《中華人民共和國個人資訊保護法》來了!政府機關應該怎麼做?

經過三次審議，8月20日，十三屆全國人大常委會第三十次會議表決透過了《中華人民共和國個人資訊保護法》，將於2021年11月1日起施行。

在資訊化時代，個人資訊保護已成為廣大人民群眾最關心最直接最現實的利益問題之一。個人資訊保護法堅持和貫徹以人民為中心的法治理念，牢牢把握保護人民群眾個人資訊權益的立法定位，聚焦個人資訊保護領域的突出問題和人民群眾的重大關切。

個人資訊保護法共8章74條。在有關法律的基礎上，該法進一步細化、完善個人資訊保護應遵循的原則和個人資訊處理規則，明確個人資訊處理活動中的權利義務邊界，健全個人資訊保護工作體制機制。

在每個季度的各省市政府網站普查的通報中，經常會有部分網站洩露個人身份資訊、聯絡電話等隱私資訊，還有網站未對涉及個人隱私等內容進行脫敏處理等等……

針對此類問題，個人資訊保護法也給出了相關規定，明確了政府機關單位在處理個人資訊的權利義務邊界。

亮點一確立個人資訊保護原則

個人資訊保護的原則是收集、使用個人資訊的基本遵循，是構建個人資訊保護具體規則的制度基礎。

個人資訊保護法借鑑國際經驗並立足我國實際，確立了個人資訊處理應遵循的原則，強調處理個人資訊應當遵循合法、正當、必要和誠信原則，具有明確、合理的目的並與處理目的直接相關，採取對個人權益影響最小的方式，限於實現處理目的的最小範圍，公開處理規則，保證資訊質量，採取安全保護措施等。

“這些原則應當貫穿於個人資訊處理的全過程、各環節。”楊合慶說。

亮點二規範處理活動保障權益

個人資訊保護法緊緊圍繞規範個人資訊處理活動、保障個人資訊權益，構建了以“告知-同意”為核心的個人資訊處理規則。

“‘告知-同意’是法律確立的個人資訊保護核心規則，是保障個人對其個人資訊處理知情權和決定權的重要手段。”楊合慶說。

個人資訊保護法要求，處理個人資訊應當在事先充分告知的前提下取得個人同意，個人資訊處理的重要事項發生變更的應當重新向個人告知並取得同意。同時，針對現實生活中社會反映強烈的一攬子授權、強制同意等問題，個人資訊保護法特別要求，個人資訊處理者在處理敏感個人資訊、向他人提供或公開個人資訊、跨境轉移個人資訊等環節應取得個人的單獨同意，明確個人資訊處理者不得過度收集個人資訊，不得以個人不同意為由拒絕提供產品或者服務，並賦予個人撤回同意的權利，在個人撤回同意後，個人資訊處理者應當停止處理或及時刪除其個人資訊。

此外，考慮到經濟社會生活的複雜性，個人資訊處理的場景日益多樣，個人資訊保護法從維護公共利益和保障社會正常生產生活的角度，還對取得個人同意以外可以合法處理個人資訊的特定情形作了規定。

此外，個人資訊保護法還分別對共同處理、委託處理等實踐中較為常見的處理情形作出有針對性規定。

亮點三禁止“大資料殺熟”規範自動化決策

當前，越來越多的企業利用大資料分析、評估消費者的個人特徵用於商業營銷。有一些企業透過掌握消費者的經濟狀況、消費習慣、對價格的敏感程度等資訊，對消費者在交易價格等方面實行歧視性的差別待遇，誤導、欺詐消費者。其中，最典型的就是社會反映突出的“大資料殺熟”。

“‘大資料殺熟’行為違反了誠實信用原則，侵犯了消費者權益保護法規定的消費者享有公平交易條件的權利，應當在法律上予以禁止。”楊合慶說。

對此，個人資訊保護法明確規定：個人資訊處理者利用個人資訊進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

亮點四嚴格保護敏感個人資訊

值得關注的是，個人資訊保護法將生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等資訊列為敏感個人資訊。個人資訊保護法要求，只有在具有特定的目的和充分的必要性，並採取嚴格保護措施的情形下，方可處理敏感個人資訊，同時應當事前進行影響評估，並向個人告知處理的必要性以及對個人權益的影響。

“這主要是考慮到此類資訊一旦洩露或者被非法使用，極易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害，因此，對處理敏感個人資訊的活動應當作出更加嚴格的限制。”楊合慶說。

值得關注的是，為保護未成年人的個人資訊權益和身心健康，個人資訊保護法特別將不滿十四周歲未成年人的個人資訊確定為敏感個人資訊予以嚴格保護。同時，與未成年人保護法有關規定相銜接，要求處理不滿十四周歲未成年人個人資訊應當取得未成年人的父母或者其他監護人的同意，並應當對此制定專門的個人資訊處理規則。

亮點五規範國家機關處理活動

為履行維護國家安全、懲治犯罪、管理經濟社會事務等職責，國家機關需要處理大量個人資訊。保護個人資訊權益、保障個人資訊保安是國家機關應盡的義務和責任。但近年來，一些個人資訊洩露事件也反映出有些國家機關存在個人資訊保護意識不強、處理流程不規範、安全保護措施不到位等問題。

對此，個人資訊保護法對國家機關處理個人資訊的活動作出專門規定，特別強調國家機關處理個人資訊的活動適用本法，並且處理個人資訊應當依照法律、行政法規規定的許可權和程式進行，不得超出履行法定職責所必需的範圍和限度。

亮點六賦予個人充分權利

個人資訊保護法將個人在個人資訊處理活動中的各項權利，包括知悉個人資訊處理規則和處理事項、同意和撤回同意，以及個人資訊的查詢、複製、更正、刪除等總結提升為知情權、決定權，明確個人有許可權制個人資訊的處理。

同時，為了適應網際網路應用和服務多樣化的實際，滿足日益增長的跨平臺轉移個人資訊的需求，個人資訊保護法對個人資訊可攜帶權作了原則規定，要求在符合國家網信部門規定條件的情形下，個人資訊處理者應當為個人提供轉移其個人資訊的途徑。

此外，個人資訊保護法還對死者個人資訊的保護作了專門規定，明確在尊重死者生前安排的前提下，其近親屬為自身合法、正當利益，可以對死者個人資訊行使查閱、複製、更正、刪除等權利。

亮點七強化個人資訊處理者義務

個人資訊處理者是個人資訊保護的第一責任人。據此，個人資訊保護法強調，個人資訊處理者應當對其個人資訊處理活動負責，並採取必要措施保障所處理的個人資訊的安全。

在此基礎上，個人資訊保護法設專章明確了個人資訊處理者的合規管理和保障個人資訊保安等義務，要求個人資訊處理者按照規定製定內部管理制度和操作規程，採取相應的安全技術措施，指定負責人對其個人資訊處理活動進行監督，定期對其個人資訊活動進行合規審計，對處理敏感個人資訊、利用個人進行自動化決策、對外提供或公開個人資訊等高風險處理活動進行事前影響評估，履行個人資訊洩露通知和補救義務等。

亮點八賦予大型網路平臺特別義務

網際網路平臺服務是數字經濟區別於傳統經濟的顯著特徵。網際網路平臺為商品和服務的交易提供技術支援、交易場所、資訊釋出和交易撮合等服務。

“在個人資訊處理方面，網際網路平臺為平臺內經營者處理個人資訊提供基礎技術服務、設定基本處理規則，是個人資訊保護的關鍵環節。”楊合慶指出，提供重要網際網路平臺服務、使用者數量巨大、業務型別複雜的個人資訊處理者對平臺內的交易和個人資訊處理活動具有強大的控制力和支配力，因此在個人資訊保護方面應當承擔更多的法律義務。

據此，個人資訊保護法對這些大型網際網路平臺設定了特別的個人資訊保護義務，包括：按照國家規定建立健全個人資訊保護合規制度體系，成立主要由外部成員組成的獨立機構對個人資訊保護情況進行監督;遵循公開、公平、公正的原則，制定平臺規則;對嚴重違法處理個人資訊的平臺內產品或者服務提供者，停止提供服務;定期釋出個人資訊保護社會責任報告，接受社會監督。個人資訊保護法的上述規定是為了提高大型網際網路平臺經營業務的透明度，完善平臺治理，強化外部監督，形成全社會共同參與的個人資訊保護機制。

亮點九規範個人資訊跨境流動

隨著經濟全球化、數字化的不斷推進以及我國對外開放的不斷擴大，個人資訊的跨境流動日益頻繁，但由於遙遠的地理距離以及不同國家法律制度、保護水平之間的差異，個人資訊跨境流動風險更加難以控制。

“個人資訊保護法構建了一套清晰、系統的個人資訊跨境流動規則，以滿足保障個人資訊權益和安全的客觀要求，適應國際經貿往來的現實需要。”楊合慶介紹說，一是明確以向境內自然人提供產品或者服務為目的，或者分析、評估境內自然人的行為等，在我國境外處理境內自然人個人資訊的活動適用本法，並要求符合上述情形的境外個人資訊處理者在我國境內設立專門機構或者指定代表，負責個人資訊保護相關事務;二是明確向境外提供個人資訊的途徑，包括透過國家網信部門組織的安全評估、經專業機構認證、訂立標準合同、按照我國締結或參加的國際條約和協定等;三是要求個人資訊處理者採取必要措施保障境外接收方的處理活動達到本法規定的保護標準;四是對跨境提供個人資訊的“告知-同意”作出更嚴格的要求，切實保障個人的知情權、決定權等權利;五是為維護國家主權、安全和發展利益，對跨境提供個人資訊的安全評估、向境外司法或執法機構提供個人資訊、限制跨境提供個人資訊的措施、對外國歧視性措施的反制等作了規定。

亮點十健全個人資訊保護工作機制

個人資訊保護涉及的領域廣，相關制度措施的落實有賴於完善的監管執法機制。

根據個人資訊保護工作實際，個人資訊保護法明確，國家網信部門和國務院有關部門在各自職責範圍內負責個人資訊保護和監督管理工作，同時，對個人資訊保護和監管職責作出規定，包括開展個人資訊保護宣傳教育、指導監督個人資訊保護工作、接受處理相關投訴舉報、組織對應用程式等進行測評、調查處理違法個人資訊處理活動等。

此外，為了加強個人資訊保護監管執法的協同配合，個人資訊保護法還進一步明確了國家網信部門在個人資訊保護監管方面的統籌協調作用，並對其統籌協調職責作出具體規定。