个人信息保护法的十大亮点

栏目:行业新闻 发布时间:2021-11-01

《中华人民共和国个人信息保护法》已由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议于2021年8月20日通过,现予公布,自2021年11月1日起施行。


整体来看,个人信息保护法构建了完整的个人信息保护框架。其规定涵盖了个人信息的范围以及个人信息从收集、存储到使用、加工、传输、提供、公开、删除等所有处理过程。


明确表明了赋予了相关权利,并确认与个人权利相对应的个人信息义务及法律责任。


第五条 处理个人信息应当采用合法、正当的方式,遵循诚信原则,不得通过欺诈、误导等方式处理个人信息。

第六条 处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理。

第七条 处理个人信息应当遵循公开、透明的原则,明示个人信息处理规则。

第八条 为实现处理目的,所处理的个人信息应当准确,并及时更新。

第九条 个人信息处理者应当对其个人信息处理活动负责, 并采取必要措施保障所处理的个人信息的安全。

第十条 任何组织、个人不得违反法律、行政法规的规定处理个人信息,不得从事危害国家安全、公共利益的个人信息处理活动。


个人信息保护法要求,处理个人信息应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。


第十三条 符合下列情形之一的,个人信息处理者方可处理

个人信息:

(一)取得个人的同意;

(二)为订立或者履行个人作为一方当事人的合同所必需;    (三)为履行法定职责或者法定义务所必需;

(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

(五)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息;

(六)法律、行政法规规定的其他情形。

第十四条 处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。


禁止“大数据杀熟”规范自动化决策


第二十五条 利用个人信息进行自动化决策,应当保证决策的透明度和处理结果的公平合理。个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。

第二十六条 个人信息处理者不得公开其处理的个人信息; 取得个人单独同意或者法律、行政法规另有规定的除外。

第二十七条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。


严格保护敏感个人信息。个人信息保护法将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息。


第二十九条 个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。

敏感个人信息是一旦泄露或者非法使用,可能导致个人受到 歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行 踪等信息。

第三十条 基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

第三十一条 个人信息处理者处理敏感个人信息的,除本法第十八条规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。


规范国家机关处理活动

第三十三条 国家机关处理个人信息的活动适用本法;本节有特别规定的,适用本节规定。

第三十四条 国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定


职责所必需的范围和限度。

第三十五条 国家机关为履行法定职责处理个人信息,应当依照本法规定向个人告知并取得其同意;法律、行政法规规定应当保密,或者告知、取得同意将妨碍国家机关履行法定职责的除外。

第三十六条 国家机关不得公开或者向他人提供其处理的个人信息,法律、行政法规另有规定或者取得个人同意的除外。


规范个人信息跨境流动

第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的, 应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。

第四十一条 因国际司法协助或者行政执法协助,需要向中华人民共和国境外提供个人信息的,应当依法申请有关主管部门批准。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息有规定的,从其规定。

第四十二条 境外的组织、个人从事损害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。

第四十三条 任何国家和地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者该地区采取相应措施。


赋予个人充分权利


第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。

第四十五条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十九条第一款规定情形的除外。


强化个人信息处理者义务,个人信息处理者是个人信息保护的第一责任人。

第五十一条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。


个人信息处理者应当公开个人信息保护负责人的姓名、联系方式等,并报送履行个人信息保护职责的部门。


赋予大型网络平台特别义务,互联网平台服务是数字经济区别于传统经济的显著特征。

第五十八条 国家网信部门和国务院有关部门按照职责权限组织制定个人信息保护相关规则、标准,推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务。

第五十九条 履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:

(一)询问有关当事人,调查与个人信息处理活动有关的情况;

(二) 查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;

(三)实施现场检查,对涉嫌违法个人信息处理活动进行调查;

(四)检查与个人信息处理活动有关的设备、物品;对有证据证明是违法个人信息处理活动的设备、物品,可以查封或者扣押。履行个人信息保护职责的部门依法履行职责,当事人应当予以协助、配合,不得拒绝、阻挠。


健全个人信息保护工作机制,个人信息保护涉及的领域广,相关制度措施的落实有赖于完善的监管执法机制。

第五十六条 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。


县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。

前两款规定的部门统称为履行个人信息保护职责的部门。

第五十七条 履行个人信息保护职责的部门履行下列个人信息保护职责:

(一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;

(二)接受、处理与个人信息保护有关的投诉、举报;    (三)调查、处理违法个人信息处理活动;

(四)法律、行政法规规定的其他职责。


为了加强个人信息保护监管执法的协同配合,个人信息保护法还进一步明确了国家网信部门在个人信息保护监管方面的统筹协调作用,并对其统筹协调职责作出具体规定。


个人信息保护法还有待司法和执法的后续接力,才能真正落地生根,最终成为护持个人权益、激励稳健发展、连接国家命运的数字时代基本法。从出台到实施,个人信息保护法依然任重而道远。