303snowing
303snowing
文章10
标签8
分类6
回到首页
文章归档
关于博客
我的简历
© 2022 303snowing Powered by Hexo & Nexmoe
个人信息保护法

个人信息保护法

2022年05月12日 2.2k 字 大概 9 分钟

法律条款

https://baike.baidu.com/item/%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF%E4%BF%9D%E6%8A%A4%E6%B3%95/8343360

出台背景

  • 实行时间:2021年11月1日起
  • 重要意义:为我国在个人信息保护方面建立了更加完备的制度,是进一步加强个人信息保护法制保障的客观要求,是维护网络空间良好生态的显示需要,是促进数字经济健康发展的重要举措

重点内容解析

共8章74条,明确了个人信息处理活动应遵循的原则,完善了个人信息保护制度规则,保障个人在个人信息处理活动中的各项权利,强化个人信息处理者的义务,明确个人信息保护的监管职责,并设置严格的法律责任。

强化宪法保障作用

个人信息权益是《宪法》保障的公民的基本权利。《个人信息保护法》第一条明确规定“依据宪法,制定本法”。可见,《个人信息保护法》的制定是对《宪法》中公民基本权利相关内容的进一步细化,及加强了对个人信息的保护力度,也体现了我国对公民基本人权的尊重和保障。

明确本法适用范围

在调整对象上,将个人信息定义为:以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,突出强调电子信息的重要性,并明确应当具备“可识别”的特征。并将个人信息处理活动明确为“收集、存储、使用、加工、传输、提供、公开、删除等”。

在管辖范围上,既适用于在我国境内处理自然人个人信息的活动,同时也赋予了必要的域外适用效力,即以向境内自然人提供产品或者服务为目的,分析、评估境内自然人的行为以及法律、行政法规规定的其他情形。

健全个人信息处理规则

《个人信息保护法》确立了以“合法、正当、必要和诚信”为基础的个人信息处理应遵循的基本原则。强调处理个人信息应当具有明确、合理的目的,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等。

规范处理活动保障权益

《个人信息保护法》构建以“告知—同意”为核心的个人信息处理规则。

考虑到经济社会生活的复杂性和个人信息处理的不同情况,在同意方面,第十三条规定了基于个人同意以外合法处理个人信息的六类情形;在告知方面,第十八条规定了延迟告知的情形,即个人信息处理者应当在紧急情况消除后及时告知

在特定情形方面,对个人信息的共同处理、委托处理、向第三方提供、公开、自动化决策、公共场所采集个人信息、处理以公开的个人信息提出有针对性的要求。

严格保护敏感个人信息

一是确定敏感个人信息的定义。《个人信息保护法》将敏感个人信息定义为“一旦泄漏或者被非法使用,容易导致自然人的人格尊严收到侵害或者人身、财产安全受到危害的个人信息”,并将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息列为敏感个人信息。

二是明确敏感个人信息处理规则。《个人信息保护法》设专节对处理敏感个人信息的活动作出了严格限制。即只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。处理敏感个人信息应当取得个人的单独同意或者书面同意。不满十四周岁的个人信息应当取得其父母或者监护人的同意。

规范国家机关处理活动

《个人信息保护法》对国家机关处理个人信息的活动做出规定,特别强调国家机关处理个人信息的活动适用本法,处理个人信息应当依照法律、行政法规规定的权限和程序进行,不得超出履行法定职责所必需的范围和限度。

明确赋予个人充分权利

一是个人享有知情权、决定权。《个人信息保护法》将个人在个人信息处理活动中的各项权利,总结提炼为知情权、决定权,明确个人有权限制个人信息处理。

二是设立个人信息可携带权。对个人信息可携带权做出原则规定,要求累符合国家网信部门规定条件下的情形下,个人信息处理者应当为个人提供转移其个人信息的途径。

三是加强对于死者个人信息的保护。明确“自然人死亡的,其近亲属为了自身合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外“。

强化个人信息处理者义务

一是明确个人信息处理者的基本义务。在制度管理上,要求个人信息处理者制定内部管理制度和操作规程,采取相应的安全技术措施。在组织架构上,指定负责人对其个人信息处理活动进行监督。在风险管理上,定期对其个人信息处理活动进行合规审计 ,对处理敏感个人信息、利用个人信息进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估,履行个人信息泄漏通知和补救义务。

二是赋予大型网络平台特别义务。对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,还负有建立健全个人信息保护合规制度体系;成立外部监督机构;制定平台规则;对违法违规的平台内产品或服务提供者停止提供服务;接收社会监督等义务。

规范个人信息跨境流动

一是跨境提供需要安全评估。明确关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估。

二是更加严格的告知—同意规则。除告知境外接收方的名称或姓名、联系方式、处理目的、行使权利的方式和程序等事项外,还需取得个人的单独同意。

三是严格个人信息出境审批。因国际司法协助或行政执法协助,需向境外提供个人信息的,要求依法申请有关主管部门批准。

四是采取对等反制措施。从事损害我国公民个人信息权益等活动的境外组织、个人,以及在个人信息保护方面对我国采取不合理措施的国家和地区,可以采取相应措施。

健全个人信息保护工作机制

在监管机构上,构建了清晰的监管体系,明确国家网信部门负责个人信息保护工作的统筹协调,国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作,县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。

在责任制度上,确定过错推定责任,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。

在社会监督上,完善个人信息保护投诉、举报工作机制,建立人民检察院、法律规定的消费者组织和由国家网信部门确定的组织公益诉讼制度。

本文作者:303snowing
本文链接:https://github.com/303snowing/303snowing.github.io/2022/05/12/%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF%E4%BF%9D%E6%8A%A4%E6%B3%95/
版权声明:本文采用 CC BY-NC-SA 3.0 CN 协议进行许可
法律法规