以及《网络安全法》《民法典》的规定基本一致,其适用精神贯穿本法全文。
(二)“告知+同意”处理规则在处理规则方面,本法确立“告知+同意”为核心,体现了对个人权益的尊重,也与上文中的合法正当和公开透明两个原则相呼应。
1.“告知”义务本法第14条就将“充分知情”作为“同意”的前提条件。
本法第18条具体列举个人信息处理者(“处理者”)应当告知的事项,主要包括其基本信息、信息处理的目的和方式、个人行使本法权利的方式和程序等。
本法第19条规定了告知的例外情形,即在法律、行政法规规定应当保密或不需要告知的情况下,可以免除告知义务,但是该义务在紧急情况下无法及时告知时并不免除,而是将前置改为后置,凸显告知义务的重要性。
在以上基本适用原则的基础上,本法还规定了如下几类需要履行告知义务的情况:个人信息转移和传输情况下的告知义务(第23、24条)。
前者是在处理者“合并、分立”等情况下,而后者是向第三方提供的情况下。
虽然两种情况下均需履行告知义务,但告知的内容略有不同。
前者仅需告知接收方的身份和联系方式,而后者还需包括处理目的和方式以及个人信息的种类。
其差别在于前者信息接收方基于收购等原因承继了处理者原来的业务,所以处理目的和方式以及个人信息的种类在大多数情况下没有变化;而后者作为独立于处理者的第三方,其处理目的和方式以及个人信息的种类的变化是其应有之义。
处理已公开的个人信息时,如果超出被公开时的用途的合理范围或者对个人有重大影响,需要履行告知义务(第28条)。
在处理敏感个人信息时,除第18条规定的事项外,还应当告知处理敏感个人信息的必要性以及对个人的影响(第31条)。
在国家机关履行法定职责处理个人信息时和个人信息出境时,均需履行告知义务(第35、39条)。
2.“同意”义务除了本法第28条(2)-(6)列举的情形之外,取得个人的同意是处理者处理个人信息的前提。
本法第14条明确了同意需基于“充分知情”、“自愿”、“明确”,且在处理目的、方式和种类发生变更时,需重新取得同意。
第16条和第17条则赋予个人撤回权,并禁止处理者以不同意或撤回同意为由拒绝提供非必需的产品或者服务。
在以上基本适用原则的基础上,本法还规定了如下几类需要取得“单独同意”的情况:向第三方提供处理的个人信息(第24条)公开处理的个人信息(第26条)公开或提供个人图像、个人身份特征信息(第27条)处理敏感个人信息(第30条)向境外提供个人信息(第39条)三、个人信息涉及跨境问题(一)域外适用本法第3条赋予了一定的域外适用效力。
虽然《数安法》第2条也类似规定,但本法的适用范围更加明确,即“向境内自然人提供产品或者服务为目的”和“分析、评估境内自然人的行为”。
这与GDPR第3条第2款的提供产品或者服务(offeringofgoodsorservices)以及行为监控(monitoringoftheirbehavior)一一对应。
这意味着境外机构或个人即使在中国没有任何商业存在,只要符合本法第3条所列情况,便受本法的管辖。
(二)个人信息的跨境提供关于个人信息出境的安全评估要求,首见于《网络安全法》第37条,不过仅适用于关键信息基础设施运营者。
而《个信出境办法》将适用范围扩大至所有网络运营者,给业界带来一定震动和压力。
而本法第40条试图在以上两者之间找到一个平衡,将安全评估的适用范围局限于“关键信息基础设施运营者”和“处理个人信息达到国家网信部门规定数量的处理者”,而“处理个人信息数量”在本法中未作明确,为监管部门预留裁量空间,保持一定灵活性。
此外,鉴于安全评估工作耗时费力,在某些情况下可能无法满足跨境流动对时效性的要求,本法第38条为处理者提供了另外两个信息出境的途径:(1)经专业机构认证;(2)与境外接收方订立合同并监督其处理活动达到本法规定的个人信息保护标准。
值得注意的是,虽然第二种订立合同的方式最为简便易行,但是对于国内的处理者来说其履行监督义务,即确保(境外信息接收方)处理活动达到“本法规定的个人信息保护标准”的难度不容忽视。
(三)国际司法和执法协助下的个人信息出境本法第41条明确要求在国际司法或行政执法协助情况下向境外提供个人信息,需要取得主管部门事先批准。
这与《民事诉讼法》第277条对司法协助情况下外国机关或者个人在国内调查取证的要求保持一致,体现我国司法主权。
《数安法》第33条也有类似规定,即要求境外执法机构调取存储于国内数据需要主管部门事前批准。
这也是回应了近年来很多国家,包括美国《澄清境外数据合法使用法案》(theCloudAct)在内,不断扩大跨境数据调取权利的立法趋势。
(四)反制和限制措施依据国际法的对等原则,本法第43条就国外采取个人信息保护方面的歧视性措施时,赋予我国采取反制措施的权利。
这与《数安法》第24条就国外采取与数据投资、贸易相关的歧视性措施时我国有权反制的规定一脉相承。
相较于《数安法》,本法第42条创造性地增设了一个“黑名单”制度,即对于从事损害我国公民权益、危害我国国家安全、公共利益个人信息处理活动的境外主体,网信部门有权将其列入限制或禁止提供个人信息的清单,并采取限制或禁止措施。
在表述上,第42条所适用的范围应该比第3条的域外适用中所列范围更加广泛。
近年来,有些国家以国家安全、个人信息保护为由对我国科技企业(例如Tiktok和华为)采取“围追堵截”的措施。
本法设立的反制和限制措施恰逢其时,丰富了我国在国际政治博弈斗争中“工具箱”。
四、个人权利与处理者的义务(一)个人的权利本法第四章专门明确个人在信息处理中的各项权利,包括:知情和决定权(第44条)、查阅和复制权(第45条)、更正和补充权(第46条)、删除权(第47条)、请求解释说明权(第48条)、请求处理者建立权利申请的受理和处理机制权(第49条)。
这与《民法典》第1037条规定的查阅权、复制权、更正权、删除权等相衔接,并予以丰富和细化。
(二)处理者的义务个人在个人信息保护方面的权利实现,很大程度上依赖于处理者对其义务的履行。
本法第五章主要从“明确措施、落实人头”两个方面强化处理者的责任。
1.明确措施本法对处理者提出了事前、事中、事后、事发全流程的保障义务要求:事前风险评估(第54条)——要求在对个人有重大影响的个人信息处理活动之前进行风险评估。
其列举的适用情况与上文需取得“单独同意”的情况类似,背后的共同逻辑是法律对处理者的义务要求需与处理活动本身的风险程度相匹配。
该设计借鉴了GDPR规定的“数据保护影响评估”(DPIA,DataProtectionImpactAssessment)制度。
事中合规和安保措施(第50条)——详细列举了处理者应采取的合规和安全保护措施,包括制度制定、分级管理、技术措施、员工要求、应急预案等。
这将是处理者在日常合规工作中需要重点关注和落实的工作。
事后定期审计(第53条)——要求处理者定期进行合规审计。
其监管思路与《网络借贷信息中介机构业务活动管理暂行办法》第31条要求的定期评估、审计类似。
事发补救和通知义务(第55条)——要求处理者在发生个人信息泄露情况下采取补救措施并通知监管部门和个人。
这与《民法典》第1038条补救措施和报告制度相衔接。
2.落实人头本法第51条规定处理个人信息达到网信部门规定数量的处理者应当指定“个人信息保护负责人”,对内负责对处理活动和保护措施等进行监督,对外担任联系人和与监管沟通人的角色。
可以看出,本条借鉴了GDPR数据保护官(DPO,DataProtectionOfficer)制度。
值得注意的是,GDPR非常重视该制度,对于违反该规定(即应设而未设数据保护官)的企业,单独设立一个严格的处罚标准:最高1000万欧元或企业全球年营业额2%(两者取高值)。
与GDPR仅概括性地规定适用从事“大规模”数据处理业务的公司一样,本条也未明确“达到网信部门规定数量”的具体标准。
我们相信网信部门会后续出台相关指引予以明确。
本法第52条要求境外的处理者在境内设立“专门机构或者指定代表”负责处理个人信息保护相关事务。
该要求与《个信出境办法》第20条中要求收集境内用户个人信息的境外机构在境内设立“法定代表人或者机构”的内在逻辑一致,不过其表述比“法定代表人或者机构”更加清晰明了,避免了与公司法项下概念混淆。
五、监管部门本法第六章明确了个人信息保护的监管部门及分工。
其具体内容整理如下表:履行个人信息保护职责的部门六、带“牙齿”的法律为了确保本法规定的各项要求落到实处,切实保护个人的权益,本法对个人信息保护的违法行为构建了从信用公示到刑事惩处一个全方位、多维度的法律责任体系,具体包括:信用公示(第63条)、行政处罚(第62条)、私益诉讼(第65)、公益诉讼(66条)、治安处罚(第67条)、刑事惩处(第67条)。