《个人信息保护法》出台，企业处理信息必须知道的八件事

01

《个人信息保护法》出台，构建了企业处理信息数据的最后一道红线，与《数据安全法》、《网络安全法》分别规制企业数据合规的三个方面。

以可能影响自然人的严重程度，个人信息中的部分关键信息被划为敏感个人信息。

这类个人信息的收集、使用等有更严格的限制。

03

（1）收集、使用个人信息的原则是“必要”

一是基于App基础功能的必要，即如果缺少相关信息将无法提供服务，比如购物类App需要用户移动电话号码、收获联络信息、支付信息，缺少将无法提供网上购物服务的这些信息就是“必要”个人信息，除此之外所有拓展、优化服务的个人信息都不“必要”；

二是基于特殊情况的必要，企业需要关注两种特殊情况：

① 紧急情况下为保护自然人的生命、财产安全，比如出行类App，突发情况下收集定位信息、紧急联系人等；

② 处理自己公开或者已经合法公开的个人信息。

“必要”的个人信息，用户不同意提供，企业可以拒绝用户使用基本功能服务。

（2） 收集、使用个人信息的规则是：“告知——同意”

“必要”之外的信息，遵守“告知——同意”的规则，如用户不同意提供，企业不可以拒绝用户使用基本的功能服务。

告知需要明确、准确、完整，同意需要自愿、明确、可撤回。

（3）收集、使用敏感个人信息

收集、使用敏感个人信息需要同时满足“必要”+“告知——同意”，即需要四步走：

第一步，具有特定的目的，比如为用户提供App基本功能服务；

第二步，App提供服务“必要”这些个人信息。

第三步，采取严格的保护措施，如防泄漏、防入侵等

第四步，经过个人单独的同意，或者未成年人信息经过其监护人的同意。

04

《个人信息保护法》指明了除收集之外，处理个人信息的出路：匿名化。匿名化主要依靠技术手段，具体“匿名化”可见：企业处理个人信息的专业方案（一）：特别小组。

需要格外注意的是：“匿名化”个人信息不等于一劳永逸。“匿名化”后的个人信息不再受《个人信息保护法》的管理，但仍属于信息，需要受《数据安全法》的一般管理。

并且虽然收集者对这部分信息只需要尽到一般的保护义务，但如果数据体量巨大，收集者仍可能作为关键信息基础设施被施以极高保护义务。

05

贯穿处理个人信息始终的

“告知同意”

自动化决策，简单说就是企业利用个人信息向用户作出的个性化推送、营销。法律并不禁止企业利用个人信息进行自动化决策，但必须合法合规。

（1）结果合法合规：必须保证结果的公平、公正，不得出现不合理的差别待遇，比如：利用大数据杀熟；

（2）使用范围合法合规：必须允许用户拒绝个性化推荐，比如以游客模式、访问模式使用服务；

07

08

个人信息处理者

面临的法律责任

个人信息违法违规将可能面临民事、行政以及刑事的三重责任。

需要注意的是，个人信息民事侵权采用过错推定责任，需要个人信息处理者来证明自己处理个人信息的过程没有过错，才能避免处罚。

刑事责任方面，非法获取、向他人出售或者提供，情节严重的，单位和个人都可以构成“侵犯公民个人信息罪”，面临刑事处罚。

和昶研究 | 小马奔腾对赌案引发的家庭财富风险隔离启示

和昶研究丨指定居所监视居住司法适用的五大问题

（扫描图中二维码即可下载）