来源:中伦文德网络安全与数据合规
转自:最高人民法院司法案例研究院
特别提示:凡本号注明“来源”或“转自”的作品均转载自媒体,版权归原作者及原出处所有。所分享内容为作者个人观点,仅供读者学习参考,不代表本号观点。
《中华人民共和国个人信息保护法》(下称《个人信息保护法》)历经三次审议及两次公开征求意见后,于2021年8月20日由第十三届全国人民代表大会常务委员会第三十次会议通过,将于2021年11月1日起施行。《个人信息保护法》作为个人信息保护领域的基础性法律,其出台解决了个人信息层面法律法规散乱不成体系的问题,与《数据安全法》《网络安全法》《密码法》共同构建了我国的数据治理立法框架。
《个人信息保护法》厘清了个人信息、敏感个人信息、个人信息处理者、自动化决策、去标识化、匿名化的基本概念,从适用范围、个人信息处理的基本原则、个人信息及敏感个人信息处理规则、个人信息跨境传输规则、个人信息保护领域各参与主体的职责与权力以及法律责任等方面对个人信息保护进行了全面规定,建立起个人信息保护领域的基本制度体系。
《个人信息保护法》堪称中国首部个人信息保护单独立法,翻开了我国个人信息保护法治事业的新篇章。本文将结合我们对《个人信息保护法》的理解,对《个人信息保护法》的主要内容进行要点解读,供各方参考。
一、适用范围及核心概念
(一)明确适用范围,设定域外适用效力
在《个人信息保护法》颁布以前,关于个人信息保护的规定散落于《电信和互联网用户个人信息保护规定》《网络安全法》《刑法》等法律法规中。其中,2013年生效的《电信和互联网用户个人信息保护规定》的适用范围为“在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动”,即该规定仅适用于在境内提供服务的主体,不产生域外效力。2017年6月生效的《网络安全法》沿用了《电信和互联网用户个人信息保护规定》的适用范围,即在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理的,适用《网络安全法》。因此,《网络安全法》也没有域外效力。
《个人信息保护法》破旧立新,在一定程度上借鉴了《通用数据保护条例》(下称GDPR)及多数国家与地区相关法律的立法思路,以属地原则、属人原则为基础,首次将适用范围扩展至域外,产生了“长臂管辖”的效果。根据《个人信息保护法》第三条规定,在境内处理自然人个人信息的活动应适用本法,在境外处理境内自然人个人信息的活动,有下列情形之一的,也适用本法:(1)以向境内自然人提供产品或服务为目的 (2)为分析、评估境内自然人的行为(3)法律、行政法规规定的其他情形。根据该规定,适用范围不仅包括在中国境内处理自然人个人信息的活动,还包括特定情形下在境外处理境内自然人个人信息的活动,此处特定情形既包括个人信息处理者因提供产品或服务而产生的直接信息处理活动,也包括行为分析和评估等企业常见的间接信息处理行为。为与域外管辖相呼应,《个人信息保护法》第五十三条进一步要求境外的个人信息处理者在境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关信息报送履行个人信息保护职责的部门。
但上述关于域外适用效力的条款也存在待进一步明确之处,如《个人信息保护法》第三条关于“在中华人民共和国境内处理自然人个人信息”的判断标准仍不明确。同时,《个人信息保护法》并未针对境外个人信息处理者在境内所设的专门机构或指定代表未履行相关义务的情形制定相应的法律责任。因此,域外管辖效力能否在实践中得到有效实施还需相关部门后续出台实施细则进一步明确。
(二)明确核心概念,扩大敏感信息范围
《个人信息保护法》中个人信息的定义采用准“识别+关联”的认定标准,并将经匿名化处理后的信息排除在外。同时,参考了《个人信息安全规范》相关规定,将不满十四周岁未成年人的个人信息列入敏感个人信息。
