Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

数字时代中国法律对个人数据保护的某些法律规定

Обновлено 01.06.2024 04:57

 

本文旨在研究新数字技术时代中国法律对个人数据保护的法律规定的分析。 2021年中华人民共和国"关于个人数据保护"的法律具有与欧盟通用数据保护条例类似的一些特征,但与此同时突出了对公共关系的监管影响的实用主义。 在俄罗斯联邦,审议中的问题更早地引起立法者的注意,特别是值得注意的是2006年7月27日的联邦法律。 第152-FZ号"关于个人数据"和2013年5月7日第99-FZ号联邦法律"关于修订俄罗斯联邦的某些立法行为与通过联邦法律"关于批准欧洲委员会关于保护个人 这些行为旨在保护个人和公民在处理个人数据方面的权利和自由,包括隐私,并将其影响扩展到处理个人数据的整个过程,包括非自动化处理个人数据。 鉴于俄罗斯和中国对所审议问题的法律规定存在时间滞后,我们两国处理个人资料的方法显然存在差异,特别是俄罗斯已经制定了一项法律草案,允许个人从商业数据库中删除其个人资料,这增加了这方面法律研究的价值,并允许你在考虑相关外国经验的情况下预测国家监管政策的法律发展。

 

关键词:法律法规,个人资料,中国,俄罗斯,数字技术,立法.

 

据中国互联网络信息中心<1>统计,截至2023年6月,我国网民数量达到10.79亿人,互联网普及率达到76.4%。 根据这些指标,中国仍然是世界上最大的国家。 近年来,由于云计算、大数据、区块链、5G和人工智能等新型信息通信技术的快速发展和广泛渗透,互联网对传统经济部门的渗透积极<2>。 数字化转型的加速与个人数据处理案例数量的增加直接相关。 在这方面,收集、处理和加强个人资料保护的问题已成为中国非常重视的最重要的实际问题,公众也表达了一些关切。

--------------------------------

<1>

<2>Sevalnev V.V.中华人民共和国立法下电子商务和智能合同法律监管的某些方面//与数字技术(智能合同)发展相关的合同关系法律监管:科学文章集:圆桌会议材料(莫斯科,2018年12月19日)。 莫斯科:出版集团"律师",2019年。 第84-91页。

 

2021年8月,全国人民代表大会常务委员会(以下简称全国人民代表大会常务委员会)通过了《中华人民共和国个人资料保护法》(以下简称《中华人民共和国个人资料保护法》),并于2021年11月1日生效。 <3>《中华人民共和国法律》POA是中华人民共和国法律体系中第一部专门的立法行为,规范与个人数据保护相关的公共关系。 这一法律行为弥补了中华人民共和国在个人数据保护领域法律法规以前存在的不足。 正如中国研究人员所指出的<4>,有关法律行为与中华人民共和国2016年"关于网络安全"的法律,2021年"关于数据安全"的法律,2018年"关于电子商务"的法律<5>,2020年民 它为中华人民共和国个人数据立法保护制度奠定了基础,为数字化进程背景下的国家经济和社会发展奠定了坚实的基础。

--------------------------------

<3>

<4>

<5>

 

2021年8月20日,第十三届全国人民代表大会第三十次会议通过了《中华人民共和国个人信息保护法》,以保护个人信息,规范个人信息的处理,促进个人信息的合理使用。 该法由71条组成,分为8章。

保障个人资料的基本原则在功能上非常重要,因为它们不仅包含实施个人资料处理活动的基本要求,而且也是建立一个综合个人资料保护系统的基础,该系统包括处理个人资料的过程和所有方面。 中华人民共和国法律ZPD考虑了相关的国际和外国经验和执法实践,但主要基于中国的具体情况。 《中华人民共和国个人资料保护法》第5-9条制定了保护个人资料的基本原则。 一是合法、方法得当、必要性和诚信原则。 这一原则是我国个人数据保护的基本原则。 他在逻辑上继续和发展了以前载于《中华人民共和国网络安全法》的合法性、适当方法和必要性原则。 其次,它是目标限制原则。 该原则规定,处理个人数据必须包含明确和合理的目的。 该原则与上述合法性、适当方法、必要性和诚信原则一起,建立了评估个人数据处理目的的标准,以及限制个人数据处理活动。 第三,是公开透明的原则。 《中华人民共和国个人资料法》第七条规定,个人资料处理者必须披露处理规则,并告知个人资料处理的目的、方法和范围。 第四,它是完整性和准确性的原则。 这一原则意味着个人信息处理者必须确保其处理的个人信息的质量,避免因个人信息不准确和不完整而对个人权益造成不利影响。 五是保护和安全的原则。 该原则的主要目的是确保个人信息在中国通过各种方法和组织处理时的安全性。

个人数据的概念和范围构成了个人数据保护工作的基础,也是中国法律空间个人数据保护法律机制的起点。 在中国执法学说中,定义"个人信息"的概念有两种方法-识别理论和关联理论。 所谓识别是指个人是否可以被识别为确定个人和非个人信息的标准。 这是关于个人信息保护的传统立法中常见的识别方法<6>。 在2012年《全国人大关于加强互联网信息保护的决定》<7>中,首次在法律层面制定了"识别"概念;2016年《中华人民共和国网络安全法》确定了界定个人信息"概括、列举" 在关联理论的情况下,后者是指在特定个体已知时获得关于该特定个体的附加相关信息。 在实践中,由于可识别信息的数量有限,加上个人信息属性的动态变化,很难采用通用的个人数据保护方法。 在中国,在处理个人数据时,已经建立了识别和关联这两种方法的结合,这扩大了作为处理对象的个人数据的内容。

--------------------------------

<6>

<7>

 

《中华人民共和国法律》首次以列举的形式确定了个人机密信息的数量,将其定义为"泄露或非法使用后可能导致侵犯个人人格尊严或其安全和财产的个人信息"(第二十八条),并列出了14岁及以上公民的生物特征数据、宗教信仰和类似信仰、医疗数据、财务账户、位置和个人信息。 中国在保密个人信息方面所采用的方法是基于欧盟《通用数据保护条例》(以下简称《条例》)的经验,但在具体应用领域的定义上存在差异。 特别是艺术。 《条例》直接使用列举方法来识别可能披露种族或民族血统、政治观点、宗教或哲学信仰、工会成员资格的机密个人数据,以及处理遗传数据、为明确识别个人目的的生物特征数据、与个人健康、性生活或性取向有关的数据。 考虑到保密个人信息的具体情况,中华人民共和国法律DPA对保密个人信息的处理制定了更严格的要求。

根据《中华人民共和国法》第十三条,合法处理个人个人资料的依据是个人同意。 在此基础上,有关法律第14条的规范首次确定了个人同意的接收和个人的书面同意。 个人同意与一般同意的概念有关。 它旨在确立个人信息处理者告知的义务,并且还强调公司应鼓励个人注意其个人信息的处理并明确告知用户,并且用户做出自己的选择。 考虑到在实践中存在大量授权和强制用户同意处理个人数据等问题,中华人民共和国法律dpa明确规定了以下情况的单独同意要求:向他人提供,披露和 个人信息处理者应将这些场景中的同意与其他常见场景中的同意区分开来,并避免通过授权机制获得个人同意。

书面同意是一种不同于口头同意的同意,旨在加强对个人同意的正式要求。 根据《中华人民共和国法》第十四条规定,通过征得同意合法处理个人信息,法律、行政法规规定取得个人书面同意的,必须按照有关规定的要求取得书面同 书面同意的形式可能会有所不同,并可能以合同,邮件以及其他方法的形式表达,包括纸质和电子方法。

中华人民共和国法律发展的一个重要目标是通过系统设计法律制度来明确个人数据所有者的权利,以加强个人对其个人信息的控制,实现个人数据保 中华人民共和国法律ZPD考虑到中华人民共和国现行立法,以及欧盟在GDPR中表达的实践。 中华人民共和国法律特别规定了一章"处理个人信息的个人权利",艺术。 4-49规定了一些个人信息的权利,例如知情权,决策权和限制处理个人数据的权利。 与此同时,为确保有效行使与个人资料有关的权利,中华人民共和国法律亦要求个人资料处理者建立一个机制,接受和处理个人行使其权利的申请,并制定适当的保障该等权利的规则。 例如,艺术。 45规定了查阅和复制个人资料的权利,并要求个人资料的处理者及时提供这些资料;另一个例子是第46条,该条规定了改正和补充个人资料的权利,并要求个人资料的处理者及时核实、改正和补充这些资料。 此外,为保障死者近亲属的合法权益,《中华人民共和国法》考虑了《中华人民共和国民法典》的有关规范,规定个人死亡时,其近亲属依法可以利用死者的有关个人信息,特别是行使查阅、复制、改正、删除等权利。 (第49条)。

由于国际数字商务的持续快速发展,个人信息跨境转移的需求日益增加。 中华人民共和国法律ZPD制定了跨境提供个人数据的规则。 制定了一套明确、系统的个人信息跨境流动规则,考虑到保护个人信息权益的需要。 客观的安全要求,满足国际经贸往来的现实需要。 跨境提供个人信息有四种法律场景。 《中华人民共和国个人资料保护法》规定,个人资料处理者因业务和其他需要向外国提供个人资料的,必须经过国家网络电信部门组织的安全评估,或者经专业机构认证,或者在双方就权利义务达成一致或者符合法律、行政法规规定的其他条件的情况下签订合同(第三十八条)。 这些条件对于跨境提供个人数据是可选的,在此基础上还必须满足两个必要条件,即获得自然人的单独同意跨境提供其个人数据,并采取必要措施保护 中华人民共和国法律ZPD对跨境提供几种类型的特殊个人信息规定了限制性要求。 首先,对于政府机构处理的个人信息,应默认存储在中华人民共和国境内;其次,对于关键信息基础设施的运营商和在一定程度上处理个人信息的个人信 对于上述类型的实体,如果确实存在需要在国外提供个人信息的情况,则进行安全评估(第36条,第41条)。 在中国,向外国司法或执法机构提供个人信息的规则得到了改进。 《中华人民共和国法律》通过了与《中华人民共和国数据安全法》关于确保遵守跨境数据立法的要求相一致的规定。 对于国际司法协助或行政执法协助需要在国外提供个人信息的,明确规定必须依法向有关主管机关提出批准申请。 中华人民共和国法律规定了个人信息跨境流动的黑名单制度,以及监控针对其他国家或地区的歧视性措施的制度。 外国组织或者个人从事侵犯中国公民在个人数据领域权益或者危害国家安全、社会公共利益的个人数据处理活动的,可以列入限制或者禁止提供个人

在《中华人民共和国法律》制定之前的很长一段时间里,与公司获得的巨大商业利益相比,中国相关法律对此类公司违法行为的处罚力度和实际金额都较 在欧盟,GDPR生效后,截至2021年10月,有超过800起处罚案件,罚款总额超过12.9亿欧元<8>。 中华人民共和国法律大幅增加了对非法处理个人信息或不履行保护个人数据义务的处罚。 《中华人民共和国个人资料处理法》第六十六条明确了个人资料处理者违反规定的一般责任和法律责任,情节严重的,可以处以五千万元以下或者上一年营业额百分之五以下的罚款,也可以决定暂停有关业务或者关闭业务进行更正。 此外,还允许吊销有关营业执照;可以对直接责任人和其他人处以罚款。 并可以决定禁止犯罪人担任董事、监事、高级管理人员。 此外,艺术。 根据《中华人民共和国法律》第69条,《个人资料处理者损害赔偿法》明确了基于有罪推定原则的民事责任制度,并制定了个人资料处理者因个人资料处理者获得利益而遭受损失的计算方法。

--------------------------------

<8>

 

在互联网产业和数字经济的发展过程中,我国高度重视个人信息保护,坚持在设计和开展此类活动时实行标准化,切实维护公民的合法权益。 中国个人数据保护机制的发展特点是从间接保护向直接保护过渡,从而向全面保护个人数据。 在我国互联网产业发展之初,个人信息的间接保护主要是通过保护公民的隐私权来实现的。 例如,2009年通过的《中华人民共和国侵权责任法》将隐私权规定为民事权利,保护公民的个人信息。 2021年,由于新的《中华人民共和国民法典》的通过,这部法律失去了效力。 中国互联网行业已经进入了快速发展阶段,因此国家在新立法的基础上开始保护个人信息。 近年来,当个人信息和用户数据成为经济各部门最有价值的关键因素时,中国加强了对公民个人信息的保护,因此《中华人民共和国个人信息保护法》不仅成为中国个人信息保护立法的重要组成部分,而且也成为采纳了国内外相关经验的全面、系统的法律行为。