查看原文
其他

个保法要求的单独同意如何合规?权威人士解答

尤一炜 隐私护卫队 2022-08-28
近日,由中国公共关系协会和中国外商投资企业协会共同主办的《中华人民共和国个人信息保护法》宣介会在京举行。宣介会上,国家网信办网络法治局局长华清、全国人大常委会法工委经济法室副主任杨合庆分别围绕个人信息保护法进行介绍和解读,并与现场的企业代表进行互动交流,探讨“告知-同意”原则、敏感个人信息的使用、企业合规等问题。
文 / 尤一炜

近日,由中国公共关系协会和中国外商投资企业协会共同主办的《中华人民共和国个人信息保护法》宣介会在京举行。

宣介会上,国家网信办网络法治局局长华清、全国人大常委会法工委经济法室副主任杨合庆分别围绕个人信息保护法进行介绍和解读,并与现场的企业代表进行互动交流,探讨“告知-同意”原则、敏感个人信息的使用、企业合规等问题。

建议企业对隐私政策进行全面评估

8月20日,十三届全国人大常委会第三十次会议表决通过个人信息保护法,自11月1日起实施。作为我国首部针对个人信息保护的专门性立法,该法对进一步加强个人信息安全监管和保护具有重要意义,也对企业合规提出更具体的要求。

在华清看来,个人信息保护法非常注重平衡,不仅能保护个人信息权益,也能起到促进数字经济发展的作用,“这两点并不矛盾,一定程度上还是(相互)促进的关系”。对于企业合规,他直言,履行个人信息保护法的重要主体就是企业、平台和机构等,最关键需要“吃透”立法的原意和精髓,“主动比被动好”。

具体就大数据杀熟问题而言,个人信息保护法规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。

“这并不是个人信息保护法新增的条文。”杨合庆表示,消费者权益保护法已明确规定消费者享有公平交易的权利。至于企业是否涉嫌实施不公平的交易价格或交易条件则需要根据具体的场景进行判断。

南都·隐私护卫队注意到,杨合庆当天多次强调个人信息保护法与网络安全法、民法典的有关规定一脉相承,个人信息保护法对原有法律规则进一步系统化、具体化。他建议企业对隐私政策进行全面的评估,对管理体系进行审核,完善个人信息保护体系等。

企业需要结合不同场景落实好“告知-同意”规则

个人信息保护法确立了“告知-同意”的核心保护规则,是保障个人对其个人信息处理知情权和决定权的重要手段。

此外,对于敏感个人信息和一些特殊场景,个人信息保护法还规定了“单独同意”的保护规则。

南都·隐私护卫队注意到,现场多家企业非常关心上述规则尤其是单独同意规则,并就此进行提问。

杨合庆表示,个人信息保护法所要求的同意,必须是个人在充分知情的情况下作出的。而在实践中,企业都是通过隐私政策概括性地履行告知义务,要求用户点击同意进行一揽子授权,无法保障用户的知情权、决定权。

“考虑到处理敏感个人信息、向其他处理者提供信息、跨境提供个人信息等场景对个人信息权益影响较大,个人信息保护法要求取得个人的单独同意。”他强调。

个人信息保护法规定,个人信息处理者符合按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的条件,可以处理个人信息。对此,杨合庆表示,哪些情形属于为人力资源管理所必需,需要结合具体的场景进行判断,如果涉及敏感个人信息则需更加谨慎。

“无论企业为人力资源管理还是其他目的,要符合个人信息保护法要求的正当性、合理性、最小化处理等原则。”华清强调。

支持有关机构开展个人信息保护评估认证工作等

个人信息保护作为一项综合性、系统性的工作,需要政府、社会、企业、公民等多元主体齐抓共管、协同治理、良性互动。

个人信息保护法规定,国家网信部门统筹协调有关部门推进相关工作,包括制定个人信息保护具体规则、标准,针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准等。

在当天的宣介会上,华清重点介绍了下一步的工作计划。

一是积极发动社会各界力量,有效推动法律宣传工作,统筹利用多种方式,加强个人信息保护相关法律知识的宣传普及,为个人信息保护法贯彻实施营造良好的社会氛围。

二是充分发挥统筹协调责任,不断完善各项配套规定。网信办将统筹协调个人信息保护工作和相关监督管理工作,厘清职责,构建协同配合高效联动的监管机制。比如推进个人信息保护评估认证,推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估认证工作,评估认证服务等。

三是切实履行监督管理制度,加强违法行为惩处力度。履行个人信息保护职责的部门,要坚持个人信息权益保护优先,妥善解决广大群众关切、社会关注的个人信息保护焦点难点问题,引导个人信息处理者在权衡商业利益和个人权益时做出正确的选择;同时用好用足处罚措施,进一步深化对违法违规行为的依法打击力度,严肃处理违法违规企业。

四是全面压实主体责任,推动行业发展行稳致远,个人信息处理者作为个人信息保护的实践者与行动者,要认真贯彻落实法律规定,主动履行法律义务和社会责任,走向良性循环,满足人民的需要。



霸王条款?理想汽车不授权不让用,专家:不合规,应尽快整改


泄露莆田新冠患者隐私被罚五百,此前至少有20起类似事件


史上最详细《个人信息保护法》解读!



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存