2021 年个人信息保护法审议出台，为

东莞道滘律师获悉

2021年8月20日，《个人信息保护法》审议通过，并将于2021年11月1日起施行。国家层面对个人信息保护作出了重大的基本法律制度安排。 2016年11月审议通过的《网络安全法》在“网络信息安全”章节中对个人信息保护进行了规定，明确了个人信息保护的主要原则和基本规则。 《网络安全法》对于推动个人信息保护法制化进程发挥了重要作用。同时，随着信息通信技术的快速发展和迭代，个人信息保护问题的复杂性、紧迫性、专业性更加凸显，有必要制定统一、专门的个人信息保护立法。

个人信息保护已成为广大公众最直接、最现实的利益之一。截至2020年12月，我国网民规模达到9.89亿，较2020年3月增加8540万，互联网普及率达到70.4%。随着“互联网+”的深度融合和数字经济的快速发展，线下活动逐渐转向线上并融合。消费互联网广泛改变了人们的生活方式。互联网深刻地改变了人们的工作方式。互联网已经与人们的生产、生活密不可分。 。现实生活中，一些企业、机构甚至个人，基于商业利益，任意收集、非法获取、过度使用、非法买卖个人信息，利用个人信息侵犯人民群众的安宁生活，危害人民群众的财产安全、生命安全。健康等方面仍然非常突出。在日常生活中，随机收集个人信息的现象非常普遍。免费气球玩具需要扫描二维码关注，获取个人信息。在商场停车需要注册微信公众号来支付停车费。在餐厅点餐时，需要扫描二维码下单，以获取不必要的个人信息。信息等等。人们对此习以为常，却又颇为无奈。个人信息被频繁收集和使用，个人生活安宁不断被侵犯，用户合法权益得不到有效保护，甚至培育出一条长长的黑色产业链。 《个人信息保护法》的出台有效应对了这些不规范、违法问题。总体而言道滘镇律师，《个人信息保护法》对个人信息保护问题作出了全面、基本的规定，能够有效实现个人信息保护的法制环境。具体来说，主要包括六个方面。

一是明确个人信息保护调整范围。 《个人信息保护法》第四条第一款规定，个人信息是指以电子或者其他方式记录的与识别出或者可识别的自然人有关的各种信息，不包括匿名信息。 《网络安全法》、《民法典》等都有对“个人信息”的定义，基本都是基于“识别论”，采用概括+枚举的表达方式。作为一部专门的个人信息保护法，《个人信息保护法》在定义上存在明显不同。它结合了“识别论”和“关联论”，在很大程度上体现了个人信息保护的专业性和动态性。结合个人信息处理主体多样、处理活动复杂、个人信息类型多变的实际发展情况，通过相对宽泛的内涵和外延界定，最大限度保障个人信息保护法的广泛稳定适用。程度。同时，第四条第二款规定，个人信息处理包括个人信息的收集、存储、使用、加工、传输、提供、披露、删除等。数据是新的生产要素，价值释放是数据活动的主要目的之一。个人信息是现阶段极具价值的数据类型，其价值释放的需求非常强烈，而可能伴随的个人信息权益侵权也贯穿于数据处理活动的整个生命周期。 《个人信息保护法》运用立法手段，将相关个人信息活动统一为“处理”活动，确保所有法律规定的有效覆盖。与欧盟《通用数据保护条例》（GDPR）中规定的数据控制者（Data）和数据处理者（Data）相比，《个人信息保护法》仅使用“个人信息处理者”的概念来表述。从比较法的角度来看，不同角度的理解存在差异，但个人信息保护法实际上通过委托处理（第21条）和转移处理（第21条）两种方式充分考虑了“数据控制者”和“数据控制者”的术语。第 23 条）。 “数据处理者”适用于上下文被理解的场景。从分布的角度来看，没有真正的区别。对于各类个人信息处理者来说，这是理解个人信息保护法适用的关键问题之一。

二是明确个人信息处理的基本规则。首先，《个人信息保护法》首次在国内法中规定了个人信息处理的法律依据（第十三条），包括用户的同意、订立合同所必需的、人力资源管理所必需的、履行法定义务所必需的等。职责/义务，以及应急防护、新闻报道或舆论监督、公共信息的合理处理等法律依据。对于个人信息处理者而言，在以往用户同意唯一合法依据的基础上，丰富了合法处理个人信息的方式，既考虑了个人信息处理活动的合理做法，又借鉴了成熟的法律和法规。国外立法经验。同时，个人信息保护法还妥善处理好同法各条之间的衔接。依照第十三条第二款以及本法其他有关规定，处理个人信息必须取得个人同意，但有前款第二款至第七款规定的情形时，不需要个人同意。这充分体现了个人信息处理活动的复杂性和多场景性，明确了除“用户同意”外，个人信息的合法处理还须遵守其他规定，保证了立法的科学性和严谨性。其次，个人信息保护法规定通过自动化决策处理个人信息，回应了人们广泛关注的信息茧化和大数据成熟度问题。 《个人信息保护法》要求“利用个人信息进行自动化决策，必须保证决策的透明度和结果的公平公正”（第二十四条第一款）。针对信息茧化问题，《个人信息保护法》赋予用户拒绝权，规定“通过自动化决策方式向个人进行信息推送和商业营销，还应当提供不针对其个人特征的选择，或为个人提供方便的拒绝选项。 《办法》（第二十四条第二款）；针对大数据成熟度问题，规定“不得在交易价格等交易条件上对个人实施不合理的差别待遇”（第二十四条第一款） ）。

事实上，在反垄断法框架下，大数据杀戮是一种滥用市场支配地位的行为，反垄断法已经有类似的规定。 《个人信息保护法》对此作出规定，不仅可以提供反垄断法规之外的新保护路径，而且可以从个人信息收集和使用的底层逻辑上解决大数据成熟度问题。无论是信息茧化问题还是大数据成熟度问题，个人信息处理活动都起着最基本的支撑作用。如果没有个人信息数据处理，信息茧化和大数据成熟度就难以实现。对个人信息处理活动进行有效监管，可以对解决类似问题发挥基础性作用。再次明确公共场所视频监控活动规则。 《个人信息保护法》第二十六条规定，“公共场所安装图像采集、个人身份识别设备，应当是维护公共安全所必需的，符合国家有关规定，并设置显着的提醒标志。收集的个人图像和身份信息只能用于维护公共安全的目的，不得用于其他目的，除非得到个人单独同意。 “出于保护公共安全的目的，在公共场所安装摄像头等设备已经越来越普遍，也起到了实际的效果。然而，有些摄像头等设备的设置超出了维护的目的。 《个人信息保护法》通过该条作出了原则性规定，为后续规范相关活动提供了法律依据，并首次明确了披露个人信息的处理规则。根据《个人信息保护法》第十三条规定，“依照本法规定在合理范围内处理个人自行公开的或者他人合法公开的信息”是第二十七条规定的合法性依据之一。公开的个人信息的处理，明确个人公开的或者他人合法公开的个人信息可以在合理范围内进行处理，但个人明确拒绝的除外。同时，公开的个人信息的处理对个人权益产生重大影响的道滘镇律师，还必须依照本法的规定取得个人同意。

三是充分规定个人在个人信息处理活动中的权利。个人对其个人信息享有的权利是个人参与个人信息保护的重要手段之一，体现了个人信息多元化治理的理念。参考以GDPR为代表的国外个人信息保护立法，赋予个人的权利类型基本相同。 《个人信息保护法》提供了科学、充分的立法参考。原则条款明确了个人对其个人信息处理享有知情权和决定权，并有权限制或者拒绝他人处理其个人信息（第44条）。具体规定了查阅、复制权、携带权（第45条）、更正权（第46条）、删除权（第47条）、要求解释权（第48条）。对于自然人死亡，还明确了近亲属行使相关权利的规定（第四十九条）。相对而言，《个人信息保护法》对个人在个人信息处理活动中享有的权利规定较为充分。除国际国内普遍存在争议的“被遗忘权”外，并无明确规定，与国外立法基本一致。持续的。值得注意的是，个人信息保护法中的所谓“权利”与民法体系中的民事权利不同。它没有规定个人信息的权利，但强调“在个人信息处理活动中”的权利。

四是规定了个人信息处理者的义务。个人信息处理者的义务可以理解为个人信息处理的操作规范和手册。对于个人信息处理者来说，这是需要非常熟悉并一一遵循的部分。个人信息保护是一种合规状态，而不是目标结果，需要个人信息处理者持续投入成本和资源来维持合法合理的个人信息保护水平。 《个人信息保护法》第五十一条规定了个人信息处理者的一般义务，包括： （一）制定内部管理制度和操作程序； （二）对个人信息实行分类管理； （三）采取适当的加密、去标识化等安全技术措施； （四）合理确定个人信息处理的操作权限，定期对员工进行安全教育和培训； （五）制定并组织实施个人信息安全事件应急预案； （六）法律、行政法规规定的其他措施。一般来说，个人信息处理者可以根据这些事项持续推进内部个人信息保护，以符合合规要求。具体来说，可以根据企业规模、服务性质、技术水平等，选择更适合自身情况的相应措施。除第五十一条的规定外，个人信息保护法还规定了合规审核（第 54 条）、泄漏通知（第 57 条）和其他要求。在一般要求的基础上，个人信息保护法还作出了一些特别规定。一是对处理国家网信部门规定数量的个人信息的个人信息处理者，应当指定个人信息保护负责人（52第53条）；其次，境外个人信息处理者应当在中国境内设立专门机构或者指定代表（第五十三条）；第三，个人信息保护影响评估应根据具体情况进行，主要是在一些高风险情况下进行。包括个人敏感信息处理、自动化决策、委托处理、向他人/境外提供、个人信息披露等（第五十五条）；四是规定了重要互联网平台服务和海量用户提供的“把关人”义务。 、业务类型复杂的个人信息处理者（可以理解为“把关人”或大型互联网平台）也应履行上级义务，要求设立外部独立监管机构，制定平台规则，拦截违法行为，定期发布责任履行报告等（第五十八条）。

五是明确履行个人信息保护职责的部门及职责。 《个人信息保护法》对个人信息保护制度做出了明确的安排（第六十条）。从横向来看，国家网信部门负责协调个人信息保护及相关监督管理。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理。工作。从纵向来看，县级以上地方人民政府有关部门按照国家有关规定确定个人信息保护和监督管理职责。第六十条规定，个人信息保护将本着统筹、协调、协作、共管的思路，构建跨部门、跨行业、跨领域的监管体制和机制，能够很好适应个人信息保护工作的特点。管理层面，可根据情况构建国家、省（区、市）、地级市、县四级管理体系。同时，《个人信息保护法》列举了履行个人信息保护职责的部门职责以及国家网信部门的统筹协调职责（第六十一条、第六十二条）。

六是更加严格的法律责任。个人信息处理活动涉及领域广泛、复杂、主体多样、隐蔽性强。一旦发生侵犯个人信息权益的行为，往往会在社会层面造成严重后果。有些损害结果甚至难以明确地发现，监管成本较高，消耗大量行政资源。根据国外经验以及个人信息保护本身的特点，施加更严格的法律责任是符合法律逻辑的。在行政责任方面，《个人信息保护法》规定了综合性的行政处罚，包括警告、没收违法所得、罚款（包括对单位和责任人员）、责令停业或者停业整顿、吊销许可证等。或营业执照。其中，对非法处理个人信息的应用程序，可以责令暂停或者终止服务。最高可处5000万元或者上一年度营业额5%的罚款。此外，还规定了信用处罚和禁止担任公司董事、监事、高级管理人员和个人信息保护负责人的规定。在民事责任方面，规定了过错推定原则。个人信息处理行为侵犯个人信息权并造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任（第六十九条）。

纵观《个人信息保护法》全文，其保护不能说不充分，其考量不能说不全面。准确把握网络发展规律和特点，回应个人权益保护的迫切需要。个人信息保护立法进程一直受到各方高度关注和殷切期盼。从初稿到二稿再到最终发布，不断完善，得到了各方的广泛认可和好评，体现了我国对个人信息保护法律工作认真负责的态度。 《个人信息保护法》的颁布并不意味着个人信息保护才刚刚开始。事实上，我国个人信息保护早已深入开展。 《个人信息保护法》的颁布，标志着我国个人信息保护进入了更高水平的法制时代。这也是对所有生活在网络时代的人们最直接、最现实的利益的最好的法律解答。 。 （作者：方宇，中国信息通信研究院互联网法研究中心主任）

专家解读｜中国个人信息保护与法治方案

专家解读｜个人信息保护法：确立数字社会治理和数字经济发展的基础法

专家解读｜全面保护个人信息权益的重要法律

专家解读|吸收融合国际立法探索创造中国道路——解读《中华人民共和国个人信息保护法》

专家解读｜个人信息保护法的深远意义：中国与世界

专家解读｜8章74条，个人信息保护法来了！十大亮点权威解读

道滘镇律师?敬请于评论区发表高见，并对本文予以点赞及转发，以助广大读者把握法律与正义的界限。