《个人信息保护法》出台,企业处理信息必须知道的八件事
01
《个人信息保护法》出台,构建了企业处理信息数据的最后一道红线,与《数据安全法》、《网络安全法》分别规制企业数据合规的三个方面。
以可能影响自然人的严重程度,个人信息中的部分关键信息被划为敏感个人信息。
这类个人信息的收集、使用等有更严格的限制。
03
(1)收集、使用个人信息的原则是“必要”
一是基于App基础功能的必要,即如果缺少相关信息将无法提供服务,比如购物类App需要用户移动电话号码、收获联络信息、支付信息,缺少将无法提供网上购物服务的这些信息就是“必要”个人信息,除此之外所有拓展、优化服务的个人信息都不“必要”;
二是基于特殊情况的必要,企业需要关注两种特殊情况:
① 紧急情况下为保护自然人的生命、财产安全,比如出行类App,突发情况下收集定位信息、紧急联系人等;
② 处理自己公开或者已经合法公开的个人信息。
“必要”的个人信息,用户不同意提供,企业可以拒绝用户使用基本功能服务。
(2) 收集、使用个人信息的规则是:“告知——同意”
“必要”之外的信息,遵守“告知——同意”的规则,如用户不同意提供,企业不可以拒绝用户使用基本的功能服务。
告知需要明确、准确、完整,同意需要自愿、明确、可撤回。
(3)收集、使用敏感个人信息
收集、使用敏感个人信息需要同时满足“必要”+“告知——同意”,即需要四步走:
第一步,具有特定的目的,比如为用户提供App基本功能服务;
第二步,App提供服务“必要”这些个人信息。
第三步,采取严格的保护措施,如防泄漏、防入侵等
第四步,经过个人单独的同意,或者未成年人信息经过其监护人的同意。
04
《个人信息保护法》指明了除收集之外,处理个人信息的出路:匿名化。匿名化主要依靠技术手段,具体“匿名化”可见:企业处理个人信息的专业方案(一):特别小组。
需要格外注意的是:“匿名化”个人信息不等于一劳永逸。“匿名化”后的个人信息不再受《个人信息保护法》的管理,但仍属于信息,需要受《数据安全法》的一般管理。
并且虽然收集者对这部分信息只需要尽到一般的保护义务,但如果数据体量巨大,收集者仍可能作为关键信息基础设施被施以极高保护义务。
05
贯穿处理个人信息始终的
“告知同意”
自动化决策,简单说就是企业利用个人信息向用户作出的个性化推送、营销。法律并不禁止企业利用个人信息进行自动化决策,但必须合法合规。
(1)结果合法合规:必须保证结果的公平、公正,不得出现不合理的差别待遇,比如:利用大数据杀熟;
(2)使用范围合法合规:必须允许用户拒绝个性化推荐,比如以游客模式、访问模式使用服务;
07
08
个人信息处理者
面临的法律责任
个人信息违法违规将可能面临民事、行政以及刑事的三重责任。
需要注意的是,个人信息民事侵权采用过错推定责任,需要个人信息处理者来证明自己处理个人信息的过程没有过错,才能避免处罚。
刑事责任方面,非法获取、向他人出售或者提供,情节严重的,单位和个人都可以构成“侵犯公民个人信息罪”,面临刑事处罚。
和昶研究 | 小马奔腾对赌案引发的家庭财富风险隔离启示
和昶研究丨指定居所监视居住司法适用的五大问题
(扫描图中二维码即可下载)