《个保法》解读| 个人信息处理的合规要求

《个人信息保护法》自2021年11月1日正式生效,标志着我国数据安全和个人信息保护进入监管新时代。个人信息保护正式成为企业合规经营的基本责任,违法也将面临极度高额的处罚。

适用范围:个保法适用于所有在中华人民共和国境内处理自然人个人信息的活动。移动互联网时代,只要与用户直接发生交互,或者可能处理到用户信息的场景,都将受个保法约束。

首先明确,什么是个人信息?

个保法对“个人信息”的定义是:以电子或者其他方式记录的与已识别或者可识别自然人有关的各种信息,不包括匿名化处理后的信息。

因此,个人信息的范围不只包括直接能判断个人身份的信息(如身份证信息等),

还包括所有可能识别出个人的信息(如设备信息等)。

在这些个人信息中,敏感程度的不同,分为一般个人信息和敏感个人信息。

敏感个人信息指一旦被泄露或者非法使用,容易导致自然人人格尊严受到侵害或者人身财产安全受到危害的信息。包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

常见的个人信息举例,详见国家标准《个人信息安全规范》附录。

个人信息处理的合规要求

企业在满足什么样的合规前提下,可以处理个人信息?

满足以下三类合规前提的任何一种:

(一)取得个人的同意。

企业在充分告知个人并取得同意后,可处理个人信息。

(二)履行合同所必须。

这里合同特指个人作为一方当事人的合同,如企业为个人提供服务的合同,或履行劳动合同所必须。

(三)法定特殊情形。

如履行法定职责或义务、处理公共卫生事件或紧急情况、进行新闻报道或舆论监督、或处理公开信息

告知同意的具体要求

在取得个人同意的场景下,根据具体场景的不同,个保法对同意的形式也有不同的要求。

通常,在企业充分告知、个人明示同意后即可处理个人信息。

但在以下5类特殊场景下,个人的同意需要“单独”作出,即区分于一揽子同意,以“单独清单”等方式向用户告知并取得同意。

  • 向他人提供个人信息
  • 处理敏感个人信息
  • 公开处理个人信息
  • 向境外提供个人信息
  • 维护公共安全而在公共场所安装身份识别设备

给TA打赏
共{{data.count}}人
人已打赏
知识碎片

CSS中定位的介绍及使用

2021-11-25 21:49:00

知识碎片

《个人信息保护法》之企业责任篇

2021-11-26 14:57:33

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧