News Center

新闻中心

合规视角《个人信息保护法》要点解读

作者:张雅惠 时间:2021/11/3 13:47:22 浏览:1552次

 

随着网络技术的快速发展,公民个人信息已经实现数字化,信息数据逐渐成为一种有价值的社会资源,一些不良企业或个人非法获取、违规使用数据,危害个人信息安全的新闻也是屡见不鲜。如爆出的“大数据杀熟”、“3·15”爆出的各种个人信息泄露事件等,关键是因此而导致的诈骗案件频繁发生。以往个人信息保护的相关规定散见于《民法典》、《网络安全法》等多部法律中,合规路径不甚明确。

2021年11月1日《个人信息保护法》(以下简称“个保法”)的正式生效,标志着个人信息保护进入了一个新的时代。《个保法》共8章74条,进一步细化、完善了个人信息保护应遵循的原则、个人信息处理规则、个人信息处理活动中的权利和义务,以及违法处理个人信息的法律责任等。同时,也为个人信息处理者设定了大量法律义务,更容易触发政府主管部门监管,并成为政府监管的最主要抓手之一。

因此,企业需要针对自身义务是否合规进行自检,尽快弥补相关风险,有哪些义务需要企业特别关注呢?不妨了解一下。

一、确立了“告知-同意”为核心的个人信息处理规则

《个保法》明确规定,以“告知-同意”为核心的个人信息处理一系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;个人信息处理者“告知”的目的是为了确保被告知者的充分“知情”,只有被告知者在充分知情的前提下才能自愿、明确地作出决定,不得误导、欺诈、胁迫等。

二、禁止“大数据杀熟”等行为 

有一些企业通过掌握消费者的经济状况、消费习惯、对价格的敏感程度等信息,对消费者在交易价格等方面实行歧视性的差别待遇,误导、欺诈消费者。“大数据杀熟”行为违反了诚实信用原则,侵犯了消费者权益保护法规定的消费者享有公平交易条件的权利,对此《个保法》在第二十四条作出了明确的规定:要求所有的个人信息处理者都不得利用个人信息,对个人在交易价格等交易条件上实行不合理的差别待遇。

三、确立的两个“最小原则”

《个保法》确立了两个“最小原则”:影响最小、范围最小。这是个人信息处理应遵循的核心原则,尤其是处理目的的“最小范围”,这是禁止“过度收集个人信息”的关键要点,因为个人信息处理者只有在严格遵守处理目的的“最小范围”的前提下,即“非必要不收集”的情况下,才能确保其采取对个人权益影响最小的方式。

四、严格保护敏感个人信息 

《个保法》强化了对敏感个人信息的保护,将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息及不满十四周岁未成年人的个人信息列为敏感个人信息,体现了对未成年人的重点保护。同时,将敏感个人信息定义为一旦泄露或非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。对于敏感个人信息,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,才能进行处理,且处理敏感个人信息时应当取得个人的单独同意。因此,企业应针对敏感个人信息采取更高水平的技术措施予以保护。

五、个人信息跨境提供规则

《个保法》明确了向境外提供个人信息的要求,对于关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者应当将在中国境内收集和产生的个人信息存储在境内,若向境外提供的,应通过安全评估;而对于其他个人信息处理者,应满足《个人信息保护法》第38条规定的四种条件之一,才可向境外提供个人信息。另外,非经主管机关批准,不得向外国司法或者执法机构提供存储于境内的个人信息。

个人信息处理者向境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。

六、强化个人信息处理者义务

《个保法》设专章明确了个人信息处理者的合规管理和保障个人信息安全等义务。个人信息处理者是个人信息保护的第一责任人,应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。另外,个人信息处理者应当指定负责人对其个人信息处理活动进行监督,定期对其个人信息活动进行合规审计,对处理敏感个人信息、利用个人进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估,履行个人信息泄露通知和补救义务等。

七、违法处理个人信息将受严厉处罚

违法处理个人信息情节严重的,除没收违法所得外,还将被处以最高5000万的罚款或上年营业额百分之五的以下的处罚;暂停相关业务;停业整顿;吊销业务许可证;直接责任人员除罚款外还将限制担任董高监职务,计入信用档案。处理个人信息侵害个人信息权益造成损害,还应当承担侵权赔偿责任。 

综上,企业应重视个人信息保护管理制度及操作规程的制定和完善,加强安全技术措施减少安全风险,注重事前个人信息保护、影响、评估等,避免因保护不当引起民事索赔、行政处罚等风险。

返回

上一篇:打赏主播的钱能要回来吗?

下一篇:拘留会不会留案底?