8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),自11月1日起施行。作为我国首部针对个人信息保护的专门性立法,《个人信息保护法》构建了完整的个人信息保护框架,对个人信息处理规则、个人信息跨境传输、个人信息处理活动的权利、信息处理者的义务、监管部门职责以及罚则等作出了全面的规定。
个人信息是与已识别或者可识别的自然人有关的各种信息(匿名化处理后的信息不属于个人信息)。个人敏感信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,以及不满十四周岁未成年人的个人信息。
处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整的告知个人信息处理者的名称或者姓名和联系方式,个人信息的处理目的、方式、种类、保存期限,个人行权的方式和程序。
处理个人信息应取得个人的明确同意,若处理的目的、方式、种类发生变更,应当重新取得同意。
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
除处理一般个人信息应当告知的内容外,还应当告知处理敏感个人信息的必要性以及对个人权益的影响。
处理个人敏感信息应当取得个人的单独同意。而处理不满十四周岁未成年人个人信息的,应当取得其父母或者其他监护人的同意。
除取得个人同意外,明确了处理个人信息处理的多元合法性基础:
1、为订立、履行合同所必需,或者依法依约实施人力资源管理所必需;
2、为履行法定职责或者法定义务所必需;
3、为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
4、为公共利益在合理的范围内处理个人信息;
5、在合理的范围内处理个已经合法公开的个人信息;
6、法律、行政法规规定的其他情形。
告知向境外提供个人信息的情况,包括境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项。
取得个人的单独同意,或具备其他合法性基础。
境外接收方未被网信部门列入限制或禁止个人信息提供清单。
关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者应当通过网信部门组织的安全评估,另有规定的除外。
其他个人信息处理者可选择以下任一路径:通过网信部门组织的安全评估,通过专业机构进行个人信息保护认证,与境外接收方订立网信部门制定的标准合同,或者遵循其他法定路径。
个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
自然人死亡,其近亲属可以对死者的个人信息行使一定权利,但需符合如下条件:
1、为了自身的合法、正当利益;
2、权利类型仅包括查阅、复制、更正、删除;
3、死者生前无其他安排。
1、采取必要措施保障个人信息处理合法合规,防范个人信息管理风险。
2、定期开展合规审计。
3、处理个人信息对个人权益有重大影响的,应事前进行个人信息保护影响评估,相关记录至少保存三年。
4、发生个人信息安全事件应立即采取补救措施,并通知专职部门以及个人。
5、对于大型个人信息处理者(包括提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者),应当承担额外的个人信息保护义务。
6、对于小型个人信息处理者,由网信部门制定专门的个人信息保护规则、标准。
违法处理个人信息,情节严重的,将会被没收违法所得,至高处五千万或上一年度营业额百分之五的罚款,责令暂停业务或停业整顿。吊销业务许可或营业执照;直接责任人员至高将被处罚款一百万元,及被禁止担任董监高或个人信息保护负责人。
处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。两个以上个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当承担连带责任。
