《个人信息保护法》要点解析.docx
- 文档编号:9447180
- 上传时间:2023-05-19
- 格式:DOCX
- 页数:9
- 大小:31.56KB
《个人信息保护法》要点解析.docx
《《个人信息保护法》要点解析.docx》由会员分享,可在线阅读,更多相关《《个人信息保护法》要点解析.docx(9页珍藏版)》请在冰点文库上搜索。
《个人信息保护法》要点解析
《个人信息保护法》要点解析
2021年8月
2021年8月20日,《个人信息保护法》在第十三届全国人大常委会第三十次会议表决通过,将自今年11月1日起正式施行。
《个人信息保护法》(以下简称“《个保法》”)一共分为8个章节,共74条。
从2018年首次被列入十三届全国人大常委会立法规划开始,《个保法》先后经历了三年的起草,两次征求意见,可谓是千呼万唤始出来。
下面,就让我们来对这部《个保法》的诸多要点一一进行解读。
1、域外适用效力
在适用方面,《个保法》不仅规定了域内适用,还包含了一定的域外适用效力。
《个保法》规定,在中国境外处理中国境内自然人个人信息的活动,如果“以向境内自然人提供产品或者服务为目的”,或者属于“分析、评估境内自然人的行为”,也适用本法。
而对于该等境外的个人信息处理者,《个保法》进一步要求其应当在中国境内设立专门机构或者指定代表负责处理个人信息保护相关事务,并将有关机构或者代表的信息报送履行个人信息保护职责的部门。
2、不得过度收集
目前,与APP个人信息保护相关的监管和执法活动逐渐呈现出常态化趋势,但是实践中各类APP对用户信息不加限制地过度收集的情况依旧频频出现、屡禁不止。
举例而言,像是短视频、新闻资讯、在线影音之类的APP,大部分用户仅仅是作为观众使用,并不需要更多的深度功能。
但是一些App在下载使用环节,就强制用户提供相关个人信息,否则无法使用。
而当用户为了使用这些APP而被迫提供个人信息时,就埋下信息遭泄露、被非法利用的隐患。
对此,《个保法》规定,收集个人信息应当限于实现处理目的的最小范围,并且“不得过度收集个人信息”。
这在一定程度上呼应了《民法典》第一千零三十五条所规定的不得过度处理个人信息,有望给过度收集个人信息的行为戴上“紧箍咒”。
同时,《个保法》还强调了监管部门应当对APP的个人信息保护情况进行测评、并公布测评结果,以及对违法处理个人信息的应用程序的处理后果,即“责令暂停或者终止提供服务”。
3、充分知情的前提下,自愿、明确的同意
知情同意原则是指信息控制者在向信息主体收集个人信息时,应当将个人信息被收集、处理和利用的具体情况充分详细的告知信息主体,并征得信息主体的明示确认。
此次《个保法》将知情同意列为了核心原则之一,将之作为个人信息处理活动最重要的合法性基础。
长久以来,虽然知情同意原则在信息保护的实践中被反复提及,但是在实际操作中往往不尽如人意,具有代表性的就是那些被刻意设计得篇幅冗长、结构复杂,还被放置在不起眼位置,十分不便于阅读的用户协议、隐私协议等。
用户通常在面对此等条款时往往不假思索地点击“阅读完毕”,于是,知情同意实际沦为了一种并不需要用户参与的默认机制,用户往往并实际不知情,却构成了“同意”。
《个保法》规定,处理个人信息的同意,必须由个人在充分知情的前提下自愿、明确作出,个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。
同时,个人也有权撤回其同意,个人信息处理者应提供便捷的撤回方式。
这势必将对企业,尤其是互联网相关企业在合规方面提出更高的要求。
4、禁止“大数据杀熟”
打车时,明明是同样的路程,却与不常打车的用户的打车费相差一倍;经常点外卖,却发现自己的配送费比朋友的翻了一番;爱好看电影,自己APP上的电影票价却越来越贵……这种种“大数据杀熟”的行为让消费者苦不堪言。
大数据杀熟不仅违反了诚实信用原则,更侵犯了消费者权益保护法规定的消费者享有公平交易条件的权利。
今年七月,绍兴就出现了首例消费者在质疑遭遇“大数据杀熟”后成功维权的案例。
该案原告胡女士此前多次通过携程APP预定机票、酒店,成为该平台的钻石贵宾客户,胡女士在某次通过携程APP订购房间后发现其没有享受到星级客户应当享受的优惠,反而比挂牌价多支付了一倍的房价,胡女士将携程告上法庭。
浙江省绍兴市柯桥区法院最终判处携程赔偿胡女士订房差价,并按房费差价部分的三倍支付赔偿金,且在其运营的携程旅行APP中为胡女士增加不同意其现有《服务协议》和《隐私政策》仍可继续使用APP的选项,或者为胡女士修订携程旅行APP的《服务协议》和《隐私政策》,去除对用户非必要信息采集和使用的相关内容。
在面对“大数据杀熟”时,消费者天然处于劣势地位,此次《个保法》重点对“大数据杀熟”行为提出禁止性规定,明确不得对个人在交易价格等交易条件上实行不合理的差别待遇,成为了《个保法》的一大亮点。
相信此次对大数据杀熟的明文禁止,将为破解个人信息保护中的“大数据杀熟”这一热点难点问题提供了强有力的法律保障,促使更多消费者在遭遇“大数据杀熟”后积极维权,同时会更好地规范经营者行为,净化市场环境,保护消费者的合法权益。
5、公共场所安装图像采集等设备应设置显著提示
近些年来,公共场所的人脸识别有逐渐泛滥的趋势,尤其是一些经营者滥用人脸识别技术侵害消费者合法权益的事件频发,引发的社会公众的普遍关注和担忧。
《个保法》对公共场所人脸识别技术的应用进行了规制,明确规定在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。
所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
这一规定将对包括近期热议的小区物业管理活动中强制“刷脸”的问题进行遏制,减少自然人的个人信息被滥用的风险。
6、更严格限制处理敏感个人信息
《个保法》对敏感个人信息的处理规则进行了专门规定,这些敏感信息包括:
生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等。
上述信息一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。
《个保法》要求,处理个人敏感信息,需要具有特定的目的和充分的必要性,并采取严格保护措施;同时,需要取得个人的单独同意;法律、行政法规另有规定需取得书面同意的,或者规定处理敏感个人信息应取得相关行政许可或者作出其他限制的,从其规定。
此外,还需特别向个人告知处理敏感个人信息的必要性以及对个人权益的影响。
7、对不满14周岁的未成年人特别保护
未成年人的辨识能力、自我保护能力较差,极易成为信息安全的受害者。
为保护未成年人的个人信息权益和身心健康,《个保法》将不满十四周岁未成年人的个人信息作为敏感个人信息之一,给予更加严格的保护。
同时,《个保法》规定,个人信息处理者处理不满十四周岁未成年人个人信息的,必须取得未成年人的父母或者其他监护人的同意,并且必须制定专门的个人信息处理规则。
对于互联网企业而言,将有必要针对不满十四周岁的未成年人制定专门的用户协议、隐私协议等。
8、个人信息可携带转移
实践中,各大互联网平台为了增加用户粘性,让用户对平台产生依赖,往往会禁止用户将个人数据转移到其他平台,或者对数据转移设置重重障碍。
《个保法》增加了的个人信息可携带权规定,保障个人对其信息控制权和在不同平台转移信息的权利。
《个保法》明确,“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”。
这有将助于打破目前各大互联网企业利用其数据优势形成的垄断局面,保护广大互联网用户对其个人信息的控制权。
9、死者个人信息权
自然人死亡后,其留下的个人数据应如何保护?
长久以来,实践中都存在这样的疑问。
此次《个保法》对死者信息权的权利规定也是一个亮点。
《个保法》规定,自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。
这一条款既尊重了尊重死者的愿望和安排,也保护了死者的近亲属。
这一条所体现的对死者的网络个人信息的“间接保护”,将有助于更好地保存、处理死者的网上个人信息。
10、重要互联网平台的个人信息保护义务
近年来,反垄断、防止资本无限制扩张、加强对互联网平台的监督和治理越来越成为了社会共识。
在此背景下,《个保法》也对大型互联网平台提出了更加严格的个人信息保护要求。
这些要求主要包括:
(1)成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
(2)制定平台规则以明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;(3)对严重违法处理个人信息的平台内的产品或者服务提供者停止提供服务;(4)定期发布个人信息保护社会责任报告。
11、严格法律责任、加大惩处力度
《个保法》明确了个人信息处理者的合规管理和保障个人信息安全等义务,并且对相关违法行为加大惩处力度。
依据《个保法》,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、吊销相关业务许可或者营业执照。
此外,相关违法行为还将记入信用档案,并予以公示。
相比于《网络安全法》,《个保法》在对个人信息违法行为的处罚方面,显然更胜一筹。
《个保法》的出台具有划时代意义。
作为一部针对个人信息保护的专门法律,《个保法》势必会成为我国个人信息保护法律制度的重要法律基础,与之前《网络安全法》、《数据安全法》等法律一起为数字时代的信息安全提供强有力的保障。
《个保法》充分吸取了国际先进经验,例如欧盟《通用数据保护条例》、美国《加州消费者隐私法》等,与国际个人信息保护规则接轨,在立法的严格程度方面,堪比欧盟《通用数据保护条例》。
可以预见,未来监管部门势必会对扰乱市场秩序、侵害用户权益、威胁数据安全、违反资源和资质管理规定等行为进一步加大处罚力度,增加相关企业违规获取或使用个人信息的成本。
《个保法》的出台将对依赖于个人信息的企业,尤其是互联网科技企业造成一定压力,企业所面临的合规风险也会进一步提升。
同时,我们注意到《个保法》部分条款目前还是比较原则性的,具体到实际操作层面,还需要细则进行补充。
另外,《个保法》并没有设立履行个人信息保护职能的专门机构。
根据《个保法》,目前履行个人信息保护职责的部门是网信部门与相关部门,因此,在实际操作中可能依旧会存在对于个人信息保护执法多头交叉监管的问题,这还需要各个部门通过规章明确各自权责范围。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 个人信息保护法 个人信息 护法 要点 解析