互联网网络营销推广涉个人信息保护法律风险初探
互联网网络营销推广涉个人信息保护法律风险初探
一、法律风险
侵犯公民个人信息是指通过非法方式和手段,取得、买卖、泄露公民个人信息或者通过合法的方式取得公民信息,违法使用、泄露等。既有因合法经营而非法获取或提供公民个人信息,也有为犯罪目的而非法获取或提供公民个人信息的,情况纷繁复杂。
(一)民事侵权
侵犯隐私,包括隐私空间、私人生活安宁
侵犯个人信息
侵犯个人名誉
……
(二)行政责任
责令改正
警告
停业整顿
吊销执照
罚款
……
(三)刑事责任
侵犯个人信息犯罪,包括:非法获取,非法提供
(四)民事侵权和刑事责任的关系
个人信息保护,民事基本法先行,刑事保障法后行。刑法是“最后的手段”,是典型的“二次法”和“保障法”,其适用通常要以前置法作为前提和基础。《民法典》是《刑法》的主要前置法之一。对其适用必然会产生重大影响。2009年2月《刑法修正案(七)》增设了《刑法》第253条之一,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪;2015年8月《刑法修正案(九)》对《刑法》第253条之一作了修正,将罪名整合为侵犯公民个人信息罪。作为典型的法定犯,侵犯公民个人信息罪的适用无疑会受到《民法典》关于公民个人信息保护相关规定的影响。特别是,侵犯公民个人信息罪的法条设置属于典型的空白罪状立法模式,无论是“违反国家有关规定”的认定,“公民个人信息”内涵和外延的把握,抑或侵犯公民个人信息罪行为方式的界定,均应当以包括《民法典》在内的前置法律法规为基础,以确保公民个人信息保护实现法秩序的统一。
基于此,最高法院喻海松法官认为,相关影响可以概括为如下三个方面:第一,关于个人信息民法保护的立法思路,将对侵犯公民个人信息罪的司法适用、特别是政策把握产生重大影响;第二,关于个人信息处理规则的设定,将直接影响侵犯公民个人信息罪前提要件“违反国家有关规定”的认定和其他构成要件的把握;第三,关于个人信息的范围界定,特别是私密信息和非私密信息以及公开信息与非公开信息的划分,将直接影响侵犯公民个人信息罪的犯罪对象界定和其他构成要件的把握。
(五)刑事政策风险
由于刑事政策不好判断,容易受地方的影响,有很大的不确定性。
如果遇到打击犯罪专项行动,有可能会被殃及。
二、参考案例
1侵犯个人信息犯罪典型案例。
有罪判决
无罪判决
2非典型案例
.........
3争议案例
.........
三、合规思路
(一)企业性质
民法典第九百六十一条 中介合同是中介人向委托人报告订立合同的机会或者提供订立合同的媒介服务,委托人支付报酬的合同。
中介合同系中介人向委托人报告订立合同的机会或者提供订立合同的媒介服务,其中报告订约机会系接受委托后将收集的信息报告给委托人,从而提供订立合同的机会;充当订约媒介则要求不仅报告订约机会且居中斡旋,促成合同成立。
根据《民法典》关于中介合同的规定,以小贷公司、装修公司为委托人,拓客公司为中介向社会不特定人群进行宣传并由拓客公司收集、处理相关个人信息作为订约机会的行为模式符合中介合同的模式,而拓客公司向不特定主体宣传并收集、处理信息的行为仅仅是履行中介合同的行为,并不因为其履行中介合同的行为系线长或线下推广作为是否构成中介合同的区分,在《民法典》第九百六十三条【理解与适用】中以P2P平台为例,仍可成立互联网中介合同,同理,拓客公司与小贷公司、装修公司之间可成立中间合同。
(二)基本原则
根据民法典及即将颁布的个人信息保护法,处理个人信息应遵守如下原则:
1目的明确;
2最少够用;
3公开告知;
4个人同意;
5质量保证;
5安全保障;
6诚信履行;
7责任明确原则。
其中作为第一原则的目的明确原则规定,处理个人信息具有特定、明确、合理的目的,不扩大使用范围,不在个人信息主体不知情的情况下改变处理个人信息的目的。公开告知原则更是明确,对个人信息主体要尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向个人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信息。个人同意原则也是明晰了事先同意:处理个人信息前要征得个人信息主体的同意。对于私密信息必须是权利人明确同意,其他非私密信息告知同意。
为合法经营目的使用,因此对广告主体,信息使用主体、共享主体等都必须要求具有合法的经营资质,个人不行。 如果需要与个人合作,建议公司审慎考虑合作单位、合作行业、合作地域。
原则是应该该个人所在公司合作,或者该个人系公司负责人,并与之签订保密协议,提供主体资质,并承诺使用合法性和信息安全性。
告知方式:个人信息保护条款、短信告知、广告页面告知、电话拨打时口头告知和获得信息授权。包括告知使用目的、范围、使用主体和使用期限。
信息应以满足业务开展的最低要求即可,不获取其他无关信息。
安全保障是使用个人信息的重要原则质疑,对于获取的信息,必须加密,必须脱敏。对于共享给合作方的信息,建议除签订信息安全协议以外,通过硬件手段进行安全保证,甚至设置信息生命期(建议越短越好)
如果客户不想接听电话,如何退订,在短信通知中一并告知,设置退订功能。
(三)可能的商业模式
1平台中介广告模式
...........
2需求公司广告模式
...........
两种模式各有优劣,如果考虑法律风险的概率,单从信息角度来说,需求公司广告模式最简单,涉风险程度低。
不管哪种模式,必须与公司经营范围一致。最好避免将信息共享给其他中介机构,而是直接对接目标公司。
三、法律依据
民法典《人格权编》
第一千零三十二条 自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。
隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
第一千零三十三条 除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施下列行为:
(一)以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁;
(二)进入、拍摄、窥视他人的住宅、宾馆房间等私密空间;
(三)拍摄、窥视、窃听、公开他人的私密活动;
(四)拍摄、窥视他人身体的私密部位;
(五)处理他人的私密信息;
(六)以其他方式侵害他人的隐私权。
【理解与适用】
隐私权包括:隐私享有权、隐私维护权、隐私利用权(隐私利用权包括公开隐私,将自己的隐私进行公开或允许他人对自己隐私进行收集);
侵害隐私的行为包括:
1、侵害私人生活安宁,其中包括通讯安宁,即他人/单位通过通讯发送商业性质信息或中奖类诈骗信息等;
2、非法收集、处理他人的私密信息,案例:上海某某网络科技有限公司与梁某民人格权纠纷案,隐私权是绝对权,要求任何不特定人负有不侵犯他人隐私的义务。因为业务或职务获取他人的秘密,掌握系合法,但未经权利人同意而予以公开,也构成侵权行为。
非法利用隐私信息的情形,即未经隐私权人同意而利用其个人信息资料的行为,特征是将他人的资讯、情报为自己所利用,具有营利或非营利的目的,这既包括未经本人同意而利用的行为,也包括虽经本人同意,但利用人超出约定范围而利用。非法利用他人隐私,无论是否以营利为目的,均构成侵权行为。
本人同意需明确具体:1、意思表示明确、具体,没有歧义;2.意思表示自愿、真实,不存在胁迫、乘人之危的情形;3.对方已经履行了告知义务且告知亦明确具体。司法实践中处理涉个人私密信息的刑事案件,在认定是否“违反国家有关规定”时,在除法律另有规定的情况下应当采用权利人“明确同意”的判断规则。对于隐私信息是必须明确同意,其他非隐私信息是同意。
《民法典》对私密信息和非私密信息处理规则的规定有三点区别:其一,在未经权利人同意的情形下,处理私密信息只能依据法律的规定,而处理非私密的个人信息可以依据法律和行政法规的规定。其二,处理私密信息必须取得权利人的同意,而处理非私密的个人信息可以取得自然人或其监护人的同意。就是说,监护人也不能擅自同意他人处理被监护人的私密信息。其三,处理私密信息必须取得的是权利人的“明确同意”,而处理非私密的个人信息是取得自然人或其监护人的同意。“明确同意”与“同意”的涵义是不同的。“明确同意”意味着自然人在被告知私密信息将被处理的前提下而作出清晰、明确的允许处理的意思表示。“明确同意”应当是针对该私密信息被处理而单独作出的同意的意思表示。但所谓“同意”既不要求必须是单独的同意,也不要求仅针对被处理的特定个人信息作出的同意,而可以是概括性的同意(比如,通过APP的隐私政策可以取得对所有非私密的个人信息的同意)。
隐私权人可以自行处分权利,比如,自行在网络上或向媒体公开其私密信息。但是,隐私本身原则上是不能许可他人使用或商业化利用的。允许隐私的许可使用很可能违反公序良俗原则这一民法的基本原则。例如,对于APP将告知同意的内容置于冗长的隐私政策之中,导致用户实际上不会真正去阅读了解隐私政策而选择同意,进而获取相关个人信息的行为,如何判断获取信息行为的性质素有争议。基于互联网时代获取个人信息的现实情况,要求逐项告知收集信息内容并征得同意似不可以,故对于个人非私密信息而言,上述行为难以认定为非法获取;但是,对于个人私密信息而言,由于《民法典》明确要求经权利人“明确同意”,采取上述方式收集个人私密信息的则可以认定为非法获取。
第一千零三十四条 自然人的个人信息受法律保护。
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
【理解与适用】
要求具备1、合法性,即(1)收集、处理的主体合法(法律授权、信息主体同意的信息收集机构);(2)手段合法,即要求经自然人或监护人的同意,且履行相关公示义务,保证自然人的知情权。
2、正当性,包含(1)业务正当性:收集、使用系为其开展业务所需,不得超过业务能力范围开展信息收集活动;(2)目的正当性,不能超过法律规定或者商业机构事先确定的目的收集其他信息。
3、必要性,为了在特定的活动时可以收集、处理也可以不收集、处理个人信息的时候,要尽量不收集、处理,必要时要尽量少收集、处理。
第一千零三十六条 处理个人信息,有下列情形之一的,行为人不承担民事责任:
(一)在该自然人或者其监护人同意的范围内合理实施的行为;
(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。法律关联法条释义
对于《民法典》第1036条第2项规定的“合理处理”的认定,应当采用相对宽泛的理解。原则上,只要法律、法规没有明确禁止的处理行为,均可以认定为“合理处理”,至少不能认定为犯罪。特别是,从保护信息自由流通的角度出发,要切实防止只要获取个人信息后进行营利活动或者超越信息初始公开使用场景的,即认为超越了合理处理界限的极端认识。例如,部分工商企业信息中包含有法定代表人姓名、联系电话等内容,属于公民个人信息的范畴。相关信息可以在“国家企业信用信息公示系统”中查询,已处于合法公开的状况。从初始的公开使用场景而言,确实限于在国家企业信用信息公示系统公开,方便民众查询以确认企业信息是否真实有效。以往刑事司法实践中,一些收集工商登记信息,未经自然人同意超越初始公开场景使用的情形,被认定构成侵犯公民个人信息罪。对此,笔者曾主张:“鉴于此类案件具有相当普遍性,未来的公民个人信息保护法和相关法律法规宜对公民个人公开信息的问题作出明确规定,以便利相关案件的处理。”在《民法典》对公开的个人信息的处理规则作出明确规定的情况下,对于上述案件,如果相关信息在公开时没有明确限定公开场景(即没有明确拒绝他人收集后在其他场景下使用),则对于收集并在未通知和征得该自然人同意情况下提供相关信息的行为,宜认为仍在“合理处理”的范畴之内。
第一千零三十八条 信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。
信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
例如,在以往的刑事司法实践中,对于公开的个人信息,由于信息已经处于公开状况,获取无须征得同意,对此应无疑义;但是,在获取相关公开信息后进而提供的行为,是否需要取得“二次授权”(即在获取相关信息后,提供相关信息需要告知同意),则存在较大争议。可以说,《民法典》为这一争议问题作了明晰,即否定“二次授权”的规则。民法典第1038条第1款规定:“信息处理者……未经自然人同意,不得向他人非法提供其个人信息……”此处的“二次授权”,明显是针对于非公开的个人信息而言。根据《民法典》第1036条第2项的规定,对公开的个人信息的合理处理可以推定自然人概括同意,即除了“该自然人明确拒绝或者处理该信息侵害其重大利益的”情形外
【理解与适用】
“提供”包括向不特定主体公开,也包括向特定主体公开,信息数据的技术处理、转让以及第三方接入都需要原信息收集、控制者的同意,以获得相应的使用授权,另一方面,受托人、受让人或者第三方还应当充分告知个人信息主体,征得其同意,以保护个人信息所负有的人格利益,满足个人对相应个人信息的自主决定。
《全国人大常委会关于加强网络信息保护的决定》
二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。
网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。
三、网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
《刑法》
第二百五十三条之一【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
第九十六条 本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。
《最高人民法院关于准确理解和适用刑法中“国家规定”的有关问题的通知》
一、根据刑法第九十六的规定,刑法中的“国家规定”是指,全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。其中,“国务院规定的行政措施”应当由国务院决定,通常以行政法规或者国务院制发文件的形式加以规定。以国务院办公厅名义制发的文件,符合以下条件的,亦应视为刑法中的“国家规定”:
(1)有明确的法律依据或者同相关行政法规不相抵触;
(2)经国务院常务会议讨论通过或者经国务院批准;
(3)在国务院公报上公开发布
《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
第二条 违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。
第三条 向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。
未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
第四条违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。
第五条非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(十)其他情节严重的情形。
实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:
(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;
(四)其他情节特别严重的情形。
第六条 为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)利用非法购买、收受的公民个人信息获利五万元以上的;
(三)其他情节严重的情形。
实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。
第七条 单位犯刑法第二百五十三条之一规定之罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。
第十一条非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。
向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。
对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。
总结:在收集、处理个人信息过程中出现侵权行为,则需根据侵权四要件予以认定,即侵权行为、损害后果、因果关系、主观过错。根据我国现行法律法规,进行个人信息收集、处理均需要权利人的授权且告知权利人信息使用的目的、方式、范围,且仅可使用在权利人明确的授权范围内,不得超过授权范围,如有违反则违法行为;在具有违法行为之后需要考虑损害后果,关于损害后果的确定,根据《民法典》第1136条理解与适用,应当区分财产损害和精神损害,其中财产损害必须受到因果关系条件的限定,不得随意扩大,对于精神损害则无精神损害不赔偿。
现《民法典》中就个人信息保护系民事范畴的保护,致力于被侵权人个人在个人信息受到侵犯后就所产生的损失能够得以弥补,《刑法》上关于侵犯个人信息犯罪要求违反国家相关规定且达到“情节严重”方能入刑,且该入刑的前提仍为系国家公权力对侵犯个人信息的社会秩序的管理。
结合案例,第一种情况,公司通过广告给自己打广告,在个人明确授权且在授权范围内使用的情况下, 既未违背《民法典》等相关民事范畴关于个人信息收集、处理的相关规定,也未违背《刑法》中以违法有关规定的前提,即使在数量达到“情节严重”也不应当构成刑事犯罪,故在收集、处理个人信息的过程中应当以权利人的授权为重点,不得超出授权范围、目的。
第二种情况,如果A公司通过平台公司为B公司打广告,则亦应当明确收集的目的系交由B使用,而非A公司自行使用,且在A公司获取该信息后需要定向使用,不得向除B公司外的任何公司披露,也不得向B公司的其他项目披露。综上,《民法典》中关于个人信息包括重点在于弥补损失,在个人遭受侵权时可结合具体情况进行维权,而刑事以行为违反相关规定为前提,且至少在达到“情节严重”时方可采取刑事手段,但刑事范畴不要求产生损失。
个人信息保护法(第二稿)
第一章 总则
第一条 为了保护个人信息权益,规范个人信息处理活动, 促进个人信息合理利用,制定本法。
第二条 自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。
第三条 组织、个人在中华人民共和国境内处理自然人个人信息的活动,适用本法。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。
第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
第五条 处理个人信息应当采用合法、正当的方式,遵循诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
第六条 处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理。
第七条 处理个人信息应当遵循公开、透明的原则,公开个人信息处理规则,明示处理的目的、方式和范围。
第八条 处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
第九条 个人信息处理者应当对其个人信息处理活动负责, 并采取必要措施保障所处理的个人信息的安全。
第十条 任何组织、个人不得违反法律、行政法规的规定处理个人信息,不得从事危害国家安全、公共利益的个人信息处理活动。
第十一条 国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关行业组织、社会公众共同参与个人信息保护的良好环境。
第十二条 国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等的互认。
第二章 个人信息处理规则
第一节 一般规定
第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立或者履行个人作为一方当事人的合同所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)依照本法规定在合理的范围内处理已公开的个人信息;
(六)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(七)法律、行政法规规定的其他情形。
依照本法其他有关规定,处理个人信息应当取得个人同意, 但有前款第二项至第七项规定情形的,不需取得个人同意。
第十四条 处理个人信息的同意,应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
第十五条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
第十六条 基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
第十七条 个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
第十八条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言向个人告知下列事项:
(一)个人信息处理者的身份和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
第十九条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条规定的事项。
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。
第二十条 个人信息的保存期限应当为实现处理目的所必要的最短时间。法律、行政法规对个人信息的保存期限另有规定的,从其规定。
第二十一条 两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法 规定的权利。
个人信息处理者共同处理个人信息,侵害个人信息权益的,应当承担连带责任。
第二十二条 个人信息处理者委托处理个人信息的,应当与受托方约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托方的个人信息处理活动进行监督。
受托方应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托方应当将个人信息返还个人信息处理者或者予以删除,不得保留。
未经个人信息处理者同意,受托方不得转委托他人处理个人信息。
第二十三条 个人信息处理者因合并、分立等原因需要转移个人信息的,应当向个人告知接收方的身份、联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式,应当依照本法规定重新取得个人同意。
第二十四条 个人信息处理者向他人提供其处理的个人信息的,应当向个人告知接收方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
第二十五条 利用个人信息进行自动化决策,应当保证决策的透明度和结果公平合理。
通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
第二十六条 个人信息处理者不得公开其处理的个人信息, 取得个人单独同意的除外。
第二十七条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供,取得个人单独同意的除外。
第二十八条 个人信息处理者处理已公开的个人信息,应当符合该个人信息被公开时的用途。超出与该用途相关的合理范围的,应当依照本法规定取得个人同意。
个人信息被公开时的用途不明确的,个人信息处理者应当合理、谨慎地处理已公开的个人信息。利用已公开的个人信息从事对个人有重大影响的活动,应当依照本法规定取得个人同意。
第二节 敏感个人信息的处理规则
第二十九条 个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。
敏感个人信息是一旦泄露或者非法使用,可能导致个人受到 歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行 踪等信息。
第三十条 基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
第三十一条 个人信息处理者处理敏感个人信息的,除本法第十八条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。
第三十二条 法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。
第五章 个人信息处理者的义务
第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
第五十二条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
个人信息处理者应当公开个人信息保护负责人的联系方式, 并将个人信息保护负责人的姓名、联系方式等报送履行个人信息 保护职责的部门。
第五十三条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
第五十四条 个人信息处理者应当定期对其个人信息处理活动遵守法律、行政法规的情况进行合规审计。
第五十五条 个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向他人提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人有重大影响的个人信息处理活动。
风险评估的内容应当包括:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人的影响及风险程度;
(三)所采取的安全保护措施是否合法、有效并与风险程度相适应。
风险评估报告和处理情况记录应当至少保存三年。
第五十六条 个人信息处理者发现个人信息泄露的,应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:
(一)个人信息泄露的原因;
(二)泄露的个人信息种类和可能造成的危害;
(三)已采取的补救措施;
(四)个人可以采取的减轻危害的措施;
(五)个人信息处理者的联系方式。
个人信息处理者采取措施能够有效避免信息泄露造成损害的,个人信息处理者可以不通知个人;但是,履行个人信息保护职责的部门认为个人信息泄露可能对个人造成损害的,有权要求个人信息处理者通知个人。
第五十七条 提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
(一)成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;
(二)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(三)定期发布个人信息保护社会责任报告,接受社会监督。
第五十八条 接受委托处理个人信息的受托方,应当履行本章规定的相关义务,采取必要措施保障所处理的个人信息的安全。
第六十五条 违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
第六十六条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
第六十七条 国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正; 对直接负责的主管人员和其他直接责任人员依法给予处分。
第六十八条 个人信息权益因个人信息处理活动受到侵害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
第六十九条 个人信息处理者违反本法规定处理个人信息, 侵害众多个人的权益的,人民检察院、履行个人信息保护职责的 部门和国家网信部门确定的组织可以依法向人民法院提起诉讼。
第七十条 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
