民法典|贯彻《个人信息保护法》十大要点需注意_量产|哪吒|智能汽车|汽车|360安

2021年11月1日，《个人信息保护法》正式施行。该法集中体现了以人民为中心的立法理念，并将在国家层面建立健全个人信息保护制度，预防和惩治侵害个人信息权益的行为，加强个人信息保护宣传教育，推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境，确保《个人信息保护法》的各项要求和规定在社会生活中得到全面的贯彻和实施。在学习和贯彻《个人信息保护法》时，建议重点把握以下十大核心要点。

文章插图
图片来源网络
一、“规范个人信息处理活动” 是个人信息保护法的核心
目前，在各类个人信息保护法的解读文章中，大多在谈论个人信息保护的内容，很少涉及如何促进个人信息合理利用。实质上，《个人信息保护法》的立法目的不仅仅是“保护”个人信息，而是“保护”和“利用”同步推进。
《个人信息保护法》第一条规定：“为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，根据宪法，制定本法。” 从《个人信息保护法》的立法目的看，个人信息保护法的实质功能是一部个人信息处理活动行为规范法，个人信息保护的真正立法目的有两个：一个是“保护个人信息权益”，另一个是“促进个人信息合理利用”，其中“规范个人信息处理活动”处于整个《个人信息保护法》的核心地位，只有夯实“规范个人信息处理活动”这个关键环节，才能确保实现保护个人信息权益和促进个人信息合理利用之目的。
【民法典|贯彻《个人信息保护法》十大要点需注意】二、个人信息的内涵与匿名化
《个人信息保护法》第四条第一款明确了“个人信息”的定义：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”该定义与《网络安全法》《民法典》以及最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中的“个人信息”定义在基本概念上保持了一致，强调了“已识别或者可识别的自然人信息”，但在内涵上却有很大的不同。《个人信息保护法》中的“个人信息”定义增加了“不包括匿名化处理后的信息”，明确了“个人信息”经匿名化处理后不属于个人信息，也就无须适用《个人信息保护法》的相关规定，体现了《个人信息保护法》的“保护”和“利用”并重。
《个人信息保护法》第七十三条（四）将“匿名化”定义为：“是指个人信息经过处理无法识别特定自然人且不能复原的过程。”该定义中的“不能复原”主要采取了以下两种方法，一是删除个人信息包含的个人描述部分，包括将描述部分替换为其他描述部分，或者使用具有不可恢复的方法等；二是删除所述个人信息中所包含的全部标识符，包括将标识符替换为其他描述部分，或者使用具有不可恢复的方法等。
三、个人信息保护法的域外效力
在数字化、智能化和网络化的时代，数据正在以前所未有的方式自由流动和跨境传输，因此个人信息保护立法仅有域内效力的规定，根本无法充分保护本国公民的个人信息。2018年生效的欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR），率先确立了个人数据保护的域外效力，目前已有多个国家的个人信息保护法借鉴了GDPR域外效力的立法实践，我国的《个人信息保护法》也反映了国际个人信息保护的域外效力趋势。
我国《个人信息保护法》第三条第二款规定，在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列三种情形之一的，也适用《个人信息保护法》：一是“以向境内自然人提供产品或者服务为目的”，比如一家位于美国运营的电子商务网站（Amazon）向中国境内的自然人（包括本国人、外国人和无国籍人）提供产品或服务；二是“分析、评估境内自然人的行为”，比如一家位于境外的社交网站分析、评估中国境内自然人的行为，像全球最大的社交网站Facebook，每年发布专门的用户行为习惯研究分析报告；三是法律、行政法规规定的其他情形，如我国《数据安全法》第二条第二款明确规定：“在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。”