《中华人民共和国个人信息保护法》
理解与适用
个人信息保护法贯彻以人民为中心的法治理念,将保护人民群众个人信息权益作为首要目标,聚焦人民群众重大关切,确立了合法正当必要、最小化处理、公开透明等个人信息处理应遵循的原则,构建以“告知—同意”为核心的一系列规则,对社会反映突出的一揽子授权、强制同意、大数据杀熟、人脸识别等问题作出有针对性的规定,严格保护敏感个人信息,规范国家机关处理个人信息的活动,赋予个人充分的权利保障其知情权和决定权,强化个人信息处理者的义务,并设置了严格的法律责任。
个人信息保护法共8章74条。主要内容包括:
(一)确立个人信息保护原则
个人信息保护法确立了个人信息处理应遵循的原则,强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等,这些原则应当贯穿于个人信息处理的全过程、各环节。
(二)构建以“告知—同意”为核心的个人信息处理规则
“告知—同意”是法律确立的个人信息保护核心规则,是保障个人对其个人信息处理知情权和决定权的重要手段。个人信息保护法要求处理个人信息,应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。同时,针对现实生活中社会反映强烈的一揽子授权、强制同意等问题,个人信息保护法特别要求个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意,明确个人信息处理者不得过度收集个人信息,不得以个人不同意为由拒绝提供产品或者服务,并赋予个人撤回同意的权利,在个人撤回同意后,个人信息处理者应当停止处理或及时删除其个人信息。
(三)规范自动化决策
个人信息保护法明确规定:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。一方面,经营者应当按照法律规定,遵循公开、公平、公正的原则设定算法模型、制定自动化决策的规则,不得对消费者实行歧视性的不公平的差别待遇;另一方面,个人信息处理者应当保障消费者的知情权和选择权,向个人进行信息推送、商业营销时,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
(四)严格保护敏感个人信息
个人信息保护法将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满14周岁未成年人的个人信息列为敏感个人信息。个人信息保护法要求只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息,同时应当事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响。
(五)规范国家机关处理个人信息的活动
国家机关处理个人信息也应遵循本法规定的个人信息保护的基本原则、处理规则,除本法和有关法律另有规定可以不需要告知、不需要取得同意之外,也应当向个人告知、取得个人同意,并且处理个人信息应当依照法律、行政法规规定的权限和程序进行,不得超出履行法定职责所必需的范围和限度。
(六)赋予个人充分的权利
个人信息保护法明确个人在个人信息处理活动中的各项权利:知情权、决定权、查阅权、复制权、可携带权、更正权、补充权、删除权、要求解释与说明权等。此外,个人信息保护法还对死者个人信息的保护作了专门规定。
(七)强化个人信息处理者的义务
个人信息保护法设专章明确了个人信息处理者的合规管理和保障个人信息安全等义务,要求个人信息处理者按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,指定负责人对其个人信息处理活动进行监督,定期对其个人信息活动进行合规审计,对处理敏感个人信息、利用个人进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估,履行个人信息泄露通知和补救义务等。
(八)规范个人信息跨境流动
个人信息保护法构建了一套清晰、系统的个人信息跨境流动规则,以满足保障个人信息权益和安全的客观要求,适应国际经贸往来的现实需要。
(九)健全个人信息保护工作机制
个人信息保护法明确国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作,同时对个人信息保护和监管职责作出规定,包括开展个人信息宣传教育、指导监督个人信息保护工作、接受处理相关投诉举报、组织对应用程序等进行测评、调查处理违法个人信息处理活动等。
(十)加大违法处理个人信息行为的惩戒力度
个人信息保护法根据个人信息处理的不同情况,对违法处理个人信息的行为设置了不同梯次的行政处罚。在民事责任方面,个人信息保护法明确,处理个人信息侵害个人信息权益造成损害的,个人信息处理者如不能证明自己没有过错,应当承担损害赔偿等侵权责任。同时,个人信息保护法还对侵害众多个人权益的民事公益诉讼作了规定。
正文节录:
第十四条 取得个人同意
基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
理解与适用
[同意的作出]
首先,同意应当在个人充分知情的前提下作出。公开透明原则是处理个人信息的基本原则之一。处理者在收集个人信息之前,就应当积极主动地通过适当的形式告知个人相关信息,包括处理者的名称或者姓名和联系方式、处理目的、处理方式、个人行使相关权利的程序和方式等。
其次,同意应当是自愿作出的。所谓自愿作出同意,指个人在决定过程中不存在误导、诈欺、胁迫等情形,出于真实意愿选择同意与否。因此,自愿作出的同意要求处理者给予个人真正的选择权和决定权,否则同意无效。比如,处理者通过捆绑方式取得同意,没有赋予个人充分的选择权,也不符合自愿作出的要求。
最后,同意应当明确作出。要求个人在特定场景中通过一个积极清楚的行为来表示对个人信息处理的接受,可以通过书面形式(包括电子形式)、口头方式或者明确的肯定行为作出。沉默、不作为或选出同意都不构成明确同意。
[单独同意]
个人信息保护法特别要求,处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境提供个人信息等环节应取得个人的单独同意。单独同意的目的就是禁止处理者通过一揽子同意、捆绑同意等方式对于某些对个人权益有较大风险或者不利影响的处理行为作出同意,以确保个人充分自主地作出同意。单独同意是相对于一揽子的概括性同意来说的,单独同意要求个人信息处理者处理特殊类型的个人信息或者特别类型的处理行为不得与一般个人信息、其他类型的处理行为一并取得个人同意。
条文参见
本法第23条、第25条、第26条、第29条、第39条;《民法典》第140条、第469条、第1033条;《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第2条、第4条、第11条
第一章 总则
第一条【立法目的】
第二条【个人信息受法律保护】
第三条【适用范围】
[本法的域外适用效力]
第四条【个人信息及个人信息处理的定义】
[个人信息的匿名化处理]
第五条【合法、正当、必要与诚信原则】
第六条【目的明确和最小化处理原则】
第七条【公开透明原则】
[个人信息处理规则]
[个人信息处理规则的内容]
[公开的方式]
第八条【质量原则】
[准确、完整要求]
第九条【责任原则与安全保障原则】
[责任原则的要求]
[安全保障义务]
第十条【禁止非法处理个人信息】
第十一条【国家在个人信息保护方面的责任】
[共同参与]
第十二条【参与个人信息保护国际治理】
第二章 个人信息处理规则
第一节一般规定
第十三条【处理个人信息的合法性基础】
[取得个人的同意]
[为订立、履行个人作为一方当事人的合同所必需]
[为履行法定职责所必需]
[为履行法定义务所必需]
[应对突发公共卫生事件所必需]
[在合理的范围内处理已公开的个人信息]
[在合理的范围内为公共利益实施新闻报道、舆论监督等]
第十四条【取得个人同意】
[同意的作出]
[单独同意]
第十五条【同意的撤回】
[撤回的方式]
[撤回的效力]
第十六条【禁止以提供产品或者服务为由强制获取用户同意】
第十七条【告知的内容与方式】
[告知的要求]
[告知的内容]
第十八条【告知的例外】
[不需要告知的情形]
第十九条【个人信息的保存期限】
第二十条【共同处理个人信息】
[共同处理者的义务]
第二十一条【委托处理个人信息】
[委托情形下的责任承担]
第二十二条【转移个人信息】
第二十三条【向他人提供个人信息】
第二十四条【自动化决策】
[“大数据杀熟”]
第二十五条【公开个人信息】
第二十六条【公共场所个人信息保护】
[维护公共安全]
第二十七条【处理已公开的个人信息】
[合理的范围]
第二节敏感个人信息的处理规则
第二十八条【敏感个人信息的定义及处理条件】
[敏感个人信息]
第二十九条【处理敏感信息的单独同意与书面同意】
第三十条【处理敏感个人信息的特殊告知要求】
[告知内容]
第三十一条【未成年人个人信息的处理】
第三十二条【处理敏感个人信息的法定限制】
第三节国家机关处理个人信息的特别规定
第三十三条【国家机关处理个人信息的法律适用】
第三十四条【国家机关依法处理个人信息】
第三十五条【国家机关处理个人信息的告知义务】
第三十六条【国家机关处理的个人信息应当在境内存储】
第三十七条【具有公共事务管理职能的组织处理个人信息】
第三章 个人信息跨境提供的规则
第三十八条【向境外提供个人信息的条件】
[确保境外接收方达到我国法律的保护标准]
[当事人申报网络安全审查应当提交的材料]
第三十九条【向境外提供个人信息的告知同意】
第四十条【关键信息基础设施运营者等的境内存储信息和安全评估义务】
第四十一条【如何处理境外司法或者执法机构关于提供存储于境内个人信息的请求】
第四十二条【限制或者禁止个人信息提供清单制度】
第四十三条【对等原则】
第四章 个人在个人信息处理活动中的权利
第四十四条【知情权和决定权】
第四十五条【查阅权、复制权和可携带权】
[查阅权、复制权]
[可携带权]
第四十六条【更正权和补充权】
第四十七条【删除权】
第四十八条【要求解释说明权】
第四十九条【死者个人信息保护】
第五十条【个人行使权利的保障】
[申请受理和处理机制]
第五章 个人信息处理者的义务
第五十一条【个人信息处理者的合规保障义务】
[制定内部管理制度和操作规程]
[对个人信息实行分类管理]
[采取相应的加密、去标识化等安全技术措施]
[合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训]
[制定并组织实施个人信息安全事件应急预案]
[法律、行政法规规定的其他措施]
第五十二条【个人信息保护负责人】
第五十三条【境外个人信息处理者在境内设立专门机构或指定代表】
[职责]
第五十四条【定期合规审计义务】
第五十五条【个人信息保护影响评估】
第五十六条【个人信息保护影响评估的具体内容】
[个人信息的处理目的、处理方式等是否合法、正当、必要]
[所采取的安全保护措施是否合法、有效并与风险程度相适应]
第五十七条【个人信息处理者对个人信息安全事件的补救和通知义务】
第五十八条【大型互联网平台个人信息保护特别义务】
第五十九条【受托人的个人信息保护义务】
第六章 履行个人信息保护职责的部门
第六十条【个人信息保护职责部门及分工】
第六十一条【个人信息保护职责部门的职责】
第六十二条【国家网信部门的统筹协调职责】
第六十三条【监督检查措施和当事人配合义务】
[询问有关当事人,调查与个人信息处理活动有关的情况]
[查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料]
[实施现场检查,对涉嫌违法的个人信息处理活动进行调查]
[检查、查封、扣押有关设备、物品]
第六十四条【监管约谈、强制合规审计和涉嫌犯罪案件移送】
[监管约谈]
第六十五条【投诉、举报】
[任何组织、个人]
第七章 法律责任
第六十六条【违法处理个人信息的行政处罚】
[违法处理个人信息的行为]
第六十七条【信用惩戒制度】
[信用档案]
第六十八条【国家机关不履行个人信息保护义务的法律责任】
第六十九条【个人信息民事侵权责任】
[过错推定原则]
[赔偿数额]
第七十条【个人信息保护公益诉讼制度】
第七十一条【个人信息违法行为的治安管理处罚和刑事责任】
第八章 附则
第七十二条【个人信息处理特别情形的法律适用】
第七十三条【定义】
第七十四条【施行日期】
实用核心法规
中华人民共和国民法典(节录)
(2020年5月28日)
中华人民共和国网络安全法
(2016年11月7日)
中华人民共和国数据安全法
(2021年6月10日)
中华人民共和国电子商务法
(2018年8月31日)
最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定
(2021年7月27日)
最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定
(2020年12月29日)
最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释
(2017年5月8日)
互联网信息服务算法推荐管理规定
(2021年12月31日)
电信和互联网用户个人信息保护规定
(2013年7月16日)
App违法违规收集使用个人信息行为认定方法
(2019年11月28日)
常见类型移动互联网应用程序必要个人信息范围规定
(2021年3月12日)
儿童个人信息网络保护规定
(2019年8月22日)
网络交易监督管理办法
(2021年3月15日)
征信业管理条例
(2013年1月21日)
公安机关互联网安全监督检查规定
(2018年9月15日)
国家网络安全事件应急预案
(2017年1月10日)
网络安全审查办法
(2021年12月28日)
全国人民代表大会常务委员会关于加强网络信息保护的决定
(2012年12月28日)
温馨提示:请使用泸西县图书馆的读者帐号和密码进行登录
