立法专家:张新宝教授精讲个保法

这个法的性质?

属于个人信息这个领域的法律,而非部门法。

其他领域法:未成年人保护法、消费者权益保护法。

第一条:这里说的“根据宪法,制定本法”是因为:个人信息保护的一些权利依据只有宪法里面才有,其他部门法里没有。

第三条:有长臂管辖。为针对美国等国家跨网域的侵犯我国个人信息行为活动。

处理个人信息应当遵循合法、正当、必要和诚信原则;具有明确、合理的目的,以及两个“最小”,个人受到的影响最小;遵循公开、透明原则;保证个人信息的质量(质量原则、updated);个人信息处理者应当对其个人信息处理活动负责。

第三章:明确个人信息处理者向境外提供个人信息的前提条件:1.安全评估:网信办发布《个人信息出境安全评估办法》评估的程序、评估的内容;2.认证制度:认证机构认证的企业,可以基于这种认证二队外提供服务,这种企业绝非头部企业(适用安全评估);3.标准合同(格式合同);4.其他规定(本法以外的,特别法有规定的,优先使用特别法)

第二章、第四章:本法只是规定了如何实现对个人信息的保护,但没有增加个人信息权益的具体内容(这部分在立法依据中,即宪法规定的人权保护、对个人生命、财产安全的保护、对通信秘密、自由的保护;民法典中人身人格权的尊严、姓名肖像等人本来的权利)。                      个人在个人信息处理活动中的主要权利:同意与拒绝(告知/同意 作为个人信息处理的核心机制);知情权、决定权;查阅、复制请求权;个人信息转移请求权(携带权);个人信息更正、补充请求权;删除请求权(深度处理后的,比如匿名化的,删除请求权不再直接涉及第三方);解释说明请求权(要求算法解释参数、如大数据杀熟对自己不公时);死者个人信息保护(近亲属)(主要针对商业银行,应当修改商业银行法,法院的判决可以处理死者账户的钱。只有近亲属具有自身合理利益的时候,才能请求法院请求查阅或复制,得到存款密码)(本法不是为了创造新的权利,而是明确已有权利并加以保护);便捷投诉机制(使投诉通道通畅)

第二章、第五章:个人信息处理者的一般义务

告知义务:第十七条:个人信息处理者的名称或姓名和联系方式;个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;个人行使本法规定权利的方式和程序;法律、行政法规规定应当告知的其他事项。前款规定是想发生变更的,应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第一款规定是想的,处理规则应当公开,并且便于查阅和保存。

免于告知:第十八条:共同处理个人信息(参与处理的各方都要承担连带责任)、委托处理个人信息(往往适用共同处理个人信息规则;若没有交流明确,责任会单独承担)

敏感个人信息:第28条;特别告知:第30条

《个人信息保护法》的主要内容:两个应用场景

第24条:自动化决策(大数据杀熟)、第26条:生物识别(公安部门才有设置人脸识别)这两条在GDPR中都没有,日本在本法发布后,也出台了类似规定

个人信息处理者的一般义务:(第51条)

制定内部管理制度和操作规程;对个人信息实行分类管理;采取相应的加密、去标识化等安全技术措施;合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;制定并组织实施个人信息安全事件应急预案。

“达标”个人信息处理者的特别义务(第52条)

处理个人信息在百万以上或者处理敏感信息一万以上的企业,被称为达标企业,需要有数据保护官:个人信息处理者应当公开个人信息保护负责任的联系方式,并将个人信息保护负责任的姓名、联系方式等报送履行个人信息保护职责的部门。

境外个人信息处理者的特别义务(第53条)

境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

第54-57条:个人信息处理者的义务:合规审计

影响评估、补救措施

第58条:大型平台企业的特别义务

大型平台企业的界定:提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者(国家有名单,每年公布)

监理健全个人信息保护合规制度体系,成立主要有外部成员组成的独立机构对个人信息保护情况进行监督;遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。违法产品和服务的下架;社会责任(不能一网打尽时,就需要抓大放小,所以头部企业是主要规制、监管对象)

国家机关作为个人信息处理者的义务(第2章第3节 第5章)

一般义务;依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必须的范围和限度;履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法18条第1款规定的情形,或者告知将妨碍国家机关履行法定职责的除外;国家机关处理的个人信息应当在中华人民共和国境内存储;需要向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助;法律法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息,适用本法关于国家机关处理个人信息的规定。

履行个人信息保护职责的部门(第6章)

第60条:国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门(人民银行、公安部有特定的保护和监督机构)依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。(统称为履行个人信息保护职责的部门)

第七章 明确法律责任,对违反本法规定行为的民事责任、刑事责任、行政责任以及国家机关不履行个人信息保护义而应当承担的行政系统内部责令改正、给予处分等公法上的责任做出规定:行政责任、民事责任、刑事责任、公益诉讼。

国家机关及其工作人员的责任(第68条)

国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。

刑事责任:违法处理个人信息情况严重的 有高额罚款制度,最高5千万;头部企业最高年营业额不超过5%(去年因阿里反不正当罚了180多亿就是按照上一年度年营业额的4%)

高额罚款应当依照省一级的政府下的网信办进行,中央网信办进行协调。

民事责任规定了过错规定,原告无需证明;包括精神损害,不包括惩罚性赔偿。

第70条:公益诉讼:消费者权益保护组织、网信办所认可的其他社会组织,可以提起公益诉讼,但因为没有前置程序,也没有检察院的检察建议,所以主要针对的是企业一类的公益诉讼。

《个人信息保护法》的亮点和创新:

1.保护个人信息与促进个人信息合理利用并重(立法目的)

2.全面规定一般个人信息处理者和国家机关处理个人信息的原则与规则,统一规范个人信息处理活动;

3.突出敏感个人信息保护,特别是加强对不满14周岁未成年人个人信息的保护,中待你规范自动化决策和人脸识别应用的个人信息保护;

4.对不同类型的个人信息采取分级保护措施,对不同类别的个人信息处理者(企业)设置与其能力相适用的义务与责任(第58条)给小微企业松绑

5.明确了国家网信管理部门在个人信息保护方面的统筹、协调职责

6.强化个人信息本地存储和出境的管理制度,保护公民个人信息和国家安全、

7.应用多种法律责任综合保护个人信息制裁违法处理个人信息的行为

8.创设个人信息保护公益诉讼制度,赋予检察院、国家规定的消费者权益保护组织、网信部门确定的组织等提起个人信息保护公益诉讼的智能

 

 

 

[展开全文]
 
立法专家:张新宝教授精讲个保法 VIP专享
开通会员