十三屆全國人大常委會第三十次會議20日表決透過《中華人民共和國個人資訊保護法》,自2021年11月1日起施行。今日,就是《中華人民共和國個人資訊保護法》正式施行的第一天。
何為個人資訊?
個人資訊是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種資訊,不包括匿名化處理後的資訊。個人資訊一般包括姓名、出生日期、身份證件號碼、生物識別資訊、住址、電話號碼、電子郵箱、健康資訊、行蹤資訊等。
《中華人民共和國個人資訊保護法》是一部保護公民個人資訊的專門法律,與《民法典》《網路安全法》《資料安全法》《電子商務法》《消費者權益保護法》等法律共同編織一張消費者個人資訊“保護網”。
記者注意到,《中華人民共和國個人資訊保護法》明確不得過度收集個人資訊、大資料殺熟,對人臉資訊等敏感個人資訊的處理作出規制,完善個人資訊保護投訴、舉報工作機制……這部專門法律充分迴應了社會關切,為破解個人資訊保護中的熱點難點問題提供了強有力的法律保障。
侵犯個人資訊,何種情形會被重判?法律專家嶽屾山分析認為,買賣個人資訊,最高可處7年有期徒刑。公民的個人資訊受法律保護,公民個人資訊包括但不限於公民的姓名、身份證號、電話、住址、生物識別資訊以及行蹤軌跡等。我國刑法規定侵犯公民個人資訊罪,不管出售、購買還是竊取個人資訊,達到一定標準都會構成侵犯公民個人資訊罪。
1
切實落實
“告知—同意”規則
明示處理個人資訊的目的、方式和範圍。經營者應當制定處理消費者個人資訊的規則,遵循公開、透明原則,公開個人資訊處理規則,明示處理的目的、方式和範圍,並提供便捷的撤回同意的方式。
任何組織、個人不得非法收集、使用、加工、傳輸消費者個人資訊,不得非法買賣、提供或者公開消費者個人資訊。收集消費者個人資訊,應在事先充分告知的前提下,保證消費者知情,並徵得消費者本人同意。經營者不得采取一攬子授權、強制同意等方式處理消費者個人資訊。未經消費者同意,經營者不得向消費者推送商業資訊。
2
不得過度收集
消費者個人資訊
經營者收集使用個人資訊應當具有明確、合理的目的,並限制在對個人權益影響最小的方式和實現處理目的的最小範圍,不得過度收集消費者個人資訊。
除法律、行政法規另有規定外,個人資訊的儲存期限應當為實現處理目的所必要的最短時間。除了提供產品或者服務所必需的個人資訊,經營者不得以消費者不同意處理其個人資訊或者撤回同意為由,拒絕提供產品或者服務。手機APP等不得因使用者不同意提供非必要個人資訊,而拒絕使用者使用其基本功能的服務。
3
嚴格限制
對敏感個人資訊的處理
敏感個人資訊是一旦洩露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人資訊,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等資訊,以及不滿十四周歲未成年的個人資訊。
法律對其設定了特殊處理規則,即二十八條第二款中規定“只有在具有特定的目的和充分的必要性,並採取嚴格保護措施的情形下,個人資訊處理者方可處理敏感個人資訊。”
4
禁止“大資料殺熟”等行為
《個人資訊保護法》規定個人資訊處理者利用個人資訊進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
透過自動化決策方式向個人進行資訊推送、商業營銷,應當同時提供不針對其個人特徵的選項,或者向個人提供便捷的拒絕方式。因此,經營者不能利用自身掌握的消費者經濟狀況、消費習慣以及對價格的敏感程度等資訊,對消費者在交易價格等方面實行歧視性的差別待遇,也不能在未獲得消費者授權的情況下,透過使用者畫像來開展精準營銷。
5
網際網路平臺需當好
個人資訊保護“守門人”
提供重要網際網路平臺服務、使用者數量巨大、業務型別複雜的個人資訊處理者還應按照國家規定,建立健全個人資訊保護合規制度體系,成立主要由外部成員組成的獨立機構對個人資訊保護情況進行監督。
遵循公開、公平、公正的原則,制定平臺規則,明確平臺內產品或者服務提供者處理個人資訊的規範和保護個人資訊的義務。對嚴重違反法律、行政法規處理個人資訊的平臺內的產品或者服務提供者,停止提供服務。定期釋出個人資訊保護社會責任報告,接受社會監督。
END
責編/版式:範範
稽核:申晴
監製:劉啟誠
我就知道你“在看”
