个人信息保护法
个人信息保护法亮点一览
什么是个人信息?
以电子或其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括收集、存储、使用、加工、传输、提供、公开、删除等。
核心原则:“告知-同意”
处理个人信息,应在事先充分告知的前提下取得个人同意,不得误导、欺诈、胁迫等;不得以个人不同意为由拒绝提供产品或者服务;信息处理者应当提供便捷的撤回同意的方式。
个人信息处理有“三最”
· 处理个人信息应当采取对个人权益影响最小的方式
· 收集范围应当限于实现处理目的的最小范围
· 保存期限应当为实现处理目的所必要的最短时间
规范应用程序(APP)过度收集个人信息、大数据杀熟以及非法买卖、泄露个人信息等
对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,一要成立主要由外部成员组成的独立机构进行监督,二要制定有关个人信息保护的平台规则,三要定期发布个人信息保护社会责任报告。
利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
更严格限制处理敏感个人信息
生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息属于敏感个人信息。
处理规则:只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下进行。应当向个人告知处理敏感个人信息的必要性和对个人权益的影响。
未成年人的个人信息也属于敏感个人信息
处理此类个人信息,应当取得未成年人的父母或其他监护人的同意,并制定专门的个人信息处理规则。
完善个人信息跨境提供规则
关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。
非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。
加大对侵犯个人信息行为的惩处力度
违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
稿件来源:温州网信