个人信息保护法共8章74条,立法历时18年,监管部门也由“九龙治水”变为“大部制改革”背景下的“万佛朝宗”(基本明确归口于国家网信办)。这部法律,反映了信息化时代人民群众的根本利益和重大关切。
1.管辖保护原则
个人信息保护法的管辖保护原则,决定了本法使用的行为和范围,个保法第三条规定,在中华人民共和国境内处理自然人个人信息的活动,适用本法。在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。我国的个人信息保护对我国境内的活动、向境内自然人提供产品服务、分析评估境内自然人行为及法律法规的兜底条款共同确定了保护范围。
2.法律上个人信息的定义
个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。确定纷繁复杂的各种信息中,什么是法律上所保护的个人信息,法律上给出了三个要素:一是识别,二是关联,三是个人特定化。识别即从信息到个人,由信息本身的特殊性识别出特定的自然人,个人信息应有助于识别出特定个人。关联即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。个人特定化是指要通过上述信息可以指向特定的个人特征,并且被辨别,所以匿名化的信息,虽然是信息甚至是某些敏感信息,但并不属于法律上的个人信息。
3.个人信息处理行为
个保法第四条第二款规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。法律规定,个人信息的处理包含全流程,即从收集、存储、使用、加工、传输、提供、公开、删除等与个人信息有关的行为,所以不仅仅是我们普遍关注的收集和使用这些行为,我们也要关注信息的存储、传输、利用、甚至是销毁等行为,均受到法律的规制。
4.个人信息处理的基本原则
根据个保法的规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息;应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式;应当限于实现处理目的的最小范围,不得过度收集个人信息;应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围;应当保证个人信息的质量;应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。总结即以下六个法律原则:
5.个人信息处理的条件
处理个人信息,需符合下列情形之一:(1)取得个人的同意;(2)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(3)为履行法定职责或者法定义务所必需;(4)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(5)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(6)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(7)法律、行政法规规定的其他情形。
6.个人信息处理之例外
处理个人信息应当取得个人同意,但是有第十三条第一款第二项至第七项规定情形的,不需取得个人同意。即上述情形加上第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外,构成了个人信息处理之例外。
7.个人信息处理的合法路径
基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
8.个人信息处理者的告知事项
根据个保法第十七条的规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:一是个人信息处理者的名称或者姓名和联系方式;二是个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;三是个人行使本法规定权利的方式和程序;四是法律、行政法规规定应当告知的其他事项。事项发生变更的,应当将变更部分告知个人。
9.自动化决策和公共图像采集的法律限制
一是禁止大数据杀熟等差别待遇行为,即限制信息处理者利用自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
二是禁止通过个人信息进行个人消费画像,进行特定化推送。即通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
三是在通过自动化决策方式作出对个人权益有重大影响的决定时,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
另外,在公共场所安装图像采集、个人身份识别设备,应以维护公共安全所必需,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的。
10. 敏感个人信息的范围和特殊要求
敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。个人敏感信息包含:(1)生物识别信息(2)宗教信仰信息(3)特定身份信息(4)医疗健康信息(5)金融账户信息(6)行踪轨迹信息(7)不满十四周岁未成年人的个人信息。
处理敏感个人信息的附加要求,应当遵循下图七项原则:
11.个人信息跨境的条件与限制
个人信息处理者因业务等需要,确需向境外提供个人信息的,应当具备下列条件之一:(1)依照本法第四十条的规定通过国家网信部门组织的安全评估;(2)按照国家网信部门的规定经专业机构进行个人信息保护认证;(3)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(4)法律、行政法规或者国家网信部门规定的其他条件。
个人信息处理者向境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
12.个人信息主体的权利
个人对其个人信息的处理享有知情权、决定权,有权向个人信息处理者查阅、复制其个人信息。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充等权利。
13.个人信息处理者的义务
个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施:(1)制定内部管理制度和操作规程;(2)对个人信息实行分类管理;(3)采取相应的加密、去标识化等安全技术措施;(4)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(5)制定并组织实施个人信息安全事件应急预案;(6)法律、行政法规规定的其他措施。
14.个人信息保护的法律责任
个保法从行政责任、民事责任和刑事责任三个方面进行了罚则规制,具体如下图:
1
