由 猿小六 《中华人民共和国个人信息保护法》是我国首部完整规定个人信息处理规则的法律。
基础概念
个人信息:是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
其实关于“个人信息”的定义,各部法律在具体的界定方法、概念的内涵均存在区别。从国际角度横向比较,中国的《个人信息保护法》与GDPR(General Data Protection Regulation,即通用数据保护条例)在定义上更加类似,二者都将所有可识别和已识别的自然人有关的个人信息都纳入了调整范围,保护范围更广,且都将匿名化信息排除在了个人信息范围之外。
个人信息的处理:包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
敏感个人信息:一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
关键原则
合法、正当、必要和诚信原则
确立个人信息处理应遵循的原则,强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等,并将上述原则贯穿于个人信息处理的全过程、各环节。
在该原则的指引下,《个人信息保护法》又进行了进一步细化,明确了个人信息处理者在进行个人信息处理活动时需要遵守的,与处理目的相对应的“最小影响、最小范围、最短时间”规则,具体可参见《个人信息保护法》第六条与第十九条之规定。
“告知-同意 ”原则
“告知-同意”原则,是指信息处理者在收集个人信息前,应当对信息主体就有关个人信息处理有关事宜进行充分告知,征得信息主体明确同意后方能进行收集的原则。这也是本次个保法中最为核心的处理规则。
确立以“告知-同意”为核心的个人信息处理一系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。考虑到经济社会生活的复杂性和个人信息处理的不同情况,本法还对基于个人同意以外合法处理个人信息的情形作了规定。
自动化决策公平、公正原则
根据个人信息处理的不同环节、不同个人信息种类,对个人信息的共同处理、委托处理、向第三方提供、公开、用于自动化决策、处理已公开的个人信息等提出有针对性的要求。
《个人信息保护法》在吸纳《电子商务法》和《个人信息安全规范》关于定向推送和个性化展示的规定基础上,对“自动化决策”作出专门限制,增加了“禁止大数据杀熟”条款,明确规定“自动化决策应保证透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。”丰富了对歧视性定价、算法歧视问题的规制路径。
《个人信息保护法》第二十四条中还明确“通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。”个保法在赋予个人主体拒绝权的基础上要求个人信息处理者提供“便捷”的拒绝方式,为用户提供退出或关闭个性化展示模式的选项,对信息处理者有较强的制约,信息处理者的责任进一步加重。
个人信息跨境提供规则
个人信息跨境提供原则是《个人信息保护法 》的另一大特色。
《个人信息保护法 》 明确关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估;对于其他需要跨境提供个人信息的,规定了经专业机构认证等途径。
对跨境提供个人信息的 “告知-同意”作出更严格的要求。应告知接收方详细信息,并取得单独同意。
未经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。
对从事损害我国公民个人信息权益等活动的境外组织、个人,以及在个人信息保护方面对我国采取不合理措施的国家和地区,规定了可以采取的相应措施。
全文
查看全文请浏览——《个人信息保护法》