您现在的位置 > 首页 > 经典案例
经典案例 Blue Sky Classic Case
专业 敬业 诚信Professional Dedicated Honesty And Credit

个人信息保护法的法律详解(内附企业信息安全防控建议)

发布时间:2021-09-10 点击量:

微信图片_20211229182309.png

导   言

这部万众期待的法律终于来了。

2021年8月20日全国人大常委会通过了《个人信息保护法》,其将于2021年11月1日起正式实施。在信息化时代,如何保护个人信息已成为了一个被广泛关注的社会性问题。《个人信息保护法》是我国正式针对于个人信息及隐私安全领域制定的第一部专门法律,其立法之严格、保护之全面,也传递了国家下决心整治市场秩序的讯号。这将对于各行业的企业法人等市场经济主体,尤其是互联网行业产生深远影响。


一、立法背景  Legislative Background

法律是时代的产物。曾几何时,“大数据时代”、“信息为王”、“精准营销”等词汇已变得耳熟能详,在信息数据争夺战愈演愈烈的当下,《个人信息保护法》应运而生。

此前,我国在信息数据安全方面已陆续出台过《网络安全法》、《数据安全法》等法律,在今年实施的《民法典》中对于个人隐私保护方面也有相关内容。《个人信息保护法》全面完整地在个人信息和个人信息处理者层面作出了详实且有针对性的规定,填补了我国个人信息保护领域的法律空白。

 微信图片_20211229182317.jpg


二、重要概念  Important Concepts

什么是个人信息?

《个人信息保护法》第四条规定:“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”

根据《民法典》的规定:《民法典》第一千零三十四条 ……自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。……

怎样的个人信息受到法律保护呢?

可识别性是区别该信息受法律保护与否的关键点。目前,几乎所有相关法律保护的都是相对完整、能够识别到特定自然人的信息。而《个人信息保护法》也明确了其保护对象不包括匿名化处理后的信息。

这里有两个重要的法律概念,去标识化和匿名化。其中,去标识化,指的是个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程;匿名化,指的是个人信息经过处理无法识别特定自然人且不能复原的过程。

image.png

微信图片_20211229182327.jpg


三、亮点解析  Highlight Analysis

1.约束过度收集个人信息

在下载使用APP的过程中,总有应用要求用户授权其访问录音机、相机、相册、通讯录等,这些“允许”增加了隐私泄露的风险。《个人信息保护法》的颁布给过度收集用户信息等行为提供了有效的治理依据。

处理个人信息应当具有明确、合理的目的。对待个人信息要做到“最小”,即多不如少,处理时采取对个人权益影响最小的方式、收集时应当限于处理目的的最小范围,不得过度收集个人信息。

微信图片_20211229182331.jpg

2.个人信息的买卖问题

近年来媒体曾多次曝光过一些人通过非法渠道盗窃大量个人信息在QQ群、微信群中低价售卖,导致大量用户被恶意骚扰等现象,至今此类事件仍常有发生,对此,《个人信息保护法》第十条规定 任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。

3 .  禁止大数据杀熟

知名旅游网站携程曾被曝光出现因旅行次数、使用频率的差异化而区别用户、“同票不同价”的情况。无独有偶,不久前某知名外卖平台也被曝光其依据收集到的用户个人信息而实施差别待遇,针对不同用户产生不同配送费等情况。2021年7月,浙江某法院开庭审理了胡女士诉携程网侵权纠纷一案,以判决携程“退一赔三”终结,本案也系大数据杀熟领域胜诉的第一案。

央视曾在节目中痛批大数据杀熟的现象:“杀熟就是宰客,杀熟就是欺诈,就是恃强凌弱”。对此类广大民众热切关注的热点问题,《个人信息保护法》也作出了不得利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇的相关规定。

 微信图片_20211229182335.jpg

4.不得强制推送个性化广告

打开手机软件,你搜索过什么,下次再打开就有大量类似商品或内容的推送,这时常让用户有种被监控的感觉,令人不堪其扰。对此个人信息保护法规定:个人信息处理者通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求予以说明,并有权拒绝仅通过自动化决策的方式作出决定。

5.将人力资源管理明确纳入个人信息处理范围

《个人信息保护法》第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:

(一)取得个人的同意;

(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;……

可见,人力资源管理处理个人信息时的基础是“必需”,此处“必需”的应用场景需被限制在为订立、履行合同或依法制定劳动规章制度的法条描述范围之内,不可过度扩大化解析。企业的日常人力资源管理涉及员工工作的各方面,但不得利用其优势地位收集员工个人信息后违法滥用、侵害员工权益。

 微信图片_20211229182340.jpg

小编语:另有亮点如“规范公共场所图像、人脸信息采集”、“稳妥处理个人敏感信息”、“明确个人信息携带权”、“关于逝者的个人信息保护”、“严格规定个人信息跨境的规则”、“支持个人信息的合法利用”等,由于篇幅关系,在此不再展开,请联系作者咨询。


四、处罚规则  Punishment

违反《个人信息保护法》的规定,将会面临如下处罚:

1)  罚款;

2)  停业整顿、吊销证照;

3)  计入信用档案;

4)  承担损害赔偿;

5)  直接责任人员的个人罚款及从业限制;

6)  侵害众多个人权益的,指定的机关或组织可依法向人民法院提起公益诉讼。


五、保护机制——多方联动 Protection Mechanism

我国以立法规制、平台监督、社会责任报告、维权支持、公益诉讼等等联合治理的方式,共同建立保障个人信息的多方联动平台,全面推动将《个人信息保护法》的贯彻实施到位。

微信图片_20211229182345.jpg


六、企业信息安全防控建议 Methods and Attentions

据媒体“券商中国”报道,今年以来,互联网企业的合规化压力明显增大,互联网企业数据跨境和赴美上市的监管也进一步收紧。7月2日,滴滴在赴美低调上市的第三日,就面临中国监管发起的网络安全审查,股价受到重挫。7月28日,工信部委托中国互联网协会召开头部平台座谈会,召集阿里、腾讯、字节跳动、蚂蚁集团等12家企业参加,要求相关企业明确平台数据管理责任,并加强重要数据安全评估和出境管理。

该法的出台不止对于互联网行业造成一定的压力,对其他行业的企业也会产生较大影响。

几乎每个公司的人力资源、营销推广、售后客服等部门都可能会涉及到个人数据的应用场景,《个人信息保护法》令企业的从业者在进行日常工作时有了法律的依据,同时也为企业带来了更多的合规方面的挑战。企业需在守法的前提下研发产品、开拓业务,在提升竞争力的同时避免不必要的法律风险。


律师建议 Legal advice

1、最小原则,个人信息的收集处理满足自身业务需求即可;

2、及时性和准确性,对于不准确的信息及时更改、更新,对于不需要的信息及时删除、善后;

3、企业内部搭建信息安全防控体系,对于密切接触信息的人员订立专门的保密协议等,对于信息管理要严格,制度的制定要有前瞻性和预见性;

4、实时监控信息的安全问题,遇到信息泄露或信息侵权的行为要及时作出正面回应,有相应的预警机制;

5、信息的收集和处理尽量采取公开透明的,最大限度地减轻自身责任;

6、非已公开的信息处理要征得信息主体的同意、表明用途;

7、人力资源、企业用工方面的个人信息也需注意保密,不得泄露、滥用;

8、注重数据安全相关的企业文化建设,将信息安全的概念通过各种方式根植企业文化内部,深入员工内心,最大程度地保障企业数据信息方面的安全合规。

(全文有删节)


相关法条

《民法典》第1032条【隐私权】

《个人信息保护法》第66条

《刑法》第253条之一 【侵犯公民个人信息罪】

欧盟《通用数据保护条例》(GDPR)


作者介绍 Profile

常婧 律师

合伙人律师

Tel:13776097876

 

法律专业本科毕业,具有扎实的法学理论知识背景。

曾在上市公司任职,对于公司管理运营方面的法律法规有较为深刻的理解和运用。

自从事律师工作以来,参与办理过多起民商事及刑事类案件,

以其严谨细致的办案作风和认真负责的工作态度深受当事人的认可与好评。

微信图片_20211229165328.jpg

在线咨询

专业人士一对一为您解答,欢迎留下宝贵意见

看不清楚,点击刷新

江苏蓝之天律师事务所

地  址:苏州市东吴南路125号

名宇商务广场3幢4楼

电  话:0512-65216568

邮  编:215128

网  址:www.0512lzt.com