逐条精解:《个人信息保护法》 1-12条
“
2021年 8月 20日,十三届全国人大常委会第三十次会议表决通过了《中华
人民共和国个人信息保护法》(下称 “《个保法》 ”),自 2021年 11月 1日
起施行。《个保法》是中国关于个人信息保护位阶最高的综合性法律,共计
8章 74条,在个人信息的概念、适用范围、基本原则、自然人对其个人信息
的权利、个人信息处理者的义务、个人信息跨境传输、监管部门及罚则等方
面作出了全方位规定。
本文作者基于在数据合规、数据治理方面的领先研究,对《个人信息保护法
》进行逐条精解,从律师视角对该法的立法背景、法律实操、监管处罚、应
用场景、合规建设等方面进行系列解读,希望能帮助大家对该法有更全面的
了解,尤其帮助企业在商业运营中更能踏准法治的节奏,不踩监管红线,合
规运营、行稳致远。
”
第一条 为了保护个人信息权益,规范个人信息处理活动,促进个人信息
合理利用,根据宪法,制定本法。
条文解读:本条阐述了《个保法》的立法目的,既保护自然人的个人信息权
益,亦规范个人信息处理者的行为,双向兼顾,合理平衡。其中,“根据宪
法”四个字,是在法案三审过程中加入的,二审草案中并无此项规定,这表
明国家将个人信息保护的高度提升至最高,上溯至宪法,即宪法第33条第三
款“国家尊重和保障人权”、第38条“中华人民共和国公民的人格尊严不受侵
犯”、第40条“中华人民共和国公民的通信自由和通信秘密受法律的保护”,
在基本法层面指向了对公民个人的权利保障,做到有法可依、全民相关。
第二条 自然人的个人信息受法律保护,任何组织、个人不得侵害自然人
的个人信息权益。
条文解读:《个保法》首次提出自然人享有“个人信息权益”。在法律层面,
个人信息的权利因争议较大在《民法典》中没有被定义为“个人信息权”,《
个保法》则折衷地采取了“个人信息权益”的表述。我们认为,通过单项法的
规定对《民法典》中公民权利的内容进行了适格补充,符合现有国情下“暂
搁争议缓步走”立法改革思想。由《个保法》及《民法典》的相关规定可知
,自然人对于个人信息享有的是民事权益而非权利。
个人信息的核心特点在于识别性,即只有能够识别特定自然人的信息才属于
个人信息。这一特点决定了《个保法》的目的不单是保护个人信息,更主要
是防止对个人信息的处理不当而产生的对自然人人身财产权益乃至人格尊严
、人格自由侵害的风险。
因此,“个人信息权益”对应的主要法益是一种防御性权益,也就是自然人针
对个人信息享有的防止因个人信息被非法处理而致人身财产权益、人格尊严
与自由受到侵害或损害的利益。
第三条 在中华人民共和国境内处理自然人个人信息的活动,适用本法。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动
,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。
条文解读:第三条规定了《个保法》的适用范围,即在我国境内、境外处理
自然人个人信息的活动都受《个保法》的约束。境内处理无任何前置条件;
境外处理则需要附带特定条件,即在境外处理我国境内自然人个人信息的活
动,且该活动以向境内自然人提供产品或者服务为目的,或者不以向境内自
然人提供产品或服务为目的,仅仅是分析、评估境内自然人行为的,或有其
它特别法(如数据安全法、网络安全法)规定保护的,同样适用《个保法》
。
第二款通过列举+兜底条款,较为充分的考虑到互联网时代新事物层出不穷
,对个人信息保护范围的探索难以列举穷尽,留下其它特别法的保护空间。
第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自
然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供
、公开、删除等。
条文解读:该条明确了个人信息的定义与信息处理的具体行为。与《网络安
全法》第76条第一款第五项和《民法典》第1034条第二款规定的“能够单独
或者与其他信息结合识别特定自然人的各种信息”不同,本条定义采取了“识
别+关联”的路径,一定程度上限缩了个人信息的范围,为实践中能够更为有
效的明确何为个人信息提供了法律依据。
对于匿名化处理后的信息并不在本法规制范围之内,信息处理者公开、删除
等进行处理行为,不受本法约束。而匿名化处理后的信息,是指通过该信息
经过处理无法关联到个人,识别个人身份的相关信息,作者的笔名、演员的
艺名、微博的前台花名等个人信息仍受到本法规制。
在个人信息的处理范围方面,《刑法》第253条的侵犯公民个人信息罪仅规
定了“违反国家有关规定,向他人出售或者提供公民个人信息”仅仅是出售、
提供,但《个保法》对此有更进一步的拓宽,详尽列举了八类处理行为,较
全面进行了规制。
第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过
误导、欺诈、胁迫等方式处理个人信息。
条文解读:本条规定了合法、正当、必要、诚信原则,即处理行为应当遵守
法律法规、合乎程序要求、严守限定原则、诚实守信,不违背对个人的承诺
。《个保法》在沿用《民法典》《网络安全法》和《个人信息安全规范》关
于合法、正当、必要原则规定的基础上,增加了诚信原则,并禁止采取“误
导、欺诈、胁迫”等方式处理个人信息。
第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直
接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人
信息。
条文解读:第一款体现了处理个人信息的明确性和相关性原则。处理个人信
息应当具有明确、合理的目的,并应当与处理目的直接相关。若变更个人信
息的处理目的,则应当重新取得其同意。受托人应当按照约定的处理目的和
处理范围处理个人信息。在公共场所安装图像采集、个人身份识别设备,所
收集的个人信息,只能用于维护公共安全的目的,未经个人同意不得用于其
他目的。
第二款体现最小必要原则,防止过度收集信息。收集个人信息,应当限于实
现处理目的的最小范围。处理个人信息应当采取对个人权益影响最小的方式
。除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的
所必要的最短时间。在公共场所安装图像采集、个人身份识别设备,应当为
维护公共安全所必需。
第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则
,明示处理的目的、方式和范围。
条文解读:本条规定了公开、透明原则,即处理个人信息的方式、规则应公
诸于众,便于个人查询监督,其本质是要求个人信息的处理方公开处理规则
,明示处理的目的、方式和范围。个人信息处理者在处理个人信息前,应当
以显著方式和清晰易懂的语言真实、准确、完整地告知自然人本法第十七条
规定的法定事项。通过制定个人信息处理规则的方式告知必要事项的,应当
公开处理规则,并为查阅和保存提供便利。
第八条 处理个人信息应当保证个人信息的质量,避免因个人信息不准确
、不完整对个人权益造成不利影响。
条文解读:本条规定了保证质量原则,避免因个人信息不准确、不完整对个
人权益造成不利影响。个人发现其个人信息不准确或者不完整的,有权请求
更正、补充,个人信息处理者应当对其个人信息予以核实,并及时更正、补
充,因处理者未保证个人信息质量等行为导致个人权益受到损害的,应当承
担相应责任。
第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措
施保障所处理的个人信息的安全。
条文解读:本条规定了安全保障原则,即个人信息处理者不仅应当对其个人
信息处理活动负责,还需采取必要措施保障其安全:根据个人信息的类别、
处理目的、处理方式、约定处理范围,并充分考虑该处理活动对个人权益的
影响以及其中可能存在的安全风险等,采取相应的保护措施。
第十条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息
,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全
、公共利益的个人信息处理活动。
条文解读:针对个人信息泄露的隐患,本条明确对非法收集、使用、加工、
传输他人个人信息、非法买卖、提供或者公开他人个人信息等信息处理行为
作出禁止性规定,与我国刑法第253条侵犯公民个人信息罪相衔接,通过列
举禁止行为,明晰个人信息处理者处理个人信息的行为准则和法律依据,同
时规定信息处理者“不得从事危害国家安全、公共利益的个人信息处理活动”
,兼顾对个人信息权益、公共利益、国家安全的保护。
第十一条 国家建立健全个人信息保护制度,预防和惩治侵害个人信息权
益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社
会组织、公众共同参与个人信息保护的良好环境。
条文解读:本条明确了国家开展个人信息保护工作的基本原则。以个人信息
保护制度为基础,多措并举、多方互动以预防和惩治侵害行为,同时加强相
关宣传教育,积极推动社会公众参与个人信息保护,促进个人信息保护成为
社会共识。
第十二条 国家积极参与个人信息保护国际规则的制定,促进个人信息保
护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个
人信息保护规则、标准等互认。
条文解读: 虽然目前中国尚未与他国家或地区建立关于个人信息保护的互认
标准,但本条规定表明了中国与其他国家或地区开展个人信息保护合作的决
心,亦向世界传递了中国对于个人信息保护的严肃态度和法律立场。
如此后中国与其他国家或地区建立了个人信息互认的标准(如欧盟的 GDPR
),则个人数据出境后亦能得到保护,即境外接收方处理个人信息的活动也
必须达到本法规定的保护标准。本条规定对个人信息在境内境外实现同等保
护,具有深远的意义。
- END -
|
|