作者:刘新宇
页数:256
出版社:中国法制出版社
出版日期:2021
ISBN:9787521621204
电子书格式:pdf/epub/txt
内容简介
2020年10月21日,全国大人常委会法工委发布了《中华人民共和国个人信息保护法(草案)》征求意见稿,就个人信息保护有关的立法问题向社会公开征求意见。作为首部专门规定个人信息保护的法律,《个人信息保护法》在正式出台后,将成为个人信息保护领域的“基本法”。《个人信息保护法(草案)》全文共八章,内容包括总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任和附则。本书将对《个人信息保护法》进行逐条重点解读,并辅以实务要点、案例解析、关联法规等内容,以期供各方深入学习和交流。
作者简介
刘新宇律师,法学博士,现为中伦律师事务所合伙人。
刘律师入选上海市数据合规与安全产业发展首批专家组成员。刘律师同时也担任公安部第三研究所网络安全特聘讲师、全国律协网络与高新技术委员会委员、上海市信息网络安全管理协会理事。刘律师还受聘为华东政法大学特聘校外导师,复旦大学司法研究中心实务部门研究员。
凭借精湛的专业技能、广泛的客户认可和超卓的执业表现,刘新宇律师近年来先后荣获2019《亚洲法律杂志》“客户最选律师”20强、2020 the Legal 500 “Fintech领域 领先律师”、2020 The Asian Lawyer“年度数据保护律师”提名、2020 IFLR1000中国“金融和企业领域 领先律师”、2021 the Legal 500 “数据保护领域 领先律师”等荣誉。
本书特色
重点解读实务要点案例解析关联法条附赠内容
【条文主旨】提炼个人信息保护法的核心要义。
【重点解读】对法条沿革、专业术语、内容重点等进行逐条解读。
【实务要点】对法条进行易混概念辨析、实践疑难解答、法律实务运用等剖析。
【案例解析】提炼案情介绍,并根据个人信息保护法最新条文内容作出务实法律解析。
【关联法条】列明与本条最为关切的法律法规及条款,方便关联学习。
【附赠内容】免费赠送关联法规全文及案例详情电子版,附赠资料近600页。
目录
本书设置【重点解读】【实务要点】【案例解析】【关联法条】四个板块,其中有典型案例解析内容的条文已标注最。
第一章 总则
第一条【立法目的】
第二条最【个人信息受法律保护】
第三条【适用范围】
第四条最【个人信息及个人信息处理的定义】
第五条最【处理个人信息的原则】
第六条最【处理个人信息的必要性要求】
第七条最【明示个人信息处理规则的要求】
第八条最【个人信息的准确、完整要求】
第九条最【个人信息处理者安全保障责任】
第十条最【个人信息处理者的禁止性行为】
第十一条【国家在个人信息保护中的职责】
第十二条【个人信息保护的国际合作机制】
第二章 个人信息处理规则
第一节 一般规定
第十三条最【处理个人信息的合法性基础】
第十四条最【取得个人同意】
第十五条最【同意的撤回】
第十六条【不得拒绝提供产品或者服务】
第十七条【告知的要求】
第十八条【告知的例外】
第十九条最【个人信息的保存期限】
第二十条【共同个人信息处理者的责任分配】
第二十一条【个人信息的委托处理】
第二十二条【个人信息的转移】
第二十三条最【向他人提供个人信息】
第二十四条最【自动化决策的要求】
第二十五条【个人信息的公开】
第二十六条最【公共场所安装图像采集、个人身份识别设备的要求】
第二十七条最【已公开个人信息的处理】
第二节 敏感个人信息的处理规则
第二十八条最【敏感个人信息的定义及处理的要求】
第二十九条【处理敏感信息的单独同意与书面同意】
第三十条【处理敏感个人信息的特殊告知要求】
第三十一条最【未成年人个人信息的处理】
第三十二条【处理敏感个人信息的特殊限制】
第三节 国家机关处理个人信息的特别规定
第三十三条【国家机关处理个人信息的规则】
第三十四条最【国家机关处理个人信息的原则要求】
第三十五条【国家机关处理个人信息的告知义务及例外】
第三十六条【国家机关处理个人信息的存储】
第三十七条【具有公共事务职能的组织处理个人信息的要求】
第三章 个人信息跨境提供的规则
第三十八条最【向境外提供个人信息的条件】
第三十九条【向境外传输个人信息的告知要求与同意要求】
第四十条【特殊个人信息处理者向境外提供个人信息的要求】
第四十一条【向境外司法或执法机构提供个人信息的批准要求】
第四十二条【限制或者禁止个人信息提供清单制度】
第四十三条【对等反制措施制度】
第四章 个人在个人信息处理活动中的权利
第四十四条【知情权和决定权】
第四十五条【查阅权、复制权和可携带权】
第四十六条最【更正权和补充权】
第四十七条最【删除权】
第四十八条【解释与说明义务】
第四十九条【死者个人信息权利的行使】
第五十条【个人信息权益申请受理和处理机制】
第五章 个人信息处理者的义务
第五十一条最【个人信息处理者的安全保护义务】
第五十二条【个人信息保护负责人】
第五十三条【境外个人信息处理者的专门机构或指定代表】
第五十四条【个人信息合规审计】
第五十五条最【个人信息保护影响评估】
第五十六条【个人信息保护影响评估的具体内容】
第五十七条【个人信息泄露事件处置】
第五十八条【重要互联网平台特定的个人信息保护义务】
第五十九条【受托人的个人信息安全保护义务】
第六章 履行个人信息保护职责的部门
第六十条【履行个人信息保护职责的行政监管部门】
第六十一条【履行个人信息保护职责的部门的工作内容和职责】
第六十二条【国家网信部门的统筹协调职责】
第六十三条【履行个人信息保护职责可采取的措施】
第六十四条最【约谈与合规审计】
第六十五条【投诉、举报】
第七章 法律责任
第六十六条最【个人信息违法行为的法律责任】
第六十七条【信用惩戒制度】
第六十八条【国家机关不履行个人信息保护义务的法律责任】
第六十九条最【个人信息侵权行为的民事责任】
第七十条最【个人信息公益诉讼制度】
第七十一条最【个人信息违法行为的治安管理处罚和刑事责任】
第八章 附则
第七十二条【不适用个人信息保护法的特殊情形】
第七十三条【定义】
第七十四条【施行时间】
核心关联法规
中华人民共和国民法典(节录)
(2020年5月28日)
中华人民共和国网络安全法
(2016年11月7日)
中华人民共和国数据安全法
(2021年6月10日)
最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定
(2021年7月27日)
最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定
(2020年12月29日)
★附赠关联法规★
免费赠送如下内容电子版,请扫描封底“法规编辑部 ”二维码,在公号“资料下载”处获取。
中华人民共和国消费者权益保护法
(2013年10月25日)
中华人民共和国电子商务法
(2018年8月31日)
App违法违规收集使用个人信息行为认定方法
(2019年11月28日)
常见类型移动互联网应用程序必要个人信息范围规定
(2021年3月12日)
儿童个人信息网络保护规定
(2019年8月22日)
网络交易监督管理办法
(2021年3月15日)
公安机关互联网安全监督检查规定
(2018年9月15日)
国家网络安全事件应急预案
(2017年1月10日)
全国人民代表大会常务委员会发布关于加强网络信息保护的决定
(2012年12月28日)
国务院反垄断委员会关于平台经济领域的反垄断指南
(2021年2月7日)
最高人民法院、最高人民检察院关于检察公益诉讼案件适用法律若干问题的解释
(2020年12月29日)
中华人民共和国居民身份证法
(2011年10月29日)
中华人民共和国护照法
(2006年4月29日)
中华人民共和国反洗钱法
(2006年10月31日)
中华人民共和国反恐怖主义法
(2018年4月27日)
中华人民共和国统计法
(2009年6月27日)
中华人民共和国档案法
(2020年6月20日)
中华人民共和国治安管理处罚法
(2012年10月26日)
中华人民共和国公务员法
(2018年12月29日)
中华人民共和国公职人员政务处分法
(2020年6月20日)
征信业管理条例
(2013年1月21日)
不可靠实体清单规定
(2020年9月19日)
★附赠案例详情★
本书【案例解析】板块在案情介绍中对每个案例进行了提炼精简,需要获取“案例详情”的读者,可以下载附赠电子版。
节选
第二十四条【自动化决策的要求】
个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
重点解读
本条明确了利用个人信息进行自动化决策的要求。
自动化决策技术本身具备一定的复杂性,且可能受个人信息处理者商业化决策的影响。在这种情形下,自动化决策算法犹如一个“黑箱”,信息主体无法知悉其决策流程,亦无法对其直接进行评判和监督,基于此,有必要对使用自动化决策的个人信息处理者予以必要的限制。
从自动化决策的过程和结果要求看,本条第一款强调自动化决策的透明和处理结果的公平公正。同时,本条第一款进一步强调个人信息处理者不得对个人在交易价格等交易条件上实行不合理的差别待遇,直指实践中常见的“大数据杀熟”行为。
同时,针对利用自动化决策开展信息推送、商业营销等对个人信息权益有直接影响的行为,本条第二款要求个人信息处理者同时提供不针对其个人特征的选项,这与《电子商务法》第十八条第一款规定相类似。
此外,本条第三款为个人提供了救济途径,即对于通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝。举例来说,在金融借贷场景下,如果依据数据模型自动决定个人贷款额度的,个人可以要求个人信息处理者作出说明并有权拒绝仅以数据模型自动决策的方式作出决定,相对应地,在个人依据本条提出权利主张的情况下,个人信息处理者可能需要对个人的贷款额度进行人工复核。
实务要点
1.“大数据杀熟”行为的定性
所谓大数据杀熟,是指商家利用大数据技术,基于对用户信息的分析和处理,对其中使用次数较多、对价格不敏感的客户实施差异性定价,其最终目的是达到利益的最大化。
《个人信息保护法》出台前,针对大数据杀熟行为最常用的规制依据是《消费者权益保护法》第十条规定的“公平交易权”。但该条文较为概括,且即使消费者基于“公平交易权”得到了赔偿,企业仅需要承担相应的民事责任,对于企业而言“违法成本”较低,不足以对“大数据杀熟”行为产生足够的威慑。由于“大数据杀熟”大多同市场垄断势力存在关联,故反垄断领域成为较早规制“大数据杀熟”行为的领域之一。2021年初,国务院反垄断委员会发布了《关于平台经济领域的反垄断指南》,其中第十七条规定,实施“大数据杀熟”可能被认定为“滥用市场支配地位”。若一旦被认定为滥用市场支配地位,则其需要根据《反垄断法》承担相应的法律责任。具体而言,企业可能需要面临“停止违法行为,没收违法所得,并处上一年度销售额百分之一以上百分之十以下的罚款”的行政处罚。
《个人信息保护法》系首次在法律层面直接对“大数据杀熟”行为作出规制,将“大数据杀熟”行为界定为“实行不合理的差别待遇”,系在《消费者权益保护法》的基础上,针对“大数据杀熟”行为性质的进一步界定。
2.如何约束信息系统的自动化决策
采用自动化决策相关技术是实践中的常见情形,已被广泛运用于贷款审批、简历筛选等环节。如何约束信息系统的自动化决策将成为《个人信息保护法》生效后企业面临的共同问题。
一方面,根据本法第五十五条的规定,就使用自动化决策机制前,个人信息处理者宜开展个人信息保护影响评估,充分评估自动化决策可能对信息主体的权益造成的损害。
另一方面,结合本条的要求,个人信息处理者应当向个人信息主体提供针对自动化决策结果的投诉渠道,通过该等渠道向个人提供必要的说明。
案例解析
最案情介绍
2018年7月19日11时55分20秒,刘某通过M公司运营的外卖平台,向某商家购买了“套餐金枪鱼三明治+红豆薏米汁”一份,收货地址为A大厦1320室,配送费为4.1元。同日12时8分20秒,其同事通过同一平台向同一商家订购了同样的套餐一份,收货地址也为A大厦1320室,配送费为3.1元。刘某诉称,M公司对其多收取的1元配送费是“大数据杀熟”区别定价,侵犯了其知情权、公平交易权等。
M公司提供平台后台日志并抗辩称,刘某订单所涉商圈当日11时47分开始订单大幅上涨,配送费动态上调,11时57分后订单大幅上涨的状态结束,配送费动态恢复正常水平。
最法律解读
本案中,法院经审理认为,刘某所述的两份订单虽然购买商家、商品、收货地址均一致,但关键是下单时间不一致。但被告提供的后台系统证据足以证明其对顾客未差别定价,M公司根据平台交易量对配送费进行动态调整,是自身的经营行为,现有证据不足以证明M公司对刘某多收1元的配送费是利用“大数据”区别定价,侵犯了其公平交易权等,并判决驳回刘某的诉讼请求。
本案折射出“大数据杀熟”类案件中的一大难点,即差别定价行为往往较为隐蔽,且消费者往往难以对此进行举证。尽管《个人信息保护法》明确将“大数据杀熟”行为纳入监管,且要求个人信息处理者保证决策的透明度,但对于此类“差别定价”行为在司法实践中如何认定,或还有待实践的进一步探索。
关联法条
《电子商务法》第十八条;《消费者权益保护法》第十条。
