1、2023年6 月第2 期焦作大学学报JOURNAL OF JIAOZUO UNIVERSITYNo.2June 2023对大数据时代个人信息保护法的解读王喜梅丁富甲(焦作大学会计学院,河南焦作45 40 0 3)摘要:个人信息保护法作为我国首部个人信息保护专门法律,综合吸纳了民法典消费者权益保护法网络安全法关于个人信息定义、处理规则、个人信息处理者的网络安全保护义务的规定,分别从处理规则、个人权利、个人信息处理者义务、主管部门、法律责任等方面做出原则性规定,特别在禁止利用自动化决策“大数据杀熟”、加重大型互联网平台信息保护义务、严格个人信息跨境要求、禁止应用程序(APP)过度收集个人信息和非法
2、买卖个人信息等方面提出针对性要求,奠定了中国个人信息保护领域的主基调,初步确立了中国的个人信息保护基本规则。关键词:个人信息;个人信息保护法中图分类号:D923文献标志码:A文章编号:10 0 8-7 2 5 7(2 0 2 3)0 2-0 0 12-0 51.颁布实施个人信息保护法的时代紧迫性大数据时代,每个人的生存、生活与发展都和“数据”紧密相连。信息数据在为人们提供便捷服务的同时也带来了诸多隐患,其中之一便是愈演愈烈的滥用用户个人信息现象。个人信息的滥用,导致了大数据杀熟、隐私泄露、长期被营销广告骚扰等乱象,严重影响公众的生活工作。除了大数据“杀熟”外,买卖用户数据的行为也普遍存在。据媒
3、体透露,每年关于各类泄露数据的违规交易多达上万起,每年泄露的个人信息总量高达数十亿条,交易金额超数十亿元人民币。泄露并遭到公开出售的个人信息,不仅包括政府机构的公民信息,还包括银行、证券等金融机构的客户信息,各大电信运营商的机主信息,以及互联网、快递、酒店、航空、医院、学校等各行各业的用户信息,严重威胁到国家和人民的人身及财产权益。因此,在互联网时代的大背景下,个人信息保护立法在世界范围内如火如茶地展开,目前已经有128个国家通过立法保护个人信息和隐私,例如美国加利福尼亚州隐私保护法(CCPA&CPRA)、欧盟通用数据保护条例(GDPR)等。同时,我国个人信息保护也成了整个社会的关注焦点,在国
4、家立法层面,网络安全法民法典等先后对个人信息保护做出了原则性规定,同时还颁布了一系列的安全技术规范和数据管理法规章。个人信息保护专门法律的立法工作也相继启动,今年8 月2 0 日,十三届人大常务委员会第三十次会议正式表决通过了中华人民共和国个人信息保护法,这是我国在个人信息保护专门法律领域的里程碑,完善了我国在网络安全和数据保护领域的顶层设计,结束了我国没有一部整体性、高位阶的个人信息保护专门法律的历史,为全球个人信息保护贡献了中国方案。徒法不足以自行。为保障我国网络安全、维护公民合法权利,学习好、实施好个人信息保护法,是当前刻不容缓的一项工作。2个人信息保护法对个人信息及个人信息滥用的认定2
5、.1个人信息的定义从世界范围内的个人信息保护立法来看,各国对自然人个人信息的定义也不尽相同,也经历了一个收稿日期:2 0 2 3-0 1-2 4作者简介:王喜梅(19 6 6 一),女,河南修武人,焦作大学会计学院副教授,研究方向:财税与会计;丁富甲(19 6 7 一),男,河南南阳人,焦作大学会计学院副教授,研究方向:财务管理。第2 期逐步完善的认知过程。个人信息保护法在网络安全法等相关法律规范的基础上,进一步明确规定:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息保护法通过强调个人信息的“可识别性”和“关联性”弥补了以往个人信
6、息认定的漏洞、不足,确立了“识别+关联”的判断路径,凡符合识别标准或关联标准,均可能构成个人信息,同时明确了匿名化之后的数据不再属于个人信息。但是在实践中,个人信息的“可识别性”和信息与自然人的“关联性”尚无清晰的认定标准,需要结合监管部门出台的进一步细则和司法实践情况进一步明确。例如探针盒子“招财宝”案中手机MAC地址信息因为可以和其他信息结合获取用户手机号码,被明确认定为个人信息。2.2个人信息滥用的认定滥用用户个人信息的行为往往出现在一些不当乃至非法的商业活动中,实践中常见的个人信息滥用行为大致包括以下情况:2.2.1过度收集个人信息部分企业存在超出业务本身需要,收集大量非必要或完全无关
7、的个人信息的情况,例如商家办理会员卡时索要身份证号码、工作和教育背景等信息2.2.2擅自披露和提供个人信息部分机构在无法律授权和本人许可的情况下随意公开披露或向其他机构共享他人的个人信息,例如银行擅自公开披露欠款者的身份、地址、征信状况等信息,或是保险公司之间在未获客户同意的情况下共享客户信息等。2.2.3非法买卖个人信息一些犯罪分子为获取不法利益,在互联网上大肆倒卖公民个人信息,甚至形成了一定规模的黑色产业和利益链条,其中不乏国家机关、企事业单位的部分工作人员利用职务之便非法出售公民的个人信息,被售卖的个人信息几乎囊括了个人生活的方方面面。个人信息的滥用在侵犯隐私的同时,扰乱个人正常生活,容
8、易引发“网络暴力”滋扰行为、电信和网络诈骗,甚至助长绑架、敲诈勒索、暴力追债等犯罪活动,削弱广大民众的安全感,威胁社会和谐与稳定。王喜梅等:对大数据时代个人信息保护法的解读及使用的相关限定3.1个人信息处理应遵循的基本原则为保证合法性和合理性,个人信息处理活动首先应当遵循国家法律法规关于处理、使用个人信息的基本原则。结合民法典网络安全法中华人民共和国个人信息保护法等多部数据领域重要立法的原则性规定来看,规范的个人信息处理活动应当满足的基本要求包括:(1)处理个人信息应当遵循合法、正当、必要和诚信原则,禁止采取“误导、欺诈、胁迫”等方式处理个人信息;(2)处理目的明确且直接相关,不得过度收集;(
9、3)处理规则公开、透明;(4)处理信息准确、完整;(5)处理者承担责任并保障信息安全。3.2个人信息处理活动应当具备合法性基础中华人民共和国个人信息保护法提出了合法处理个人信息的若干情形,个人信息处理活动在满足任一情形要求时,才被视为具备合法性。过去网络安全法对个人信息处理活动合法性的认定是以“用户同意”作为单一核心的模式,而最新生效的中华人民共和国个人信息保护法对个人信息处理活动的合法性基础进行了细化和扩展,一定程度上放宽了个人信息处理的合法性限制,提供了更多处理个人信息时可供依赖的合法性基础,同时也进一步细化了不同合法性适用的情形和相关要求,例如,在“履行合同所必需”的法律基础下提出了人力
10、资源管理的情形,为企业和组织收集、处理员工的个人信息提供了更加明确的合法路径,并把“已公开的个人信息”的范围扩大至个人自行公开的个人信息及其他已经合法公开的个人信息。此外,关于取得个人同意的法定要求也比以往更加严格。个人信息保护法要求个人应当在充分知情的情况下自愿、明确地表达同意,并且可以随时撤回已作出的同意。除此之外,一些特定的个人信息处理活动需要获得个人“单独同意”的情形,包括向其他个人信息处理者提供个人信息、公开个人信息、处理敏感个人信息、向境外提供个人信息等,还需要额外获得个人的“单独同意”。未来处理个人信息可以依赖的合法性基础不再局限于“用户同意”,而应当结合具体的个人信息收133.
11、个人信息保护法对个人信息合法处理14集、使用场景,准确适用恰当的合法性基础。然而,部分合法性基础如何实际适用仍然需要进一步结合司法及业界实践判断,其中尤其值得关注的是“为履行合同、实施人力资源管理所必需”和“在合理范围内处理已公开的个人信息”。首先,根据民法典相关规定以及目前的司法和执法实践来看,“在合理范围内处理已公开的个人信息”在实际应用中可能面临着很大的挑战和不确定性,即难以界定“合理范围”。是否“合理”的关键是能否符合个人信息被公开时的预期用途,但需要进行个案判断。因此,个人信息处理者需要谨慎适用该合法性基础处理个人信息。其次,“为实施人力资源管理所必需”一定程度上为企业、组织收集和使
12、用员工个人信息进行内部管理提供了便利,但是企业、组织在处理员工个人信息时仍需考虑收集行为的必要性及合法性,例如员工个人信息出境是否必需、收集员工家属的个人信息是否必需等,同时需要将个人信息收集、使用情况告知员工个人。3.3收集和留存个人信息应确保符合“最小化”和“必要性”要求过度收集个人信息作为典型的滥用个人信息情形之一,明显违反了处理个人信息的基本原则,违反了相关法律法规对收集和处理个人信息的“最小化”和“必要性”要求,即处理个人信息应与处理目的直接相关,收集范围应限于实现处理目的的最小范围,并应采取对个人权益影响最小的方式。在APP违法违规专项整治行动中,大量APP正是因为违反必要原则,收
13、集与提供的服务无关的个人信息遭到监管部门通报。个人信息处理者在收集个人信息前,应当参照中华人民共和国个人信息保护法和常见类型移动互联网应用程序必要个人信息范围规定等相关法律规范的规定和标准,重点关注自身收集个人信息的必要性!。除收集行为外,个人信息的保存期限也应当限制在最小必要范围内。按照个人信息保护法的规定,存储个人信息的时长应当为实现处理目的所必要的最短时间。个人信息处理者需要在个人信息处理活动开始前,确定个人信息处理的目的,依据处理目的判断是否存在该类个人信息存储的法律要求,并按照处理目的、具体法律要求以及内部的数据留存规范,确定相关个人信息的合理留存期限,同时在处理目的实现时删除或者匿
14、名化处理相关个人信息!。焦作大学学报3.4谨慎收集、使用敏感个人信息,尤其是人脸识别信息敏感个人信息因其与个人的高度关联性,不当的使用行为更容易对个人造成危害,而其中最受关注的无疑是人脸识别信息。从“人脸识别第一案”到315晚会曝光“人脸识别系统”,人脸识别信息作为敏感个人信息中个人关联属性最强、采集最容易的个人信息,其收集和利用备受社会各界争议。中华人民共和国个人信息保护法在人脸识别技术相关司法解释的基础上,限缩了人脸识别技术的使用目的,规定如果以维护公共安全以外的目的在公共场所设置图像采集、人脸识别装置,应当征得自然人或者未成年人的监护人的单独同意。我国法律法规针对涉及敏感个人信息的处理活
15、动设置了额外要求:事先向个人额外告知处理敏感个人信息的必要性以及对个人权益的影响,并获得个人的单独同意5。因此,个人信息处理者应当谨慎收集和处理敏感个人信息,尤其是谨慎使用人脸识别技术,不得以授权捆绑、强迫或变相强迫等方式要求个人同意处理其敏感个人信息。如果确有必要收集处理敏感个人信息,应当设置显著的提示标识,通过交互方式取得个人的明示同意,同时在隐私政策中作单独说明,此外还应当参照相关国家标准的要求,对处理敏感个人信息或采用人像识别、身份识别设备收集、使用、存储个人信息的情况进行特别评估和记录,以确保满足相关法律要求间。3.5避免通过自动化决策进行“大数据杀熟”在实践当中,往往“过度收集”的
16、手段背后是“滥用数据”的真实目的,最明显的体现便是目前受到普遍秤击的“大数据杀熟”。为了打击“大数据杀熟”行为,中华人民共和国个人信息保护法专门对自动化决策进行了限制:个人信息处理者如使用自动化决策,应保证决策透明和结果公平、公正,在通过自动化决策方式对个人进行经济、信用状况等方面进行评估前,需要对该个人信息处理行为进行安全影响评估,并且不得通过自动化决策对个人在交易价格等交易条件上实行不合理的差别待遇。如果自动化决策会导致对个人权益有重大影响的决定,个人有权要求获得关于该决策的说明,而且有权拒绝仅通过自动化决策的方式做出的决定并要求提供替代性方案。此外,如果个人信息处理者利用自动化决策进行信
17、息推送、商业营销,还应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。2023年6 月第2 期3.6不得擅自披露或提供个人信息我国法律法规对个人信息处理者向第三方机构、组织披露或提供个人信息的行为从多个角度进行了限制。第一,向第三方转移、共享或提供个人信息时,个人信息处理者应当事先向个人告知关于第三方的相关信息,并取得个人的单独同意。第二,在向第三方披露或提供个人信息之前,个人信息处理者需要持续进行审慎的评估,并适时采取必要的措施应对风险。个人信息处理者对于涉及转让、获取个人信息的情况,应当重点核查处理行为的合法性,重点关注和防范第三方信息传输及分享可能涉及的潜在法律风险,及时
18、采取预防措施。第三,个人信息处理者在与第三方合作时,应当基于合作的目的和方式谨慎界定双方的关系和权利义务,双方的地位、个人信息处理活动的边界应当与其应承担的权利与义务对应。双方确定各自角色之后,应当妥善协商并签订协议,在事前进行个人信息保护影响评估,结合合作关系涉及的个人信息处理活动的风险程度酌情采取审计、持续监控等措施。除此之外,如果第三方位于境外,还会面临我国法律法规对于个人信息跨境传输的限制,例如告知个人关于个人信息跨境传输的相关情况并取得个人的单独同意,事先进行个人信息保护影响评估,按照国家网信部门制定的标准合同与境外接收方订立合同等!。此外,擅自公开个人信息也可能构成滥用行为。尽管个
19、人信息保护法允许个人未明确拒绝的情况下,在合理范围内可以针对个人自行公开或者其他已经合法公开的个人信息进行合法处理。但是如果处理公开个人信息的行为给个人权益带来重大影响,或者希望公开“尚未公开”的个人信息,需要事先取得个人同意。3.7遵守数据分级分类保护制度,通过正规数据交易中介服务机构交易数据为了有效保护数据安全和促进数据的规范交易及利用,数据安全法特别提出建立数据分类分级保护制度,并为重要数据处理者、数据交易中介服务机构以及一般数据处理者等不同主体设定数据安全保护义务。个人信息处理者应当按照自身特点,按照数据分级分类保护制度和目录,将所处理的个人信息进行分类分级管理,针对不同类型和重要级别
20、的数据匹配相应的保护技术措施,如果涉及处理重要数据,应当明确安全负责人与管理机构,定期形成评估报告王喜梅等:对大数据时代个人信息保护法的解读身份并留存记录等。4.结语中华人民共和国个人信息保护法的发布具有划时代意义,标志着中国进人了个人信息保护新时代。中华人民共和国个人信息保护法是构建互联网安全的重要基石,标志着我国网络数据和个人信息保护法律体系进一步走向成熟完善。尽管中华人民共和国个人信息保护法在实践当中的诸多适用问题仍待细化,例如“同意”和“单独同意”的具体实践、匿名化和去标识化的技术标准、数据跨境的合规要求等,但它的出现,宣告着企业滥用数据,尤其是个人信息,以信息驱动来牟利的时代正式终结
21、,也宣告着公民人格尊严等宪法权利的进一步落地落实。注释:欧盟认为个人信息是指“与一个身份已被识别或者身份可被识别的自然人相关的任何信息”,法国将个人数据定义为“通过一项或多项个人特有因素被直接或间接识别的自然人相关的任何信息”,德国定义为“任何关于一个已识别的或者可识别的个人的私人或者具体状况的信息”,英国认为个人信息是“可以识别在世个人的数据”,我国台湾地区将其定义为“自然人之姓名、出生年月日及其他得以直接或间接方式识别该个人之资料”。根据个保法及相关规范,常见的公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公
22、民个人隐私的信息、数据资料等。根据个保法规定,处理个人信息应当具有明确、合理的目的,收集个人信息应当与处理目的直接相关,采取对个人权益影响最小的方式,并限于实现处理目的的最小范围。个人信息安全规范也有关于目的明确原则和最小必要原则的规定,任何主体提供产品或服务涉及的各项业务功能均应当有明确、合理的使用场景,并充分告知个人各功能对应的目的。根据个保法规定,个人信息处理者应当履行公开、明示义务,公开个人信息处理规则,充分保障个人信息主体对于处理其个人信息的知情权,例如以隐私政策、弹窗告知等形式向个人告知法定应予告知事项,包括处理者名称、个人信息处理目的等,或者将个人信息保护政策公开发布并保证易于访
23、问,必要时向个人信息主体逐一送达告知信息。15等。此外,个人信息处理者还应确保采用合法、正当的方式收集使用数据,尤其是针对数据来源及合法性进行评估,避免使用来源非法或可能导致侵犯他人权利或不正当竞争的数据。如果需要交易数据,则应当通过从事数据交易中介服务的正规机构进行,并协助数据交易中介服务机构关注数据来源,审核交易双方16?处理者应当保证个人信息的质量,综合考虑所收集个人信息的目的,事先进行个人信息完整性和准确性审核,避免因处理不准确、不完整的个人信息给个人权益造成不利影响。6按照个保法的要求,个人信息处理者应当对其处理活动负责,并采取必要措施保障个人信息安全,结合自身的风险程度建立内部安全
24、管理制度和相关措施,并在达到法律规定的条件时,指定个人信息保护负责人。7需要获得个人“单独同意”的情形包括向其他个人信息处理者提供个人信息、公开个人信息、处理敏感个人信息、向境外提供个人信息等。敏感个人信息是指一旦泄露或者非法使用,易导致自然人的人格尊严受到侵害或人身、财产安全受到危害的特定类别个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人的个人信息。根据个保法规定,共同处理的场景下,双方共同决定个人信息的处理目的和处理方式,应当约定各自的权利和义务,并就侵害个人信息权益造成的损害承担连带责任;在委托处理的场景下,双方应当约定委托处理的目的、期限
25、、处理方式、个人信息的种类、保护措施、双方的权利和义务等,并且由个人信息处理者对受托人的个人信息处理活动进行监督。受托人除需遵守与个人信息处理者的约定外,还需要遵守个保法赋予的法定安全保障义务及协助义务。此外,如果个人信息处理者面临境外司法、执法机构要求提供中国境内个人信息的情况,根据个保法相关规定,个人信息处理者不得擅自向境外司法、执法机构提供存储在中国境内的个人信息,除非经过主管机关批准。数据分类分级保护制度将数据具体分为“核心数据”“重要数据”“一般数据”;“核心数据”为关系国家安全、国民经济命脉、重要民生、重大公共利益的数据,“重要数据”由国家焦作大学学报数据安全工作协调机制协调有关部
26、门、各地区各部门制定的目录进行确定与保护。根据中华人民共和国宪法的规定,“国家尊重和保障人权”“公民的人格尊严不受侵犯”“公民的通信自由和通信秘密受法律保护”。参考文献:1】最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知(公通字 2 0 13 12 号)EB/0L(2013-04-23)2022-05-20.https:/ EB/OL.(2018-06-22)2022-06-02.https:/ 1民终32 9 1号 EB/0L(2020-12-28)2022-05-20.https:/ EB/OL(2020-03-06)2022-05-20j.https:/
27、EB/OL(2021-07-28)2022-05-23j.http:/ 111民初6 9 7 1号 EB/0L(2020-12-28)2022-05-20.https:/ EB/OL(2017-05-09)2022-05-23J.https:/ 月Interpretation of The Personal Information Protection Law in the BigData EraWANG Ximei DINGFujia(School of Accounting,Jiaozuo University,Jiaozuo,Henan 454003,China)Abstract:As
28、the first special personal information protection law in China,The Personal Information Protection Lawcomprehensively absorbs the provisions of The Civil Code,The Consumer Rights Protection Law,and The CyberSecurity Law on the definition,processing rules,and network security protection obligations o
29、f personal informationprocessors,and makes principled provisions on processing rules,personal rights,obligations of personal informationprocessors,competent departments,legal responsibilities,and so on.In particular,targeted requirements were putforward in terms of prohibiting the use of automated d
30、ecision-making to big data discriminatory pricing(BDDP),increasing the obligation of information protection on large Internet platforms,strict cross-border requirements forpersonal information,and prohibiting applications(APP)from excessively collecting personal information and illegallytrading personal information,which set the main tone in the field of personal information protection in China and initiallyestablished the basic rules for personal information protection in China.Key Words:personal information;Personal Information Protection Law
浙ICP备2021020529号-1 | 浙B2-20240490 
