• 设为首页 加入收藏
  • [会员登陆] [会员注册]
  • NETic企信网

    网信办
    随机推荐: 网易集团
    网信办

    专家解读|敏感个人信息保护:我国《个人信息保护法》的重要内容

    编辑:9519990 发布时间:2021-11-01 16:21:59 分类:互联网新闻 |


    人脸识别在新冠肺炎疫情防控中提供了高效的手段,同时也引发了人们对收集和处理人脸信息等生物识别信息边界的关注。我国《个人信息保护法》要求,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。由于敏感个人信息与自然人的人格尊严等基本权利、重大人身利益和财产利益具有极为密切的联系,对此类个人信息的处理会对自然人的基本权利和人身财产安全产生重大风险,我国《个人信息保护法》借鉴了欧盟、美国等法域的立法经验并结合我国实际,对敏感个人信息的处理进行了专门规定。敏感个人信息的保护是我国《个人信息保护法》的重要内容之一。
     
    首先,《个人信息保护法》对敏感个人信息进行了定义和列举。
     
    《个人信息保护法》规定将敏感个人信息定义为一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,同时列举了敏感个人信息的种类,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。《个人信息保护法》将不满十四周岁未成年人的个人信息列为敏感个人信息,强化了对未成年人个人信息权益的保护。
     
    敏感个人信息和非敏感个人信息是我国《个人信息保护法》从规范个人信息处理行为的角度对个人信息进行的一种重要分类,有针对性地提高处理者在处理敏感个人信息时的法定义务,更加充分地保护个人信息权益。
     
    我国《个人信息保护法》在列举敏感个人信息种类中的“等”字,应采“等外”之意,表示列举未尽。纵使不在法律明文列举之列,因其在特定场景所具有的高度敏感性,也应纳入敏感个人信息的保护范畴。技术的发展及场景的变化,也为新型的敏感个人信息特殊保护留下空间。
     
    其次,《个人信息保护法》对敏感个人信息规定了专门的处理规则。
     
    我国《个人信息保护法》在区分敏感个人信息与非敏感个人信息的基础上,在第二章专节规定了“敏感个人信息的处理规则”,对处理敏感个人信息的前提进行了限制,要求只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。以此为基础,《个人信息保护法》规定了一些仅适用于敏感个人信息的特殊处理规则,知情同意原则是个人信息保护领域公认的首要原则,既适用于敏感个人信息,也适用于非敏感个人信息,意在实现与加强个人自决。针对敏感个人信息的处理,《个人信息保护法》提出了更高的要求,要求处理敏感个人信息应当取得个人的单独同意。这意味着在处理敏感个人信息时,概括同意或推定同意的授权模式为法律所禁止。法律、行政法规规定处理敏感个人信息应当取得书面同意的,还应取得书面同意。
     
    《个人信息保护法》对敏感个人信息处理者的告知义务提出了更高的要求。《个人信息保护法》第17条第1款规定:“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(1)个人信息处理者的名称或者姓名和联系方式;(2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(3)个人行使本法规定权利的方式和程序;(4)法律、行政法规规定应当告知的其他事项。”第30条规定:“个人信息处理者处理敏感个人信息的,除本法第17条第1款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。”
     
    《个人信息保护法》不仅将不满十四周岁未成年人的个人信息列为敏感个人信息,还要求个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。《个人信息保护法》将不满十四周岁未成年人的个人信息作为敏感个人信息,回应了现实中儿童信息泄露等问题,对未成年人个人信息处理进行了更严格的规范,有利于切实维护未成年人的合法利益并促进未成年人健康成长。
     
    《个人信息保护法》还规定,法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。
     
    再次,个人信息处理者处理敏感个人信息应当事前进行个人信息保护影响评估。
     
    对处理敏感个人信息等几种特定情形,《个人信息保护法》规定应在事前进行个人信息保护影响评估,并对处理情况进行记录。个人信息保护影响评估本质上是风险评估。由于处理敏感个人信息可能对自然人的权利和自由带来高度风险,对此类处理进行事前风险评估可以防患于未然。《个人信息保护法》要求个人信息保护影响评估应当包括下列内容:(1)个人信息的处理目的、处理方式等是否合法、正当、必要;(2)对个人权益的影响及安全风险;(3)所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。
     
    综上,我国《个人信息保护法》区分敏感与非敏感的个人信息,并在此基础上确定了敏感个人信息的特殊处理规则,与世界主流个人数据保护立法一致,体现了对与人格尊严或人身、财产安全密切相关的个人信息的倾斜保护,能更有效地防范个人信息风险,更全面保护个人信息主体的利益。同时,区别对待不同种类的个人信息,能提高对处理行为的可预测性,明确了企业合规重点,在一定程度上降低企业的合规成本,有利于数字经济发展。(作者:刘颖,广东省法学会网络与电子商务法学研究会会长,暨南大学法学院教授)
    热门文章
  • 从“知网、懂网”到“善于用网”,多方协同加强网络素养教育
  • 新华网评:久久为功培厚网络安全土壤
  • 天津举办2019年国家网络安全宣传周闭幕式
  • 国家互联网信息办公室 国家发展和改革委员会 工业和信息化部 财政部关于发布《云计算服务安全评估办法》的公告
  • 关于不再指导企业主办的商业性网络安全会议、竞赛活动的通知
  • 2020击碎网络谣言 集聚指尖正能量
  • 国家互联网信息办公室关于《区块链信息服务管理规定》涉安全评估条款说明的公告
  • 中国网络空间安全协会疫情期间积极提供网络安全服务支持
  • 中国互联网辟谣影响力2019年度优秀作品揭晓
  • 2019年国家网络安全宣传周现场见闻:万物互联须以安全为先
  • 世界互联网历史上前所未有 网络建设和保障支撑数亿人同上网课
  • 国家互联网信息办公室关于《互联网直播营销信息内容服务管理规定(征求意见稿)》
  • 国家互联网信息办公室关于《互联网信息服务严重失信主体信用信息管理办法(征求意见稿)》公开征求意见的通知
  • 国家互联网信息办公室关于发布第四批境内区块链信息服务备案编号的公告
  • 第七批500家网站公布举报受理方式
  • 世界互联网大会组委会发布《携手构建网络空间命运共同体行动倡议》
  • “互联网+”促进医养融合 大健康如何迎接新风口
  • 打造数字经济新优势 “互联网+”正升级换代
  • 短视频平台“实力带货”为脱贫助力
  • 数字中国建设加速推进 多地聚力打造指尖上的政务服务新体验
  • 全国网络安全标准周活动在武汉开幕
  • 短视频为旅游“景”上添花 美丽经济火起来
  • 业界季度报告重磅发布 Doo Prime交易量荣登全球第22位
  • 专家解读|敏感个人信息保护:我国《个人信息保护法》的重要内容
  • 征求《信息安全技术 网联汽车 采集数据的安全要求》标准草案意见的通知