ag电子文章详细信息

Virtuf-HasTech 首页 // 百科知识 // 【认知】从法律关系维度分析个人信息保护法
Virtuf-Image Virtuf-Image Virtuf-Image Virtuf-Image

【认知】从法律关系维度分析个人信息保护法

Virtuf-HasTech Virtuf-HasTech
ag电子

  原载于weixin公众号AI法律合规观察

  编者按2021年8月20日,全人大常委会经三次审议通过个人信息保护法,并于11月1日正式实施。法律关系是法律规范在调整人们的行为过程所形成的具有法律上权利义形式的社会关系。从法律关系的构成要素也即法律关系主体法律关系客体和法律关系内容进行分析,相较于前个人信息保护法时代,个人信息保护法的制定,使得调整个人信息处理活动相关社会关系的法定依据更为完善。

  一法律关系主体的明确

  根据个人信息保护法的规定,法律关系主体主要包含个人信息主体个人信息处理者与接受委托处理个人信息的受托人等。在前个人信息保护法时代,由于未在立法层面明确个人信息处理者这一概念,保护个人信息权益相关的法律规范,所包含法律关系主体较为有限,主要是网络安全法规定的网络运营者与消费者权益保护法规定的经营者等。同时,由于民法典未明确个人信息权益相关的民事法律关系的主体范围。个人信息保护法第七十二条规定,自然人因个人或者家庭事处理个人信息的,不适用本法。因此,针对前个人信息保护法时代在法律关系主体范围不明确与较为限定的问题,个人信息保护法规定个人信息处理者为自主决定个人信息处理目的与处理方式的主体,有效解决了上述问题。

  其次,立法从不同维度,对特殊类型的个人信息处理者和其他参与个人信息活动的主体进行了规定。从区分家公主体及私主体的维度,立法设专节对家机关处理个人信息进行规定。第三十七条规定,法律法规授权的具有管理公事职能的组织为履行法定职责处理个人信息,适用本法关于家机关处理个人信息的规定。从义范围看,不同类别的个人信息处理者在个人信息保护方面的义有所不同,例如关键信息基础设施,处理个人信息达到家网信部门规定数量的个人信息处理者,以及提供重要互联网台服用户数量巨大业类型复杂的个人信息处理者等。从参与个人信息处理活动的角色看,立法区分了个人信息处理者接受委托处理个人信息的受托人同个人信息处理者等。从区分境内与境外的维度看,立法规定了属地管辖与保护管辖相结合的原则,根据第三条第二款的规定,如相关主体在境外处理境内自然人的个人信息,也适用立法的规定。

  二作为法律关系客体的个人信息

  个人信息作为法律关系的客体,从类型上,立法区分了敏感个人信息与一般个人信息,两类个人信息在告知同意规则与必要性规则方面的规定有所不同,体现了我对敏感个人信息与一般个人信息的分层治理思路。

  关于个人信息的定义,第四条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。这不同于网络安全法民法典侵犯公民个人信息罪司法解释的规定,后续需要关注法律适用过程对个人信息范围的具体界定。

  个人信息保护法对一般意义上的个人信息处理活动与特定情况下处理个人信息的活动分别进行了规定。个人信息保护法规定了个人信息处理活动的合法性事由与应当遵循的基本原则。针对个人信息处理的含义,与民法典不同的是,个人信息保护法增加了删除,这意味着后续删除个人信息也需要满足必要性等处理个人信息的基本原则,并具有合法性事由。

  针对特定的个人信息处理活动,如自动化决策;向境外执法或司法机构提供存储于境内的个人信息;在公场所安装图像采集个人身份识别设备;向境外提供个人信息;向他方提供个人信息;处理敏感个人信息;公开处理的个人信息;紧急情况下为保护自然人的生命健康和财安全处理个人信息等,立法均有具体规定。

  三包含权利义的法律关系内容

  关于个人信息主体的权利,相较于民法典,个人信息保护法规定了限制处理权查阅权复制权知情权决定权可携权更正权补充权删除权解释说明权死者亲属的为死者主张个人信息权益的规定等。同时,立法第一条明确了依据宪法制定,因此其规定的个人信息权利不限于民事权利,还包含公法权利。当家机关作为个人信息处理者时,还需要遵循相关的公法的规定,个人信息主体也可以向其主张相应的个人信息权利。

  关于参与个人信息处理活动主体的权利义,立法既规定了不同主体之间的权利义,又规定了针对特定类型主体的义。关于不同主体之间的权利义,第二十条规定,两个以上的个人信息处理者同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义。但是,该约定不影响个人向其任何一个个人信息处理者要求行使本法规定的权利。其次,针对接受委托处理个人信息的受托人,立法规定了其应采取的必要措施保障所处理的个人信息的安全,协助个人信息处理者合规的义。个人信息保护法针对不同类型的个人信息处理活动参与主体之间的权利义,统一进行了规定。实践,有助于明确数据采集数据标注云业等数据合作合作方之前的权利义。

  关于个人信息处理者应履行的义,主要包括针对特定类型个人信息处理活动的个人信息保护影响评估与处理活动记录义采取必要安全措施的义向境外提供个人信息的合规义定期合规审计的义数据泄露应对的义等。其次,针对特定类型的个人信息处理者,立法规定了专门的义,如关键信息基础设施运营者的个人信息本地化存储与向境外提供个人信息的合规义;处理个人信息达到家网信部门规定数量的个人信息处理者还应履行指定个人信息保护负责人的义;提供重要互联网台服用户数量巨大业类型复杂的个人信息处理者,还应履行包括成立外部独立机构进行合规监督制定台规则定期发布社会责任报告在内的守门人义。

最新文章

Image-HasTech Image-HasTech