在之前的文章中,我们在这国内政策法规系列中讨论了反垄断法,这个月我们将讨论个人信息保护法。
8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,该法自2021年11月1日起施行。这是中国关于个人信息保护位阶最高的综合性法律, 它与《数据安全法》,《网络安全法》一起全面构筑中国信息及数据安全领域的法律框架,成为三大支柱。
个人信息保护法受到了欧洲史上最严隐私法GDPR的影响。个人信息保护法的重点是保护个人、社会和国家安全,防止个人信息的滥用和不当处理,加强保护个人敏感信息,强化监管和违法惩戒,以严密的制度、严格的标准、严厉的问责,构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则。
个人信息保护法是过往世界经验和中国智慧的结晶。此法案最终版本与去年全文公布并第一次向社会征求意见的版本相比,进行了重大修订。
以下整理了营销人员可能关心的条款:
个人信息跨境提供的规则:
个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
依照本法第四十条的规定通过国家网信部门组织的安全评估;
按照国家网信部门的规定经专业机构进行个人信息保护认证;
按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
法律、行政法规或者国家网信部门规定的其他条件。
个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。
敏感个人信息的处理规则
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。
不满十四周岁未成年人的个人信息也被视为敏感信息。这意味着,除了典型的隐私法要求处理未成年人的数据必须获得父母或监护人的同意之外,个人信息保护法还将未成年人数据的处理限制在“有特定目的和需要履行,并在采取严格保护措施的情况下。
自动化决策
个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
法律责任
此法律条款对于严重违法行为将给予重大处罚,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照
违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
该法律条款中第62条提到:国家网信部门统筹协调有关部门依据本法推进相关个人信息保护工作,如针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准。但目前还没有对小型提出定义。
中华人民共和国个人信息保护法完整版请参阅这里!
如果你需要了解更多相关法律对市场营销的影响,请与我们取得联系!