查看原文
其他

汇业评论 | 《个人信息保护法(草案)》详细解读:继承、创新与影响

黄春林、李天航 汇业法律观察 2022-09-24

文 | 黄春林 合伙人   李天航 合伙人 汇业律师事务所


2020年10月13日,十三届全国人大常委会第二十二次会议第一次审议了《个人信息保护法(一审草案)》(下称“一审草案”)。


结合近年来中国网络安全、数据与个人信息保护立法、政策及标准制定实践,汇业律师事务所网络与数据法律团队从条文继承与创新等角度,详细解读《一审草案》的主要内容及对行业的影响,仅供业内参考。



一、 个人信息保护法制定历程及主要内容


早在2000年初,中国就提出制定一部法典化的个人信息保护法,当年还出了多个版本的专家建议稿。但考虑到立法的谦抑性,因网络及数据行业发展相对比较年轻,故而停止。


随着互联网及电信行业的快速发展,至2009年左右,社会已经出现大量侵犯公民个人信息的案件,受到媒体及立法者的广泛关注。为了解决紧迫问题,立法者采取了先刑后民的立法策略,此后几年,通过在刑法修正案七/九、司法解释中加入、扩张、解释侵犯公民个人信息罪等条款,以及新增、完善拒不履行信息网络安全管理义务罪、帮助信息网络犯罪活动罪等条款,加强个人信息保护。


自2012年开始,作为应急性立法,全国人大通过了《关于加强网络信息保护的决定》,是我国个人信息保护最早的专门性立法。此后,工信部也发布了配套的专门性行政法规《电信和互联网用户个人信息保护规定》;《消费者权益保护法》、《广告法》、《电子商务法》等也从不同角度加强了个人信息保护有关的规定。


2016发布的《网络安全法》奠定了我国网络个人信息保护行政监管的基本制度,随后几年,立法机构及标准制定部门发布了一系列配套的法律及标准文件,例如关保及等保条例、儿童个人信息保护规定、个人信息出境安全评估办法(意见稿)、数据安全管理办法(意见稿)、《个人信息安全规范》等等。此外,2017年发布的《民法总则》,首次明确了个人信息的民事权利地位;2020年发布的《民法典》设立专章,详细规定了个人信息民事保护的基本制度。


2020年7月,全国人大发布了《数据安全法(草案)》,确立了数据与个人信息分别监管的立法策略。


自2018年开始,十三届全国人大常委会已将制定个人信息保护法列入了立法规划,直至本次《一审草案》,终于掀开了个人信息保护法的神秘面纱。


《一审草案》共计八章70条,内容总体上是继承、借鉴、吸收了国内外立法经验,在生命周期合规方面借鉴了单行立法及《个人信息安全规范》一些比较好的实践,在个人信息主体权利方面也吸收了网安法、电商法等相关内容,在个人信息处理者合规义务方面继承了网安法、数安法等有关内容。当然,《一审草案》的很多内容还是极具开拓性,超出业界普遍预期,对未来立法及行业发展影响较大。


二、 个人信息生命周期的一般性规定


《一审草案》参照《个人信息安全规范》等相关内容,从个人信息生命周期角度详细规定了个人信息保护的一般原则,同时还规定了个人敏感信息及国家机关处理个人信息的特别规定。具体的内容包括但不限于如下表:



上述内容的主要影响在于,《一审草案》从立法层面强化了共同控制者的连带责任,扩大了单独同意的合规要求,首次增加了视频采集及识别的用途限定,限定了公开个人信息爬取、使用的用途限定,对行业影响巨大(具体后续汇业律师事务所黄春林律师、李天航律师、史宇航律师将联合举办在线视频分享会议,详解行业影响及对策)。

 

三、 个人信息主体的权利

 

《一审草案》在个人信息主体权利方面,在继承《网络安全法》、《电子商务法》及《个人信息安全规范》等内容基础上,也有部分创新性规定:



此外,《一审草案》还强化了数据质量有关的规定,明确规定“所处理的个人信息应当准确,并及时更新”。

 

四、 个人信息处理者的主要合规义务

 

《一审草案》在借鉴《网络安全法》、《数据安全法(草案)的基础上,详细规定了个人信息处理者的微观合规义务,具体包括但不限于:



五、 个人信息存储本地化及跨境传输

 

汇业黄春林律师介绍,《一审草案》最大的看点就是细化了个人信息本地化及跨境传输的有关要求,部分内容突破了《网络安全法》37条规定及2019版《个人信息出境安全评估办法(征求意见稿)》有关内容,或许这也是为什么《个人信息出境安全评估办法》征求意见后迟迟没有发布的原因之一。


1. 在个人信息本地化要求方面《一审草案》明确规定,如下情形应当以境内存储个人信息为原则:


(1) 国家机关处理的个人信息;


(2) 关键信息基础设施运营者在境内收集和产生的个人信息;


(3) 在境内收集和产生的个人信息数量达到一定数量的主体。关于具体数量,目前有两个可对标规定:一个是2017版本的《个人信息和重要数据出境安全评估办法(征求意见稿)》的50万人和1000G;另一个是《关键信息基础设施识别指南》的100万。


2. 在个人信息跨境传输规则方面,《一审草案》采取了更加开明的态度,明确了个人信息可出境的法定路径包括但不限于:


(1)前述原则应当本地化存储的情况,经安全评估;


(2)不属于(1)情况的(例如少量的员工个人信息出境),经专业机构进行个人信息保护认证的,或者与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准的;


(3)参照数安法规定,因履行国际司法协助或者行政执法协助义务的,经主管部门批准。


但是,无论采取哪种路径,均应当告知个人信息主体并经其单独同意,开展个人信息安全影响评估,且接收方未被列入限制或者禁止个人信息提供清单。

 

六、法律责任

 

除以上内容外,《一审草案》还明确了我国个人信息保护的监管机制,进一步强化了侵犯个人信息的民事、行政等法律责任。尤其是在民事责任方面,《一审草案》明确规定,违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。


此外,《一审草案》还规定了公益诉讼机制,即个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起公益诉讼



近期培训预告:《个人信息保护法(草案)》主要内容、执法实践及国际比较

 

分享提纲:

一、《个人信息保护法》主要内容及对企业影响

二、2020年个人信息保护重要监管案例及执法应对

三、《个人信息保护法》与GDPR、CCPA等比较分析

 

分享嘉宾:黄春林律师、李天航律师、史宇航律师


黄春林

汇业律师事务所合伙人


黄春林律师,现为上海市律协互联网与信息技术专业委员会副主任,主要执业领域为网络与数据合规、高新技术及泛娱乐领域综合法律服务,常年为数十家境内外企业提供前瞻性法律服务解决方案,2019年在人民法院出版社出版专著《网络与数据法律实务:法律适用及合规落地》,多次被LegalBand、知产力等评为中国顶级律师之一。


李天航

汇业律师事务所合伙人


李天航律师,上海交通大学网络空间治理研究中心研究员。主要执业领域为网络安全与数据合规、公司业务合规、刑事法律风险防控、反舞弊调查、刑事辩护、刑民交织争议解决、劳动与人力资源。在网络安全与数据合规领域有丰富的实践经验,为多家全球领先企业提供法律合规服务,发表多篇实务文章。曾在上海市公安局法制办公室工作逾16年,负责大案要案指导和协调、刑事案件质量控制、刑事政策制定等。





作者往期文章推荐:

文旅部在线旅游经营服务监管新规解读

《数据安全法(草案)》解读

《档案法》新修订对企业档案管理的影响及对策

金融数据分类分级的的主要法律问题与合规实践

重新认识网络赌博——网络赌博的认识误区及刑事、行政法律责任




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存