一庆尘、《個(gè)人信息保護(hù)法》
發(fā)布部門:全國(guó)人大常委會(huì)
發(fā)文字號(hào):中華人民共和國(guó)主席令第91號(hào)
發(fā)布日期:2021.08.20
實(shí)施日期:2021.11.01
效力級(jí)別:法律
二库糠、《個(gè)人信息保護(hù)法》適用范圍
1. 個(gè)人信息:以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息(第4條第1款)怒炸。
注:程嘯教授認(rèn)為隅俘,將個(gè)人信息限于可識(shí)別分析的信息過(guò)于狹窄,不利于全方位酌儒、動(dòng)態(tài)性保護(hù)個(gè)人信息辜妓。程嘯:《論我國(guó)個(gè)人信息保護(hù)法中的個(gè)人信息處理規(guī)則》,載《清華法學(xué)》2021年第3期忌怎。
(1)法人或非法人組織的信息籍滴,不屬于《個(gè)人信息保護(hù)法》適用范圍。
(2)將匿名化信息(即個(gè)人信息經(jīng)過(guò)處理無(wú)法識(shí)別特定自然人且不能復(fù)原的過(guò)程)排除于“個(gè)人信息”概念之外(第73條)榴啸。
(3)自然人因個(gè)人或者家庭事務(wù)處理個(gè)人信息的孽惰,不適用《個(gè)人信息保護(hù)法》(第72條第1款)。
三鸥印、《個(gè)人信息保護(hù)法》域外效力
注 :借鑒《歐盟通用數(shù)據(jù)保護(hù)條例》的經(jīng)驗(yàn)勋功。
1. 在中華人民共和國(guó)境外處理中華人民共和國(guó)境內(nèi)自然人個(gè)人信息的活動(dòng)也將適用我國(guó)《個(gè)人信息保護(hù)法》(第3條第2款)。
2. 域外適用限度:以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的库说;分析狂鞋、評(píng)估境內(nèi)自然人的行為;法律潜的、行政法規(guī)規(guī)定的其他情形(第3條第2款)骚揍。
3.中華人民共和國(guó)境外的個(gè)人信息處理者:應(yīng)當(dāng)在中華人民共和國(guó)境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表,負(fù)責(zé)處理個(gè)人信息保護(hù)相關(guān)事務(wù)啰挪,并將有關(guān)機(jī)構(gòu)的名稱或者代表的姓名信不、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門(第53條)。
四亡呵、個(gè)人信息處理的基本原則
1. 個(gè)人信息處理:包括個(gè)人信息的收集抽活、存儲(chǔ)、使用政己、加工酌壕、傳輸掏愁、提供、公開(kāi)、刪除等(第4條第2款)。
2.基本原則:
(1)合法原則:任何組織总棵、個(gè)人不得非法收集稀余、使用、加工、傳輸他人個(gè)人信息,不得非法買賣、提供或者公開(kāi)他人個(gè)人信息萝衩;不得從事危害國(guó)家安全、公共利益的個(gè)人信息處理活動(dòng)(第5没咙、10條)猩谊。
(2)正當(dāng)原則:具有明確、合理的目的祭刚,并應(yīng)當(dāng)與處理目的直接相關(guān)(第5牌捷、6條)。
(3)必要原則:采取對(duì)個(gè)人權(quán)益影響最小的方式涡驮;收集個(gè)人信息暗甥,應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍,不得過(guò)度收集個(gè)人信息(第5捉捅、6條)撤防。
(4)誠(chéng)信原則:不得通過(guò)誤導(dǎo)、欺詐棒口、脅迫等方式處理個(gè)人信息(第5條)寄月。
(5)公開(kāi)、透明原則:公開(kāi)個(gè)人信息處理規(guī)則陌凳,明示處理的目的剥懒、方式和范圍(第7條)。
(6)質(zhì)量原則:處理個(gè)人信息應(yīng)當(dāng)保證個(gè)人信息的質(zhì)量合敦,避免因個(gè)人信息不準(zhǔn)確、不完整對(duì)個(gè)人權(quán)益造成不利影響(第8條)验游。
(7)安全原則:個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé)充岛,并采取必要措施保障所處理的個(gè)人信息的安全(第9條)。
五耕蝉、個(gè)人信息處理的規(guī)則(合法原則要求)
1. 告知-同意規(guī)則:
注:也稱“知情同意規(guī)則”崔梗,是指任何組織或個(gè)人在處理個(gè)人信息時(shí)都應(yīng)當(dāng)對(duì)信息主體即其個(gè)人信息被處理的自然人進(jìn)行告知,并在取得同意后方可從事相應(yīng)的個(gè)人信息處理活動(dòng)垒在,否則該等處理行為即屬違法蒜魄,除非法律另有規(guī)定。程嘯:《論我國(guó)個(gè)人信息保護(hù)法中的個(gè)人信息處理規(guī)則》,載《清華法學(xué)》2021年第3期谈为。
(1)個(gè)人同意規(guī)則:取得個(gè)人的同意旅挤。且該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出(信息處理者應(yīng)履行充分告知義務(wù))伞鲫。法律粘茄、行政法規(guī)規(guī)定處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意(如處理敏感個(gè)人信息、向其他個(gè)人信息處理者提供其處理的個(gè)人信息秕脓、公開(kāi)其處理的個(gè)人信息柒瓣、向中華人民共和國(guó)境外提供個(gè)人信息;公共場(chǎng)所安裝圖像采集吠架、個(gè)人身份識(shí)別設(shè)備取得個(gè)人單獨(dú)同意可不受維護(hù)公共安全的目的限制)或者書面同意的芙贫,從其規(guī)定。個(gè)人信息的處理目的傍药、處理方式和處理的個(gè)人信息種類發(fā)生變更的屹培,應(yīng)當(dāng)重新取得個(gè)人同意(第13、14條)怔檩。
注:
1.同意:違法阻卻事由(侵權(quán)法領(lǐng)域)褪秀、合同給付內(nèi)容(合同法領(lǐng)域)。關(guān)于“同意”的法律性質(zhì)仍存在爭(zhēng)議薛训,有準(zhǔn)法律行為說(shuō)及法律行為說(shuō)媒吗。參見(jiàn)周友軍:個(gè)人信息保護(hù)法來(lái)了:為數(shù)據(jù)利用流通上把“鎖”,載微信公眾號(hào)“中國(guó)民商法律網(wǎng)”,2021年8月21日乙埃。
2.單獨(dú)同意:不能與提供產(chǎn)品和服務(wù)的協(xié)議捆綁一起同意闸英;基于特定目的的處理行為。參見(jiàn)周友軍:個(gè)人信息保護(hù)法來(lái)了:為數(shù)據(jù)利用流通上把“鎖”,載微信公眾號(hào)“中國(guó)民商法律網(wǎng)”介袜,2021年8月21日甫何。
3.書面同意:如查詢征信報(bào)告,應(yīng)獲得自然人的書面同意遇伞。
(2)個(gè)人信息處理者告知規(guī)則(第17條):
告知內(nèi)容:個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式辙喂;個(gè)人信息的處理目的、處理方式鸠珠,處理的個(gè)人信息種類巍耗、保存期限;個(gè)人行使本法規(guī)定權(quán)利的方式和程序渐排;法律炬太、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項(xiàng)。上述事項(xiàng)發(fā)生變更的驯耻,應(yīng)當(dāng)將變更部分告知個(gè)人亲族。如通過(guò)制定個(gè)人信息處理規(guī)則的方式告知上述事項(xiàng)炒考,處理規(guī)則應(yīng)當(dāng)公開(kāi),并且便于查閱和保存霎迫。
告知方式:以顯著方式斋枢、清晰易懂的語(yǔ)言真實(shí)、準(zhǔn)確女气、完整地向個(gè)人告知杏慰。
(3)告知同意規(guī)則例外(不需取得個(gè)人同意)(第13條):
為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需炼鞠,或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需缘滥;
注:程嘯教授主張刪除“訂立”表述,認(rèn)為合同未成立僅是締約磋商或初步接觸情形不應(yīng)屬于告知同意的例外情形谒主。其一朝扼,合同尚未成立前,信息處理者不負(fù)有法定或約定履行合同的義務(wù)霎肯。因此擎颖,不存在可以排除適用告知同意規(guī)則而處理個(gè)人信息的確定的正當(dāng)利益;其二观游,合同訂立階段即前合同關(guān)系范圍廣泛搂捧,自然人可主動(dòng)向處理者提供或請(qǐng)求處理個(gè)人信息,以為順利締結(jié)合同并在將來(lái)履行合同懂缕。自然人在訂立階段未提供個(gè)人信息允跑,導(dǎo)致合同無(wú)法成立,應(yīng)自負(fù)其責(zé)搪柑,不應(yīng)允許處理者有權(quán)不經(jīng)信息主體同意即處理個(gè)人信息聋丝。程嘯:《論我國(guó)個(gè)人信息保護(hù)法中的個(gè)人信息處理規(guī)則》,載《清華法學(xué)》2021年第3期工碾。
為履行法定職責(zé)或者法定義務(wù)所必需弱睦;
為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件,或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需渊额;
為公共利益實(shí)施新聞報(bào)道况木、輿論監(jiān)督等行為,在合理的范圍內(nèi)處理個(gè)人信息端圈;
依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息焦读;
法律、行政法規(guī)規(guī)定的其他情形舱权。
4.撤銷同意(第15、16條):
(1)即便個(gè)人同意處理個(gè)人信息仑嗅,但個(gè)人也有權(quán)撤回同意宴倍。個(gè)人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式张症。
(2)個(gè)人撤回同意,不影響撤回前基于個(gè)人同意已進(jìn)行的個(gè)人信息處理活動(dòng)的效力鸵贬。
(3)個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由俗他,拒絕提供產(chǎn)品或者服務(wù);處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外
5.個(gè)人信息的保存期限:應(yīng)當(dāng)為實(shí)現(xiàn)處理目的所必要的最短時(shí)間阔逼,但法律兆衅、行政法規(guī)另有規(guī)定除外(第19條)。
6.兩個(gè)以上個(gè)人信息處理者的責(zé)任承擔(dān)(第20條):
(1)應(yīng)當(dāng)約定各自的權(quán)利和義務(wù)嗜浮。但是羡亩,該約定不影響個(gè)人向其中任何一個(gè)個(gè)人信息處理者要求行使本法規(guī)定的權(quán)利。
(2)個(gè)人信息處理者共同處理個(gè)人信息危融,侵害個(gè)人信息權(quán)益造成損害的畏铆,應(yīng)當(dāng)依法承擔(dān)連帶責(zé)任。
7.委托處理個(gè)人信息的責(zé)任承擔(dān)(第21條):
(1)委托人應(yīng)與受托人約定委托處理的目的吉殃、期限辞居、處理方式、個(gè)人信息的種類蛋勺、保護(hù)措施以及雙方的權(quán)利和義務(wù)等瓦灶,并對(duì)受托人的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督。受托人應(yīng)當(dāng)按照約定處理個(gè)人信息抱完,不得超出約定的處理目的贼陶、處理方式等處理個(gè)人信息;
(2)委托合同不生效乾蛤、無(wú)效每界、被撤銷或者終止的,受托人應(yīng)當(dāng)將個(gè)人信息返還個(gè)人信息處理者或者予以刪除家卖,不得保留眨层。
(3)未經(jīng)個(gè)人信息處理者同意,受托人不得轉(zhuǎn)委托他人處理個(gè)人信息上荡。
8.因需轉(zhuǎn)移個(gè)人信息的責(zé)任承擔(dān)(第22條):
(1)個(gè)人信息處理者因合并趴樱、分立、解散酪捡、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個(gè)人信息的叁征,應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名和聯(lián)系方式。
(2)接收方應(yīng)當(dāng)繼續(xù)履行個(gè)人信息處理者的義務(wù)逛薇。
(3)接收方變更原先的處理目的捺疼、處理方式的,應(yīng)當(dāng)依照本法規(guī)定重新取得個(gè)人同意永罚。
9.向其他個(gè)人信息處理提供信息責(zé)任承擔(dān)(第23條):
(1)個(gè)人信息處理者應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名啤呼、聯(lián)系方式卧秘、處理目的、處理方式和個(gè)人信息的種類官扣,并取得個(gè)人的單獨(dú)同意翅敌。
(2)接收方應(yīng)當(dāng)在上述處理目的、處理方式和個(gè)人信息的種類等范圍內(nèi)處理個(gè)人信息惕蹄。接收方變更原先的處理目的蚯涮、處理方式的,應(yīng)當(dāng)依照本法規(guī)定重新取得個(gè)人同意卖陵。
10.自動(dòng)化決策(第24條):
(1)自動(dòng)化決策:通過(guò)計(jì)算機(jī)程序自動(dòng)分析遭顶、評(píng)估個(gè)人的行為習(xí)慣、興趣愛(ài)好或者經(jīng)濟(jì)赶促、健康液肌、信用狀況等,并進(jìn)行決策的活動(dòng)(第73條)鸥滨。
(2)個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策嗦哆,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正婿滓,不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇老速。
(3)通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷凸主,應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)橘券,或者向個(gè)人提供便捷的拒絕方式。
(4)通過(guò)自動(dòng)化決策方式作出對(duì)個(gè)人權(quán)益有重大影響的決定卿吐,個(gè)人有權(quán)要求個(gè)人信息處理者予以說(shuō)明旁舰,并有權(quán)拒絕個(gè)人信息處理者僅通過(guò)自動(dòng)化決策的方式作出決定。
11.公共場(chǎng)所安裝圖像采集嗡官、個(gè)人身份識(shí)別設(shè)備:應(yīng)當(dāng)為維護(hù)公共安全所必需箭窜,遵守國(guó)家有關(guān)規(guī)定,并設(shè)置顯著的提示標(biāo)識(shí)衍腥。所收集的個(gè)人圖像磺樱、身份識(shí)別信息只能用于維護(hù)公共安全的目的,不得用于其他目的婆咸;取得個(gè)人單獨(dú)同意的除外(第26條)竹捉。
12.處理已公開(kāi)信息:不需取得個(gè)人同意(第13條第2款),但個(gè)人信息處理者可以在合理的范圍內(nèi)處理個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息尚骄;個(gè)人明確拒絕的除外块差。個(gè)人信息處理者處理已公開(kāi)的個(gè)人信息,對(duì)個(gè)人權(quán)益有重大影響的,應(yīng)當(dāng)依照本法規(guī)定取得個(gè)人同意(第27條)憾儒。
六询兴、敏感個(gè)人信息處理的特別規(guī)則
1. 敏感個(gè)人信息:敏感個(gè)人信息是一旦泄露或者非法使用乃沙,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身起趾、財(cái)產(chǎn)安全受到危害的個(gè)人信息,包括生物識(shí)別(注:如人臉識(shí)別)警儒、宗教信仰训裆、特定身份、醫(yī)療健康蜀铲、金融賬戶边琉、行蹤軌跡(注:如網(wǎng)約車的消費(fèi)者行蹤信息,又或者部分公司為監(jiān)督員工在工裝上安裝芯片監(jiān)控員工行動(dòng)軌跡。需要明確的書面同意记劝,披露收集的合理性变姨,必要性、收集的范圍厌丑、程度定欧、用途以及是否會(huì)向第三方提供而且要有內(nèi)部規(guī)章明確約定信息收集范圍,對(duì)象(是否僅限制為重要崗位人員)以及信息保密管理怒竿。)等信息砍鸠,以及不滿十四周歲未成年人的個(gè)人信息(第28條第1款)。
2. 處理規(guī)則:
(1)只有在具有特定的目的和充分的必要性耕驰,并采取嚴(yán)格保護(hù)措施的情形下爷辱,個(gè)人信息處理者方可處理敏感個(gè)人信息(第28條第2款)。
(2)處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意朦肘;法律饭弓、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書面同意的,從其規(guī)定(第29條)媒抠。
(3)個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的弟断,應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意(第31條)。
注:程嘯教授認(rèn)為领舰,目前關(guān)于敏感信息處理規(guī)則尚未足以保護(hù)自然人夫嗓,如“特定目的”尚未明確,也未能判斷如何處理敏感個(gè)人信息冲秽,單獨(dú)同意方式增加處理者處理信息之不便舍咖。因此,應(yīng)規(guī)定為原則上禁止處理敏感個(gè)人信息锉桑,除非符合法律規(guī)定(如基于科學(xué)研究排霉、重大的公共利益、自然人自身的權(quán)益等原因)民轴,且例外處理敏感個(gè)人信息的應(yīng)采嚴(yán)格規(guī)定攻柠,如要求單獨(dú)同意球订、詳細(xì)告知等。程嘯:《論我國(guó)個(gè)人信息保護(hù)法中的個(gè)人信息處理規(guī)則》瑰钮,載《清華法學(xué)》2021年第3期冒滩。
七、國(guó)家機(jī)關(guān)處理個(gè)人信息的特別規(guī)則
1. 國(guó)家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息浪谴,應(yīng)當(dāng)依照法律开睡、行政法規(guī)規(guī)定的權(quán)限、程序進(jìn)行苟耻,不得超出履行法定職責(zé)所必需的范圍和限度(第34條)篇恒。
2. 國(guó)家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息,應(yīng)當(dāng)依照本法規(guī)定履行告知義務(wù)凶杖;有本法第十八條第一款規(guī)定的情形胁艰,或者告知將妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)的除外(第35條)。
3. 國(guó)家機(jī)關(guān)處理的個(gè)人信息應(yīng)當(dāng)在中華人民共和國(guó)境內(nèi)存儲(chǔ)智蝠;確需向境外提供的腾么,應(yīng)當(dāng)進(jìn)行安全評(píng)估。安全評(píng)估可以要求有關(guān)部門提供支持與協(xié)助(第36條)寻咒。
八哮翘、個(gè)人信息跨境流動(dòng)的規(guī)則
1. 個(gè)人信息處理者因業(yè)務(wù)等需要,確需向中華人民共和國(guó)境外提供個(gè)人信息的條件(第38條):
(1)依照本法第四十條的規(guī)定通過(guò)國(guó)家網(wǎng)信部門組織的安全評(píng)估(關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者毛秘,應(yīng)當(dāng)將在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)饭寺。確需向境外提供的,應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門組織的安全評(píng)估叫挟;法律艰匙、行政法規(guī)和國(guó)家網(wǎng)信部門規(guī)定可以不進(jìn)行安全評(píng)估的,從其規(guī)定)(第40條)抹恳;
(2)按照國(guó)家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證员凝;
(3)按照國(guó)家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同,約定雙方的權(quán)利和義務(wù)奋献;
(4)法律健霹、行政法規(guī)或者國(guó)家網(wǎng)信部門規(guī)定的其他條件。
中華人民共和國(guó)締結(jié)或者參加的國(guó)際條約瓶蚂、協(xié)定對(duì)向中華人民共和國(guó)境外提供個(gè)人信息的條件等有規(guī)定的糖埋,可以按照其規(guī)定執(zhí)行。
個(gè)人信息處理者應(yīng)當(dāng)采取必要措施窃这,保障境外接收方處理個(gè)人信息的活動(dòng)達(dá)到本法規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)瞳别。
注:強(qiáng)調(diào)境外接收方需按本法規(guī)定的標(biāo)準(zhǔn)保護(hù)我國(guó)信息主體的權(quán)益。
2. 個(gè)人信息處理者向中華人民共和國(guó)境外提供個(gè)人信息的,應(yīng)當(dāng)向個(gè)人告知境外接收方的名稱或者姓名祟敛、聯(lián)系方式疤坝、處理目的、處理方式馆铁、個(gè)人信息的種類以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項(xiàng)跑揉,并取得個(gè)人的單獨(dú)同意(第39條)。
3. 中華人民共和國(guó)主管機(jī)關(guān)根據(jù)有關(guān)法律和中華人民共和國(guó)締結(jié)或者參加的國(guó)際條約叼架、協(xié)定畔裕,或者按照平等互惠原則,處理外國(guó)司法或者執(zhí)法機(jī)構(gòu)關(guān)于提供存儲(chǔ)于境內(nèi)個(gè)人信息的請(qǐng)求乖订。非經(jīng)中華人民共和國(guó)主管機(jī)關(guān)批準(zhǔn),個(gè)人信息處理者不得向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國(guó)境內(nèi)的個(gè)人信息具练。
九乍构、個(gè)人信息主體的權(quán)利
1. 知情權(quán)、決定權(quán):個(gè)人對(duì)其個(gè)人信息的處理享有知情權(quán)扛点、決定權(quán)哥遮,有權(quán)限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理;法律陵究、行政法規(guī)另有規(guī)定的除外(第44條)眠饮。
2. 查閱權(quán)、復(fù)制權(quán):個(gè)人有權(quán)向個(gè)人信息處理者查閱铜邮、復(fù)制其個(gè)人信息仪召;有本法第十八條第一款、第三十五條規(guī)定情形的除外松蒜。個(gè)人請(qǐng)求查閱扔茅、復(fù)制其個(gè)人信息的,個(gè)人信息處理者應(yīng)當(dāng)及時(shí)提供(第44條第1秸苗、2款)召娜。
3. 可攜帶權(quán):個(gè)人請(qǐng)求將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者,符合國(guó)家網(wǎng)信部門規(guī)定條件的惊楼,個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑(第45條第3款)玖瘸。
注:借鑒《歐盟通用數(shù)據(jù)保護(hù)條例》的經(jīng)驗(yàn),強(qiáng)化信息主體對(duì)其個(gè)人信息的控制權(quán)檀咙。
4. 更正權(quán)雅倒、補(bǔ)充權(quán):個(gè)人發(fā)現(xiàn)其個(gè)人信息不準(zhǔn)確或者不完整的,有權(quán)請(qǐng)求個(gè)人信息處理者更正攀芯、補(bǔ)充屯断。個(gè)人請(qǐng)求更正、補(bǔ)充其個(gè)人信息的,個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息予以核實(shí)殖演,并及時(shí)更正氧秘、補(bǔ)充。
5. 刪除權(quán):個(gè)人信息處理者應(yīng)當(dāng)主動(dòng)刪除個(gè)人信息趴久;個(gè)人信息處理者未刪除的丸相,個(gè)人有權(quán)請(qǐng)求刪除:(1)處理目的已實(shí)現(xiàn)、無(wú)法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要彼棍;(2)個(gè)人信息處理者停止提供產(chǎn)品或者服務(wù)灭忠,或者保存期限已屆滿;(3)個(gè)人撤回同意座硕;(4)個(gè)人信息處理者違反法律弛作、行政法規(guī)或者違反約定處理個(gè)人信息;(5)法律华匾、行政法規(guī)規(guī)定的其他情形映琳。法律、行政法規(guī)規(guī)定的保存期限未屆滿蜘拉,或者刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的萨西,個(gè)人信息處理者應(yīng)當(dāng)停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理。
6.死者個(gè)人信息權(quán):自然人死亡的旭旭,其近親屬為了自身的合法谎脯、正當(dāng)利益,可以對(duì)死者的相關(guān)個(gè)人信息行使本章規(guī)定的查閱持寄、復(fù)制源梭、更正、刪除等權(quán)利际看;死者生前另有安排的除外(第49條)咸产。
注:如死者生前通過(guò)遺囑或與網(wǎng)絡(luò)平臺(tái)簽訂協(xié)議,約定不得由近親屬查詢等仲闽,則不得查詢等脑溢。
十、個(gè)人信息處理者的義務(wù)
1. 安全保障義務(wù):
(1)個(gè)人信息處理者應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的赖欣、處理方式屑彻、個(gè)人信息的種類以及對(duì)個(gè)人權(quán)益的影響、可能存在的安全風(fēng)險(xiǎn)等顶吮,采取下列措施確保個(gè)人信息處理活動(dòng)符合法律社牲、行政法規(guī)的規(guī)定,并防止未經(jīng)授權(quán)的訪問(wèn)以及個(gè)人信息泄露悴了、篡改搏恤、丟失(第51條):
制定內(nèi)部管理制度和操作規(guī)程违寿;
(注:如企業(yè)基于考勤需要,要求員工進(jìn)行電子打卡熟空,并掌握員工行蹤信息藤巢,需制定嚴(yán)格的企業(yè)管理制度,避免員工行蹤信息泄露息罗。)
對(duì)個(gè)人信息實(shí)行分類管理掂咒;
采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施迈喉;
合理確定個(gè)人信息處理的操作權(quán)限绍刮,并定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn);
制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案挨摸;
法律孩革、行政法規(guī)規(guī)定的其他措施。
(2)如為處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者:
應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人油坝,負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督嫉戚。
個(gè)人信息處理者應(yīng)當(dāng)公開(kāi)個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式,并將個(gè)人信息保護(hù)負(fù)責(zé)人的姓名澈圈、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。
2.事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估帆啃,并對(duì)處理情況進(jìn)行記錄義務(wù)(第55條):
(1)情形:
處理敏感個(gè)人信息(注:如處理健康信息瞬女。);
利用個(gè)人信息進(jìn)行自動(dòng)化決策
委托處理個(gè)人信息努潘、向其他個(gè)人信息處理者提供個(gè)人信息诽偷、公開(kāi)個(gè)人信息;
向境外提供個(gè)人信息疯坤;
其他對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)报慕。
(2)個(gè)人信息保護(hù)影響評(píng)估應(yīng)當(dāng)內(nèi)容(第56條):
個(gè)人信息的處理目的、處理方式等是否合法压怠、正當(dāng)眠冈、必要;
對(duì)個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn)菌瘫;
所采取的保護(hù)措施是否合法蜗顽、有效并與風(fēng)險(xiǎn)程度相適應(yīng)。
(3)個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存三年雨让。
3.補(bǔ)救雇盖、通知義務(wù):發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改栖忠、丟失的崔挖,個(gè)人信息處理者應(yīng)當(dāng)立即采取補(bǔ)救措施贸街,并通知履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人。通知應(yīng)當(dāng)包括下列事項(xiàng):
發(fā)生或者可能發(fā)生個(gè)人信息泄露狸相、篡改薛匪、丟失的信息種類、原因和可能造成的危害卷哩;
個(gè)人信息處理者采取的補(bǔ)救措施和個(gè)人可以采取的減輕危害的措施蛋辈;
個(gè)人信息處理者的聯(lián)系方式。
個(gè)人信息處理者采取措施能夠有效避免信息泄露将谊、篡改冷溶、丟失造成危害的,個(gè)人信息處理者可以不通知個(gè)人尊浓;履行個(gè)人信息保護(hù)職責(zé)的部門認(rèn)為可能造成危害的逞频,有權(quán)要求個(gè)人信息處理者通知個(gè)人。
4.提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)栋齿、用戶數(shù)量巨大苗胀、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者義務(wù):
(1)按照國(guó)家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系,成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督瓦堵;
(2)遵循公開(kāi)基协、公平、公正的原則菇用,制定平臺(tái)規(guī)則澜驮,明確平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù);
(3)對(duì)嚴(yán)重違反法律惋鸥、行政法規(guī)處理個(gè)人信息的平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者杂穷,停止提供服務(wù);
(4)定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告卦绣,接受社會(huì)監(jiān)督耐量。
十一、履行個(gè)人信息保護(hù)職責(zé)的部門及權(quán)責(zé)
1.部門:(1)國(guó)家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作滤港。國(guó)務(wù)院有關(guān)部門依照本法和有關(guān)法律廊蜒、行政法規(guī)的規(guī)定,在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作蜗搔。(2)縣級(jí)以上地方人民政府有關(guān)部門的個(gè)人信息保護(hù)和監(jiān)督管理職責(zé)劲藐,按照國(guó)家有關(guān)規(guī)定確定(第60條)。
2.職責(zé):(1)開(kāi)展個(gè)人信息保護(hù)宣傳教育樟凄,指導(dǎo)聘芜、監(jiān)督個(gè)人信息處理者開(kāi)展個(gè)人信息保護(hù)工作;(2)接受缝龄、處理與個(gè)人信息保護(hù)有關(guān)的投訴汰现、舉報(bào)挂谍;(3)組織對(duì)應(yīng)用程序等個(gè)人信息保護(hù)情況進(jìn)行測(cè)評(píng),并公布測(cè)評(píng)結(jié)果瞎饲;(4)調(diào)查口叙、處理違法個(gè)人信息處理活動(dòng);(5)法律嗅战、行政法規(guī)規(guī)定的其他職責(zé)(第61條)妄田。
3.職權(quán):(1)詢問(wèn)有關(guān)當(dāng)事人,調(diào)查與個(gè)人信息處理活動(dòng)有關(guān)的情況驮捍;(2)查閱疟呐、復(fù)制當(dāng)事人與個(gè)人信息處理活動(dòng)有關(guān)的合同、記錄东且、賬簿以及其他有關(guān)資料启具;(3)實(shí)施現(xiàn)場(chǎng)檢查,對(duì)涉嫌違法的個(gè)人信息處理活動(dòng)進(jìn)行調(diào)查珊泳;(4)檢查與個(gè)人信息處理活動(dòng)有關(guān)的設(shè)備鲁冯、物品;對(duì)有證據(jù)證明是用于違法個(gè)人信息處理活動(dòng)的設(shè)備色查、物品薯演,向本部門主要負(fù)責(zé)人書面報(bào)告并經(jīng)批準(zhǔn),可以查封或者扣押秧了。履行個(gè)人信息保護(hù)職責(zé)的部門依法履行職責(zé)涣仿,當(dāng)事人應(yīng)當(dāng)予以協(xié)助、配合示惊,不得拒絕、阻撓(第63條)愉镰。
十二米罚、違反個(gè)人信息保護(hù)義務(wù)的法律責(zé)任
1. 行政責(zé)任(第66條):
(1)違反本法規(guī)定處理個(gè)人信息,或者處理個(gè)人信息未履行本法規(guī)定的個(gè)人信息保護(hù)義務(wù):由履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正丈探,給予警告录择,沒(méi)收違法所得,對(duì)違法處理個(gè)人信息的應(yīng)用程序碗降,責(zé)令暫桶撸或者終止提供服務(wù);拒不改正的讼渊,并處一百萬(wàn)元以下罰款;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款爪幻。
(2)情節(jié)嚴(yán)重:省級(jí)以上履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正菱皆,沒(méi)收違法所得须误,并處五千萬(wàn)元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓仇轻、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營(yíng)業(yè)執(zhí)照京痢;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬(wàn)元以上一百萬(wàn)元以下罰款,并可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事篷店、監(jiān)事祭椰、高級(jí)管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人。
2. 民事責(zé)任:處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害疲陕,個(gè)人信息處理者不能證明自己沒(méi)有過(guò)錯(cuò)的方淤,應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。損害賠償責(zé)任按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得的利益確定鸭轮;個(gè)人因此受到的損失和個(gè)人信息處理者因此獲得的利益難以確定的臣淤,根據(jù)實(shí)際情況確定賠償數(shù)額(第69條)。
注:程嘯教授認(rèn)為窃爷,因區(qū)別敏感信息與非敏感信息采不同的歸責(zé)模式邑蒋。如對(duì)于敏感信息產(chǎn)生的侵權(quán)賠償責(zé)任,應(yīng)適用為危險(xiǎn)責(zé)任即無(wú)過(guò)錯(cuò)責(zé)任(因敏感信息的處理行為屬于法律上的高度危險(xiǎn)行為按厘,處理敏感信息的行為客觀上開(kāi)啟了危險(xiǎn)源医吊,且處理者對(duì)于該處理行為具有控制力,對(duì)于處理者應(yīng)承擔(dān)危險(xiǎn)責(zé)任逮京。此外卿堂,通過(guò)要求處理者承擔(dān)危險(xiǎn)責(zé)任也可提高處理者成本);對(duì)于非敏感信息產(chǎn)出的侵權(quán)賠償責(zé)任懒棉,適用過(guò)錯(cuò)推定責(zé)任草描。程嘯:《論我國(guó)個(gè)人信息保護(hù)法中的個(gè)人信息處理規(guī)則》,載《清華法學(xué)》2021年第3期策严。
3. 治安處罰及刑事責(zé)任:違反本法規(guī)定穗慕,構(gòu)成違反治安管理行為的,依法給予治安管理處罰妻导;構(gòu)成犯罪的逛绵,依法追究刑事責(zé)任(第71條)。
