消息 11月1日,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式施行。《个人信息保护法》集中体现了以人民为中心的立法理念,并在国家层面建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为。当前,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境,确保《个人信息保护法》的各项要求和规定在社会生活中得到全面的贯彻和实施,是一项重要任务。在学习和贯彻《个人信息保护法》时,建议重点把握以下十大核心要点。
一、“规范个人信息处理活动”是个人信息保护法的核心
目前,在各类个人信息保护法的解读文章中,大多在谈论个人信息保护的内容,很少涉及如何促进个人信息合理利用。实质上,《个人信息保护法》的立法目的不仅仅是“保护“个人信息,而是“保护”和“利用”同步推进。
《个人信息保护法》第一条规定:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。” 从《个人信息保护法》的立法目的看,个人信息保护法的实质功能是一部个人信息处理活动行为规范法,个人信息保护的真正立法目的有两个,一个是“保护个人信息权益”,另一个是“促进个人信息合理利用”,其中“规范个人信息处理活动”处于整个《个人信息保护法》的核心地位,只有夯实“规范个人信息处理活动”这个关键环节,才能确保实现保护个人信息权益和促进个人信息合理利用之目的。
二、个人信息的内涵与匿名化
《个人信息保护法》第四条第一款明确了“个人信息”的定义:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。该定义与《网络安全法》《民法典》以及最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中的“个人信息”定义在基本概念上保持了一致,强调了“已识别或者可识别的自然人信息”,但在内涵上却有很大的不同。《个人信息保护法》中的“个人信息”定义增加了“不包括匿名化处理后的信息”,明确了“个人信息”经匿名化处理后不属于个人信息,也就无须适用《个人信息保护法》的相关规定,体现了《个人信息保护法》的“保护”和“利用”并重。
《个人信息保护法》第七十三条(四)将“匿名化”定义为:“是指个人信息经过处理无法识别特定自然人且不能复原的过程。”该定义中的“不能复原”主采取了两种方法:一是删除个人信息包含的个人描述部分,包括将描述部分替换为其他描述部分,或者使用具有不可恢复的方法等;二是删除所述个人信息中所包含的全部标识符,包括将标识符替换为其他描述部分,或者使用具有不可恢复的方法等。
三、个人信息保护法的域外效力
