为您推荐
随着数字经济时代来临,带来产业技术路线革命性变化和商业模式突破性创新,行业应[...]
随着数字化时代的发展,新业务场景持续涌现,所带来的安全威胁不断升级,比如无文[...]
政策解读丨六大亮点破解“大数据杀熟” 小白也能看得懂《个人信息保护法》
2021年8月20日,第十三届全国人民代表大会常务委员会第三十次会议表决通过了《个人信息保护法》,定于2021年11月1日起正式施行,这是我国首部个人信息保护领域的专门立法。该法严格保护个人信息处理活动中的个人权利,明确个人信息处理活动中的各方责任义务,促进个人信息的合理利用,保障相关产业发展,为个人信息处理者提供了全面的规范。
数字经济时代,个人信息的保护和利用是全球关注的普遍性难题。有以下几点需要关注:
一、 六大概念定义
1、[第28条]敏感个人信息:是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
2、[第4条2款]个人信息的处理:包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
3、[第73条1款]个人信息处理者:是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
4、[第73条2款]自动化决策:是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康信用状况等,并进行决策的活动。
5、[第73条3款]去标识化:是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。
6、[第73条4款]匿名化:是指个人信息经过处理无法识别特定自然人且不能复原的过程。
二、 五大原则
1、[第5条]合法诚信原则。企业不应以误导、欺诈、胁迫等方式收集个人信息;不应隐瞒产品或服务将收集个人信息的功能;不能从非法途径收集个人信息收集的信息应该是为个人提供业务功能所必需的。
2、[第6条]目的合理原则。企业的个人信息处理活动应当有相应合理的应用场景,并且如实告知用户各功能对应目的。
3、[第7条]公开透明原则。企业应当制定全面的个人信息保护政策,准确、真实、完整告知用户有关信息;个人信息保护政策应当公开且易于查看。
4、[第8条]准确性原则。企业应当开展必要的个人信息准确性审核。
5、[第9条]数据安全问责原则。企业应当设立个人信息保护负责人,并成立相关部门,建立内部个人信息管理制度,积极采取各种技术措施保障个人信息。
三、 个人信息保护职责部门
强调“属地原则”:在中华人民共和国境内处理自然人个人信息的活动,适用本法。(只要处理行为发生在境内,就受个人信息保护法制约。)与GDPR“保护主体”标准相比,只要符合“向境内自然人提供产品或者服务为目的”、“为分析、评估境内自然人的行为”及其他规定情形时,也应适用个保法的规定。
四、《个人信息保护法》六大亮点
第一条 为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法制定本法。
通过宪法来确定个人信息隐私安全是公民的基本权力之一,彰显人权理念即个人信息保护的重要意义。
第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
严格管理“大数据杀熟”情况,防止互联网企业过度收集个人信息,限制自动化决策的使用范围。
第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。应当制定专门的个人信息处理规则。
未成年人信息保护更加严格,加强了对其的保护。
第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
明确要求数据接收方的信息保护等级不得低于我国的信息保护等级,限制数据向不受保护或保护等级低的区域流动。
第四十九条 自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。
数字资产的集成、处理等问题一直没有很明确的解决办法,尤其在法律层面没有依据,为很多信息的查阅、流转造成了困难。当前把数据作为核心资产的大前提下,死者的信息权力也得到了保障。
第六十五条 任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。
未来,数据安全、个人信息保护领域将进入全民监督的时代,“店大欺客”的情况将越来越少,充分发挥社会舆论的力量,让个别别有用心者无处遁形。
