《中華人民共和國個人信息保護(hù)法》亮點(diǎn)解讀

建華

在信息化時代，個人信息保護(hù)已成為人們頗為關(guān)心的利益問題之一。為回應(yīng)社會關(guān)切，8月20日，十三屆全國人大常委會第三十次會議表決通過了《中華人民共和國個人信息保護(hù)法》（以下簡稱《個人信息保護(hù)法》。這部自2021年11月1日起施行的法律是我國首部專門針對個人信息保護(hù)的綜合性法律，與我們的日常生活息息相關(guān)。本文試對《個人信息保護(hù)法》的立法亮點(diǎn)進(jìn)行解讀，以饗讀者。

亮點(diǎn)一：規(guī)范處理活動保障權(quán)益

《個人信息保護(hù)法》緊緊圍繞規(guī)范個人信息處理活動、保障個人信息權(quán)益，構(gòu)建了以“告知——同意”為核心的個人信息處理規(guī)則。該法要求，處理個人信息應(yīng)當(dāng)在事先充分告知的前提下取得個人同意，個人信息處理的重要事項(xiàng)發(fā)生變更的應(yīng)當(dāng)重新向個人告知并取得同意；同時，針對現(xiàn)實(shí)生活中人們反映強(qiáng)烈的一攬子授權(quán)、強(qiáng)制同意等問題，特別強(qiáng)調(diào)個人信息處理者在處理敏感個人信息、向他人提供或公開個人信息、跨境轉(zhuǎn)移個人信息等環(huán)節(jié)應(yīng)取得個人的單獨(dú)同意，明確個人信息處理者不得過度收集個人信息，不得以個人不同意為由拒絕提供產(chǎn)品或者服務(wù)，并賦予個人撤回同意的權(quán)利，在個人撤回同意后，個人信息處理者應(yīng)當(dāng)停止處理或及時刪除其個人信息。

亮點(diǎn)二：禁止“大數(shù)據(jù)殺熟”規(guī)范自動化決策

當(dāng)前，越來越多的企業(yè)利用大數(shù)據(jù)分析、評估消費(fèi)者的個人特征用于商業(yè)營銷。有一些企業(yè)通過掌握消費(fèi)者的經(jīng)濟(jì)狀況、消費(fèi)習(xí)慣、對價格的敏感程度等信息，對消費(fèi)者在交易價格等方面實(shí)行歧視性的差別待遇，誤導(dǎo)、欺詐消費(fèi)者。這其中，最典型的就是人們反映突出的“大數(shù)據(jù)殺熟”。對此，該法明確規(guī)定：個人信息處理者利用個人信息進(jìn)行自動化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對個人在交易價格等交易條件上實(shí)行不合理的差別對待。

亮點(diǎn)三：嚴(yán)格保護(hù)敏感個人信息

該法將生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息列為敏感個人信息，規(guī)定只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個人信息處理者才可處理敏感個人信息；同時，應(yīng)當(dāng)事前進(jìn)行影響評估，并向個人告知處理的必要性及對個人權(quán)益的影響。為保護(hù)未成年人的個人信息權(quán)益和身心健康，該法特別將不滿14周歲未成年人的個人信息確定為敏感個人信息予以嚴(yán)格保護(hù)，要求處理不滿14周歲未成年人個人信息應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意。

亮點(diǎn)四：強(qiáng)化個人信息處理者義務(wù)

該法強(qiáng)調(diào)，個人信息處理者是個人信息保護(hù)的第一責(zé)任人，應(yīng)當(dāng)對其個人信息處理活動負(fù)責(zé)，并采取必要措施保障所處理的個人信息的安全。該法設(shè)專章明確了個人信息處理者的合規(guī)管理和保障個人信息安全等義務(wù)，要求個人信息處理者按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程，采取相應(yīng)的安全技術(shù)措施，指定負(fù)責(zé)人對其個人信息處理活動進(jìn)行監(jiān)督，定期對其個人信息活動進(jìn)行合規(guī)審計(jì)，對處理敏感個人信息、對外提供或公開個人信息等高風(fēng)險處理活動進(jìn)行事前影響評估，履行個人信息泄露通知和補(bǔ)救義務(wù)等。

亮點(diǎn)五：賦予大型網(wǎng)絡(luò)平臺特別義務(wù)

互聯(lián)網(wǎng)平臺服務(wù)是數(shù)字經(jīng)濟(jì)區(qū)別于傳統(tǒng)經(jīng)濟(jì)的顯著特征。互聯(lián)網(wǎng)平臺為商品和服務(wù)的交易提供技術(shù)支持、交易場所、信息發(fā)布和交易撮合等服務(wù)。因此，該法對大型互聯(lián)網(wǎng)平臺設(shè)定了特別的個人信息保護(hù)義務(wù)，比如，按照國家規(guī)定建立健全個人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對個人信息保護(hù)情況進(jìn)行監(jiān)督；遵循公開、公平、公正的原則，制定平臺規(guī)則；對嚴(yán)重違法處理個人信息的平臺內(nèi)產(chǎn)品或者服務(wù)提供者，停止提供服務(wù)；定期發(fā)布個人信息保護(hù)社會責(zé)任報(bào)告，接受社會監(jiān)督。這些規(guī)定目的是提高大型互聯(lián)網(wǎng)平臺經(jīng)營業(yè)務(wù)的透明度，完善平臺治理，強(qiáng)化外部監(jiān)督，形成全社會共同參與的個人信息保護(hù)機(jī)制。