首页 导报现场 正文

《个人信息保护法》:个人信息保护的里程碑

2021-08-31 09:43 中国经济导报-中国发展网
《个人信息保护法》 个人同意

摘要:《个人信息保护法》明确个人信息处理前及变更处理方式目的和种类时,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知必需事项,获得个人的同意,除非有法律、行政法规规定应当保密或者不需要告知的情形。个人信息处理者应当提供便捷的撤回同意方式,方便个人撤回同意,并不得以个人不同意或撤回同意为由拒绝提供产品或服务。

李喜蕊

数字经济时代,个人信息的保护和利用是全球关注的普遍性难题。2021年8月20日,第十三届全国人民代表大会常务委员会第三十次会议表决通过了《个人信息保护法》,定于2021年11月1日起正式施行,这是我国首部个人信息保护领域的专门立法。该法严格保护个人信息处理活动中的个人权利,明确个人信息处理活动中的各方责任义务,促进个人信息的合理利用,保障相关产业发展,为个人信息处理者提供了全面的规范。

处理个人信息要获得个人同意——“告知-同意”为核心的处理规则。

《个人信息保护法》明确个人信息处理前及变更处理方式目的和种类时,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知必需事项,获得个人的同意,除非有法律、行政法规规定应当保密或者不需要告知的情形。个人信息处理者应当提供便捷的撤回同意方式,方便个人撤回同意,并不得以个人不同意或撤回同意为由拒绝提供产品或服务。

《个人信息保护法》第13条在规定个人同意规则的同时,还规定了6种情况下不需要取得个人同意的例外,包括订立合同所必需,履行法定职责或法定义务所必需,应对突发公共卫生或紧急情况下保护自然人的生命健康和财产安全所必需,为公共利益实施新闻报道、舆论监督所必需,合理范围内处理个人自行公开或其他已经合法公开的个人信息等,体现了个人利益和公共利益平衡的立法理念。

处理个人信息要内部管控——权责相当的内部制度要求。

《个人信息保护法》专章规定了个人信息处理者的义务,并区分一般个人信息处理者、境外个人信息处理者、达到规定数量的个人信息处理者和综合互联网服务平台,主要从内部管理制度建设方面,对他们提出了不同的义务要求,体现了权力和责任义务相当的原则。

对于一般信息处理者,《个人信息保护法》明确要制定内部管理制度和操作流程,对个人信息进行分类管理,采取相应的安全技术措施,确定人员的操作权限和安全教育,制定安全预案等,以确保信息处理活动安全合规。

达到规定数量的个人信息处理者——对于处理个人信息达到国家网信部门规定数量的个人信息处理者,还应当制定个人信息保护负责人。

境外个人信息处理者——对于处理境内自然相关信息的境外个人信息处理者,应当在境内设立专门机构或者指定代表。

互联网平台——对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,还应当履行更多的义务,包括建立健全个人信息保护合规制度体系、制定平台规则、定期发布个人信息保护社会责任报告等。

处理个人信息须全程防范——定期审计、事前评估和事后补救。

定期审计、事前评估和及时补救能够预防个人信息保护不力情况出现,并及时降低安全风险。

《个人信息保护法》第54条明确个人信息处理者应当定期对其处理的个人信息遵守法律、行政法规的情况进行合规审计。

对于发生或者可能发生个人信息泄露、篡改、丢失的个人信息处理者应当立即采取补救措施,并通知履行个人保护职责的部门和个人。

对于一些特殊个人信息处理活动还应当事前进行个人信息保护影响评估,并对处理情况进行记录。这些个人处理活动包括处理敏感个人信息、利用个人信息进行自动化决策、向境外提供个人信息、委托处理、公开或者向其他个人信息处理者提供个人信息、对个人权益有重大影响的个人信息处理活动等。评估活动应当包括合法正当必要性评估、对个人权益影响及安全风险评估、保护措施评估等,评估报告和处理记录应当至少保存三年。

杜绝“大数据杀熟“——自动化决策处理个人信息时的特别义务。“大数据杀熟”是指个人信息处理企业利用个人信息,分析和预测个人消费喜好和消费能力,对不同对象收取不同价格的“价格歧视”行为。针对令人深恶痛绝的各行业过度收集数据并“大数据杀熟“问题,《个人信息保护法》专门在第24条规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者提供便捷的拒绝方式。个人有权对个人权益有重大影响的自动化决策决定要求提供说明并有权拒绝。

兼顾安全与共享——跨境提供个人信息时的特别义务。

随着全球化进程加快和互联网技术的发展,跨境信息流动已成为重要的国际贸易需求,信息共享与信息安全保护的冲突如何协调,是国际贸易中的难题。《个人信息保护法》回应时代需求,明确了共享与安全并重的个人信息跨境提供规则。

个人信息处理者因业务等需要跨境提供个人信息应当达到法定的条件,包括通过国家网信部门的安全评估、按照国家网信部门的规定经专业机构进行个人信息保护认证、按照国家网信部门制定的标准合同与境外接收方订立合同等。

个人信息处理者应当采取必要措施,确保境外接收方处理个人信息的活动达到我国《个人信息保护法》规定的个人信息保护标准。

个人信息处理者应当向个人告知境外接收方的名称或姓名、联系方式、处理目的、处理方式、个人信息的种类,以及个人向境外接收方行使权利的方式和程序等,并取得个人的单独同意。

(作者系华北电力大学副教授)

责任编辑:吕娅丹

关键词

《个人信息保护法》 个人同意

返回首页
相关新闻
返回顶部