新書推薦:
《
何以中国·何谓唐代:东欧亚帝国的兴亡与转型
》
售價:HK$
87.4
《
一间只属于自己的房间 女性主义先锋伍尔夫代表作 女性精神独立与经济独立的象征,做自己,比任何事都更重要
》
售價:HK$
44.6
《
泉舆日志 幻想世界宝石生物图鉴
》
售價:HK$
134.2
《
养育女孩 : 官方升级版
》
售價:HK$
50.4
《
跨界:蒂利希思想研究
》
售價:HK$
109.8
《
千万别喝南瓜汤(遵守规则绘本)
》
售價:HK$
44.7
《
大模型启示录
》
售價:HK$
112.0
《
东法西渐:19世纪前西方对中国法的记述与评价
》
售價:HK$
201.6
|
內容簡介: |
条文解读
本书围绕《个人信息保护法》的条文进行编写,对条文的立法内容展开分析,对重点内容进行全方位的解读,以帮助读者更好地理解法律对于保护个人信息的规定。
适用要点
本书结合个人信息保护工作实务,诠释了本法在法律适用中的重点和难点。旨在帮助个人更好地运用法律保护其个人信息。
案例指引
本书精选关于个人信息保护的典型案例,并提炼总结案例要点,有针对性地以案释法。读者可扫描文中二维码,进入“有章 案例”页面,阅读该案例全文。
附录法规
特别梳理与《个人信息保护法》相关的法律法规,便于读者更加理解本法在个人信息保护法体系中的地位,助力个人信息保护工作。
|
目錄:
|
中华人民共和国个人信息保护法
章 总则
条 【立法目的】
第二条 【个人信息受法律保护】
第三条 【适用范围/管辖权】
第四条 【个人信息与个人信息处理】
第五条 【合法、正当、必要、诚信原则】
第六条 【目的明确与小化原则】
第七条 【公开透明原则】
第八条 【信息质量原则】
第九条 【安全责任原则】
第十条 【依法处理原则】
第十一条 【国家关于个人信息保护的职能】
第十二条 【国际合作】
第二章 个人信息处理规则
节 一般规定
第十三条 【处理个人信息的情形】
第十四条 【知情同意规则】
第十五条 【个人有权撤回同意】
第十六条 【不同意不影响使用产品和服务】
第十七条 【应当告知的事项】
第十八条 【应当告知的例外情形】
第十九条 【个人信息的保存期限】
第二十条 【合作处理个人信息】
第二十一条 【委托处理个人信息】
第二十二条 【组织机构变更对个人信息处理的影响】
第二十三条 【个人信息处理者对外提供个人信息】
第二十四条 【利用个人信息进行自动化决策】
第二十五条 【个人信息不得公开】
第二十六条 【安装图像采集、个人身份识别设备】
第二十七条 【处理已公开的个人信息】
第二节 敏感个人信息的处理规则
第二十八条 【敏感个人信息的定义及处理原则】
第二十九条 【敏感个人信息特别同意规则】
第三十条 【敏感个人信息告知义务】
第三十一条 【未成年人个人信息的处理规则】
第三十二条 【处理敏感个人信息的法定限制】
第三节 国家机关处理个人信息的特别规定
第三十三条 【国家机关处理个人信息的法律适用】
第三十四条 【国家机关处理个人信息的权限与程序】
第三十五条 【个人的知情权及其例外】
第三十六条 【个人信息的境内存储与向境外提供】
第三十七条 【法定授权组织处理个人信息的法律适用】
第三章 个人信息跨境提供的规则
第三十八条 【向境外提供个人信息的条件】
第三十九条 【向境外提供个人信息的告知与同意】
第四十条 【个人信息的境内存储与信息出境的安全评估】
第四十一条 【境外司法或执法机构获取个人信息的处理和批准】
第四十二条 【个人信息提供黑名单制度】
第四十三条 【对等原则】
第四章 个人在个人信息处理活动中的权利
第四十四条 【知情权和决定权】
第四十五条 【查阅权、复制权、信息转移权】
第四十六条 【更正权、补充权】
第四十七条 【删除权】
第四十八条 【规则解释说明权】
第四十九条 【死者个人信息利益保护】
第五十条 【申请受理和处理机制】
第五章 个人信息处理者的义务
第五十一条 【确保个人信息安全义务】
第五十二条 【个人信息保护负责人】
第五十三条 【境外个人信息处理者设立专门机构或者指定代表的义务】
第五十四条 【个人信息处理活动合规审计义务】
第五十五条 【事前个人信息保护影响评估义务】
第五十六条 【个人信息保护影响评估内容】
第五十七条 【个人信息泄露、篡改、丢失时的补救和通知义务】
第五十八条 【大型互联网平台的特别义务】
第五十九条 【受托人的个人信息保护义务】
第六章 履行个人信息保护职责的部门
第六十条 【履行个人信息保护职责的部门】
第六十一条 【个人信息保护职责】
第六十二条 【国家网信部门统筹协调职能】
第六十三条 【个人信息保护监督检查措施及当事人的协助配合义务】
第六十四条 【个人信息安全风险处置及侵害事件移送处理】
第六十五条 【投诉、举报权益保障】
第七章 法律责任
第六十六条 【行政处罚】
第六十七条 【失信约束】
第六十八条 【国家机关不履行个人信息保护义务、履行个人信息保护职责的部门的工作人员渎职的法律责任】
第六十九条 【民事侵权责任】
第七十条 【个人信息保护公益诉讼】
第七十一条 【治安管理处罚、刑事责任的规定】
第八章 附则
第七十二条 【对本法适用范围的特别规定】
第七十三条 【用语定义】
第七十四条 【施行日期】
附 录
中华人民共和国宪法(节录)(2018.3.11修正)
中华人民共和国民法典 (节录)(2020.5.28)
中华人民共和国刑法(节录)(2020.12.26修正)
中华人民共和国数据安全法 (2021.6.10)
中华人民共和国电子商务法 (2018.8.31)
中华人民共和国网络安全法 (2016.11.7)
中华人民共和国消费者权益保护法(2013.10.25修正)
全国人民代表大会常务委员会关于加强网络信息保护的决定(2012.12.28)
人民法院、人民检察院关于办理侵犯刑事案件适用法律若干问题的解释(2017.5.8)
常见类型移动互联网应用程序必要个人信息范围规定(2021.3.12)
儿童个人信息网络保护规定(2019.8.22)
电信和互联网用户个人信息保护规定(2013.7.16)
后记
|
內容試閱:
|
个人信息保护法条文解读与适用要点适用提要
自2018年9月7日首次被列入十三届全国人大常委会立法规划起算,历时三年,《个人信息保护法》终于在2021年8月20日审议通过并自2021年11月1日起施行。在互联网和大数据时代,这部备受关注的法律应时而生,回应了人民群众的呼声,构筑起比较完备的个人信息保护体系,成为我国关于个人信息保护的专门法和基本法。
《个人信息保护法》共8章74条,从一般规定和个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任等方面对个人信息保护作了全面规定。
一、一般规定和个人信息处理原则
第1章“总则”是本法的一般规定和个人信息处理原则。其中第4条规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”这确定了个人信息的内涵及外延。与《网络安全法》及《民法典》的规定不同,这一定义兼具“识别性”和“关联性”,在外延上较为宽泛,更利于个人信息的保护。此外,这一定义规定匿名化处理后的信息不属于个人信息,与《网络安全法》及《民法典》的规定一致,兼顾了个人信息的保护与合理利用。第4条第2款规定,“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”,有效地涵盖了个人信息处理的全流程。
第5条至第10条则规定了个人信息处理的各项原则。其中第5条规定了合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息,与《网络安全法》及《民法典》的规定保持一致,且整体更为完善。第6条规定了目的明确与小化原则,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关。不仅在收集个人信息时范围应小,在处理方式上对个人权益的影响也应小,以此约束过度收集个人信息的行为。第7条规定了公开、透明原则,要求公开个人信息处理规则,明示处理的目的、方式和范围,奠定了“告知-同意”规则的基础。第8条规定了信息质量原则,确保个人信息准确完整。第9条规定了安全责任原则,要求个人信息处理者应当采取必要措施保障所处理的个人信息的安全,为后续规定个人信息处理者的义务提供了正当性依据。第10条规定了依法处理个人信息的原则。
此外,为与国际趋势相适应,本法第3条还对本法的域外适用效力作了相应规定。
二、确立“告知-同意”为核心的各项个人信息处理规则
第2章规定了个人信息处理的各项规则。
(一)一般规定
本法第13条规定个人信息处理者处理个人信息应当取得个人的同意,第17条规定个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知重要事项。这正式确立了个人信息处理的“告知-同意”规则,对个人信息保护具有重大意义。基于此,本法规定了一系列个人信息处理规则。如第15条规定了个人可撤回同意的规则,第16条规定个人信息处理者不得以个人不同意或撤回同意处理其个人信息为由拒绝提供产品或者服务,第22条规定个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。此外,针对处理敏感个人信息,则规定了更为严格的单独同意规则与告知特别规定事项。
与此同时,第13条还规定了无须取得个人同意即可处理个人信息的六种情形,如为订立、履行合同以及法定职责或者法定义务所必需,在突发公共卫生事件或者紧急情况下为保护自然人的生命健康和财产安全所必需,为公共利益实施新闻报道、舆论监督等行为而在合理的范围内处理个人信息等。这较好地兼顾了个人信息的保护与合理利用。
此外,针对“大数据杀熟”“个性化推荐”之类侵害个人权益的现象,第24条规定个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正;通过自动化决策向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项。与此同时,个人有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。在终审议通过的法条中新增了“不得对个人在交易价格等交易条件上实行不合理的差别待遇”的规定,有力地保护了个人权益。
(二)敏感个人信息的处理规则
鉴于敏感个人信息与个人人格尊严和人身、财产安全密切相关,本法第2章第2节在“告知-同意”规则的基础上对敏感个人信息作了特别规定。第28条对敏感个人信息的定义作了规定,并在终审议时将不满14周岁未成年人的个人信息列为敏感个人信息。与此同时,第31条还规定,个人信息处理者处理不满14周岁未成年人个人信息的,应当取得其父母或者其他监护人的同意,并且应当制定专门的处理规则,这进一步加强了对未成年人个人信息的保护。
对于敏感个人信息的处理,第28条同时规定,“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”此外,依照第29条和第30条的规定,处理敏感个人信息应当取得个人的单独同意,并告知处理敏感个人信息的必要性以及对个人权益的影响。在有法律、行政法规有规定的情形下,还应当取得书面同意。
(三)国家机关处理个人信息的特别规定
本法第2章第3节专门规定了国家机关处理个人信息的特别规定,第33条明确规定,除本节的特别规定之外,国家机关处理个人信息的活动同样适用本法。对于法律、法规授权的具有管理公共事务职能的组织,因履行法定职责需处理个人信息的,依第37条规定,适用本法关于国家机关处理个人信息的规定。
国家机关为履行法定职责处理个人信息时的特别规定包括:应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度(第34条);在依法应当保密或者不需要告知的情形,或者告知将妨碍国家机关履行法定职责的,处理个人信息可不履行告知义务(第35条);处理的个人信息应当在境内存储,确需向境外提供的,应当进行安全评估,安全评估可以要求有关部门提供支持与协助(第36条)。
三、规定了个人信息跨境提供的规则
对于个人信息的跨境提供,本法第3章规定了全面而完善的规则。一方面,依第39条规定,向境外提供个人信息的,应当向个人告知境外接收方的相关信息和有关个人信息处理的重要事项以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。另一方面,还应具备第38条规定的条件之一,即“(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。”我国缔结或者参加的国际条约、协定有相关规定的,可从其规定。
另外,第40条规定,对于关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,原则上应当将个人信息存储在境内,确需向境外提供的,应当通过国家网信部门组织的安全评估。
此外,第41条、第42条和第43条还分别对出于司法协助需要向境外提供个人信息、为维护国家安全与发展利益、公共利益和个人利益时可采取的措施等情形作了相应规定。
四、明确个人在个人信息处理活动中的权利
第4章规定了个人在个人信息处理活动中的权利。
与“告知-同意”这一核心规则相呼应,本法第44条赋予了个人对其个人信息的处理享有的知情权、决定权,并有权限制或者拒绝他人对其个人信息进行处理。由第17条规定可知,个人享有知情权的事项至少包括个人信息处理者的名称或者姓名和联系方式、个人信息的处理目的、处理方式,处理种类、保存期限等。第45条则规定个人有权向个人信息处理者查阅、复制其个人信息。发现其个人信息不准确或者不完整的,个人可依第46条规定请求个人信息处理者更正、补充其个人信息。对于符合法定条件的,第47条规定了个人的删除权,个人有权请求个人信息处理者删除其个人信息。
此外,在终审议时,第45条还新增了“个人信息可携带权”的规定,即对于符合国家网信部门规定条件的,个人请求将个人信息转移至其指定的个人信息处理者时,个人信息处理者应当提供转移的途径。这强化了个人对个人信息处理的决定权。
第49条则在二审稿的基础上,完善了近亲属对死者个人信息行使权利的规定。除死者生前另有安排外,近亲属只有在为了实现自身的合法、正当利益的情形下,可以对死者的相关个人信息行使本法第4章规定的查阅、复制、更正、删除等权利。此规定维护的并非死者的个人信息权益,而是其近亲属的合法、正当利益。
为了便于个人实现本章规定的各项权利,第50条规定了个人信息处理者应当为个人行使权利建立便捷的申请受理和处理机制。个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。
五、全面的个人信息处理者义务
第5章规定了个人信息处理者的各项义务。
为了确保个人信息的安全,第51条规定了个人信息处理者应当采取必要措施确保个人信息安全的义务,并对相应的措施作了列举。第54条还规定了应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计的义务。
此外,区分不同规模和条件的个人信息处理者,本章对其设立了不同的义务。对于处理个人信息达到规定数量的个人信息处理者,依据第52条规定,应当指定个人信息保护负责人对个人信息处理活动以及采取的保护措施等进行监督。对于大型互联网平台这类个人信息处理者,对其课以更严格的义务的呼声也一直很高,因此,本法二审稿新增了关于大型互联网平台特别义务的规定,经过修改完善,形成了第58条的规定。依据该条文,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,须按照国家规定成立主要由外部成员组成的独立机构对个人信息保护情况进行监督,同时还需履行“守门人”义务,即大型互联网平台应当制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务,在平台内产品或者服务提供者严重违反法律、行政法规处理个人信息时停止对其提供平台服务。
第59条则是鉴于受托处理个人信息的受托人,其很可能不属于个人信息处理者而不适用本法,因而为了加强个人信息的保护,二审稿新增了关于接受委托处理个人信息的受托人应当履行的相关义务,并在正式颁布的法律中完善了这一规定。
本章还对规定情形下应进行个人信息保护影响评估、个人信息发生或可能发生泄露、篡改、丢失时采取补救措施和通知义务、境外个人信息处理者应当在我国境内设立专门机构或者指定代表负责处理个人信息保护相关事务等作出了规定。
六、确定专门的个人信息保护部门及其职责
本法第60条规定了履行个人信息保护职责的部门。其中国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。而县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。由此建立了由国家网信部门负责统筹协调的,从中央到地方的,多层级、宽领域的监督管理体系。
在具体职责上,本章第61条列举了五项职责,包括“(一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;(二)接受、处理与个人信息保护有关的投诉、举报;(三)组织对应用程序等个人信息保护情况进行测评,并公布测评结果;(四)调查、处理违法个人信息处理活动;(五)法律、行政法规规定的其他职责”。同时,第62条列举了由国家网信部门统筹协调有关部门依据本法推进的具体个人信息保护工作,如制定个人信息保护具体规则、标准以及支持研究开发和推广相关技术和公共服务。为开展调查、处理违法个人信息处理活动,第63条规定了履行个人信息保护职责的部门可采取的措施。第65条与第61条第2项相呼应,对其作了细化的规定。
此外,值得注意的是,第61条在审议通过时新增了第3项规定,即明确赋予履行个人信息保护职责的部门组织对应用程序等个人信息保护情况进行测评,并公布测评结果的权力。这是对实践中移动应用程序(App)过度或违法采集个人信息、滥用个人信息侵害个人权益现象的回应。
七、严格的法律责任
本法第7章规定了各类法律责任,包括民事责任、行政责任,并在第71条中通过设置引致条款的方式,将违反个人信息保护的行为纳入治安管理处罚和刑事责任的规范。
对于违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,本法第66条规定,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处100万元以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。对于情节严重的,除责令改正,没收违法所得,吊销相关证照,处罚相关人员之外,对个人信息处理者的罚款金额可达到5000万元以下或者上一年度营业额5%以下罚款。该条具有鲜明的特点,包括采取个人与企业双罚制,区别“情节严重”(第2款)与一般违法(第1款)从而适用不同的“天花板”限额、行政罚款与其他行政处罚及民事、刑事责任综合适用。此条规定将大幅提高违法者的违法成本,并将促使个人信息处理者加强个人信息保护。
对于处理个人信息侵害个人信息权益并造成损害的,本法草案规定“个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任”,但是鉴于个人的弱势地位,二审稿明确规定实行过错推定责任,即在第69条规定,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。这一规定大大减轻了个人信息权益侵权损害中个人的举证负担。此外,该条款还对损害赔偿金额的确定方式作了规定。
对于个人信息处理行为同时侵犯众多个人的权益的,本法第70条规定了个人信息侵权公益诉讼制度,规定人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以作为适格主体依法向人民法院提起诉讼。
此外,第67条还规定了失信约束的责任形式,第68条则对国家机关不履行本法规定的个人信息保护义务时的责任作了相应规定。
后,本法虽然是关于个人信息保护领域的专门法与基本法,但诸多涉及个人信息保护的类似规定同样散落在其他法律、行政法规中。比如本法第28条所称的敏感个人信息,很可能同时也是《民法典》第1032条、第1033条规定的隐私和私密信息。此外,在特定的领域,也有其具体的个人信息保护规定。如关于确保个人信息安全的义务,也可在《消费者权益保护法》第29条第2款和《网络安全法》第21条、第42条第2款中找到类似规定;指定个人信息保护负责人的规定,则在《网络安全法》第21条中有类似规定;个人信息发生或可能发生泄露、篡改、丢失的危害时的补救和通知义务,在《全国人民代表大会常务委员会关于加强网络信息保护的决定》第4条中也有类似规定。因此在法律适用上,应根据新法优于旧法、特别法优于一般法的原则适用相应法律,而在具体案件和具体的领域中,当事人可根据实际情况同时援引《消费者权益保护法》《网络安全法》《民法典》等法律中关于个人信息保护的相关规定。
|
|