2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议表决通过了《中华人民共和国个人信息保护法》,该法共设八章七十四条,将于2021年11月1日起施行。自此,对大数据的采集、储存、传输、使用等进入了依法守法的时代。那么,《个人信息保护法》有什么亮点?为你的个人信息上了哪些安全锁呢?
一、什么属于个人信息?
根据《个人信息保护法》第四条第一款,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。常见的个人信息包括姓名、生日、公民身份号码、住址、联系方式(包括电话、邮箱及其他社交平台账号)等,而生物识别(如指纹、声纹、面部特征)、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息以及不满十四周岁未成年人的个人信息,属于敏感个人信息,法律给与更严格的保护。
处理个人信息包括收集、存储、使用、加工、传输、提供、公开、删除等。
二、处理个人信息须遵循的基本原则
1.告知-同意原则。除该法第十三条第一款第二至七项规定的特殊情形外(主要为法定、约定、公共利益及已公开信息等情形),个人信息处理者应当在征得个人以后才能处理个人信息,且应当确保该同意是在个人充分知情的前提下自愿、明确作出的。个人同意后,可以依照自身意愿撤回同意;撤回同意后,个人信息处理者应当主动删除个人信息。
2.最小影响。处理个人信息应目的明确,不得用于其他事项或造成其他影响。
3.最小范围。需收集的个人信息,应当限于实现目的的最小范围,不得借故采集其他不必要的信息。
4.最短时间。个人信息的保存期限应当为实现处理目的所必要的最短时间,保存期限届满后,个人信息处理者应当主动删除个人信息。
三、不得利用大数据杀熟
《个人信息保护法》第二十四条针对当前社会热议的互联网平台大数据杀熟事件(例如外卖、打车、购物的同物不同价、差异化推荐、消息推送等)设置了规范性条款。个人信息处理者利用个人信息进行自动化决策的,应当遵照公平公正原则,不得对个人在交易价格等交易条件上实行不合理的差别待遇;进行信息推送、商业营销的,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式;作出对个人权益有重大影响的决定,个人有权要求予以说明,并有权拒绝仅通过自动化决策方式作出决定。
四、不得随意向境外提供个人信息
因个人信息涉及个人权益与国家、公共利益,因此《个人信息保护法》第三十八条明确规定,因业务需要确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估。关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在境内收集和产生的个人信息存储在境内。
五、加大对侵犯个人信息行为的惩罚力度
违反《个人信息保护法》规定处理个人信息,或者处理个人信息未履行法定义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
另外,《个人信息保护法》并不是保护个人信息的唯一法律,《刑法》中设立“侵犯个人信息罪”对严重的侵犯个人信息的行为追究刑事责任;《民法典》人格权编第一千零三十三条针对公民个人私密信息的保护,设立不得侵犯隐私权的禁止性规定。如遇侵权,还需要去具体分析侵犯了哪些法益。
