×

打开微信,扫一扫二维码
订阅我们的微信公众号

首页 锦天城概况 专业领域 行业领域 专业人员 全球网络 新闻资讯 出版刊物 加入我们 联系我们 订阅下载 锦天城二十周年 CN EN JP
首页 > 出版刊物 > 专业文章 > 审议通过!万字解读《个人信息保护法》

审议通过!万字解读《个人信息保护法》

作者:吴卫明 刘昀东 刘芷均 2021-08-2316841
[摘要]《中华人民共和国个人信息保护法》与《中华人民共和国网络安全法》、《中华人民共和国数据安全法》(将于2021年9月1日生效)共同确立了我国数据安全法律框架的重要组成部分,其立法进程一直备受瞩目。

《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)与《中华人民共和国网络安全法》(以下简称“《网络安全法》”)、《中华人民共和国数据安全法》(将于2021年9月1日生效,以下简称“《数据安全法》”)共同确立了我国数据安全法律框架的重要组成部分,其立法进程一直备受瞩目。


2020年10月21日,《中华人民共和国个人信息保护法(草案)》(以下简称“《一次审议稿》”)正式公开,向全社会公开征求意见。2021年4月26日,第十三届全国人大常委会第二十八次会议对《中华人民共和国个人信息保护法(草案二次审议稿)》(简称“《二次审议稿》”)进行了审议。2021年8月20日,第十三届全国人大常委会第三十次会议审议通过《中华人民共和国个人信息保护法》(简称《个人信息保护法》),并将于2021年11月1日起施行。


正式通过的《个人信息保护法》全文共计八章七十四条,围绕个人信息的处理,从处理规则、跨境提供、个人权利、处理者义务、保护职责部门以及法律责任等不同角度确立了相应规则,并且针对敏感个人信息和国家机关处理强调了特别规则。笔者将从立法宗旨、重要概念辨析、个人信息处理规则、个人权利、处理者责任、个人信息跨境、社会化治理、罚则等八个方面进行解读。


一、立法宗旨


(一)审慎对待数据流动


1、法条未直接规定“保障个人信息依法有序自由流动”


通过名称不难看出,《个人信息保护法》的主要出发点是保护个人信息。这一点在第一条中予以了明确。对于《个人信息保护法》的立法宗旨,《一次审议稿》第一条的规定是“为了保护个人信息权益,规范个人信息处理活动,保障个人信息依法有序自由流动,促进个人信息合理利用,制定本法。”与《一次审议稿》相比,《二次审议稿》对于个人信息流动问题,采取了更为审慎的态度,删除了“保障个人信息依法有序自由流动”的表述;而《个人信息保护法》除了沿用《二次审议稿》的表述外,还在“制定本法”之前增加了“根据宪法”的内容,对于宪法规定中的保障公民的人格尊严和其他权益具有重要意义。


2、如何平衡“个人信息保护”与“合理利用”


个人信息的数据价值能否合法有序流动,一直是大数据运用过程中的关键问题。特别是在十四五规划将数据列入生产要素的背景下,如何促进数据要素的价值,对于数据行业以及传统行业的数字化转型均有重要的意义。

《个人信息保护法》维持了《二次审议稿》的表述,是否意味着数据要素流动的收紧呢?笔者认为,这一规定,并不意味着数据要素流动的收紧,而是立法对于数据要素流动内涵更加深层的表述,但也体现了更为精准的把握(详见《<个人信息保护法>草案二次审议稿若干问题解读》一文,吴卫明,www.allbrightlaw.com)。理由如下:


数据作为生产要素,并不等同于个人信息可以自由流动。虽然按照十四五规划及新的生产要素理论,数据可以作为生产要素,但数据本身具有双重性的特征。一方面,数据是相关信息的记录,可以是企业的商业秘密、个人信息,也可以是作品信息和其他公开信息。数据利用价值的背后,往往包含着其他主体的相应权利。


对于个人信息而言,这种双重性突出的表现是个人的信息权利(人格权范畴)如何不被滥用和侵害。个人信息是数据的重要组成部分,此类数据的直接流动,必然涉及对于个人隐私及安全利益的影响,除非个人明确知悉这种影响,并明示同意,否则,个人信息流动本身就是一个非常敏感的问题。


事实上,个人信息保护与个人信息作为数据价值的有效利用,两者之间并不是截然对立的,而是可以在一定程度上统一。如对于个人信息进行去标识化的处理后,可以用于大数据分析和群体画像分析,从而为精准营销、定制化的产品开发、市场拓展提供可行的参考依据(详见《<个人信息保护法>草案二次审议稿若干问题解读》一文,吴卫明,www.allbrightlaw.com)。此外,在安全可控的前提下,使用现有的个人信息,也可以进行相关的模型训练。上述基于个人信息产生的模型、群体画像、市场预测与分析、产品开发策略等数据产品,可以进入数据市场进行流通,从而产生数据流通价值。


(二)域外管辖


《个人信息保护法》在域外管辖问题上,采用了与《数据安全法》同样的原则,《数据安全法》第二条规定了,在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。


《个人信息保护法》第三条规定了可进行域外管辖的三种情形,包括(1)以向境内自然人提供产品或者服务为目的;(2)为分析、评估境内自然人的行为;(3)法律、行政法规规定的其他情形。


在第三章“个人信息跨境提供的规则”中,也明确了制裁措施。其中第四十二条规定:境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。


二、重要概念辨析


(一)什么是“个人信息”


针对个人信息的定义,《个人信息保护法》在《网络安全法》以及《中华人民共和国民法典》(以下简称“《民法典》”)规定的“识别”的基础上,将个人信息的识别区分为“已识别”及“可识别”表述(表1)。即,凡是与“已识别”的自然人或“可识别”的自然人有关的信息,均为个人信息。这一规定,与《网络安全法》以及《民法典》最显著的区别在于,前述法律均以主观上的“识别”作为界定个人信息的基础,而《个人信息保护法》则以客观上的“关联”作为界定个人信息的基础,“已识别”或“可识别”的自然人是进行相关行判断的参照对象。但是,对于什么是“可识别”的自然人?《个人信息保护法》并没有进一步作出界定。笔者认为,对于可识别的判断,可以结合《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《司法解释》)和作为推荐性国家标准的《信息安全技术 个人信息安全规范》(以下简称《规范》)的规定(表1)进行判断。在《司法解释》与《规范》中,规定了“与其他信息结合识别特定自然人身份或者反映特定自然人个人活动情况的各种信息”,信息的组合认定是否成为“可识别”的内涵,尚有待立法的进一步完善。由此可见,《个人信息保护法》在“识别”的基础上作出了“已识别”与“可识别”的区分,并将“关联”的要素融合了进来,将个人信息保护的外延进一步做了完善(详见四大维度解读《个人信息保护法(草案)》一文,吴卫明,刘昀东,www.allbrightlaw.com)。


但是,也应看到,对于什么是“有关”,即如何认定关联性的标准,《个人信息保护法》的规定在操作性方面有所欠缺,这可能给具体的执法与司法带来较大的自有裁量空间。因此,建议在上述规定的基础上,同时对个人信息进行必要的列举,以降降低对个人信息认定的不确定性。


image.png


(二)个人信息的处理的界定与方式


1、处理的界定


在《网络安全法》第七十六条中,处理是与收集、存储、传输、交换平行的概念,但在《个人信息保护法》第四条中,处理成为了上位概念,而收集、存储、使用、加工、传输、提供、公开、删除则是信息处理的具体方式。这一表述形式与《民法典》一致,与《规范》类似。这种区别可能直接影响某项具体规定的适用范围,因此需要注意不同语境中“处理”的范围,以便精准理解不同法律法规之间的差别。


2、处理的方式


从个人信息处理方式看,在原有的收集、存储、使用、加工、传输、提供、公开之外,新增了“删除”这一处理方式。


三、处理规则方面的重要内容


《个人信息保护法》在处理规则方面,有以下内容值得关注:


(一) 不得过度收集个人信息


《个人信息保护法》在《二次审议稿》关于处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式的基础上,在第六条增加了不得过度收集个人信息的规定。这一规定,与近年来有关部委打击APP及其他应用过度收集个人信息的大背景有关。将其纳入法律规定,有利于规范个人信息的收集活动。


(二) 数据歧视的禁止


数据歧视,是大数据运用中常见的情形,也是个人信息保护中的难点问题。对此,《个人信息保护法》进行了规制。


1、数据质量引发的歧视


《个人信息保护法》在第八条中规定了“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。”


这一规定,将对大数据运用质量不高而造成的数据歧视形成制约。在一些大数据运用的案例中,由于数据更新不及时或者数据的质量有瑕疵,可能导致数据分析的结论不准确,甚至会对相关自然人带来负面评价,从而导致其合法、正当权利受到影响。比如信用数据的不准确,可能导致用户的消费或其他经济活动受到不利影响(详见《<个人信息保护法>草案二次审议稿若干问题解读》一文,吴卫明,www.allbrightlaw.com)。对此,将个人信息质量作为法定义务,有助于督促个人信息处理者提升数据获取的准确度。


2、算法引发的歧视


大数据运用中,通过用户画像与自动化决策方式进行信息推送、商业营销,是较为普遍的应用场景。但是,也带来了算法歧视、大数据杀熟等问题。对此,《个人信息保护法》第二十四条对于利用个人信息进行自动化决策作了有针对性规范:


(1)不得实行不合理差别待遇


个人信息处理者保证自动化决策的透明度和结果的公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。


(2)便捷拒绝


个人信息处理者通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷拒绝的方式.


(3)说明义务


作出对个人权益有重大影响的决定,个人有权要求予以说明,并有权拒绝仅通过自动化决策的方式作出决定。(详见《<个人信息保护法>草案二次审议稿若干问题解读》一文,吴卫明,www.allbrightlaw.com)


(三)将人力资源管理明确纳入个人信息处理范围


《个人信息保护法》在《二次审议稿》所规定可以处理个人信息的情形之外,将“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”列入可以处理个人信息的范围。


人力资源管理场景比较特殊,由于员工与企业在工作关系中,具有隶属关系。某些情况下,公司为了达到人力资源管理的合理目的,需要处理个人信息,而劳动合同中可能对于该种情况的个人信息处理并未明确约定,如果是遵循常规的告知-同意原则,将影响劳动合同目的的实现。而如果公司依法制定的规章制度,一经员工签署或被告知,通常被认为是劳动合同的组成部分,从而可以被认为已经完成了告知-同意程序。基于此,《个人信息保护法》在第十三条之(二)中增加了上述规定。


(四)撤回同意的便捷化


《个人信息保护法》第十五条规定了“基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式”。


撤回同意,是个人信息主体处分自身权利的一种方式。然而在实际操作中,由于个人信息处理者提供的撤回方式、撤回渠道各不相同,其中有些措施缺乏便利性,导致撤回同意的权利行使成本较高。


《个人信息保护法》规定了便捷原则,虽然对于何为便捷,并未进行展开,但是,按照通常的理解,“撤回同意”的难度不应大于“同意”的难度。也就是说,按照人们对于互联网业务便利性的一般理解,“撤回”按钮应该位于页面的醒目处,或者与“个人信息保护政策”(或隐私政策)处于同样便于阅读的位置,且在许可范围内逐项给出“撤回同意”的勾选项。


(五)将未成年人信息处理归入敏感信息处理


《个人信息保护法》第三十一条将不满十四周岁未成年人的个人信息作为敏感个人信息,并要求个人信息处理者对此制定专门的个人信息处理规则。


这一规定的设置与《儿童个人信息网络保护规定》的要求一脉相承,将这一规定提升至法律的高度,同时更加明确了只要涉及儿童的个人信息均以个人敏感信息的标准进行保护,体现了法律对于儿童(即不满十四周岁的未成年人)个人信息保护的重视。


(六)告知同意与例外


在《个人信息保护法》之前,告知同意原则已经体现在《消费者权益保护法》《网络安全法》《民法典》中。其中,《民法典》明确列明了存在例外情形——“但是法律、行政法规另有规定的除外”,体现了处理者在处理前的告知义务以及取得同意的前提条件,也给予了一些例外的空间。但目前在法律、行政法规层面,例外情形散见在不同规定中,比如《传染病防治法》中即有对发现传染病人病人向疾病预防控制机构报告义务的规定。(详见《<个人信息保护法>草案二次审议稿若干问题解读》一文,吴卫明,www.allbrightlaw.com)在这种情况下,报告义务与取得个人同意义务构成竞合,可以理解为是一种例外情形,但是对于适用者来说仍然不够明确。而《规范》虽然规定了十一种更为明确的例外情形,但其法律层级较低,作为法律依据来说仍不够充分。


《个人信息保护法》第十三条将合同必需、处理人力资源事项、法定责任、紧急情况、合理处理已公开信息、公共利益的报道与监督等六种情况列入告知同意的例外情形。此外,在《个人信息保护法》之中还存在另外一种例外情形,即第二十六条关于公共场所安装的图像采集、个人身份识别设备的规定,如果设置了显著的提示标识,并且采集的个人图像、个人身份特征信息用于维护公共安全的目的,则并未要求取得个人同意。如用于其他目的,需要取得个人单独同意。


(七)国家机关的特别规定


在处理者中,国家机关属于比较特殊的一种。《个人信息保护法》明确规定,在履行法定职责的情形下,告知同意仍然为基本原则,需要遵照执行,而将保密要求及妨碍情形作为例外。


而三十四条则规定了国家机关为履行法定职责处理个人信息…不得超出履行法定职责所必需的范围和限度。对于什么是履行法定职责必需的范围和限度,规定较为笼统。但是,需要考虑的是,在各地智慧城市发展的大背景下,运用公共数据为社会提供公共服务,是否属于履行法定职责所必需的范围和限度?是需要进一步思考的问题。


四、个人权利层面做了更加明确的界定


在《个人信息保护法》发布前,《网络安全法》、《消费者权益保护法》都对个人信息相关的个人权利作出过规定。主要是围绕“告知-同意”原则,规定了个人信息主体拥有知情权、同意权,未经同意不被收集、使用个人信息的权利。但最为明确、易于操作的还是《个人信息安全规范》中的规定,明确了查询、更正、补充、删除、撤回授权同意、注销账户、获取个人信息副本、被响应等个人信息主体权利。


《个人信息保护法》汲取了《个人信息安全规范》中有益经验,并且在《个人信息安全规范范》原有查询、更正、补充、删除、撤回授权同意、被响应的基础上,通过第四十四条至第五十条对个人在个人信息处理活动中的权利做了更加清晰的界定。值得关注的新增重要内容如下:


(一)个人信息的可携带权


《个人信息保护法》第四十五条在《二次审议稿》规定的基础上,除了继续规定个人有权向个人信息处理者查阅、复制其个人信息的情况外,还规定了个人信息的可携带权。即:个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。


长期以来,各个互联网平台将用户个人视为其重要的财产性权益,在依照请求删除个人信息之外,通常并不协助或配合将个人信息转移至其他个人制定的数据处理者。法律对于个人信息可携带权的规定,有利于个人自由处理其个人信息,对于信息跨平台转移提供了便利条件,也有利于打破数据垄断和数据孤岛(详见《数据可携带的若干问题解析》一文,吴卫明)。


(二)逝者个人信息保护规则


针对个人去世以后,其生前使用的账号是否仍有效以及其他人、何人有权利处置其生前使用的网络账号之类的问题,在近几年愈发得到社会的关注。笔者认为,这一问题涉及个人信息的法律属性问题,如果要对其进行明确的规定,势必要对个人信息是否具备财产属性予以明晰。


《个人信息保护法》第四十九条规定,自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。


对比《二次审议稿》的规定,“自然人死亡的,本章规定的个人在个人信息处理活动中的权利,由其近亲属行使。”可以看出,《二次审议稿》对待死者的个人信息,采取了类似于“继承”的立法原则。这一处理方法,似乎是赋予了个人信息某种类似于“财产性权益”的保护方法。


从正式通过的《个人信息保护法》来看,并未就法律属性这一问题进行明确的回应,而是从近亲属权益保护及逝者遗愿明确的角度出发,并没有赋予近亲属全部的权利,而是在有限度范围内,遵从逝者的意愿,遵循合法、正当的原则,允许近亲属查阅、复制、更正、删除逝者的个人信息。这一处理方式,显然更加符合个人信息作为人格权的属性。


五、个人信息处理者责任层面


为了维护国家利益、保障个人权利,《个人信息保护法》通过处理规则和专门义务的方式列出了处理者责任。《个人信息保护法》在三次审议的过程中逐渐丰满和充实,其中关于个人信息保护的措施也更加落地和细化,具备实操性和现实性。《个人信息保护法》在第五章规定了个人信息处理者的一些常规义务,如(1)采取必要保护措施;(2)大量个人信息处理者的专人负责;(3)境外处理者的专人负责;(4)定期审计;(5)个人信息影响评估与记录;(6)泄露事件的补救措施与通知等。这些规定的表述虽然与《网络安全法》并不完全相同,但总体思路大致相似。


本文将重点关注《个人信息保护法》的相关亮点:


(一)个人信息专人保护制度


《个人信息保护法》对于达到一定数量的个人信息处理者,以及境外的个人信息处理者,规定了“个人信息保护负责人”或“专门机构与指定代表” (详见《<个人信息保护法>草案二次审议稿若干问题解读》一文,吴卫明,www.allbrightlaw.com)制度。


五十二条,针对的是“处理个人信息达到国家网信部门规定数量的个人信息处理者”,其应指定个人信息保护负责人,并应公开个人信息保护负责人的联系方式, 并将个人信息保护负责人的姓名、联系方式等报送履行个人信息 保护职责的部门。


五十三条,针对的是“中华人民共和国境外的个人信息处理者”,其应在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。


(二)重要互联网平台的特定义务


《个人信息保护法》第五十八条规定了提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的特定义务。具体包括:


1、 按照国家规定建立健全个人信息保护合规制度体系

明确平台需要建立健全个人信息保护合规制度体系,从而将“合规”体系的构建上升到法律层面。这一规定是《个人信息保护法》的新增内容,在《二次审议稿》中,并未出现。合规制度法制化,体现了立法机关希望企业通过自身合规建设降低个人信息处理的法律风险,提升数据治理水平的立法目标。


2、 引入外部人员组成独立机构


成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督。这一制度设定,强化了外部监督力量的介入。由于重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,其所拥有的个人信息具有非常巨大的利用价值,企业自身的内部控制制度、数据合规制度,在执行过程中,是否能够真正落到实处,需要引入外部力量进行必要的监督(详见《<个人信息保护法>草案二次审议稿若干问题解读》一文,吴卫明,www.allbrightlaw.com)。


3、 平台监督职责


该条款规定:“对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务。”这一规定,与电子商务法中所规定的电子商务平台经营者对平台内电子商务经营者相关产品质量、知识产权、消费者保护的监督责任类似。


4、 社会责任报告


该条款还规定,定期发布个人信息保护社会责任报告,接受社会监督。按照这一原则,个人信息处理不仅仅是平台与个人信息主体之间的关系,更是平台社会责任的体现。


当然,对于社会责任报告应如何撰写,哪些是必备内容,《个人信息保护法》未作规定,仍需法律授权监管机构做出进一步的规定。


(三)个人信息保护影响评估


《个人信息保护法》与《二次审议稿》相比,将“风险评估”改为“个人信息保护影响评估”。《个人信息保护法》第五十五条规定,(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向其他个人信息处理者(原表述:他人)提供个人信息、公开个人信息;(四)向境外提供个人信息;(五)其他对个人权益有重大影响的个人信息处理活动,应当事前进行个人信息保护影响评估(原表述:风险评估),并对处理情况进行记录。


将“风险评估”改为“个人信息保护影响评估”是因为影响的外延大于风险,风险只是对于个人信息保护影响的重要因素,而非全部内涵。因此,从严谨的角度,用“个人信息保护影响评估”更能体现对于个人信息保护的全面性立法原则。


六、跨境传输及安全评估


与《个人信息出境安全评估办法(征求意见稿)》相比,《个人信息保护法》不再将安全评估作为必要前提,而是在第三十八条规定了四种条件,应至少具备其中一种:(1)通过国家网信部门组织的安全评估;(2)通过专业机构的个人信息保护认证;(3)按照国家网信部门制定的标准合同与境外接收方订立合同,明确双方权利义务;(4)法律、 行政法规或者国家网信部门规定的其他条件。


对比《个人信息出境安全评估办法(征求意见稿)》,《一次审议稿》及《二次审议稿》增加了标准合同的表述。这一标准合同的设置,意味着国家网信部门可以通过标准化合同条款来具体引导个人信息跨境提供的权利义务约定,从而更好地约束各方的行为;另外,通过标准合同条款,也可以提高跨境个人信息提供的合同签订效率。


《个人信息保护法》则进一步删除了个人信息处理者在签订标准合同后“并监督其(境外接收方)个人信息处理活动达到本法规定的个人信息保护标准”。可以看出,立法过程种,个人信息出境的限制规则在逐步放宽。


应当注意的是,当处理者属于关键信息基础设施运营者(可参考《关键信息基础设施安全保护条例》,已于2021年7月30日发布,将于2021年9月1日起施行)或者处理的个人信息达到国家网信部门规定数量,则安全评估将成为硬性要求。


七、突出社会第三方机构的治理作用


《个人信息保护法》第六十四条规定:“履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。”

按照这一规定,委托专业机构对个人信息处理活动进行合规审计,是企业或其他机构在面临风险或发生信息安全事件时,可以采取的一种补救措施。对于合规审计所发现的问题,个人信息处理者应当按照要求采取措施,进行整改,消除隐患。


专业机构审计的适用场景聚焦为“发现个人信息处理活动存在较大风险或者发生个人信息安全事件的”。在发生风险事件时,引入专业机构进行合规审计,体现了专业机构在风险应对方面的重要作用。


然而,对于什么样的机构可以作为合规审计机构,《个人信息保护法》并未规定,仍需监管机构通过相关规则进一步予以明确。


八、处罚规则


《个人信息保护法》在处罚的措施的多样性与处罚力度方面,均比之前的立法有大幅度的提升。第六十六条尤其具有代表性,该条针对违法处理个人信息,或者处理个人信息未履行《个人信息保护法》所规定个人信息保护义务的,设置了三类处罚措施:


1、暂停或终止服务


对违法处理个人信息的应用程序,责令暂停或者终止提供服务。这一类型的处罚措施在某出行APP违法处理个人信息案例中已经得到适用。


2、大额罚款


针对法行为情节严重的,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照(详见《<个人信息保护法>草案二次审议稿若干问题解读》一文,吴卫明,www.allbrightlaw.com)。


这一经济处罚措施,对于企业而言,意味着合规不再是可有可无,而是关系到企业实实在在的经济利益和生死存亡。


3、市场禁入


对于违法企业直接负责的主管人员和其他直接责任人员,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。


《个人信息保护法》罚则的设计,在我国法律中是罕见的,在吸取国际经验的同时,也显示了国家的重视程度。


总结

纵观《个人信息保护法》全文,明确从个人信息保护的角度出发,将个人权益置于重点位置,以规范处理活动为核心,与《网络安全法》、《数据安全法》相互补充,将原来规定在《个人信息安全规范》中的许多内容提升至法律层级并做出了适当调整。同时,也将合规理念贯穿其中。


《个人信息保护法》的顺利公布,无疑将深刻影响到互联网、信息技术行业、其他掌握个人信息行业的个人信息处理行为。为保护个人信息的同时,也将给企业带来新的机遇与挑战,企业个人信息保护及治理能力将成为企业的重要竞争力。


对于重视个人信息保护,并且数据与个人信息保护合规体系成熟的企业而言,个人信息保护法将成为合规壁垒,将合规能力弱的企业挡在市场之外。对于企业而言,应按照《个人信息保护法》及相关规则的要求,建立或完善、优化自身的个人信息保护及数据安全合规体系,从而降低自身的法律风险。