【看法】《中华人民共和国个人信息保护法》重点问题解读

作者：尹倩倩   国曜琴岛（青岛）律师事务所 

摘要

《中华人民共和国个人信息保护法》（以下简称“个保法”）于2021年8月20日由第十三届全国人民代表大会常务委员会第三十次会议通过，并于11月1日正式生效。

作为个人信息保护领域的专门立法，《个保法》将与《中华人民共和国民法典》、《网络安全法》、《数据安全法》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》、《App违法违规收集使用个人信息行为认定方法》《信息安全技术 个人信息安全规范》等法律法规和国家标准，基本构建成一个系统性、针对性、可操作性的完备的个人信息保护的专门规范体系。将会对全社会尤其是app运营者、银行金融机构、医疗机构等重点个人信息处理者产生巨大影响。本文将针对《个保法》的几个重点问题进行简要解读。

1.个人信息的含义        

《个保法》、《民法典》、《信息安全技术 个人信息安全规范》虽然对个人信息的定义稍有区别，但是均强调个人信息是以电子或其它方式记录的，说明《个人信息保护法》产生的背景其实是随着电子信息技术的发展，信息取得、处理、交易、转让都更加便捷化，而造成的信息滥用。《个保法》还特别强调了个人信息不包括匿名化处理后的信息，所谓匿名化处理，是通过技术将个人信息处理后，无法再通过该信息识别特定自然人且不能复原。

2.敏感个人信息      

《个保法》第二十八条定义的敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。并对敏感个人信息的处理制定了更为严格的处理规则。

处理敏感个人信息需要取得单独同意。

3.个人信息处理的原则        
    《个保法》中明确了个人信息的处理原则，包括合法、正当、必要、诚信、明确、直接相关、公开透明、完整准确、最小影响、安全保障等。要求个人信息处理者在处理个人信息时应该极其克制，处理个人信息应该确保实现处理目的的最小必要、对个人的最小影响、对信息的最小范围，同时应提供符合标准的信息保护技术。

4.个人信息的处理核心规则：“告知-同意”     

《个保法》第二章规定了除了基于履行个人作为当事人的合同必需或依法实施人力资源管理、履行法定职责、应对公共卫生事件、紧急状况下保护自然人生命健康或财产安全、公共利益实施新闻报道等法定原因，处理个人信息应该将个人信息处理者的主体资格、信息收集的范围、目的、处理规则、可能对个人的影响、确保信息安全的保障等内容告知个人，并在确保个人充分知情之后，取得个人的同意。

“告知-同意”规则是《个保法》的核心规则，不同种类的信息在不同场景应如何告知、如何确保个人充分知情、如何取得个人的有效同意在实践中各有不同的要求。目前关于如何有效“告知-同意”的《信息安全技术 个人信息告知同意指南》国家标准的讨论稿已经发布，生效后将作为依法“告知-同意”的重要依据。

5、单独同意     

《个保法》规定了应该取得个人单独同意的5种法定情形，这5种法定情形在实务中可能会变成无数种场景，需要个人信息处理者根据具体的场景征求个人的单独同意。但是，单独同意的标准目前并没有法律法规或国家标准的规定，一些行政规章的规定可以参考，比如2021年5月1日实施的《网络交易监督管理办法》第十三条的规定：“收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的，应当逐项取得消费者同意。”就目前的实践要求来看，构成《个保法》要求的单独同意至少应该做到明示、逐项、不捆绑、不概括。

6、自动化决策      

《个保法》第二十四条规定了自动化决策的规则：“ 个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”

自动化决策是指在没有人工干预的情况下，以计算机技术算法、大数据、人工智能作出决策。利用自动化决策在交易价格上实行不合理差别待遇，就是通常说的大数据杀熟。近年以来，依据人工智能和算法技术进行决策涉及到的科技伦理风险已经引起全球的广泛争议，目前欧盟委员会已经提出了一系列关于人工智能技术应用的监管条款，认为高风险的人工智能应用应当被禁止或受到限制，以保障人们的安全和正当权利不受侵害，我国也正在出台关于算法规制有关的法律法规。这对于基于大数据算法来处理个人信息的全球个人信息处理者都是个极大的挑战。目前根据《个保法》，个人信息处理者控制自动化决策方面的合规风险主要应该做好自动化决策的风险评估和实行差别化待遇的合理化解释，同时，在对个人信息进行自动化决策征的选项或为个人提供便捷的拒绝途径。

7、个人在信息处理活动中的权利      

《个保法》并未对个人信息的权属问题做出规定，但是明确了个人对个人信息的控制权，并要求个人信息处理者为个人行使其权利提供最大程度的便捷。

8、个人信息处理者的义务     

《个保法》非常强化个人信息处理者的合规管理义务，要求个人信息处理者建立个人信息保护有关的制度体系，事前评估、事中审查、定期出具自查报告、确保个人信息的安全保障，及时更新有关的规则和安保措施。

9、违反《个保法》的法律责任    

《个保法》对违法行为加大惩处力度，在行政处罚方面参考了欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR）的处罚力度，并有所提高。违反《个保法》的个人信息处理者将面临不同级别的处罚，情节严重的，将面临责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、吊销相关业务许可或者营业执照。

《个保法》第六十九条明确了个人信息侵权案件的举证责任倒置和损失计算的规则，第七十条规定了个人信息侵权案件的公益诉讼制度，增加了个人信息侵权案件中个人信息处理者的诉讼风险。

个人信息保护有关的刑事责任，可以参考《中华人民共和国刑法》第253条和《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》关于侵犯公民个人信息罪的规定。

结语      
《中华人民共和国数据安全法》第八条规定：“开展数据处理活动，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。科学技术的发展不能违背法律法规和社会伦理，《个人信息保护法》生效之后，我国已基本形成以《网络安全法》《数据安全法》《个人信息保护法》为核心的数据安全法律体系，为数字时代的网络安全、数据安全、个人信息权益保护提供了基础制度保障。个人信息处理者应充分重视《个人信息保护法》，在利用科学技术提高效率的同时，严格的守住法律和道德的底线，找到科技发展和合法合规之间的平衡点。