第壹節壹般規定
第十三條符合下列情形之壹的,個人信息處理器可以處理個人信息:
(a)取得個人同意;
(二)需要簽訂和履行以個人為壹方當事人的合同,或者需要按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理的;
(三)需要履行法定職責或者義務的;
(四)為應對突發公共衛生事件或者在突發事件中保護自然人的生命健康和財產安全所必需的;
(五)開展新聞報道、輿論監督等有利於公眾的行為,在合理範圍內處理個人信息;
(六)依照本法規定,處理個人自行公開的個人信息或者在合理範圍內依法公開的其他個人信息;
(七)法律、行政法規規定的其他情形。
依照本法其他有關規定,處理個人信息應當取得個人同意,但前款第二項至第七項規定的情形,不需要取得個人同意。
根據《個人信息保護法》第五條“處理個人信息應當遵循合法、正當、必要和誠實信用的原則”,那麽什麽是“合法、正當”?這壹條解決的問題是“合法公正”。
在沒有特殊關系或特殊場景的大多數情況下,獲得個人同意需要適用規則。例如,我們的手機應用程序需要我們的同意才能收集手機中的信息。
除了“取得個人同意”之外,在壹些特殊關系或者特定情況下,為了社會的正常運轉,考慮到人們的習慣行為和習慣,可以不經過個人同意而對個人信息進行處理。這些情況是:
1,需要訂立和履行合同。簽合同的時候,需要寫清楚雙方是誰。為了指定當事人,需要寫當事人的壹些信息,比如身份證信息。合同簽訂後,雙方或多方在履行合同時,需要知道對方的壹些信息,如姓名、電話號碼、電子郵件地址等。沒有這些個人信息,合同就無法履行。
2.在勞動關系中,由於法律的規定和繳納社保、公積金的要求,單位往往需要了解員工的很多個人信息,比簽訂績效合同需要的信息更多、更詳細。如果員工拒絕提供個人信息,將導致單位無法依法履行職責,無法進行有效管理。
3.為履行法定職責或者義務所必需,是指有關國家機關或者司法機關、事業單位因其職責和義務由法律明確規定,為履行職責和義務而需要獲取個人信息的情形。比如公安機關戶籍部門需要收集整理公民的戶籍信息。
4.為應對突發公共衛生事件或者在突發事件中保護自然人的生命、健康和財產安全所必需的。這種情況在疫情期間尤為明顯。從法律上講,人的生命健康權是壹種更高的權利。為了保護人的生命健康權,需要在沒有個人同意的情況下對個人信息進行處理。但是,還有壹個度的問題。、“應當以處理為目的限制在最小範圍內,不得過度收集個人信息”,不得濫用、非法轉讓、交易收集的個人信息。
5.新聞報道中對個人信息的使用壹般屬於合理使用的範圍。原民法典第999條也規定,新聞報道和輿論監督為了公眾利益,可以合理使用民事主體的姓名、名稱、肖像和個人信息;不合理使用侵犯民事主體人格權的,應當依法承擔民事責任。
6.在民法典中,個人信息的保護和隱私的保護是壹起規定的,因為個人信息的公開可能會侵犯他們的隱私。但是對於自己公開或者依法公開的個人信息,自然不存在隱私問題,只要不侵犯其他合法權益,就可以使用。
其中,已經合法公開的個人信息,往往因為法律要求而公開,具有其他社會價值。比如工商登記信息、判決書、被執行人信息和限制高消費信息等。
有些app通過收集已經發布的個人或企業信息,進壹步分類,讓這些信息產生新的價值。
最後規定壹個兜底條款,為適應社會和法律的發展變化留有余地,即“法律、行政法規規定的其他情形”。
第十四條在個人同意的基礎上處理個人信息的,應當在個人完全知情的前提下,由個人自願、明確表示同意。法律、行政法規規定處理個人信息應當取得個人同意或者書面同意的,從其規定。
個人信息的目的、方式、類型發生變更的,應當重新取得個人同意。
第十五條個人信息處理基於個人同意,個人有權撤回其同意。個人信息處理者應該提供方便的方式來撤回他們的同意。
撤回個人同意不影響撤回前基於個人同意的個人信息處理活動的效力。
第十六條個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由拒絕提供產品或者服務;處理個人信息不是提供產品或服務所必需的。
第14條至第16條是關於“個人同意”的更具體的規定。什麽是“個人同意”?看似很簡單的問題,實際操作起來卻有很多問題。比如在網頁或APP上查看電子協議或各種形式的“通知”,是“個人同意”嗎?長期以來,很多網站和app都是這麽做的。
但是,有多少人認真看過電子協會或者通知呢?服務或產品的接受者點擊“同意”,因為不點擊“同意”就不能使用產品或服務。電子協議或通知越來越長,卻很少有人看。在這種情況下,看似個人同意處理個人信息,但這種同意屬於“偽同意”,是壹種虛假同意。
另外,如果“同意”是錯誤的,或者“同意”是反悔的,可以撤回嗎?之前我們使用的產品或服務中很少有這樣的功能,這讓我們可以收回同意書。不可撤銷的同意其實是壹種虛偽的“同意”。
第14條主要規定同意的前提是“完全知情”。我國《消費者權益保護法》規定,消費者享有知情權。沒有“完全知情”,就沒有真正的“同意”。關於如何告知,下文第17條有明確規定。
第15條主要規定個人有權撤回同意,並要求“個人信息處理者應當提供撤回同意的便利方式”。目前,許多產品或服務不符合這壹條的要求。《個人信息法》生效後,提供的產品或者服務涉及個人信息的,需要完善功能,增加“撤回同意”的方式。
第16條主要規定了拒絕處理個人信息或撤回同意的人是否可以繼續使用產品或服務。如前所述,消費者之所以同意處理其個人信息,是因為未經同意不能使用產品或服務,他們沒有選擇。“傳統”做法實際上侵犯了消費者(或用戶)的選擇權。
根據這壹規定,涉及個人信息處理的產品或服務,以個人不同意處理其個人信息或撤回同意為由拒絕提供產品或服務的,需要說明理由,即需要說明提供產品或服務需要特定同意。如果沒有必要,就違反了法律。
根據這壹規定,市場上的壹些產品或服務需要修改,在用戶同意的情況下,需要區分哪些是必要的,哪些是不必要的。沒必要,應該給用戶選擇權。
對於什麽樣的信息是必要的,應用app的服務請參考《常見移動互聯網應用必要個人信息範圍的規定》。
第十七條個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、準確、完整地告知個人下列事項:
(壹)個人信息處理者的姓名和聯系方式;
(二)個人信息處理的目的和方式,處理的個人信息的種類和保存期限;
(三)個人行使本法規定的權利的方式和程序;
(四)法律、行政法規規定應當告知的其他事項。
前款規定事項發生變更的,應當將變更部分告知個人。
個人信息處理者通過制定個人信息處理規則告知第壹款規定事項的,處理規則應當公開,便於查閱和保存。
第18條個人信息處理人對於前條第壹項規定之事項,有法律、行政法規規定應予保密或不需告知之情形者,不得告知個人。
在緊急情況下不能及時告知個人以保障自然人生命健康和財產安全的,個人信息處理者應當在緊急情況消除後及時告知。
根據第14條“基於個人同意處理個人信息的,該同意應當由個人在完全知情的前提下自願、明確地作出”,這就要求個人信息處理者在處理個人信息之前負有告知義務。通知的程度應該達到個人“完全知情”的程度。
第17條規定了需要通知個人的事項。在這些事情上,姓名(名稱)和聯系方式是壹種例行通知。個人信息處理的目的和方法可能會成為壹些企業的關鍵問題,也可能是很容易改變的事情。很多企業都有最大限度處理個人信息的想法,但目前都要求明確處理的目的和方法,這無疑限制了以後個人信息處理的範圍。此外,商業模式的發展,企業和技術的發展,都會產生新的個人信息處理目的和方法。
當已經告知的事情發生變化時,需要再次告知個人發生變化的部分。同時,根據第14條的規定,再次需要個人同意。這對壹些產品或服務提供商提出了新的要求。
第18條規定了通知個人的例外情況。主要有兩種例外:1,法律、行政法規(不包括部門規章、地方性法規等法律文件)應當保密或者不需要告知的;2.在緊急情況下,不能及時告知更高壹級法律價值(生命、健康、財產安全)的,可以在緊急情況消除後告知。這種情況不是不告知,而是中止告知義務。
第十九條除法律、行政法規另有規定外,個人信息的保存期限應當為達到處理目的所必需的最短時間。
這篇文章是關於個人信息的保留期限。在這個問題上,個人信息保護法並沒有做出統壹的規定,而是規定了壹個確定時間的規則,即達到處理目的所必須的最短時間。
這個規定,如果有法律爭議,實際上是給信息處理者強加了壹個舉證責任:解釋或者證明為什麽某些信息需要保存壹個月或者兩個月,必要性在哪裏?信息處理者不能說明或者證明“必要的最短時間”的,應當承擔相應的法律責任。
第二十條兩個以上個人信息處理者約定個人信息處理目的和方式的,應當約定各自的權利和義務。但是,本協議不影響個人向任何個人信息處理者請求行使本法規定的權利。
個人信息處理者* * *處理個人信息,侵害個人信息權益的,依法承擔連帶責任。
在許多情況下,兩個以上的個人信息處理器同時處理個人信息。有的是兩個或兩個以上的經營者共同經營壹種產品或服務,有的是壹個或壹個以上的經營者在另壹個經營者提供的平臺上經營,有的是兩個或兩個以上的經營者達成協議共同處理個人信息。在任壹情況下,如果* * *決定個人信息處理的目的和方式,則應根據本條的規定約定各自的權利和義務。
* * *如果對個人信息的處理侵犯了個人權益,則屬於* * *的侵權行為,應當承擔連帶責任。
第二十壹條個人信息處理者委托他人處理個人信息的,應當與受托人約定目的、期限、處理方式、個人信息種類、保護措施、雙方權利義務等,並對受托人的個人信息處理活動進行監督。
受托人應當按照約定處理個人信息,不得超出約定的目的和方式處理個人信息;委托合同未生效、無效、被撤銷或者終止的,受托人應當將個人信息退回個人信息處理人或者刪除,不得保留。
未經個人信息處理人同意,受托人不得委托他人處理個人信息。
這篇文章是關於受托處理個人信息的人的義務。與個人信息處理者的義務相比,受托處理個人信息者的義務要小得多:1。對合同內容的要求,即約定目的、期限、處理方式、個人信息種類、保護措施以及雙方權利義務;2.接受受托人對個人信息處理活動的監督;3.根據協議處理個人信息;4.合同無效或終止的,退回或刪除個人信息;5.不允許委托。
因為與個人信息處理者相比,受托信息處理者的義務要小得多,有可能壹些企業將自己定義為受托信息處理者,以規避法律義務。這時候就需要根據實際情況來判斷企業屬於個人信息處理者還是委托信息處理者。如果企業既是個人信息處理者,又是圖圖,就需要根據其具體的經營行為來判斷承擔什麽樣的法律義務。
第二十二條個人信息處理者因合並、分立、解散、破產等原因需要轉移個人信息的,應當告知個人接收人的姓名或者聯系方式。接收方應繼續履行其作為個人信息處理者的義務。接受方改變原處理目的和方式的,應當依照本法規定重新取得本人同意。
本文是關於因合並、分立、解散、破產等原因如何轉移個人信息的規則。需要指出的是,個人信息處理者在合並或拆分時,並不壹定需要轉移個人信息。解散或宣告破產時,必須轉移個人信息。
第二十三條個人信息處理者將其處理的個人信息提供給其他個人信息處理者的,應當告知該個人接收人的姓名、聯系方式、處理目的、處理方式和個人信息的種類,並征得該個人單獨同意。接收方應在上述個人信息的處理目的、處理方法和類型範圍內處理個人信息。接受方改變原處理目的和方式的,應當依照本法規定重新取得本人同意。
該條是第二條需要個人同意的法律。
實踐中,個人信息處理者在收集個人信息後,往往會再次提供給其他個人信息處理者,但基本上不會告知個人,甚至不會征得個人同意,最多是在用戶協議中保留相關條款。
《個人信息保護法》實施後,向其他個人信息提供者提供個人信息的成本會增加,需要將相關信息告知個人,並征得個人同意。保留相關條款的做法將不符合法律要求。
在理解這壹條時,要與第21條區分開來。第二十壹條是指個人信息被委托處理的場景。例如,個人信息處理器收集個人信息後,將其交給其供應商,並要求供應商根據其要求進行壹定的分析和處理。這篇文章是關於將數據交給另壹個個人信息處理者,例如,在收集個人信息後,將其提供給另壹個運營商,用於其產品或服務的設計和運營。
第二十四條個人信息處理者應當利用個人信息進行自動決策,並應當保證決策的透明和結果的公平、公正,不得在交易價格等交易條件上給予個人不合理的差別待遇。
通過自動化決策方式向個人進行信息推送和商業營銷,應當提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。
通過自動化決策做出對個人權益有重大影響的決策時,個人有權要求個人信息處理者做出說明,有權拒絕個人信息處理者僅通過自動化決策做出決策。
該條規定了“用戶畫像”和“大數據殺熟”的問題。壹段時間以來,有不少消費者反映,剛想買某個商品,突然收到了這個商品的推送;也有消費者反映遇到過大數據殺熟:同樣的商品或服務,熟客和陌生人的價格不壹樣,甚至不同型號、不同性別的手機價格也不壹樣。很多人懷疑這是因為運營商在搞大數據殺熟,利用壹些熟客對價格的不敏感來獲取不合理的利益。
該條並未規定不能進行“用戶畫像”,只是要求不得對交易價格等交易條件進行不合理的差別待遇。此外,主動推送的信息應提供不針對個人特征的選項,並提供便捷的拒絕方式。這就把主動權交給了個人,個人有權根據個人特點拒絕信息推送,有權拒絕信息推送。
第二十五條個人信息處理者不得披露其處理的個人信息,但經個人單獨同意的除外。
這是另壹個關於“個人同意”的條款。需要指出的是,“個人同意”必須是明示的,並且存在個人壹系列同意的行為,因此不能推斷“個人同意”是默示的。
所謂“公開”,就是信息不被控制在壹定範圍內,可以被不特定的人獲取。
如果收集的個人信息用於分析和決策,則不公開,不需要去的個人另行同意。
但是,如果對收集的個人信息進行處理並顯示給不特定的人,則需要個人同意。
另外,這裏的個人信息是指第十三條規定的基於取得個人同意而處理的個人信息。其他未在取得個人同意的基礎上進行處理的信息,在公開時不需要再次取得個人同意。
第二十六條在公共場所安裝圖像采集和個人識別設備應當為維護公共場所安全所必需,遵守國家有關規定,並設置明顯的警示標誌。所收集的個人圖像和身份信息只能用於維護公共安全的目的,不得用於其他目的;除非得到個人同意。
這是第三條需要個人同意的法律。
根據該規定,首先,只有為了維護公共場所的安全,才可以安裝收集、識別個人信息的設備。除非是維護公司安全的需要,否則不能隨意安裝。比如書店的經營者不能在拍攝店外的區域安裝拍攝設備。其次,我們應該設立壹個突出的提示標誌。未設置顯著提示標誌的,未履行法定義務。第三,收集的個人信息只能用於維護公眾安全的目的,不能用於其他目的。最後,如果需要用於其他用途,需要征得個人同意。需要註意的是,壹些在公開場合收集的個人信息,如果涉及人數較多,幾乎很難獲得個人同意。比如在機場、火車站收集的個人信息。
第二十七條個人信息處理者可以在合理範圍內處理個人自行公開的個人信息或者其他已經合法公開的個人信息;除非個人明確拒絕。個人信息處理者對公開的個人信息的處理對個人權益有重大影響的,應當依照本法規定取得個人同意。
根據第十三條的規定,個人信息處理者可以依照本法的規定,對個人自己公開的個人信息或者其他在合理範圍內已經合法公開的個人信息進行處理。那麽,什麽是“合理範圍”呢?
本文給出以下規則:1。個人明確拒絕處理個人信息的,個人信息處理者不能處理;2.對已經公開的個人信息的處理,對個人權益有重大影響的,應當征得個人同意。
在蘇州貝爾塔斯數據技術有限公司與易某人格權糾紛案中,貝爾塔斯公司將易某的判決書放在自己的網站上,被易某訴至法院。法院指出:貝爾塔斯公司在收到易某的要求後,未及時刪除相關裁判文書和公告文件,違背了易某控制公共信息傳播的意圖,違反了合法性、正當性和必要性原則。應當認為對易某造成了重大影響,侵犯了其個人信息權益。易某聯系貝爾塔斯公司要求刪除該文件後,貝爾塔斯公司仍以中國裁判文書網已公開投訴該文件構成非法公開使用易某個人信息為由,拒絕刪除涉案文件。