立法动态 |蹭热点:《个人信息保护法》个人信息处理者应当遵循的十一条义务
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:《个人信息保护法》;“应当”;个人信息收集者;义务
本文约4515字,大约需要阅读8分钟。
《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)已由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议于2021年8月20日通过并公布,自2021年11月1日起施行。这是件大事儿,老百姓的个人信息保护终于有“法”可依,所有跟个人信息处理有关的活动也必须遵循这个“法”,所有处理个人信息的主体都受到这个“法”的约束,违者有可能要承担刑事责任。上一期我们已经用关键词“不得”来搜索全文并对相关条款作出了分析。
我们换个角度,用关键词“应当”来搜索全文,共有74处采用“应当”的措辞。本文我们截取其中有代表性的“应当”,从个人信息处理者(通常是企业)应当遵循的义务角度,来做个简单分析。
开章名义,《个人信息保护法》第五条明确规定:处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
举例而言,某一网络APP如果通过弹窗方式,在你点击该弹窗而获取了你的同意的时候需要收集你的信息,首先需要合法合规的收集;其次,这种收集应该是具备正当理由的,欺诈、误导、胁迫是被禁止的;另外,这种收集应当是必要的,所谓必要的,简单理解就是“非这种方式收集不可”,“除了这种方式很难收集”的情况下,才可以这样做;再有就是诚信原则,简单理解就是诚实、守信,不得以欺骗等手段收集信息。
一、企收集个人信息应当由个人同意且充分知情
不难理解,基于个人同意处理个人信息的情况下,该同意应当由个人在充分知情的前提下自愿、明确作出。这里的程度副词“充分”十分重要。换言之,你要的收集我的电话号码、身份证,需要让我清晰、充分明确的知道这件事并且我是自愿、明确的接受这种收集。同理,如果法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,你需要告诉我明确的法律依据获得我本人的单独同意或者我“白纸黑字”写下来,同意你的这种收集行为。
第十四条
基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
二、企业应当明确处个人信息合理目的,实现“最小范围”收集
例如,如果让我提供身份证号码,处理个人信息收集就应当具有明确、合理的目的,并且收集我的身份证号码应当与你要处理我这种信息的目的“直接相关”才可以。试想,如果不用“直接相关”加以限制,那么我的个人信息将被用于其他“间接相关”的场合,这个度就被无限扩展了。
《个人信息保护法》收集个人信息,明确规定应当限于实现处理目的的最小范围,不得过度收集个人信息。换言之,你想“打蚊子”就需要用苍蝇拍,如果你抬着“大炮”来打蚊子,就是“大材小用”,背离了实现处理目的的最小范围这一原则。
第六条
处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
三、企业应当公开透明处理个人信息
例如让我提供身份证、手机号码的时候,必须要是公开的,而不是私下场合“鬼鬼祟祟”的;另外,一定要是透明的。你收集来做什么用途,何时使用、何处使用、依据是什么,一定都是有迹可循、有理有据。换言之就是,处理个人信息需要在“阳光”下进行。
第七条
处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
四、企业应当保证个人信息的保量
同处理个人信息,还需要保证个人信息的质量。比如,你虽然是合法的收集我的电话号码,但是你把“6”记录成了“0”,把身份证的“2012”记录成“2021”,导致录入系统的“原始信息”已经出现失误。那么,我以后出示电话、身份证时将会出现由于你录入失误导致记录与证件不一致的情形,又需要追根溯源,将给我的通讯、出行带来无尽麻烦。
第八条
处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
五、企业应当保障所处理的个人信息安全
有权必有责。个人信息处理者应当对其个人信息处理活动负责,采取必要措施保障所处理的个人信息的安全。换言之,信息处理者是个人信息安全的“第一责任人”。例如,个人信息处理者今天记录我的个人信息,明天就有房产中介等机构轮番轰炸我的电话或者发送各种“垃圾信息”。那么,个人信息处理者所谓的采取“必要措施保障”即形同虚设。
第九条
个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的
安全。
六、企业处理个人信息应当提供便捷撤回同意方式
在个人信息处理者处理个人信息前,还应当以显著方式、清晰易懂的语言,真实、准确、完整向我告知法律要求的事项。与此同时,我还有法律给我的“反悔权”。通俗的说,我也可以改变主意,收回我的同意且不需要理由。而且,作为信息收集者的一方该需要给我提供便捷的撤回同意的方式,不能拐弯抹角换着法儿给我“添堵”。
第十五条
基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
第十七条
个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
七、企业间委托与转委托处理个人信息,应当明确约定
这一条主要指的是在商家与商家之间有关个人信息处理的规范,例如我是生产某款电视机的商家,然后我的系统里合法地收集了用户的相关个人信息,但我没有分析和处理能力,然后我委托一家数据分析公司来帮我分析我的数据。这个时候,这家数据分析公司就需要与你作为商家的这一方明确约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等。并且当委托事项完成时,应当及时删除不能保留我的个人信息。
第二十一条
个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。
受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。
未经个人信息处理者同意,受托人不得转委托他人处理个人信息。
八、企业处理个人信息应当无差别化推送,向个人提供便捷拒绝方式
这就是我们经常提到的大数据杀熟,就是在价格上,对老客户或者VIP客户下狠手,标高价。通过自动化决策方式向我们个人进行信息推送、商业营销的,应当同时提供不针对我们个人特征的其他选项,或者向我个人提供便捷的拒绝方式,让我们以最便捷的方式对“杀熟”推送界面说“不”,以最方便的方式关闭类似推送的弹跳窗口。
第二十四条
个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人
提供便捷的拒绝方式。
九、企业保存个人信息应当为实现处理目的所必要的最短时间
这点也不难理解,我们登陆一些应用软件,如果一段时间不在电脑屏幕前,该软件会显示“登陆过期,重新登陆”。这就是对我们个人信息的一种保护。本法明确规定将“保存期限”和“实现目的”挂钩,而且必须在“最短时间”内。最短时间,通俗的理解就是“能有多快就多快”。举个例子,为实现你的处理目地,如果你储存期限5秒之内就足够,但是你保存我的个人数据超过24小时,那么,你就违法了本条规则。
第十九条
除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。
十、企业在公共场所安装图像,应当以维护公共安全为目的
这条在生活中很常见:我们上班刷脸打卡、在旅游景区刷脸通过验票口,都是属于在公共场所安装图像采集设备采集我们的人脸信息。本法明确指出:在公共场所安装图像采集、个人身份识别设备的,首先,必须为维护公共安全所必需;其次,还需要设置显著的提示标识。但是,目前“公共安全”范围过广,实践中还需进一步明确、确定其范围。否则,“公共安全”定义将被无限扩大,该法条的约束将形同虚设。
另外,显著的提示标识,我们认为应该以个人能够明确看到的醒目标志为标准,而不是以企业自己认为他们已经设置的“显著”提示标识为标准。
第二十六条
在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
十一、国家机关处理个人信息与个人信息跨境应当依法依规
本法第三章是个人信息跨境提供的规则,包括的条款严格限制了国家机关处理个人信息的活动、国家机关为履行法定职责处理个人信息的活动、法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息等活动以及确需向中华人民共和国境外提供个人信息等情形,此处不再一一列举。
同时,国家机关处理个人信息与个人信息跨境时,应遵循的原则包括了依照法律、行政法规规定的权限、严格程序进行,严格履行“告知”义务,谨慎评估,同时不得超出履行法定职责所必需的范围和限度等。
另外,如从公民个人的角度出发,我们需要明确的是:国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。同时,县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。
如果在现实中出现了违法个人信息处理活动,个人、组织都可以向履行个人信息保护职责的部门进行投诉、举报。简单来说,例如我到县级以上地方人民政府有关部门进行投诉:有一个组织知道我近期有购房需求,就公开把我的姓名、电话号码作成编辑成短信售卖或者群发中介。那么,我在向相关职能部分投诉后,该部门就必须要依法及时处理,并将处理结果告知我。同时,作为履行个人信息保护职责的部门,必需公布接受投诉、举报的联系方式,让大家“找得到你”,而不是跟投诉人玩“拉大锯、捉迷藏”。
第六十五条
任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。
以上是从便于大家快速消化的角度,从企业“应当”的角度做的一个简单的归纳和总结,每一个“应当”既意味着一个应尽义务,但同时也意味着法律对我们每个人权益的切实保护。我们将持续关注《个人信息保护法》相关动态,与大家分享。
陆续更新,敬请期待
如认为本文侵犯版权,请及时联系闪涛律师团队。
团队介绍
闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、公司法务、并购、解散、破产、清算、金融、证券、私募、区块链、人工智能、智能合约、大数据等领域。
闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院兼职教授、硕士研究生导师,中南财经政法大学博士研究生。
闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员。
点一下在看再走吧