《个人信息保护法》已于2021年11月1日正式实施,这是我国第一部专门针对个人信息保护的法律,其与《网络安全法》、《数据安全法》等法律一起构成规范性、系统性、完整性的保护体系,共同为公民个人信息权益保护提供切实有力的法律保障。
个保法为个人信息的处理提供了明确的法律依据,为个人维护正当隐私权益提供充分保障,更为信息处理者如何运营掌握的个人信息数据,提供了操作指引以及法律红线。
本文将从“告知-同意”原则、敏感信息的特别规定、数据治理中的合规要求、从业人员可能涉及的行政和刑事责任等四个方面解读个人信息保护法的主要内容。
01 告知-同意原则
“告知-同意”原则是个人信息保护法最核心的法律原则之一,法条中明确了告知需要涵盖的几方面内容,包括告知时间、告知形式要求、告知内容要求以及告知事项。一种较为常见的告知书是我们日常使用APP时需勾选的知情同意书或者授权书,通常协议文本内会涵盖非常多的内容事项,如打车软件的定位授权等。此外,需要提示注意的是,相关技术规范中并不将此协议作为用户与信息处理者之间的合同约定来对待,换言之,无法依据合同违约责任来主张维权。
法条第13条用列举的方式规定了7项可以处理个人信息的情形,包括:
1.取得个人的同意;2.为订立、履行合同所必需,或者实施人力资源管理所必需;3.为履行法定职责或者法定义务所必需;4.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;5.为实施新闻报道、舆论监督等行为处理个人信息;6.合理的范围内处理已经公开的个人信息;7.法律、行政法规规定的其他情形。
除第1条为同意外,其余6条为例外事项,即不需要取得个人同意。以下通过两个场景简要示例:
场景一:银行的反洗钱义务
履行法律规定的反洗钱义务、执行关联方/关系人管理、履行信息披露义务是或否不需要个人同意?这里可能存在两种情况,一是银行配合侦查,如涉及电信诈骗;二是银行主动调查,如涉诉证据相关。前一种可落入“法律、行政法规规定不需要告知”的例外情形,后一种则无法免除告知义务。
场景二:会议录音录像
银行日常经营的办公场所具有半公开的特性,特别是营业网点设置监控录像基于公共安全的,无需取得个人同意,但应当设置显著标识,并且该信息只能用于维护公共安全目的。除此以外,如不存在其他例外情形,则需要取得个人同意,同时录音信息含个人声纹信息,属于敏感个人信息,还需要取得相关个人的单独同意,会议场景如各种周、月例会等。
02 敏感信息的特别规定
《个人信息保护法》把敏感个人信息作为重要的一个章节专门列出,强调了敏感个人信息的重要性,通过概括加列举的方式说明敏感信息的内容,并强调处理敏感信息需取得单独同意。
参考《信息安全技术 个人信息安全规范》、《个人金融信息保护技术规范》这两项业务标准,对于敏感信息的范围规定的非常详尽。需要说明的是,技术标准与法律最重要的差别之一是是否有强制效力,技术标准是无强制效力的。
03 数据治理中的合规要求
《个人信息保护法》对于信息处理者提出了具体的工作要求,包括制定管理制度和规程;对个人信息实行分类管理;采取加密、去标识化等、技术措施;合理确定操作权限,并定期进行教育和培训;制定应急预案;其他措施等六项。
除在组织内的工作要求外,法律还要求处理特定事项前需进行评估,包括处理敏感个人信息、自动化决策、委托处理、向境外提供个人信息、其他对个人权益有重大影响的个人信息处理活动等。
04 从业人员可能涉及的行政、刑事责任
《个人信息保护法》规定的处罚标准为1-10万罚款,情节严重的为10-100万罚款。近两年以来,央行针对个人信息领域的违法行为已经出具了多份处罚,包含单位及个人。
此外,《刑法》及相关司法解释同样规定了情节严重的标准,其中特别规定,如果在提供服务过程中违规提供个人信息,相关数量减半计算。
法条第七十一条规定:违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。在《刑法修正案(九)》中将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为了“侵犯公民个人信息罪”。
其中,两高司法解释对“情节严重”进行了界定:
《个人信息保护法》作为个人信息保护领域的基础性专门法律,其与《民法典》、《数据安全法》、《消费者权益保护法》等法律共同编织成一张个人信息保护网,构筑了强有力的法律威慑,有效遏制违法违规侵害个人信息权益的行为,金融从业人员更要时刻敲响警钟,规范自身行为,合法合规开展业务活动。
我们的使命:普及数据管理知识、发展数据管理工程师行业、改变中国企业数据管理现状、提高企业数据资产管理能力、推动企业走进大数据时代。
我们的愿景:凝聚行业力量、打造数据工程师全链条平台,培养不同层级数据工程师人才、构建数据工程师生态圈。
我们的价值观:分享数据管理知识,持续提升数据管理和运营能力。
(部分内容来源网络,如有侵权请联系删除)
