益友视点 | 《个人信息保护法》十问十答
时间:2021-10-13 作者:益友天元
《中华人民共和国个人信息保护法》(以下简称“《个保法》”)是中国首部有关个人信息保护的专门性立法,即将于2021年11月1日起施行。《个保法》共计八章七十四条,对个人信息的处理、保护提出了原则性的要求,现本文将条文中的要点、亮点以问答形式予以呈现,并辅以个人信息保护的国家标准进行解读。
Q1
什么是“个人信息”?
个人信息的定义 | ||
法律规定 | 《个保法》第4条 | 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息 |
国家标准 | 《信息安全技术个人信息安全规范》第3.1条 | 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息 |
《信息安全技术个人信息安全规范》(GB/T 35273-2020)在《个保法》制定前已颁布,其附录A指出了两条个人信息的识别路径,可供读者参考判定某项具体信息是否属于个人信息。即通过(1)识别,从信息本身的特殊性识别出特定的自然人,如通过个人的身份证号识别出个人,身份证号码属于个人信息;或者通过(2)关联,特定个人在其活动中产生的信息,比如个人的就医记录也属于个人信息。
Q2
个保法适用的对象是谁?
Q3
个保法是否约束境外的个人信息处理活动?
Q4
《个保法》中个人信息处理者处理个人信息的一般规则是什么?
Q5
个人信息处理者处理个人信息在何种情形下需要获取个人的“单独同意”?
Q6
什么是“个人敏感信息”?
个人敏感信息的判定 | ||
法律规定 | 《个保法》第28条 | 一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息 |
国家标准 | 《信息安全技术个人信息安全规范》第3.2条 | 一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息 |
《信息安全技术个人信息安全规范》附录B指出了三条敏感信息的识别路径,可供读者参考如何判定个人敏感信息,具体如下:
Q7
在用收集的个人信息作“自动化决策”时,个人信息处理者需要注意哪些事项?
Q8
跨境处理个人信息,需要注意什么?
通用要求 | 主体性质 | 特殊要求 |
1.采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准 (《个保法》第38条) 2.告知个人并取得个人的单独同意 (《个保法》第39条) 3.事先进行个人信息保护影响评估 (《个保法》第55条) | 关键基础设施 运营者 | 1.将在中国境内收集和产生的个人信息存储在境内 2.确需向境外提供的,应当通过国家网信部门组织的安全评估 (《个保法》第40条) |
处理个人信息达到国家网信部门规定数量的个人信息处理者 | ||
其他个人信息 处理者 | 满足下列条件之一: 1)依照本法第四十条的规定通过国家网信部门组织的安全评估; 2)按照国家网信部门的规定经专业机构进行个人信息保护认证; 3)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务; 4)法律、行政法规或者国家网信部门规定的其他条件。 (《个保法》第38条) |
Q9
个人信息受到侵害,个人如何救济?
Q10
没有按照法律规定处理个人信息,个人信息处理者需要承担什么责任?