个人信息保护法今起正式实施 明确不得大数据杀熟
2021.11.01 来源: IT之家
11 月 1 日消息,十三届全国人大常委会第三十次会议 8 月 20 日表决通过了《中华人民共和国个人信息保护法》,自 2021 年 11 月 1 日起施行。
《中华人民共和国个人信息保护法》明确:
通过自动化决策方式向个人进行信息推送、商业营销,应提供不针对其个人特征的选项或提供便捷的拒绝方式;
处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息,应取得个人的单独同意;
对违法处理个人信息的应用程序,责令暂停或者终止提供服务。
IT之家了解到,个人信息保护法共 8 章 74 条,在有关法律的基础上,进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则。
十大亮点:
确立个人信息保护原则。这是收集、使用个人信息的基本遵循,是构建个人信息保护具体规则的制度基础。《个人信息保护法》强调处理个人信息应遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等。
规范处理活动保障权益。《个人信息保护法》紧紧围绕规范个人信息处理活动、保障个人信息权益,构建以“告知-同意”为核心的个人信息处理规则。例如,处理个人信息应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。
禁止“大数据杀熟”,规范自动化决策。当前,越来越多的企业用大数据分析和评估消费者的个人特征用于商业营销,最典型的就是社会反映突出的“大数据杀熟”。对此,《个人信息保护法》规定:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
严格保护敏感个人信息。《个人信息保护法》规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息,同时应当事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响。此外,《个人信息保护法》将不满十四周岁未成年人的个人信息确定为敏感个人信息予以严格保护。
规范国家机关处理活动。《个人信息保护法》对国家机关处理个人信息的活动作出规定,特别强调国家机关处理个人信息的活动适用本法,并且处理个人信息应当依照法律、行政法规规定的权限和程序进行,不得超出履行法定职责所必需的范围和限度。
赋予个人充分权利。《个人信息保护法》将个人在个人信息处理活动中的各项权利,总结提升为知情权、决定权,明确个人有权限制个人信息处理;同时,要求在符合国家网信部门规定条件的情形下,个人信息处理者应当为个人提供转移其个人信息的途径。此外,《个人信息保护法》还对死者个人信息的保护作了专门规定。
强化个人信息处理者义务。《个人信息保护法》明确了个人信息处理者的合规管理和保障个人信息安全等义务,要求个人信息处理者按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,指定负责人对其个人信息处理活动进行监督,定期对其个人信息处理活动进行合规审计,对处理敏感个人信息、利用个人信息进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估,履行个人信息泄露通知和补救义务等。
赋予大型网络平台特别义务。《个人信息保护法》对大型互联网平台设定了特别的个人信息保护义务:按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;遵循公开、公平、公正原则,制定平台规则;对严重违法处理个人信息的平台内产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。
规范个人信息跨境流动。当今个人信息的跨境流动日益频繁,但由于遥远的地理距离以及不同国家法律制度、保护水平之间的差异,个人信息跨境流动风险越来越难以控制。《个人信息保护法》构建了一套清晰、系统的个人信息跨境流动规则,以满足保障个人信息权益和安全的客观要求,适应国际经贸往来的现实需要。
健全个人信息保护工作机制。该法明确国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作,同时对个人信息保护和监管职责作出规定,包括开展个人信息保护宣传教育、指导监督个人信息保护工作、接受处理相关投诉举报、组织对应用程序等进行测评、调查处理违法个人信息处理活动等。