来源:苏宁金融研究院(ID:SIF-2015)
作者/惕若
中嘉商学院授权转载
8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),自11月1日起施行。作为我国首部针对个人信息保护的专门性立法,《个人信息保护法》构建了完整的个人信息保护框架,对个人信息处理规则、个人信息跨境传输、个人信息处理活动的权利、信息处理者的义务、监管部门职责以及罚则等作出了全面的规定。个人信息是与已识别或者可识别的自然人有关的各种信息(匿名化处理后的信息不属于个人信息)。个人敏感信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,以及不满十四周岁未成年人的个人信息。处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整的告知个人信息处理者的名称或者姓名和联系方式,个人信息的处理目的、方式、种类、保存期限,个人行权的方式和程序。处理个人信息应取得个人的明确同意,若处理的目的、方式、种类发生变更,应当重新取得同意。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。除处理一般个人信息应当告知的内容外,还应当告知处理敏感个人信息的必要性以及对个人权益的影响。处理个人敏感信息应当取得个人的单独同意。而处理不满十四周岁未成年人个人信息的,应当取得其父母或者其他监护人的同意。除取得个人同意外,明确了处理个人信息处理的多元合法性基础:1、为订立、履行合同所必需,或者依法依约实施人力资源管理所必需;3、为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
告知向境外提供个人信息的情况,包括境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项。境外接收方未被网信部门列入限制或禁止个人信息提供清单。关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者应当通过网信部门组织的安全评估,另有规定的除外。其他个人信息处理者可选择以下任一路径:通过网信部门组织的安全评估,通过专业机构进行个人信息保护认证,与境外接收方订立网信部门制定的标准合同,或者遵循其他法定路径。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。自然人死亡,其近亲属可以对死者的个人信息行使一定权利,但需符合如下条件:(六)明确个人信息处理者的义务,区分大小型个人信息处理者1、采取必要措施保障个人信息处理合法合规,防范个人信息管理风险。3、处理个人信息对个人权益有重大影响的,应事前进行个人信息保护影响评估,相关记录至少保存三年。4、发生个人信息安全事件应立即采取补救措施,并通知专职部门以及个人。5、对于大型个人信息处理者(包括提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者),应当承担额外的个人信息保护义务。6、对于小型个人信息处理者,由网信部门制定专门的个人信息保护规则、标准。
1、提高行政处罚上限,引入高管禁业,违法行为计入征信。违法处理个人信息,情节严重的,将会被没收违法所得,至高处五千万或上一年度营业额百分之五的罚款,责令暂停业务或停业整顿。吊销业务许可或营业执照;直接责任人员至高将被处罚款一百万元,及被禁止担任董监高或个人信息保护负责人。处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。两个以上个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当承担连带责任。取得个人合法有效同意作为处理个人信息的合法性基础,是个人对其个人信息的处理享有决定权的表现。若该同意是未经充分告知前提下作出,同意的形式不符合法律要求,超范围处理个人信息,处理情况发生变更未重新取得同意,或者未提供撤回同意的方式等,均可被认定为未经个人同意处理个人信息,属于侵犯个人决定权的行为。因此,基于个人同意处理个人信息的,应满足以下要求:1、处理个人信息前,应以显著方式、清晰易懂的语言真实、准确、完整地告知个人信息处理者的基本情况,信息处理的目的、方式、范围、保存期限,个人的法定权利等事项,保障个人的知情权。2、一般应取得个人的明确同意,特殊情况下还需取得单独同意或书面同意。如向第三方提供个人信息、公开处理的个人信息、处理敏感信息、向境外提供个人信息的,应取得单独同意。3、个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得同意。
自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。通过自动化决策实行不合理的差别待遇,包括歧视性定价、定向推送不支持关闭等行为,均为《个人信息保护法》所明确禁止。禁止基于自动化决策实行不合理的差别待遇并不等于禁止自动化决策方式,个人信息处理者通过自动化决策的,应满足以下要求:1、保证决策的透明度和结果公平、公正,不得对个人在交易条件上实行不合理的差别待遇。2、进行定向推送时,应提供非定向推送的选项或便捷的拒绝方式。3、对个人权益有重大影响的,应按照个人要求予以说明,并提供拒绝方式。
原则上,个人信息处理者应将个人信息存储在境内,确需向境外提供个人信息的,应当符合法定条件。对于关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者向境外提供个人信息的,还需通过网信部门组织的安全评估。个人信息处理者,尤其是特定的个人信息处理者应当对信息出境事项进行梳理,并采取以下措施:1、修改隐私文件或其他方式,将出境情况充分告知个人,并征得其单独同意,除非可以依赖其他合法性基础。2、与境外接收方签署标准合同(由国家网信部门制定),或者通过个人信息保护认证,并采取包括但不限于合同约束、技术限制、定期复核、合规审计等必要措施,确保接收方妥善保护个人信息。
个人信息处理者对于信息处理负有确保处理活动合法合规、防范未经授权的访问和保障个人信息安全的义务,否则可能会承担一定的过错责任。具体来说,个人信息处理者应根据处理目的、方式、种类及对个人权益的影响、安全风险等,采取如下安保措施:4、合理确定个人信息处理的操作权限,并定期进行安全教育和培训。6、个人信息处理活动对个人权益有重大影响的,应事前进行个人信息保护影响评估。
由于大型个人信息处理者(提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者)与小型个人信息处理者在技术水平、风险等级上存在较大差异,《个人信息保护法》强化了对大型个人信息处理者的监管,提出了额外要求。对于大型个人信息处理者,除了需要履行一般个人信息处理者的义务,还应履行下列义务:1、建立健全个人信息保护合规制度体系,成立独立机构对个人信息保护情况进行监督;2、制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;3、对严重违法违规处理个人信息的平台内产品或服务提供者停止提供服务;
实务中,数据处理过程中可能涉及到多方主体,共同处理者(共同决定个人信息的处理目的和处理方式的个人信息处理者)侵害个人信息权益造成损害的,互相之间承担连带责任,且该连带责任不因双方约定而排除。为保护一方个人信息处理者的权益,在共同处理个人信息前应注意以下几点:1、充分评估合作方的个人信息保护水平,以及共同处理信息的合法性、正当性、必要性,采取必要措施保障信息安全。2、通过协议明确约定共同处理个人信息的目的、方式、范围,各自的权利和义务,并制定个人信息应急预案。3、引入专业个人信息保护认证机构,监督合作方合法合规处理个人信息。
ps:如果您还希望能经常看到我们的文章,记得读完点一下右下角的“”支持我们。
- 中嘉商学院介绍 -
中嘉商学院是由旷烨投资集团、中关村互联网文化创意产业园以及两家国内知名证券机构联合发起的专注于高端人才培养的商学机构。商学院注重产业园区相关知识学习、商学研修与实战经验、资本运作、园区运营招商等紧密结合。商学院注重利用互联网工具开展线上知识分享,更注重线下不同圈层的互动交流。版权声明:“中嘉商学院”所推送的文章,消息、图片系转载自新闻权威媒体、网络媒体,本平台登载图文是出于传递更多信息和进行学术交流之目的,并不用于商业用途且不意味着赞同其观点或证实其描述。文章和图片内容仅供参考。若涉及版权问题,烦请原作者联系我们,我们将第一时间进行处理。)
相关素材