1、54专家视角Expert Perspectives 中国电信业CHINA TELECOMMUNICATIONS TRADE“规范个人信息处理活动”是个人信息保护法的核心目前,在各类个人信息保护法的解读文章中,大多在谈论个人信息保护的内容,很少涉及如何促进个人信息合理利用。实质上,个人信息保护法的立法目的不仅仅是“保护”个人信息,而是“保护”和“利用”同步推进。个人信息保护法 第一条规定:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”从个人信息保护法的立法目的看,个人信息保护法的实质功能是一部个人信息处理活动行为规范法,个人信息保护的真正立法目的有两个
2、,一个是“保护个人信息权益”,另一个是“促进个人信息合理利用”,其中“规范个人信息处理活动”处于整个个人信息保护法的核心地位,只有夯实“规范个人信息处理活动”这个关键环节,才能确保实现保护个人信息权益和促进个人信息合理利用之目的。个人信息的内涵与匿名化个人信息保护法第四条第一款明确了“个人信息”的定义:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”该定义与网络安全法、民法典以及最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释中的“个人信息”定义在基本概念上保持了一致,强调了“已识别或者可识别的自然人信
3、息”,但在内涵上却有很大的不同。个人信息保护法中的“个人信息”定义增加了“不包括匿名化处理后的信息”,明确了“个人信息”经匿名化处理后不属于个人信息,也就无须适用个人信息保护法的相关规定,体现了个人信息保护法的“保护”和“利用”并重。个人信息保护法第七十三条(四)将“匿名化”定义为:“是指个人信息经过处理无法识别特定自然人且不能复原的过程。”该定义中的“不能复原”采取了以下个人信息保护法 实施一周年回顾与展望(之一)王春晖 文 王春晖中国行为法学会学术委员会副主任兼网络与数据法学研究部主任、工业和信息化部信息通信经济专家委员会委员、南京邮电大学信息产业发展战略研究院首席教授、中国通信学会网络与
4、数据法治决策咨询团队首席专家(2022 年入选中国科协决策咨询专家团队建设试点名单)、网络空间治理与数字经济(长三角)研究基地主任兼首席专家、中国法学会网络信息法学研究会常务理事、上海市法学会互联网司法研究会副会长、江苏省法学会大数据与人工智能法学研究会副会长、联合国国际贸易法委员会(第四工作组)中国观察员专家团成员。2022 年 11 月 1 日,中华人民共和国个人信息保护法(以下称:个人信息保护法)正式施行一周年。个人信息保护法集中体现了以人民为中心的立法理念,并将在国家层面建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组
5、织、公众共同参与个人信息保护的良好环境,确保个人信息保护法的各项要求和规定在社会生活中得到全面的贯彻和实施。在个人信息保护法实施一周年之际,让我们回顾并领会个人信息保护法的精彩亮点和相关案例,展望个人信息保护法实施之未来。55中国电信业CHINA TELECOMMUNICATIONS TRADE专家视角Expert Perspectives 两种方法,一是删除个人信息包含的个人描述部分,包括将描述部分替换为其他描述部分,或者使用具有不可恢复的方法等;二是删除所述个人信息中所包含的全部标识符,包括将标识符替换为其他描述部分,或者使用具有不可恢复的方法等。个人信息保护法的域外效力在数字化、智能化和
6、网络化的时代,数据正在以前所未有的方式自由流动和跨境传输,因此个人信息保护立法仅有域内效力的规定根本无法充分保护本国公民的个人信息。2018 年生效的欧盟 GDPR 率先确立了个人数据保护的域外效力,目前已有多个国家的个人信息保护法借鉴了GDPR 域外效力的立法实践,我国的个人信息保护法也反映了国际个人信息保护的域外效力趋势。我国个人信息保护法第三条第二款的规定,在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列三种情形之一的,也适用个人信息保护法:一是“以向境内自然人提供产品或者服务为目的”,比如一家位于美国运营的电子商务网站(Amazon)向中国境内的自然人(包括本国人
7、、外国人和无国籍人)提供产品或服务;二是“分析、评估境内自然人的行为”,比如一家位于境外的社交网站分析、评估中国境内自然人的行为,像全球最大的社交网站Facebook(已更名为“Meta”),每年发布专门的用户行为习惯研究分析报告;三是法律、行政法规规定的其他情形,如我国数据安全法第二条第二款明确规定:“在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。”个人信息处理的核心原则个人信息保护法总则部分确立了多项处理个人信息的基本原则,对这部法律的实施具有重要的指导意义,个人信息保护法的基本原则主要涉及的是个人信息处理的基本准则,
8、特别是在云环境和平台经济的背景下,很多新型和疑难的个人信息保护案件很难精准地适用具体相应的法律条款,但是个人信息处理的基本原则具有协调、漏洞补充和缓和规则不公正的作用,对新型个人信息保护案件的适用将发挥重要作用,应当透彻地理解。个人信息保护法主要确立以下五项重要原则:一是遵循合法、正当、必要和诚信原则;二是采取对个人权益影响最小的方式,限于实现处理目的的最小范围原则;三是处理个人信息应当遵循公开、透明原则;四是处理个人信息应当保证个人信息质量原则;五是采取必要措施确保个人信息安全原则等。以上个人信息处理原则,如“遵循合法、正当、必要”“应当遵循公开、透明原则”以及“保障个人信息安全”等原则在全
9、国人民代表大会常务委员会关于加强网络信息保护的决定网络安全法 民法典 消费者权益保护法等相关个人信息保护立法中均规定,已经成为我国个人信息处理应遵循的通用规则。本文以为,个人信息保护法总则部分第六条确立的两个“最小原则”,是个人信息处理应遵循的核心原则,尤其是处理目的的“最小范围”,这是禁止“过度收集个人信息”的关键要点,因为个人信息处理者只有在严格遵守处理目的的“最小范围”的前提下,即“非必要不收集”的情况下,才能确保其采取对个人权益影响最小的方式。个人信息保护法第八条还专门规定了处理个人信息应当保证个人信息的质量,这项原则也极为重要,如果个人56专家视角Expert Perspective
10、s 中国电信业CHINA TELECOMMUNICATIONS TRADE信息不准确或不完整将对个人权益造成不利影响。以“告知-知情-同意”为核心的个人信息处理规则“告知-同意”这一个人信息处理规则,在全国人大常委会的决定网络安全法消费者权益保护法以及民法典等法律中均有规定。事实上,个人信息保护法不仅是确立了以“告知-同意”的个人信息处理规则,而是构建了以“告知-知情-同意”为核心的个人信息处理规则体系。应当指出,个人信息处理者“告知”的目的是确保被告知者的充分“知情”,只有被告知者在充分知情的前提下才能自愿、明确地作出决定。为此,个人信息保护法第十四条明确规定:“基于个人同意处理个人信息的,
11、该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。”由此,个人信息保护法构建了以“告知-知情-同意”为核心的个人信息处理规则。2022 年 7 月,江苏苏州相城网安部门在对苏州某科技有限公司检查时发现,该公司开发运营的某小程序在收集用户申请基因检测个人信息时,未向被收集者明示处理个人信息的方式、种类及保存期限等,在存储、传输个人基因检测报告等敏感信息时未采取必要的安全技术措施,涉嫌处理个人信息未告知并征得个人同意和不履行个人信息安全保护义务。对此,苏州相城网安部门依据中华人民共和国个人信息保护法第 13 条、第 17
12、条、第51 条和第 66 条规定,对该公司予以行政警告处罚并责令限期改正。敏感个人信息的认定与保护规则民法典 第一千零三十四条的三款:“个人信息中的私密信息,适用有关隐私57中国电信业CHINA TELECOMMUNICATIONS TRADE专家视角Expert Perspectives 权的规定;没有规定的,适用有关个人信息保护的规定。”因此,个人信息保护法没有对自然人的隐私信息做出专门规定,而是将个人信息分为敏感信息和非敏感信息,并设专节设置了“敏感个人信息的处理规则”。个人信息保护法第二十八条给出了“敏感个人信息”的定义,即“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严
13、受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”该定义采用了“个人信息被泄露或者非法使用+危害后果+列举重要敏感个人信息”的立法技术,同时将不满十四周岁未成年人的个人信息也纳入了“敏感个人信息”给予重点保护。个人信息保护法对处理敏感个人信息作出了严格的限制性规定,即在履行“告知-知情-同意”原则的基础上,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。特别是处理敏感个人信息应当取得个人的单独同意,如果法律、行政法规规定处理敏感个人信息应当
14、取得书面同意的,应当从其规定。严禁“大数据杀熟”以及为“用户画像”等涉及不当自动化决策针对“大数据杀熟”“用户画像”和“算法推荐”等涉及个人信息自动化决策的热点问题,个人信息保护法作出了明确规范(第二十四条):首先,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇;其次,通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式;第三,通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。个人信息保护法就个人信息处理者利用个人信息进行自动化决策重点确立了一项义务性规范和一项禁止性规定:一是应当保证决策的透明度和结果公平、公正;二是不得对个人在交易价格等交易条件上实行不合理的差别待遇。