2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”),自2021年11月1日起施行。
1. 适用范围
《个人信息保护法》除了规管境内的个人信息处理行为以外,也适用于特定的境外个人信息处理行为,如:以向境内个人提供产品或者服务为目的在境外处理境内个人的信息。
受《个人信息保护法》规管的境外个人信息处理者需要在境内设立专门机构或者指定代表负责处理个人信息保护相关事务。
向境外提供个人信息的途径应当具备下列条件之一:通过中国国家网信部门组织的安全评估;经指定的专业机构进行个人信息保护认证;与境外接收方订立国家网信部门制定的标准合同;或,按照中国缔结或参加的国际条约和协定等传输。
2. 重要概念
▪ 个人信息:以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
▪ 敏感个人信息:一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
▪ 个人信息的处理:个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
▪ 个人信息处理者:在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
3. 个人信息处理重要规定
3.1 告知—同意
个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知特定事项,如处理目的、处理方式和处理的个人信息种类等。如上述事项发生变更,个人信息处理者应及时告知个人该等变更。
除法律规定的特定情形外,如为履行法定职责或者法定义务所必需,个人信息处理者处理个人信息必须征得个人的同意。如属于以下情形之一的,个人信息处理者应当取得个人的单独同意:(1)处理敏感个人信息;(2)向其他个人信息处理者提供其所处理的个人信息;(3)公开其处理的个人信息;(4)非以维护公共安全为目的,收集个人图像、身份识别信息;或(5)向境外提供个人信息。
此外,个人有权撤回其同意,个人信息处理者应当提供便捷的撤回同意的方式。个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
3.2 最小必要程度
(1)处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
(2)收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
(3)除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。
3.3 个人信息保护义务
个人信息处理者应当采取必要措施保障所处理的个人信息的安全,以防止未经授权的访问以及个人信息泄露、篡改、丢失。
未履行保护义务的个人信息处理者,将被相关部门责令改正,给予警告,没收违法所得;拒不改正的,并处一百万元以下罚款,对直接负责的人员处一万元以上十万元以下罚款;情节严重的,并处五千万元以下或者上一年度营业额百分之五以下罚款,对直接负责的人员处十万元以上一百万元以下罚款。
3.4 自动化决策
自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。《个人信息保护法》第二十四条对个人信息处理者对自动化决策的运用进行了限制。
根据该条,(1)个人信息处理者不得利用自动化决策对个人在交易价格等交易条件上实行不合理的差别待遇;(2)个人有权选择拒绝个人信息处理者通过自动化决策向个人推送个性化广告;(3)个人有权要求个人信息处理者对通过自动化决策作出的对个人权益有重大影响的决定进行说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
4. 合规建议
4.1 履行告知义务,征求必要同意
需要处理个人信息的企业,请按照《个人信息保护法》的要求更新其个人信息处理告知书,向个人明确告知处理目的、处理方式和处理的个人信息种类等事项。对需要征得“单独同意”的情形,请务必准备专门的授权文件。
具体而言,企业可以通过页面弹窗、邮件等方式告知客户。此外,建议企业通过突出显示重点条文、设置强制的阅读时间等方式保证告知义务的充分履行。
4.2 自查个人信息处理的必要性
请企业在处理个人信息之前,根据最小必要原则,自查其行为的必要性:
(1)处理个人信息的方式需与处理目的有直接关联;
(2)处理个人信息的方式需是对个人权益影响最小的方式;
(3)收集的个人信息的范围应是实现处理目的的最小范围;
(4)个人信息的保存期限应是实现处理目的的最短时间。
4.3 采取措施保障个人信息安全
保障措施包括但不限于:(1)制定内部管理制度和操作规程;(2)对个人信息实行分类管理;(3)采取相应的加密、去标识化等安全技术措施,(4)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训,和(5)制定并组织实施个人信息安全事件应急预案。
4.4 谨慎使用自动化决策
根据《个人信息保护法》第二十四条,如企业需要借助自动化决策处理个人信息,应保证:(1)决策过程透明;(2)决策结果公平、公正;和(3)为个人提供了拒绝或者结果复核的渠道。
值得注意的是,透明化自动化决策过程可能会涉及到企业知识产权和商业秘密等问题,因此,对于透明化的程度企业需要跟进立法细化规定及对执法实践进行动态把握。
此外,虽然借助自动化决策对消费者进行差异化对待是商业运营的常态,但企业需保证该等差异化是合理的。合理的差异化包括但不限于:(1)针对新用户在合理期限内开展优惠活动;和(2)根据交易频次等设置不同用户会员等级和相应等级的优惠方案。不合理的差异化包括但不限于:(1)针对苹果、安卓手机用户设置不同的价格等;和(2)对在一定期限内多次消费的客户不合理地提高产品或服务的价格。
(本文“3.重要规定”并不构成对《个人信息保护法》的全面解读,本文“4.合规建议”系基于“3.重要规定”对企业作出的一般性合规建议。如企业需要更有针对性、更为具体的或更全面的合规性建议,可以与我们联系。)