(四)明确采用自动化决策情形下的处理规则
《个人信息保护法》吸纳了《电子商务法》第十八条和《个人信息安全规范》第7.5条关于定向推送和个性化展示的规定,在第二十五条新增了对自动化决策的规定,一定程度上保障了个人信息主体的选择权、知情权和决定权,并针对公众热议的“大数据杀熟”问题进行回应。即个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。此外,《个人信息保护法》进一步规定,通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
(五)明确公共场所监控设备的使用规则和限制性规定
《个人信息保护法》第二十六条规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。本条明确了公共场所的视频监控和个人身份识别设备的安装规则,所收集个人信息的使用目的的限制性规定。
(六)关于敏感个人信息处理规则
根据《个人信息保护法》第二十九条和第三十条规定,处理敏感个人信息应当取得个人的单独同意,并向个人告知处理敏感个人信息的必要性以及对个人权益的影响。此外,根据上文可知,不满十四周岁未成人年的个人信息被列入敏感个人信息范围,《个人信息保护法》第三十一条进一步规定,对于不满十四周岁未成年人的个人信息处理活动,个人信息处理者应取得其父母或其他监护人的同意,并制定专门的个人信息处理规则。
(七)单独同意的情形
《个人信息安全规范》仅对“授权同意”进行定义,即授权同意包括明示同意和通过消极的不作为而作出的授权,而《个人信息保护法》首次提出了“单独同意”的概念,并规定了许多个人信息处理者需要取得单独同意的情形。我们总结了需要单独同意的具体情形,具体如下。
上述情形下《个人信息保护法》对个人信息处理者提出更高的合规要求,其中,“向第三方提供其处理的个人信息”和“处理敏感个人信息”的应用场景较多。关于“单独同意”的含义,《个人信息保护法》未进行进一步解释,根据《个人信息安全规范》第5.4条c)关于收集个人生物识别信息时应单独向个人信息主体告知收集规则的规定,我们理解,《个人信息保护法》项下“单独同意”指单独向个人告知上述具体情形的个人信息处理目的,处理方式,处理个人信息的种类、保存期限,个人信息处理者的名称或者姓名和联系方式等,并单独取得个人的同意。
三、澄清个人信息跨境传输规则
《网络安全法》就关键信息基础设施运营者的个人信息出境问题进行了明确,即原则上应当存储在境内,确需向境外提供的,应进行安全评估,但该法提出的合规要求仅适用于关键信息基础设施运营者。需注意的是,2017年发布的部门规章《个人信息和重要数据出境安全评估办法(征求意见稿)》(下称17年征求意见稿)将个人信息出境安全评估义务主体从关键信息基础设施运营者扩大至所有网络运营者。2019年6月发布的《个人信息出境安全评估办法(征求意见稿)》(下称19年征求意见稿)维持了此项规定,即主要义务主体仍为网络运营者,并且由于19年征求意见稿要求境外网络运营者收集境内用户个人信息也应履行网络运营者的责任和义务,因此相当于进一步扩大了17年征求意见稿项下的义务主体。
《个人信息保护法》作为个人信息保护领域的基础性法律,在沿用《网络安全法》监管思路的基础上,扩大了个人信息本地化存储的义务主体范围。即关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
