老网关(资深金融从业者)
2021年8月20日,第十三届全国人民代表大会常务委员会第三十次会议通过《中华人民共和国个人信息保护法》(以下简称“办法”),全文共八章74条,自2021年11月1日正式实施。简言之,个人信息权,你我都有。哈哈哈……看了标题奔着其他想法进来的,自罚一下,形式不限,欢迎就此留言。
一、明确自然人的“个人信息权”
办法明确自然人拥有个人信息权益。第4条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。匿名化则是指个人信息经过处理无法识别特定自然人且不能复原的过程(第73条)。因此,个人信息权是在享有安全保障权、知悉真情权、自主选择权、公平交易权、依法求偿权、求教获知权、依法结社权、维护尊严权、监督批评权等九大消保权益基础上的数字化特色权益扩充。
个人信息权范围(第44-50条)。包括知情权、决定权(含限制和拒绝)、查阅复制以及信息转移权、核实变更(更正、补充)权、要求删除权、知悉信息处理规则权(第48条)以及“冻结权”(第48条规定:法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理)。
同时第49条还规定了自然人死亡后的“关联者权益”“自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外”。
敏感个人信息定义。第28-32条都是围绕敏感个人信息保护。敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息(第28条)。特别要强调的是,不满十四岁未成年人的个人信息都属于敏感个人信息。
处理敏感个人信息的要求。处理敏感个人信息应当取得个人的单独同意(第29条);要告知必要性和对个人权益的影响(第30条);处理未成年人信息属于敏感个人信息,要取得其父母或者其他监护人的同意,且需制定专门的个人信息处理规则(第31条)。对于个人信息处理者处理敏感个人信息的要求则是“具有特定的目的和充分的必要性并采取严格保护措施”(第28条)。
保护个人的赔偿倾向。第69条规定,对于处理个人信息侵害个人信息权益造成损害的,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。赔偿责任按照个人受损或处理者获益确定,难以确定的,根据实际情况确定赔偿数额。这个条款实际执行时,如果遇到个人和处理者均为受损者情形,要作何处理呢?又或者双方均有过错呢?以及,个人有过错,而处理者无法证明自己没有过错呢?实操中理清具体处理安排,大约还有很长的路要走。
公共场所信息采集要求。办法对公共场所涉及隐私的数据采集也明确了要求,第26条规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的。对于保障实施,也料将会有细化工作安排。
二、保护个人信息权的基本原则
办法明确了个人信息处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等八个重要方面。体现的基本原则是:
公平原则。允许个人撤回信息同意;信息处理要素变更需尽告知义务;变更事项属于公共的要公开,以便于保存和查阅,属于个性的要告知个人;应对紧急情况进行消息处理来不及告知的,紧急情况消除后应及时告知;信息的保存时间应为实现处理目的所必要的最短时间。(第13-19条)