|
|
隨著信息化與經濟社會持續深度融合,網絡已成為生產生活的新空間,經濟發展的新引擎,交流合作的新紐帶,但在現實生活中,一些企業、機構甚至個人,隨意收集、過度使用、違法獲取、非法買賣個人信息,個人信息泄露問題,嚴重侵擾人民群眾生活安寧,危害人民群眾生命健康和財產安全。《個人信息保護法》是我國,首部個人信息保護方面的專門法律,該法規定了個人在個人信息,處理活動中的權利,全方位落實個人信息處理者的義務與責任,建立了權責明確保護有效,利用規范的個人信息處理規則。下面這些與我們生活,息息相關的知識點 一起來學習吧。 1、規范個人信息處理活動 “規范個人信息處理活動”是《個人信息保護法》的核心,其明確規定了個人信息處理活動的基本原則,包括合法性、正當性、必要性和誠信原則。任何組織和個人在處理個人信息時,都必須遵守這些原則,不得非法收集、使用、加工、傳輸、公開個人信息。 第一條 為了保護個人信息權益,規范個人信息處理活動,促進個人信息合理利用,根據憲法,制定本法。 第五條 處理個人信息應當遵循合法、正當、必要和誠信原則,不得通過誤導、欺詐、脅迫等方式處理個人信息。 2、不得過度收集個人信息 收集個人信息應當僅限于實現處理目的的最小范圍,不得過度收集個人信息。 第六條 處理個人信息應當具有明確、合理的目的,并應當與處理目的直接相關,采取對個人權益影響最小的方式。 收集個人信息,應當限于實現處理目的的最小范圍,不得過度收集個人信息。 3、“告知-知情-同意”規則 《個人信息保護法》構建了以“告知-知情-同意”為核心的個人信息處理規則體系。個人信息處理者“告知”的目的是為了確保被告知者的充分“知情”,只有被告知者在充分知情的前提下才能自愿、明確地作出決定。同時,個人有權撤回其同意。 第十四條 基于個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自愿、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定。 個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應當重新取得個人同意。 第十五條 基于個人同意處理個人信息的,個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。 4、禁止不提供個人信息就拒絕服務 第十六條 個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務;處理個人信息屬于提供產品或者服務所必需的除外。 5、嚴禁“大數據殺熟” “自動化決策”俗稱“大數據殺熟”,意思是通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,并進行決策的活動。 針對“大數據殺熟”“用戶畫像”和“算法推薦”等涉及個人信息自動化決策的熱點問題,《個人信息保護法》規定“個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。” 第二十四條 個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。 通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。 通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。 6、個人敏感信息的認定與保護 《個人信息保護法》將個人信息分為敏感信息和非敏感信息,并設專節規定“敏感個人信息的處理規則”。“敏感個人信息”是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。 《個人信息保護法》對處理敏感個人信息作出嚴格的限制性規定,即在履行“告知-知情-同意”原則的基礎上,只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息,特別是處理敏感個人信息應當取得個人的單獨同意。 第二十八條 敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。 第二十九條 處理敏感個人信息應當取得個人的單獨同意;法律、行政法規規定處理敏感個人信息應當取得書面同意的,從其規定。 第三十條 個人信息處理者處理敏感個人信息的,除本法第十七條第一款規定的事項外,還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響;依照本法規定可以不向個人告知的除外。 7、“守門人”的責任 鑒于重要互聯網平臺掌握海量用戶數據,一旦發生信息泄露或濫用,可能導致嚴重后果,《個人信息保護法》對提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者(即“守門人”)規定了更多義務,如要按照國家規定建立健全個人信息保護合規制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督等。 第五十八條 提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者,應當履行下列義務: (一)按照國家規定建立健全個人信息保護合規制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督; (二)遵循公開、公平、公正的原則,制定平臺規則,明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務; (三)對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者,停止提供服務; (四)定期發布個人信息保護社會責任報告,接受社會監督。 8、過錯推定原則 “個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任”,即適用“過錯推定”原則,在個人信息處理者不能證明其沒有過錯的情況下,推定其有過錯,應承擔損害賠償等侵權責任。 第六十九條 處理個人信息侵害個人信息權益造成損害,個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任。前款規定的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的,根據實際情況確定賠償數額。 |
