最新动态
- 2024/12/16梦之蓝手工班全球行(武汉站)暨汉酒上市发布会在武汉举行
- 2024/12/16老名酒新成就丨老评委走进中国名酒·尊龙凯时站研讨会在公司成功举办
- 2024/12/16尊龙凯时梦之蓝·2024金茉莉美食盛典在宁举办
- 2024/11/27尊龙凯时股份全球经销商大会:嘉奖2024同行伙伴,开启2025战略新局
- 2024/11/042025春糖将于3月25-27日在成都举行
《个人信息保护法》逐条解读:总则(一)
《个人信息保护法》2021年8月20日通过,自2021年11月1日起施行。很多企业所提供的产品或者服务都与个人信息有关系,正确的理解《个人信息保护法》对于企业的经营来说非常重要。
第一章 总则
第一条 为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。
根据惯例,第一条要列明立法目的。
《个人信息保护法》的立法目的有三:1、保护个人信息权益;2、规范个人信息处理活动;3、促进个人信息合理使用。在解释相关具体规定的时候,应该兼顾这三个立法目的,不应该只考虑个人信息权益的保护问题,也不应该只考虑促进个人信息合理利用的问题。
第二条 自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。
在我国《民法典》中首先规定了个人信息的保护问题。《个人信息保护法》可以看做是对《民法典》个人信息保护条款的细化,相比《民法典》属于特别法和一般法之间的关系。
《民法典》第一百一十一条规定:自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
第三条 在中华人民共和国境内处理自然人个人信息的活动,适用本法。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。
该条是有关《个人信息保护法》适用范围的规定。
首先,在中国境内处理自然人个人信息,自然应该适用《个人信息保护法》的规定。
其次,对于一些在中国境内处理自然人信息的活动,但是向境内自然人提供产品或者服务或者分析评估的个人信息属于中国境内自然人信息的,应遵守《个人信息保护法》的规定。
第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
关于个人信息的定义,《民法典》中也有相关规定。相比《民法典》中的规定,《个人信息保护法》特别强调了“不包括匿名化处理后的信息”。这种说法,为个人信息的进一步商用打好了基础。对于一些个人信息来说,进行了匿名化的“脱敏”之后,可以得到进一步的利用。
《民法典》第一千零三十四条 自然人的个人信息受法律保护。
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
需要指出的是,欧盟的《数据保护通用规定》(GDPR)中规定了数据的控制者和处理者。我国的《个人信息保护法》没有做这种分类,从本条规定来看,个人信息的处理应该等于GDPR中的“控制+处理”。
《民法典》第一千零三十五条 个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。《个人信息保护法》增加了一项:“删除”。
第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
关于处理个人信息的原则,之前在《全国人民代表大会常务委员会关于加强网络信息保护的决定》和《民法典》中均有明确规定。
《全国人民代表大会常务委员会关于加强网络信息保护的决定》二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。
《民法典》第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
在之前的《网络安全法》等法律中对此也有规定《网络安全法》中规定不得收集与服务无关的信息。这些都是有关收集信息范围的要求,同时也是合法、正当、必要和诚信原则的具体化。
《网络安全法》第四十一条 网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
如前所述,《民法典》中也要求明示处理信息的目的、方式和范围,属于合法、正当、必要和诚信原则的具体化。
在确定是否进行了规则公开的时候,不应该仅仅以“勾选点击同意”为证据,还需要具体跟根据《个人信息保护法》的具体规定,尤其是第十六条、十七条的规定来判断是否进行了“公开”和“明示”。