立法动态 | 蹭热点:《个人信息保护法》的八个“不得”
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:《个人信息保护法》;“不得”;个人信息主体;禁止性义务
本文约2319字,大约需要阅读8分钟。
《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)已由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议于2021年8月20日通过并公布,自2021年11月1日起施行。
这是件大事儿,老百姓的个人信息保护终于有“法”可依,所有跟个人信息处理有关的活动也必须遵循这个“法”,所有处理个人信息的主体都受到这个“法”的约束,违者有可能要承担刑事责任。
这个“法”很厉害,用关键词“不得”来搜索全文,共有十六处采用“不得”的措辞。这十六处不得,简言之,就是对处理个人信息主体的“禁止性义务”。《个人信息保护法》第二条即开门见山规定“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益”,接下来就是一系列的“不得”。本文将其归纳为八个“不得”,好让大家能够快速了解。
一、不得误导、欺诈、胁迫
即不得通过误导、欺诈、胁迫的方式处理个人信息。举例而言,某一网络APP通过误导的弹窗方式,在你在错误理解的基础上通过点击该弹窗而获取了你的同意,而你可能根本不知情。欺诈一般指的是通过掩盖事实或者歪曲事实的方式造成你的错误理解。胁迫一般指的是通过你在当时所处的某种不利的地位或者环境,让你“不得不”遵从信息处理者的方式来处理你的信息。
《个人信息保护法》第五条:
处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
二、不得过度
过度收集个人信息的情况发生在很多场合,例如根本没有必要让你提供身份证号码的时候让你提供身份证号码,根本没有必要让你提供手机号码的时候让你提供手机号码之类的。
《个人信息保护法》第六条:
处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
三、不得非法
这里指的是所有信息处理活动均应当依法进行,这些信息处理活动包括了“收集、使用、加工、传输”、“买卖、提供或者公开”以及“从事危害国家安全、公共利益的个人信息处理活动”。
《个人信息保护法》第十条:
任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
四、不得拒绝
这里指的是信息处理者不得拒绝提供产品或者服务。这也是我们经常会遇到的情况,如我们下载某款APP,安装的时候就要求各种授权,如果你没有授权,或者不同意,则安装过程中止,最终你无法使用这款APP。《个人信息保护法》施行后,要求个人信息处理者不得拒绝,除非是必需的。什么是必需的呢,比如你用导航软件,那一定要用到你的定位信息,这种情况是允许的,但如果这个导航软件还要求你的其他信息,但你不同意的话,以往可能你就不能用,但现在规定,你仍然可以用。
《个人信息保护法》第十六条:
个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
五、不得越权、保留与转委托
这一条主要指的是在商家与商家之间有关个人信息处理的规范,例如我是生产某款电视机的商家,然后我的系统里合法地收集了用户的相关个人信息,但我没有分析和处理能力,然后我委托一家数据分析公司来帮我分析我的数据。这个时候,这家数据分析公司,就不能超出我和他约定的范围来处理个人信息,并且当委托事项完成时,应当及时删除不能保留个人信息,而且,这家数据分析公司也不能在我不同意的情形下,将数据分析工作又转委托给第三方进行。
《个人信息保护法》第二十一条:
个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。
受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。(不得越权)
未经个人信息处理者同意,受托人不得转委托他人处理个人信息。
六、不得杀熟
这就是我们经常提到的大数据杀熟,就是在价格上,对老客户或者VIP客户下狠手,标高价。但这里只说到了价格歧视,实际上遗漏了一个问题,既自动化决策其他方面的歧视问题,如年龄歧视、性别歧视等等。
《个人信息保护法》第二十四条:
个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
七、不得公开
这里指的是个人信息处理者的保密义务,例如某一APP收集的我的个人信息,在未经我同意或者没有法律规定的基础上,将我的个人信息公开。
《个人信息保护法》第二十五条:
个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。
八、不得出境
这里指的是在没有法定条件下,个人信息处理者不得将个人信息提供给外国的司法或执法机关。如某款APP,可能在未经审批的情况下,就把所有的数据提供给了外国的政府部门。这一漏洞,终于堵住。
《个人信息保护法》第四十一条:
中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。
以上是从便于大家快速消化的角度做的一个简单的归纳和总结,每一个“不得”既意味着一个消极义务,但同时也意味着一个积极义务。我们再专文聊聊,《个人信息保护法》中有哪些“应当”。
陆续更新,敬请期待
如认为本文侵犯版权,请及时联系闪涛律师团队。
关键词:区块链;人工智能;大数据;智能合约;涉外法
团队介绍
闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、公司法务、并购、解散、破产、清算、金融、证券、私募、区块链、人工智能、智能合约、大数据等领域。
闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院教授、硕士研究生导师,中南财经政法大学博士研究生。
闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员。
立法动态 | 《关键信息基础设施安全保护条例》,网络安全保护再添坚强后盾
数据安全 | 步步为营—中国企业“走出去”跨境数据合规要点与步骤
点一下在看再走吧