《个人信息保》要点解读

《个人信息保》要点解读本站　　针对个人信息保护的专门性立法，《个人信息保》构建了完整的个人信息保护框架，对个人信息处理规则、个人信息跨境传输、个人信息处理活动的权利、信息处理者的义务、监管部门职责以及罚则等作出了全面的规定

　　针对个人信息保护的专门性立法，《个人信息保》构建了完整的个人信息保护框架，对个人信息处理规则、个人信息跨境传输、个人信息处理活动的权利、信息处理者的义务、监管部门职责以及罚则等作出了全面的规定。

　　处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整的告知个人信息处理者的名称或者姓名和联系方式，个人信息的处理目的、方式、种类、保存期限，个人行权的方式和程序。

　　只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

　　除处理一般个人信息应当告知的内容外，还应当告知处理敏感个人信息的必要性以及对个益的影响。

　　处理个人敏感信息应当取得个人的单独同意。而处理不满十四周岁未成年人个人信息的，应当取得其父母或者其他监护人的同意。

　　告知向境外提供个人信息的情况，包括境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项。

　　关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者应当通过网信部门组织的安全评估，另有规定的除外。

　　其他个人信息处理者可选择以下任一路径：通过网信部门组织的安全评估，通过专业机构进行个人信息保护认证，与境外接收方订立网信部门制定的标准合同，或者遵循其他法定路径。

　　个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。

　　3、处理个人信息对个益有重大影响的，应事前进行个人信息保护影响评估，相关记录至少保存三年。

　　5、对于大型个人信息处理者（包括提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者），应当承担额外的个人信息保护义务。

　　违法处理个人信息，情节严重的，将会被没收违法所得，至高处五千万或上一年度营业额百分之五的罚款，责令暂停业务或停业整顿。吊销业务许可或营业执照；直接责任人员至高将被处罚款一百万元，及被禁止担任董监高或个人信息保护负责人。

　　处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。两个以上个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当承担连带责任。

　　取得个人合法有效同意作为处理个人信息的合法性基础，是个人对其个人信息的处理享有决定权的表现。若该同意是未经充分告知前提下作出，同意的形式不符合法律要求，超范围处理个人信息，处理情况发生变更未重新取得同意，或者未提供撤回同意的方式等，均可被认定为未经个人同意处理个人信息，属于侵犯个人决定权的行为。

　　1、处理个人信息前，应以显著方式、清晰易懂的语言真实、准确、完整地告知个人信息处理者的基本情况，信息处理的目的、方式、范围、保存期限，个人的法定权利等事项，保障个人的知情权。

　　2、一般应取得个人的明确同意，特殊情况下还需取得单独同意或书面同意。如向第三方提供个人信息、公开处理的个人信息、处理敏感信息、向境外提供个人信息的，应取得单独同意。

　　自动化决策，是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。通过自动化决策实行不合理的差别待遇，包括歧视性定价、定向推送不支持关闭等行为，均为《个人信息保》所明确禁止。

　　禁止基于自动化决策实行不合理的差别待遇并不等于禁止自动化决策方式，个人信息处理者通过自动化决策的，应满足以下要求：

　　原则上，个人信息处理者应将个人信息存储在境内，确需向境外提供个人信息的，应当符合法定条件。对于关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者向境外提供个人信息的，还需通过网信部门组织的安全评估。

　　1、修改隐私文件或其他方式，将出境情况充分告知个人，并征得其单独同意，除非可以依赖其他合法性基础。

　　2、与境外接收方签署标准合同（由国家网信部门制定），或者通过个人信息保护认证，并采取包括但不限于合同约束、技术限制、定期复核、合规审计等必要措施，确保接收方妥善保护个人信息。

　　个人信息处理者对于信息处理负有确保处理活动合法合规、防范未经授权的访问和保障个人信息安全的义务，否则可能会承担一定的过错责任。

　　具体来说，个人信息处理者应根据处理目的、方式、种类及对个益的影响、安全风险等，采取如下安保措施：

　　由于大型个人信息处理者（提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者）与小型个人信息处理者在技术水平、风险等级上存在较大差异，《个人信息保》强化了对大型个人信息处理者的监管，提出了额外要求。

　　实务中，数据处理过程中可能涉及到多方主体，共同处理者（共同决定个人信息的处理目的和处理方式的个人信息处理者）侵害个人信息权益造成损害的，互相之间承担连带责任，且该连带责任不因双方约定而排除。

　　1、充分评估合作方的个人信息保护水平，以及共同处理信息的合法性、正当性、必要性，采取必要措施保障信息安全。

　　2、通过协议明确约定共同处理个人信息的目的、方式、范围，各自的权利和义务，并制定个人信息应急预案。

　　（我们精心筛选了“芯片”相关股票名单，内附30余个分析指标，可在“苏宁金融研究院”公众号后台回复“进群”，扫码添加小助手微信，入群免费获取名单。）