个人隐私保护法
-
2023年3月19日发(作者:中国水污染)《个人信息保护法》亮点解读:开启数据合规新篇章
个保法为个人权益的保护构建了较为完善的法律框架,也为数据产业的市场
参与者提供了更为具体的合规指引。
2021年8月20日,第十三届全国人大常委会第三十次会议通过《个人信
息保护法》,新法将于11月1日起施行。《个人信息保护法》立足于数据产
业发展的实践和个人信息保护的迫切需求,完善了我国数据合规领域的法律体
系,更为全面地保障个人权利。市场参与者要按照下个月即将生效的《数据安
全法》和刚刚通过的《个人信息保护法》要求,加快数据安全治理体系建设。
一、《个人信息保护法》的立法沿革
2020年10月13日,十三届全国人大常委会第二十二次会议第一次审议了
《个人信息保护法(一审草案)》。2021年4月29日,《个人信息保护法(草案二
次审议稿)》在经全国人大常委会会议审议后,面向社会公布并征求意见。二审
稿的主要亮点在于进一步完善了处理个人信息的合法性基础,补充了个人有权
撤回同意的内容,新增对具有管理公共事务职能的组织的规范要求,要求按照
网信部门制定的标准处理个人信息跨境,加强对向境外司法或执法机构提供个
人信息的监管,新增规定死者的个人信息权益由近亲属行使,以及新增超大互
联网平台特定的个人信息保护义务要求等等。
在20日通过的最终三审稿中,主要的亮点和变化体现在:进一步完善个
人信息处理规则,特别是对应用程序(App)过度收集个人信息、“大数据杀
熟”等作出有针对性规范;将不满十四周岁未成年人的个人信息作为敏感个人
信息;完善个人信息跨境提供的规则;增加个人信息可携带权的规定;完善死
者个人信息保护的规定,以及对完善个人信息保护投诉、举报工作机制及违法
处理个人信息涉嫌犯罪案件的移送提出明确要求等等。
二、《个人信息保护法》亮点解读
(一)明确了个人信息处理的合法基础
《个人信息保护法》列举了个人信息处理的合法基础包括授权同意、为订
立或履行个人作为一方当事人的合同所必需、履职必需、应对突发公共卫生事
件、在合理的范围内处理已公开的信息、公益目的等等,总体而言采取了优先
保护个人权利和社会公共利益的路径。与国际立法相比,个人信息处理者的合
法利益本身不能构成授权同意之外的合规基础。对一般市场参与者而言,主要
的数据处理合规基础即为授权同意、合同必需和在合理范围内处理已公开的信
息。
对授权同意而言,尽管仍存在授权同意能否真正保障个人信息主体的知情
权、授权同意流于形式、强势一手数据源为后续数据流转的参与方带来权利瑕
疵“原罪”等问题,实践中已逐渐形成一定程度上的行业最佳实践,例如采用
交互式弹窗的形式在用户使用特定功能时逐一获取该功能必需的数据,明确列
出数据共享的目的及合作方名单,在隐私协议条款前简要介绍核心条款等等。
因此,在平衡法律要求、用户体验和保障消费者知情权方面,行业逐渐开始摸
索出一套较为成熟的合规实践。