《个人信息保护法》深度解读

《个人信息保护法》深度解读

文/高云翔

自全国人大常委会于2012年制定《关于加强网络信息保护的规定》以来，关于个人信息保护的立法经历了《网络安全法》《电子商务法》《民法典》《个人信息保护法》的丰富与完善的过程，截至《个人信息保护法》的生效实施，我国关于个人信息保护立法的“顶层设计”也基本完成。

一、适用的范围：

根据《个人信息保护法》第三条的规定，除在我国境内处理自然人个人信息的属于本法约束的范围外，在我国境外以下行为也受本法的约束：

①以向境内自然人提供产品或者服务为目的；

②以分析、评估境内自然人的行为为目处理境内自然人个人信息的活动的。

二、“五大”基本原则

在2012年全国人大常委会制定的《关于加强网络信息保护的规定》中，首次提出收集、使用个人信息的三大基本原则“正当、合法、必要原则”，并被《网络安全法》第四十一条和《民法典》第一千零三十五条吸收确认。

《个人信息保护法》在吸收了原有的“正当、合法、必要原则”的同时，将“诚信原则”和“公开透明原则”提升为与“正当、合法、必要”并列的基本原则。

此外，在基本原则的适用节点上，摒弃了《关于加强网络信息保护的规定》与《网络安全法》关于“收集”、“使用”的表述，吸收了《民法典》“处理个人信息”的概念，进而将基本原则贯穿个人信息的收集、存储、使用、加工、传输、提供、公开、删除等整个生命周期。

三、同意规则

同意：同意规则应当属于个人信息处理的前提和基础。《个人信息保护法》对“同意”作出了前置性要求，即十四条规定“基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定”。

该法已规定需要个人单独同意的情形包括：

①处理个人敏感信息，包括处理不满十四周岁的未成年人个人信息应当取得未成年父母或其他监护人的单独同意；

②个人信息处理者向中华人民共和国境外提供个人信息的；

③个人信息处理者向其他个人信息处理者提供其处理的个人信息的；

④个人信息处理者公开其处理的个人信息的；

⑤在公共场所安装图像采集、个人身份识别设备所收集的个人图像、身份识别信息用于维护公共安全以外的目的。

此外，对于获得同意处理个人信息的，对个人信息的处理目的、处理方式和处理的个人信息种类发生变更时，应当重新取得个人同意。

同意的撤回：同意的撤回规则最早应当出现于2019年8月22日公布的《儿童个人信息网络保护规定》关于儿童监护人撤回同意后的信息删除权。《个人信息保护法》第十五条对基于个人同意处理个人信息的赋予了个人撤回其同意的权利。同时要求个人信息处理者应当提供便捷的撤回同意的方式。

同意规则的例外：

根据《个人信息保护法》的规定，在以下情形中，个人信息处理者不再需要用户的同意：

①为订立、履行个人作为一方当事人的合同所必需；

②按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

③为履行法定职责或者法定义务所必需；

④为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

⑤为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

⑥依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；⑦法律、行政法规规定的其他情形。

四、个人信息出境规则

个人信息出境的前提条件：

根据《个人信息保护法》第三十八条规定，个人信息出境应当满足以下要求和条件：

①个人信息处理者因业务等需要；

②通过国家网信部门组织的安全评估或按照国家网信部门的规定经专业机构进行个人信息保护认证；或按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；或其他条件。

双向合规要求：

个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

告知-同意规则：

应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。（三十九条）

影响评估：

个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录。（五十五条）

五、敏感信息的处理规则

必要+严格保护：

只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。（二十八条）

影响评估：

处理敏感个人信息，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录。五十五条）

单独同意：

处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。（二十九条）

明确告知：

个人信息处理者处理敏感个人信息的，应当告知：

①个人信息处理者的名称或者姓名和联系方式；

②个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

③个人行使本法规定权利的方式和程序；

④处理敏感个人信息的必要性以及对个人权益的影响（法定不需要告知的除外）。（三十条）

前置许可：

法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的，从其规定。（三十二条）

六、共同处理与委托处理规则

影响评估：

委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录。（五十五条）

委托人义务：

个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。

受托人义务：

受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留。未经个人信息处理者同意，受托人不得转委托他人处理个人信息。

受托人的安全辅助义务：

接受委托处理个人信息的受托人，应当依照本法和有关法律、行政法规的规定，采取必要措施保障所处理的个人信息的安全，并协助个人信息处理者履行本法规定的义务。（五十九条）

连带责任：

个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任；也可以向其中任何一个个人信息处理者要求行使本法规定的权利。（二十条）

七、平台企业的特别要求

互联网平台是个人信息的流通枢纽，也是违规收集个人信息的重要窗口。针对互联网平台的监管，相关管理部门先后公布实施了《移动互联网应用程序信息服务管理规定》《APP收集个人信息指南》《APP违法违规收集个人信息行为认定方法》。2019年1月23日，中央网信办、工业和信息化部、公安部、市场监管总局联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》，在全国范围组织开展App违法违规收集使用个人信息专项治理。

《个人信息保护法》回应了对互联网平台的监管的重视，并于第五十八条进行特别规定，要求对于“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”，应当：

①按照国家规定建立健全个人信息保护合规制度体系；

②成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；

③遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；

④对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；

⑤定期发布个人信息保护社会责任报告，接受社会监督。

八、持续合规监管

根据《个人信息保护法》第五十四条规定“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”，定期合规审计对于合规监管而言，有其存在的必要性，但由监管机构进行合规审计，还是赋予市场主体对个人信息处理者进行合规审计，目前并不明确。

对于以信息为基础的业务模式，保持持续的动态合规将成为企业的主要任务之一，在未来的监管细则中，将逐步完善动态监管的部门、合规审计的实施细则。第三方机构对公司的个人信息保护的评估意见、认证结果也将成为监管部门对企业信息保护合规的参考依据。

九、违法后果

1、行政责任

警告、没收违法所得、暂停或终止服务：

根据《个人信息保护法》第六十六条规定，违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务。

罚款：

拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款。

停业整顿、吊销：

针对情节严重的情形，可以由省级以上监管部门责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；

职业限制：

根据《个人信息保护法》第六十六条规定，情节严重的，可以对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

信用档案披露：

根据《个人信息保护法》第六十七条规定，有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。

2、民事责任

根据《个人信息保护法》第六十九条规定，处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。其中，损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。

3、刑事责任

根据《个人信息保护法》第七十一条规定，构成犯罪的，依法追究刑事责任。根据《刑法》第253条之一规定，违反国家有关规定，窃取或者以其他方法非法获取公民信息的，依照侵犯公民个人信息罪定罪处罚。

根据两高关于《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定，非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的，非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的属于“情节严重”。

结语

《个人信息保护法》的实施，为个人维护自身合法权益提供了法律支撑，同时为个人信息处理者合规提供了法律依据。若个人信息处理者未能履行个人信息安全保护义务，除存在民事损害赔偿责任外，还将面临极大的行政处罚风险、刑事犯罪风险。

作者：高云翔 律师，金融工作室