一、适用范围 |
|
| |
| |
| |
| |
| 1.《个人信息保护法》适用于所有在中国境内从事个人信息处理的活动;2. 境外个人信息处理者如涉及向境内自然人提供产品或者服务为目的活动,分析、评估境内自然人的行为等情形的,也应适用《个人信息保护法》。并且,境外个人信息处理者应在境内设立专门机构或者指定代表,并向履行个人信息保护职责的部门报送相关信息。 |
|
| |
| 个人信息:以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。 |
| 个人信息处理:包括收集、存储、适用、加工、传输、提供、公开、删除等。 |
| 敏感个人信息:一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。 |
| 1.个人信息识别包括根据信息本身可识别的特定自然人,以及由该特定自然人在其活动中产生的信息,但不包括匿名处理后的信息。2.对于敏感个人信息,采取更为严格的保护措施。敏感个人信息包括:生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息;不满十四周岁未成年人的个人信息。3.企业对个人信息处理的合规义务贯穿个人信息处理的全流程。 |
|
| |
| |
| - 处理个人信息:应具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式;
- 收集个人信息:应当限于实际处理目的的最小范围,不得过度收集个人信息。
|
| - 处理个人信息应公开个人信息处理规则,明示处理的目的、方式和范围。
- 个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;- 处理敏感个人信息的,应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。
|
| 准确性原则:保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。 |
| 问责性原则:个人信息处理者应对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。 |
| - 不得从事危害国家安全、公共利益的个人信息处理活动。
|
| 2.关于合法、正当、必要诚信原则、目的明确和直接相关原则,建议企业重点关注:(1) 不得通过误导、欺诈、胁迫等方式处理个人信息;(2) 处理个人信息应当与处理目的直接相关,采取对个人权益影响最小的方式;(3) 收集个人信息应当限于处理目的的最小范围,不得过度收集。3.关于公开透明原则,建议企业重点关注:制订相应个人信息保护内部规定,通过隐私政策、弹窗单独告知等形式公开个人信息处理规则,并且该等告知应易于个人访问。4.关于准确性原则,建议企业重点关注:在处理个人信息时应注意个人信息收集的目的,并确保其准确性、完整性。5.关于问责性原则和数据安全原则,建议企业重点关注:应制订个人信息保护管理办法,确定个人信息保护责任人,对个人信息保护采取保障措施。 |
|
| |
| - 为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
|
| - 同意应由个人在充分知情的前提下自愿、明确作出,且可以被便捷撤回;
- 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的相关信息以及个人信息的种类,并取得个人的单独同意;
- 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务。
|
| 个人信息的保存期限:除法律、行政法规另有规定的情形外,均应当为实现处理目的所必要的最短时间。 |
| - 共同处理:两个以上的个人信息处理者共同决定处理目的和处理方式,约定各自的权利和义务,如造成侵权,双方应承担连带责任。
- 委托他人处理:委托人与受托人应约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务。委托合同不生效、无效、被撤销或者终止的,受托人应当返还个人信息或删除,不得保留。未经委托人同意,受托人不得转委托。
|
| - 个人信息处理者利用个人信息进行自动化决策,应保证决策的透明度和结果公平、公正,不得实施“大数据杀熟”。
- 向个人进行信息推送、商业影响,应提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
- 通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
|
| - 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外;
- 个人信息处理者可以在合理范围内处理个人自行公开或者其他已经合法公开的个人信息,如对个人权益有重大影响,应取得个人同意。
|
| 公共场所个人信息采集:在公共场所安装图像采集、个人身份识别设备,除取得个人单独同意外,应当为维护公共安全所必需,并设置显著的提示标识。 |
| - 处理不满十四周岁未成年人个人信息的,应取得未成年人的父母或者其他监护人的同意。
|
| 1.企业应制订相应的个人信息保护管理办法,并且考虑如下因素:(3) 与他人共同处理或委托他人处理个人信息的权责划分;(5) 对于敏感个人信息的特殊处理规则,可以采取分类保护的措施。2.对于需取得个人统一的个人信息处理活动,企业应确认个人同意是基于自愿、知情的情形下做出的;3.建议企业在与第三方开展合作时,对第三方进行与个人信息保护方面的尽职调查,评估第三方是否已经建立了相应的个人信息保护制度,是否有能力提供个人信息保护措施,并且在合作协议中明确约定各自的权利义务。4.如果企业因为生产经营需要在公共场所采集个人信息,建议企业应设置显著提示标识,且采集信息以维护公共安全所需为限制。 |
|
| |
| |
| 单独同意原则:向境外提供个人信息,应告知个人相关事项并取得个人的单独同意。 |
| - 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应将在境内收集和产生的个人信息存储在境内;
|
| - 应按照我国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求;
- 经过主管机关批准后,个人信息处理者才能向外国司法或者执法机构提供存储于中国境内的个人信息。
|
| 1.企业在制订个人信息保护管理办法时,应根据业务需求考虑是否涉及向境外提供个人信息,如涉及,则应考虑建立相应的跨境提供规则,包括:通过国家网信部门的安全评估、个人信息保护认证、订立合同,保障境外接收方处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准等。2.建议企业应评估是否属于《关键信息基础设施安全保护条例》所规定的关键信息基础设施运营者,如果属于关键信息基础设施运营者,则原则上应将在境内收集和产生的个人信息存储在境内。3.如果个人信息处理者需要向外国司法或者执法机构提供存储在境内的个人信息,需取得主管机关的事先批准。 |
|
| |
| |
| 自动化决策是指通过程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。个人信息保护法对自动化决策条件下的个人信息规定了特别的规则,更注重保护权利主体的权益:1.非歧视化(针对大数据杀熟现象):处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇;2.非侵扰性(针对精准营销行为):通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式;3.可拒绝:通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。 |
| |
| |
| 敏感信息权利人享有特别的同意权:处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。 |
| |
| |
| 《个人信息保护法》确立的个人信息保护核心规则包括“告知-同意”规则, “告知”意味着个人应当享有对个人信息处理活动的充分知情权:(2) 个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;2.知情权减损的情形:根据《个人信息保护法》的规定,在一些特殊情形下,个人信息处理者的告知义务可能会被部分免除,相应地,在这些情形下,个人信息权利主体的知情权会受到一定的限制或减损:(1) 法律、行政法规规定应当保密或者不需要告知的情形的,个人信息处理者可以不向个人告知个人信息处理者的名称或姓名和联系方式;(2) 紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。 |
| |
| |
| 对于“告知-同意”规则中的“同意”,原则上,个人信息权利主体的同意行为是个人信息处理者实施处理活动的必要条件和前提:1.主体同意的成立条件:《个人信息保护法》中的“同意”遵循意思自治的原则,即该同意应当由个人在充分知情的前提下自愿、明确作出。此外,《个人信息保护法》还规定了单独同意和书面同意两种特殊形式的同意,即法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定;2.同意的撤回权及其法律效果:基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。 |
| |
| |
| 个人有权向个人信息处理者查阅、复制其个人信息,但法律、法规规定应当保密或不需要告知的,或者告知将妨碍国家机关履行法定职责的除外。个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。 |
| |
| |
| 个人信息可携带权要求当个人请求将个人信息转移至其指定的个人信息处理者,个人信息处理者应当提供转移的途径。 |
| |
| |
| 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:1.处理目的已实现、无法实现或者为实现处理目的不再必要;2.个人信息处理者停止提供产品或者服务,或者保存期限已届满;4.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;《中华人民共和国网络安全法》也规定,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息。 |
