个人信息保护法出炉!赋予个人“最终决定权”,破除企业“数据霸权”

来源:观察者网

2021-08-23 18:34

【文/观察者网 周弋博】

8月20日,第十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”),该法自2021年11月1日起施行。

作为我国首部全面完整规定个人信息权利的法律,个人信息保护法亮点颇多,且其严苛程度,被《华尔街日报》称为是“全球最严格的数据保护法案之一”,不仅确立了个人在个人信息处理活动中的查阅、复制、携带转移、更正、删除等权利,也明确了个人的维权途径和企业违反个人信息保护义务的法律责任,使个人与企业之间的强弱势地位发生改变。

上海市汇业律师事务所高级合伙人李天航律师向观察者网表示,个人信息保护法的出台使个人在一定程度上享有“最终决定权”,同时降低了其维护自身个人信息合法权益时的难度。假如“特斯拉女车主车展维权”“个人征信报告出现侮辱性字眼”等类似事件再次出现,当事人根据新法维权将更加便捷高效。

第十三届全国人大常委会第三十次会议表决通过个人信息保护法 图源:中国人大网

今年4月,特斯拉女车主车展维权事件引发广泛关注,更是引出了企业“数据霸权”的问题。

当时,来自河南安阳的特斯拉车主张女士在今年2月遭遇驾驶事故后,要求特斯拉方提供事故发生前30分钟内全部行车数据,但遭到拒绝。

随后,地方监管部门介入调解,但特斯拉方始终拒绝提供数据。在张女士大闹车展后,特斯拉方才在监管与媒体舆论压力下,选择对外公布了部分数据。该事件在明面上是车主维权,但在本质上,其实是一场企业与个人之间的数据争夺战。

不过,根据即将生效的个人信息保护法的规定,企业未来若是和特斯拉一样死扣着数据不给用户,将会面临法律制裁。

而和张女士一样有维权需求的用户,则有权根据该法直接要求企业按合理诉求处理个人信息。

维权女车主车展现场高喊“特斯拉刹车失灵”

当然,要想讲清这个问题,首先得明确两个概念。

一、个人信息,即以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,但不包括匿名化处理后的信息。

结合《信息安全技术 个人信息安全规范》(GB/T 35273-2020)的规定,个人信息包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

二、个人信息处理者,在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

其中,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

举例而言,对购车用户而言,其驾驶产生的时速、制动情况、实时位置等行车数据属于与已识别的自然人有关的信息,是个人信息,而记录、保存、分析行车数据的车企显然属于个人信息处理者。

在以往,个人在个人信息处理活动中的权利不明确的情况下,如果企业拒绝交出数据好像还真拿他没什么办法。

那么,在个人信息保护法生效后,这一局面将被打破——用户多了“最终决定权”,企业多了“配合义务”。

特斯拉电动汽车上海旗舰店 图源:视觉中国

上海市汇业律师事务所高级合伙人李天航律师向观察者网表示,个人信息保护法以“个人信息自决权”为基础对个人信息权利做了完整的规定。也就是说,企业处理个人信息应当以“需要获得个人信息主体同意”为原则。

“与此同时,自然人对其个人信息享有自由决定和自由处理的权利,包括向个人信息处理者撤回同意的权利、限制个人信息处理者处理其个人信息的权利,在一定程度上可以认为其对个人信息的处理享有‘最终决定权’。


李天航表示,虽然此前也有《信息安全技术 个人信息安全规范》(GB/T 35273-2020)对个人信息的查询、更正、删除、响应、投诉等作出一些规定,但是该规范属于推荐性国家标准,本身不具有强制力保障,仅作为执法的参考。因此,个人信息保护法是首次从法律层面全面完整的规定了个人信息的知情权与决定权,意义非凡。

此外,虽然取得个人同意才能处理个人信息是原则,但该法也规定了一些例外情况,例如“为订立、履行个人作为一方当事人的合同所必需”“为履行法定职责或者法定义务所必需”等。

《中华人民共和国个人信息保护法》

第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:

(一)取得个人的同意

(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

(三)为履行法定职责或者法定义务所必需;

(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;

(七)法律、行政法规规定的其他情形。

依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。

第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。

个人信息保护法中所确立的个人信息主体权利包括查阅、复制、转移、更正、删除等内容。

以前述的特斯拉女车主车展维权事件为例,若类似情形再度发生,车主可以直接向特斯拉方要求查阅复制自己的行车数据,也可以依法要求特斯拉方将这些数据转移到其指定的其他接收方,但必须要在合理的范围内行使。

“权利的行使不以损害他人为前提,即个人信息主体行使该权利还要考虑对个人信息主体正常经营的影响,在必要的限度和范围内行使。”

针对前述个人要求数据转移的权利,移转的方式和成本是需要考虑的问题,如果数据体量大,数据接收方接收数据的能力和方式是否能够匹配,都是实践中必须面对的问题。车企也可以通过提供渠道由用户自行下载的方式,履行配合数据转移的义务。

《中华人民共和国个人信息保护法》

第四十五条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。  

个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。  

个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。

李天航强调,需要注意的是,并非所有的数据都属于个人信息,需要对数据的种类和性质进行区分,然后具体情况具体分析。但是,如果仅以该案件中特斯拉女车主所要求公布的驾驶数据为例,这确实属于个人信息的范畴。

特斯拉公开的部分行车数据

对于个人请求“更正、删除个人信息”的权利,以前段时间发生的“个人征信报告出现侮辱性字眼”事件为例,李天航称类似事件的当事人在未来维权时将更加方便。

今年5月,江苏南通市民房女士在查询个人征信报告时发现,其职业信息“工作单位”一栏中竟然出现了侮辱性字眼。

事件起因是,房女士与晋商消费金融公司有贷款纠纷,该公司为催缴贷款,变相施压,在上传征信信息时,擅自填写诋毁性内容。被曝光后,该信息已被删除。

房女士征信报告职业信息里写着侮辱性字眼 图片来源:人民网江苏频道

而作为征信机构,对于这类具有侮辱性信息应当及时核实并更正,上传这类信息的主体也应当受到相应的处罚。

同时,当事人也可以根据个人信息保护法,请求征信机构直接更正或删除这类不实信息。

《中华人民共和国个人信息保护法》

第四十六条 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。

个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。

第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:

(一)处理目的已实现、无法实现或者为实现处理目的不再必要;

(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;

(三)个人撤回同意

(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息

(五)法律、行政法规规定的其他情形。

法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

个人信息保护法为个人用户赋予了权利,自然也为企业设定了义务。


那么,如果企业很‘头铁”,拒不配合用户行使权利,应当如何处理?结论是,行政处罚。

李天航表示,个人信息权利的行使以个人信息处理者配合义务为前提,拒绝履行义务导致用户个人信息权利无法实现的,违反了个人信息保护法,应当适用其规定的处罚条款,个人也可以向人民法院提起诉讼。

“结合执法实践,一般情况下,执法机构会先责令改正,给予警告的处罚;拒不改正或者情节严重的,再作出较大数额罚款、责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照等较为严重的处罚。”

“同时,对企业直接负责的主管人员和其他直接责任人员也会作出一定数额的罚款,甚至可以一并决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”

《中华人民共和国个人信息保护法》

第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款

有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

此外,个人用户在此时也有权向企业提起民事诉讼,如果涉及人数较多,还可以由检察院、消费者协会或国家网信部门确定的组织提起民事公益诉讼。

李天航指出,个人信息保护法在诉讼维权问题上借鉴了《民法典》中侵权责任部分关于“举证责任倒置”的规定,即“个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”,明显降低了个人维权难度。当然,个人也还是要首先证明企业“侵害其个人信息权益并造成损害这一事实”的发生。

《中华人民共和国个人信息保护法》

第五十条 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。

个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。

第六十九条 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。

前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。

第七十条 个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。

那么,如果企业为了逃避义务,以“不提供产品或服务”为代价迫使用户放弃上述权利的,或者通过《用户协议》等形式否认用户的上述权利的,又该如何处理?

对于前者,个人信息保护法已有明确规定:个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务。

对于后者,撤回同意、查阅、复制、转移、更正等权利是法定权利,如果企业以种种理由对此予以限制或者排除该权利的行使,将失去法律规定的意义。

“如果《用户协议》等文件以要求用户放弃相应权利作为获得处理用户个人信息的条件的,有强制获得用户同意的性质,也违背了个人信息保护法第十六条的规定,原则上是无效的。”

《中华人民共和国个人信息保护法》

第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。

除了针对前述配合义务,企业还需要承担保证个人信息质量、维护个人信息安全、告知用户具体情况、汇报监督责任人员等义务。

比如说,除非得到用户的同意,否则企业不得公开其处理的个人信息。

换言之,类似于前述事件中特斯拉方未经车主同意擅自公开“事故发生前一分钟”行车数据的行为,构成违法,理应承担相应责任。

《中华人民共和国个人信息保护法》

第八条 处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。

第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全

第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:  

(一)个人信息处理者的名称或者姓名和联系方式;  

(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;  

(三)个人行使本法规定权利的方式和程序;  

(四)法律、行政法规规定应当告知的其他事项。  

前款规定事项发生变更的,应当将变更部分告知个人。  

个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。

第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。

第五十二条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。

个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。


其中,针对需要将个人信息送往境外的个别企业,个人信息保护法还设定了额外的义务。

如果企业确因业务需要等将个人信息提供至境外的,应当符合以下条件:

一是如果企业属于关键信息基础设施运营者或者处理个人信息达到国家网信部门规定数量的,应当通过国家网信部门组织的安全评估,法律、行政法规和国家网信部门规定可以不进行安全评估的除外。

二是对于上述企业以外的,可以选择以下两种方式之一:按照国家网信部门规定经专业机构进行个人信息保护认证;或者按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。

至于关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,必须将境内收集的个人信息储存在境内。

毕竟,数据之争可以由企业或个人进行,但承载的利益如果涉及国家,那数据权属问题可以瞬间上升为国家安全问题。

《中华人民共和国个人信息保护法》

第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:

(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;

(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;

(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;

(四)法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。

个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。

总得来说,随着大数据时代的到来,科技巨头们对数据的垄断操控一直是一个极具争议的问题。

因为美国科技巨头垄断了欧洲很大部分数据,欧盟在2016年推出了《通用数据保护条例》(GDPR),以保证将欧盟公民的数据留在欧洲。

如今,中国推出了个人信息保护法,有力地保障了个人的合法权益,明确了企业的法律义务与社会责任,足以打破数据之争中“个人弱、企业强”的现有局面。

那么,特斯拉等企业的“数据霸权”是否还能继续存在?

今年11月1日个人信息保护法生效后自然会有答案。

责任编辑:周弋博
个人信息保护法 依法治国 信息安全
观察者APP,更好阅读体验

美方对俄隐瞒了部分信息?克宫回应

这条中马“一带一路”重点铁路项目 “或延伸至泰国”

国防部表态:中方不会在南海问题上任菲胡来

关于ASML出口管制,荷兰首相在华表态

警惕!“隐秘”的调查暗藏国家安全风险