登陆注册
2325

【建纬观点】智慧城市与个人信息保护的“相杀相爱”(二)

法律人2023-05-13 09:51:200

作者简介

吴炜春 毕业于上海大学知识产权学院,现为上海市建纬律师事务所不动产金融部成员、建纬“一带一路”法律服务中心组员。曾先后在西班牙通力律师事务所、华为西班牙代表处、上海西班牙投资置业顾问集团工作,熟悉并擅长国际贸易、跨境知识产权以及私募基金的诉讼和非诉讼法律事务服务。

前文链接:【建纬观点】智慧城市与个人信息保护的“相杀相爱”(一)

在下文中,将继续阐述《个人信息保护法》的其他内容。

二. 《中华人民共和国个人信息保护法》的主要内容(八)个人对其个人信息处理享有的权利

1. 知情权、决定权

《个人信息法》第1718条规定,个人信息处理者应通过设置个人信息处理规则向个人提供其主体信息、处理目的、处理方式及处理程序等具体信息的,应当公开该规则,并确保该规则应当公开,并且便于查阅和保存。但是法律、行政法规规定应当保密或者不需要告知的情形的,可以不告知;如果处于紧急情况,为保护生命健康或财产安全的,在紧急情况消除后及时告知。第44条,明确规定个人对其个人信息的处理享有知情权、决定权。

2. 查阅权、复制权

《个人信息法》第45条规定:个人有权向个人信息处理者查阅、复制其个人信息。

3. 更正权、补充权

《个人信息法》第46条规定:个人有权请求个人信息处理者更正、补充不准确或者不完整的个人信息。

4. 删除权

个人信息处理者在《个人信息保护法》第47条规定的情形下,应当自行或者在接到个人请求后,删除个人信息,包括处理目的已经实现、无法实现或不再必要,个人信息的处理者已停止提供产品或服务,以及个人撤回同意等。如果删除个人信息在技术上是不可行的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

第49条还规定了上述权利在个人死亡之后,可以由其近亲属行使,除非死者生前另有安排。

(九)自动化决策规则

《个人信息保护法》第73条第(二)款规定自动化决策是指“通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。”表明《个人信息保护法》没有禁止个人信息的自动化决策,而是在第24条对个人信息使用自动化决策提出了,“应确保决策过程是透明的,并且结果是公平和公正的,不得对个人在交易价格等交易条件上实行不合理的差别待遇。”明确了禁止大数据“杀熟”。同时,又规定当自动化决策用于推送通知和营销时,应为个人提供不接收个性化信息的选项或便捷的拒绝方式,以及如果自动化决策对个人权益造成重大影响,个人有权要求个人信息处理者作出解释,并有权拒绝个人信息处理者仅通过自动化决策作出决定。在一定程度上限制利用个人信息进行自动化决策,更充分的保障了个人权利。

个人信息处理者在对个人信息进行自动化决策前还应当进行个人信息保护影响评估(第55条)。

(十)公共区域人脸识别规则

《个人信息法》第26条规定,在公共场所,为了维护公共安全,遵守国家有关规定安装图像采集或者个人身份识别设备。维护公共安全是此类活动唯一合法认可的目的,以这种方式收集的信息不得公开或披露,但经个人明确同意的除外。

(十一)个人敏感信息处理规则

《个人信息法》为“敏感信息”提供了更高层次的保护,第28条规定了敏感信息的范围,包括生物识别、宗教、特定身份、医疗健康、金融账户、行踪轨迹以及不满十四周岁未成年人的个人信息。处理敏感信息必须要有特定目的和充分必要性,并在严格保护措施下,才可以进行处理。另外,对于敏感信息的处理需要取得个人的单独同意,如果法律法规另有规定的,还需要取得书面同意,同时,除了要求告知的一般事项外,还需要告知处理的必要性和可能产生的影响。

(十二)儿童个人信息的严格规定

《个人信息法》第31条规定了,处理十四周岁以下未成年人个人信息必须取得父母的同意。同时,将十四周岁以下未成年人个人信息列为敏感信息进行了升级保护。

(十三)规定了个人信息处理者的责任义务

《个人信息法》系统规定了个人信息处理者保护个人信息的责任义务,主要包括:

1. 建立内部管理制度和操作程序;分类管理个人信息;采用加密、去标识化等安全技术措施。

2. 个人信息处理者处理的个人信息量达到国家网信部门规定数量的,应当指定个人信息保护负责人,专门负责监督个人信息处理活动和保护措施的实施。

3. 个人信息处理者应定期对其个人信息处理进行合规审计,以确保这些活动符合法律法规。

4. 个人信息处理者在进行如下行为前,需进行事先风险评估,并且评估报告和相关记录应至少保留三年:

(1) 处理个人敏感信息;

(2) 进行自动化决策;

(3) 委托第三方处理个人信息、向其他个人信息处理者提供或公开个人信息;

(4) 向境外提供个人信息;

(5) 其他对个人权益有重大影响的个人信息处理活动。

(十四)明确网络平台的责任义务

《个人信息法》第58条首次明确规定了大型网络平台(即“用户数量巨大、业务类型复杂”)保护个人信息的责任,要求(i)建立个人信息保护合规制度体系,并由独立机构进行监督;(ii)遵循公开、公平、公正的原则;(iii)出现严重违法行为时,立即停止提供服务;(iv)定期发布关于个人信息处理的社会责任报告。

《个人信息法》并未明确网络平台的划分标准,国家市场监督管理总局于2021年10月29日发布的《互联网平台分类分级指南(征求意见稿)》,明确了网络平台的分级依据,即需要考虑平台的综合考虑用户规模、业务种类以及限制能力。用户规模是指平台在中国的年活跃用户数量,业务种类是指平台分类涉及的平台业务,限制能力是指平台具有的限制或阻碍商户接触消费者的能力。该指南提出超级平台指同时具备超大用户规模、超广业务种类、超高经济体量和超强限制能力的平台,在中国的上年度活跃用户不低于5亿,平台核心业务至少涉及两类平台业务(该业务涉及网络销售、生活服务、社交娱乐、信息资讯、金融服务、计算应用等六大方面),平台上年底市值(估值)不低于10000亿人民币,在中国的上年度年活跃用户不低于5000万,具有超强的限制商户接触消费者(用户)的能力[1]

(十五)跨境传输和数据本地化

为了确保向中国境外传输数据受到与中国法律相同程度的保护,《个人信息法》第三章专门规定个人信息跨境提供的规则,首先跨境提供必须是“业务或其他需要所必需的”,此外,个人信息处理必须向个人告知境外接收方包括主体信息、联系方式、处理目的、处理方式、信息种类等具体信息,且必须获得个人的单独同意。

根据《个人信息法》第38条,跨境提供还必须至少满足以下条件之一:

1. 通过国家网信部门组织安全评估。其中关键信息基础设施运营者和处理大量信息的个人信息处理者,必须将在中国境内收集和产生个人信息存储在境内,如果需要向境外提供的,必须通过国家网信部门组织的安全评估方才可以进行。该条款类似于《网络安全法》第37条,对信息基础设施运营者运营商的信息存储和跨境提供进行了限制。

2. 取得专业机构的个人信息保护认证。《网络安全法》下的即将生效的《网络安全审查办法》也规定了其他类似机制。

3. 与境外接收方签订合同,明确双方的权利和义务,并监督其活动以确保其符合法律规定的标准。

4. 符合法律、行政法规或者国家网信部门的规定的其他条件。

同时,《个人信息法》第38条第2款明确了中国“缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。”《个人信息法》第三章为中国境内个人信息跨境传输的提供了一定的操作性指导,强调了对国际条约、协定的认可,为中国与其他贸易伙伴寻求双边和多边数据传输便利化机制留下了空间。

《个人信息法》第41条规定了根据中国加入的国际条约或协定、或者按照平等互惠原则,需要将个人信息转移到中国境外以进行国际司法协助或行政执法的,个人信息处理者必须向主管部门提出申请并获得批准。

《个人信息法》第43条规定了,任何国家或地区在数据保护领域对中国采取歧视性禁止、限制或其他类似措施的,中国“可以对该国家或地区对等采取措施”,该条款也反映了《出口管制法》类似规定。对于侵犯中国公民权益或危害中国国家安全或公共利益的境外组织或个人,会被国家网信部门列入公开的实体名单,以限制或者禁止其他个人信息处理者向他们提供个人信息

(十六)明确了“过错推定原则”

《个人信息法》考虑到个人信息领域个人举证困难,第69条第1款明确了个人信息处理侵权适用“过错推定责任原则”,即“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”

(十七)实施和执行

《个人信息法》并未设立专门负责数据保护执法的独立机构,国家网信部门是负责数据保护执法的主要机构,国务院各部委在各自职责范围内负责个人信息保护和监管工作。《个人信息法》第66条针对一般违法和情节严重的违法进行了制定了多元化的处罚机制,包括责令改正、警告、没收违法所得、责令暂停或者终止处理个人信息的应用程序、吊销业务许可、吊销营业执照、罚款等措施,对于严重违法的行为,可以处以五千万元以下或者上一年度营业额百分之五以下罚款。违法不仅涉及非法处理个人信息,还包括未按照规定采取适当的必要安全保护措施。

同时还规定了个人责任,对直接负责的主管人员或其他直接责任人员处以罚款,严重违法的主管人员或其他直接责任人员,“可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”。

《个人信息法》第67条规定,违法该法的行为将“被记入信用档案,并予以公示”。

重要的是,《个人信息保护法》第69条为个人提供了通过司法途径要求个人信息处理者赔偿其损失的机制,实际损失或者个人信息处理者非法获得的利益难以确定的,可以结合实际情况确定赔偿数额。最后,当违法行为侵害多人权益时,人民检察院和有关执法机关、部门可以向人民法院提起公益诉讼,该机制加强了对个人信息保护的力度。

智慧城市是城市发展的必然趋势,而智慧城市是建立在大数据、人工智能等技术基础上的,信息安全系统是智慧城市的重要保护屏障,一旦出现问题,就会威胁智慧城市的安全。个人信息保护是由个人、政府、个人信息处理者共同构建的一项系统工程,只有充分评估其存在的个人信息安全风险、明确个人信息的法律性质、建立强有力的个人信息法律保护体系,才能真正保障个人的隐私和合法权利,并且避免智能城市成为大规模监控的基础设施。政府相关主管部门应主导、规范智慧城市的信息采集、使用等行为;个人信息处理者在接受监督和监管的前提下进行一定范围内的信息采集和使用;个人作为信息来源主体,享有个人信息权,有权对其个人信息采集和使用情况进行监督,但是也应当为了加快智慧城市的发展以及社会公共利益的需要依法履行提供个人信息的义务,在个人隐私和智慧城市效益之间取得适当的平衡。

[1] 《互联网平台分类分级指南(征求意见稿)》第三条“平台分级指南”。

END

作者 | 吴炜春

编辑 | 建纬品牌部

不动产金融部

不动产金融部作为建纬的核心业务部门之一,致力于利用建纬在不动产领域深耕多年的专业优势,为客户提供优质的不动产金融法律服务。部门汇集多位复合型背景的专业法律人才,拥有具备银行、保险、证券、融资租赁等金融机构工作和专业背景的专职律师。

不动产金融部由事务所副主任、高级合伙人宋仲春担任部门主任,下设银行业务组、保险业务组、证券及债券业务组、金融创新产品业务组、不良资产业务组、破产及清算业务组6个小组,分别由具有相关行业和实务经验的律师作为业务组牵头人,为客户在银行融资、保险资金投资、保险方案设计与争议解决、债券发行、资产证券化及REITs、基础设施投融资(PPP、ABO等)、私募基金、融资租赁、不良资产处置、公司破产及清算等领域提供全方位的专业法律服务。

欢迎垂询

电话:18221044725/18501761702

0000
评论列表
共(0)条
热点
关注
推荐