【干货】《个人信息保护法》深度解析（57页）

干货 2021年11月04日 07:52 管理员

道阻且长，行则将至——《个人信息保护法》重点梳理（1）个人信息处理基本原则：合法、正当、必要和诚信原则；明确性和相关性原则；最小程度原则；公开透明原则；完整性和准确性原则；安全保障原则。值得注意的是最小程度原则，要求处理活动对个人权益产生的影响最小，且不得过度收集个人信息，限于满足处理目的最小范围。（2）个人信息处理规则：以“告知征得同意”为核心。处理个人信息应当取得个人同意，该同意应当由个人在充分知情的前提下自愿、明确作出，个人有权撤回其同意。（3）规范自动化决策，明确禁止“大数据杀熟”。个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。（4）严格保护敏感个人信息。敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。需具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息, 且需要取得个人的单独同意。（5）限制信息跨平台使用。个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。（6）将跨境信息流动纳入监管范围。

跨境提供个人信息需同时满足以下条件：告知向境外提供个人信息的情况，包括境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项；取得个人的单独同意，或具备其他合法性基础；境外接收方未被网信部门列入限制或禁止个人信息提供清单。 2、中国个人信息保护模式整体与欧盟模式较为接近，严厉程度全球居前（1）全球视角下15年后各国密集出台个人信息保护相关法律，美欧日形成三种典型的个人信息保护模式。欧盟是政府主导下的严格立法与统一监管模式，美国是政府引导下的行业自律模式，日本是政府主导+行业自律混合模式。中国在个人信息保护立法上以政府为主导，严厉程度全球居前，预计未来我国也会发起相关行业个人信息保护认证，充分发挥行业自律作用。（2）中美欧个人信息立法对比：在地域范围上欧盟GDPR最宽泛，中国《个人信息保护法》更为克制，美国CCPA&CPRA最有限；在信息跨境提供上，欧盟GDPR的个人数据跨境办提供规则更灵活，而中国《个人信息保护法》个人数据跨境情况下的知情权更广泛、细致，美国CCPA&CPRA没有专门的条款来规制数据跨境传输；在敏感信息处理上，中国《个人信息保护法》强调了对敏感个人信息的处理规则，并创设了处理“敏感个人信息”的应当取得个人“单独同意”的规则，对标同样设定“特殊类别信息”类别、较为严格的欧盟GDPR，美国 CCPA&CPRA规定较为模糊；在处理个人信息的法定基础上，中国《个人信息保护法》最为严苛，与欧盟GDPR都采取了以个人同意作为数据处理合法性理由的模式，美国CCPA&CPRA 采取退出模式，除非用户拒绝或退出，则公司可以继续处理用户的个人信息；在处罚规定上，中国给予了执法机关较大的自由裁量权，但刑事责任方面较为严厉。