《个人信息保护法》于2021 年8 月20 日正式出台,并于2021年11 月1 日起施行。它是我国第一部专门规范个人信息保护的法律。
Ø 什么是个人信息&个人敏感信息
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。只要信息与特定个人相关,无论是纸质信息还是电子信息、真实信息还是错误信息,都属于个人信息。
个人敏感信息:一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹以及不满十四周岁未成年人的个人信息。
Ø 个人信息处理的基本原则
“告知—同意”规则
• 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知处理目的、处理方式,处理的个人信息种类的等法律规定的事项。
• 个人信息处理者基于个人同意而处理个人信息的,个人的同意必须是个人在充分知情的前提下自愿、明确地作出。
• 基于个人同意处理个人信息的,个人有权撤回其同意,个人信息处理者应当提供便捷的撤回同意的方式。
• 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务。
“三最”原则
处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
• 收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
• 除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。
Ø 避免滥用人脸识别技术
在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必须,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
Ø 防止大数据“杀熟”
利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销、应向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决策时,个人有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
Ø 金融消费者对个人信息享有的主动权利
个人在个人信息处理活动中享有对个人信息处理的知情权与决定权、查阅复制权、可携带权、更正补充权、删除权、解释说明权等。
• 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理。
• 个人有权向个人信息处理者查阅、复制其个人信息。
• 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。
• 如果个人信息处理者通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
Ø 个人信息处理者义务
个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类及对个人权益的影响、可能存在的安全风险等,采取必要措施保障所处理的个人信息的安全,防止未经授权的访问及个人信息泄露、篡改、丢失。
Ø 侵犯个人信息行为惩处
个人信息保护法对于违法处理个人信息或未履行法律规定的个人信息保护义务的行为规定了严格的行政处罚措施
• 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
• 对于违反个人信息保护法违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。