《个人信息保护法》来啦!
《中华人民共和国个人信息保护法》(下称“个人信息保护法”)经2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议通过,于2021年11月1日起施行。
【源于宪法】
个人信息保护法第一条规定,为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。其中,“根据宪法”四个字,源于宪法“国家尊重和保障人权,公民的人格尊严不受侵犯,公民的通信自由和通信秘密受法律保护”等基本规定,表明了我国个人信息保护工作的法律高度和力度。
个人信息的范围
个人信息保护法第四条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。对银行而言,客户身份信息、财产信息、账户信息、信用信息、金融交易信息、借贷信息等均会被认定为个人信息。同时,法律还以列举的方式明确了敏感个人信息的范围,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
个人信息处理行为
个人信息处理法第四条第二款规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等,因此,凡涉及以上任一行为或环节的,都是个人信息处理者,在接触个人信息的过程中都要遵守法律规定,承担相应的责任和义务。
【处理个人信息应遵守的法律规定】
(一)遵循基本原则
个人信息保护法强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等。
(二)执行基本规则
1.“告知一同意”是个人信息处理的核心规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,重要事项发生变更的应当重新取得个人同意,不得以个人不同意为由拒绝提供产品或服务等。
2.根据个人信息处理的不同环节、不同个人信息种类,对个人信息的共同处理、委托处理,向第三方提供、公开,用于自动化决策、处理已公开的个人信息等提出有针对性的要求。
3.对处理敏感个人信息作出更为严格的限制,只有在具有特定的目的和充分的必要性并采取严格保护措施的情况下,方可处理敏感个人信息,并且应当取得个人的单独同意或书面同意。
4.规范个人信息跨境流动,包括明确向境外提供个人信息的途径和方式,个人信息处理者采取必要措施保障境外接收方的处理活动达到本法规定的保护标准,对跨境提供个人信息的“告知—同意”作出更严格的要求,切实保障个人的知情权、决定权等权利。
(三)承担有关义务
个人信息处理者应当按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,定期对从业人员进行安全教育和培训,制定并组织实施有关应急预案,指定负责人对其个人信息处理活动进行监督,定期对其个人信息活动进行合规审计,对处理敏感个人信息、利用个人信息进行自动化决策、对外提供或公开个人信息等高风险活动进行事前影响评估,履行个人信息泄露通知和补救义务等。
【个人在个人信息处理活动中的权利】
个人在个人信息处理活动中享有的权利包括:对个人信息处理的知情权与决定权、查阅复制权、可携带权、更正补充权、删除权、解释说明权等。此外,为了维护死者近亲属的权益,法律还规定,自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本法规定的查阅、复制、更正、删除等权利,死者生前另有安排的除外。
【国家个人信息保护部门的职责】
个人信息保护法明确,国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作,同时,对其个人信息保护和监管职责作出规定,包括开展个人信息宣传教育、指导监督个人信息保护工作、接受处理相关投诉举报、组织对应用程序等进行测评、调查处理违法个人信息处理活动等。
【个人信息处理者的法律责任】
(一)民事责任方面,适用过错推定原则,即对个人信息权益造成损害时,如果个人信息处理者不能证明自己没有过错,则应当承担损害赔偿等侵权责任。
(二)行政责任方面,包括警告、没收违法所得、罚款(包括对单位和责任人员)、责令暂停相关业务或停业整顿、吊销相关业务许可或营业执照、信用惩戒以及对担任企业董事、监事、高级管理人员和个人信息保护负责人的从业禁止等。
(三)如果侵害众多个人权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织还可依法向人民法院提起公益诉讼。
原文链接:http://sft.qinghai.gov.cn/pub/qhsfxzw/sfxzyw/zhdt/202111/t20211111_77009.html
[免责声明] 本文来源于网络转载,仅供学习交流使用,不构成商业目的。版权归原作者所有,如涉及作品内容、版权和其它问题,请在30日内与本网联系,我们将在第一时间处理。
