发布时间:2021-09-10
|
第二章 个人信息处理规则 |
|
|
第一节 一般规定 |
|
|
第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息: (一)取得个人的同意; (二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需; (四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需; (五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息; (六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息; (七)法律、行政法规规定的其他情形。
依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。 |
本条规定了处理个人信息的前提条件,取得同意和无需取得同意的情形。 (一)处理者应当诚信(不能误导、欺诈、胁迫)告知个人信息主体并取得同意。 (二)签订合同时要求提供的必要个人信息,如姓名、身份证号码、家庭住址等情况,如借贷还可要求提供财产信息,但不得要求提供超过必要限度的个人信息,例如西服定制合同中可以要求提供体重、体型信息,但不得要求提供基因信息。公司人力资源部门的员工信息登记表可登记的个人信息也是有限度的,比如强制要求提供宗教信仰、性取向等是不被允许的。 (三)例如公安机关登记户籍信息属于履行法定职责。 (四)例如疫情的行程码收集个人行程信息,比如寻人启事等。 (五)例如实名举报。 (六)例如个人信息主体在网上发布自己的工作单位及联系方式,请大家转发的情形。
|
|
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。 |
本条规定了个人同意的要求和标准:充分知情。例如某个应用的个人信息保护政策甚至注册用户必须下拉阅读政策内容才能点击同意的方式属于充分告知个人的行为。例如个人信息保护政策中对个人敏感信息的处理加粗提醒会被认为未充分告知。 例如APP增加某项功能需要增加收集某项个人信息,应当重新征得注册用户的同意,应用需要弹出个人信息保护政策的弹窗重新让用户充分知情且同意。
|
|
第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。 |
本条规定了个人的撤回同意权,例如个人同意某APP收集某类个人信息,个人有权利随时撤回该项同意或可以直接关闭该项权限。 该撤回同意不溯及既往,个人之前同意处理活动的依然有效。 |
|
第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。 |
本条和处理者不得强制索权相关,例如某地图APP必要收集的个人信息为位置信息,同时可以访问相册,用户有权随时打开和关闭访问相册的权限,位置信息为实现功能所必须,如果关闭,将无法使用地图导航服务,但关闭相册访问权限应用不得拒绝提供地图导航服务。 |
|
第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。 |
该条规定个人信息处理者的具体告知义务。除告知名称、联系方式、个人信息处理目的、种类、保存期限外,还要求个人信息处理者要告知个人行使本法权利的方式和程序,例如更正、撤回同意、可携带、投诉等方式和权利。 通过个人信息处理规则处理个人信息的,规则应当公开,且应易于查询。例如商场的监控,应当在显眼处告知用户处理规则。例如公司收集员工个人信息也应当向员工公开处理规则。 |
|
第十八条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。 |
本条规定了法律、行政法规规定保密义务或不需要告知和紧急情况的例外豁免告知的法定情形。需要关注行政法规可以规定保密或不需要告知的情形。紧急情况如广为传播的寻人启事 |
|
第十九条 除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。 |
本条规定有属于最小限度原则,保存的时间除法律、行政法规规定外,应当储存必要最短的时间。到期后处理者应当删除或匿名化处理个人信息。 |
|
第二十条 两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。 个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。
|
本条规定和欧盟GDPR的立法存在很大的区别。GDPR的处理者按控制者的指令处理个人信息,处理者的责任由控制者承担。故GDPR“控制者”等同于国内“处理者”的的概念。两个以上处理者共同处理个人信息侵害个人权益应承担连带责任,这要求共同处理者之间应当对彼此个人信息保护的能力作出评估,避免因对方的过错承担连带责任。 |
|
第二十一条 个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。
受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。
未经个人信息处理者同意,受托人不得转委托他人处理个人信息。 |
本条规定处理者应当与委托处理个人信息的受托人约定处理的目的、期限等,处理者应当对受托人的处理活动进行监督,这要求处理者对受托者有必要的了解,而且对委托处理的活动全程进行监督,受托人应当予以配合,受托人拒绝配合可以成为法定违约的情形,处理者有权解除或终止合同。 受托人不得保留处理的个人信息。 本条并未规定个人信息处理者委托第三方处理个人信息需要获得个人信息主体的单独授权同意。 受托人未经处理者同意不得转委托,未经同意转委托违反本条规定。 |
|
第二十二条 个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。 |
本条规定个人信息处理者告知接收方名称和联系方式后,在合并、分立、解散、被宣告破产等情形可以转移个人信息,合并是两个主体合为一个主体,分立是一个主体分立成两个或多个主体。本条没有规定可以通过并购方式转移个人信息,并购并没有发生主体增加或者减少的情形,这说明企业不能通过并购的方式直接获得个人信息的直接控制权,这说明发生在集团公司子公司之间的数据融合、聚合、转移在未经个人同意的情形下是不被允许的。 |
|
第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。 |
个人信息处理者向其他个人信息处理者提供其处理的个人信息需要向个人“告知”+“单独同意”,未经个人单独同意,处理者不得向其他处理者提供个人信息。例如某APP获取了用户的支付账号需要提供给三方支付机构,该APP应告知并征得用户的单独同意,例如用弹窗的形式弹出告知事项由用户选择是否同意。如对原来的处理目的方式有变更,须重新获得个人同意。 |
|
第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。 |
禁止大数据杀熟,个人信息处理者应用通俗易懂的方式公开自动化决策的规则,以保证决策的透明度,同时还应当保证结果的公平公正。不得对个人在交易条件上实行不合理的差别待遇,这并不是要求处理者按照统一的交易条件交易,而是允许合理的差别待遇。例如,处理者对首次注册或者首次购买的个人给予适当优惠是合法的,例如处理者根据通过数据分析根据个人的经济承受能力对同一产品或服务给予差别待遇是违法的。 自动化决策对个人权益有重大影响是以对个人的人身或财产安全、人格尊严产生重大影响为标准。 |
|
第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。 |
取得单独同意是处理和不得公开其处理个人信息的例外,但处理者公开其处理的个人信息有违法律规定,违反公序良俗,取得个人同意的行为无效,仍然不得公开。 |
|
第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。 |
公共场所按照的图像采集、个人身份识别设备应当符合两个条件,一是维护公共安全所必须,同时需要设置显著的提示标识。例如在公共场所为安全可以安装摄像头,但应当在显著位置设置类似“您已处于监控区域”的标识,否则违反本法。未经单独授权的“配合式采集”违反本法,例如去年3.15报道某些品牌在店内安装摄像头违规抓取人脸数据并作分析的行为违反本法规定。 |
|
第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。 |
个人自行公开和已经合法公开的信息,个人处理者在合理范围内可以处理,例如裁判文书网公开的个人信息,个人信息处理者合法收集后,在一定限度以内处理不违反本法。处理会影响个人生命财产安全、人格尊严的个人信息,需要取得个人同意。 |
|
第二节 敏感个人信息的处理规则 |
|
|
第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。 |
本条是关于个人敏感信息的规定,将十四岁以下的个人信息全部规定为敏感个人信息。很大一部分应用会涉及处理敏感个人信息,例如人脸识别会收集面部生物识别信息,产生交易会处理金融账户信息。对于敏感个人信息,需要采取严格的保护措施,例如加密存储、加密传输,设置更高级别的访问权限,处理敏感个人信息需要做个人信息保护影响评估等。 |
|
第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。 |
个人信息处理者处理敏感个人信息应当取得个人单独同意,而不能概括同意,同意可以是电子方式同意,也可以是书面形式同意。例如授权查询个人征信信息签订书面同意书,属于必须书面同意的情形。 |
|
第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。 |
个人信息处理者处理敏感个人信息时,在告知个人信息处理规则时,应当说明必要性,在处理敏感信息前,处理者应进行个人信息保护影响评估。 |
|
第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。 |
处理未满十四周岁未成年人个人信息的需要获得其父母或监护人的同意。目前应用市场有不少服务十四周岁以下未成年人的APP,例如教育类、益智类的应用,其中有不少未设立专门的未成年人个人信息保护政策,应及时增加,否则违反本条规定。 |
|
第三十二条 法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。 |
部分敏感个人信息的处理需要获得行政许可,例如采集专门采集个人行踪轨迹的SDK提供商需要获得国家相关部门的许可。 |
|
第三节 国家机关处理个人信息的特别规定 |
|
|
第三十三条 国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。
|
国家机关处理个人信息需要遵守本法规定,这说明国家机关应建立其个人信息保护的合规体系,保护公民个人信息。 |
|
第三十四条 国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。
|
国家机关只能在法律、行政法规规定的范围内处理个人信息,部门规章或者规范性文件不能成为国家机关处理个人信息的依据,国家机关超出法定职权处理个人信息违反本法的规定。 |
|
第三十五条 国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。
|
国家机关履行法定职责处理个人信息与普通主体处理个人信息的规则不同,国家机关有告知义务,无需征得个人同意,普通个人信息处理者需要“告知”+“同意”。 |
|
第三十六条 国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。
|
本条是关于国家机关处理个人信息境内存储的规定,国家机关处理的个人信息出境应当进行安全评估,这与出境的数量无关,而是因为出境的实施主体为国家机关。 |
|
第三十七条 法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息,适用本法关于国家机关处理个人信息的规定。
|
法律、法规授权具有管理公共职能的组织应适用本法关于国家机关处理个人信息的规定,如消费者协会、残疾人联合会等组织。 |
