《個人信息保護法》的十大亮點完整ppt

《個人信息保護法》的十大亮點ppt經歷三次審議，廣受關注的《中華人民共和國個人信息保護法》（簡稱“《個人信息保護法》”）最終于2021年8月20日由第十三屆全國人大常務委員會第三十次會議審議通過，并將于2021年11月1日起施行。作為我國第一部有關個人信息保護的專門法律，同時也是我國信息安全領域的基礎性法律，《個人信息保護法》將與《網(wǎng)絡安全法》以及今年9月1日正式生效的《數(shù)據(jù)安全法》共同構建我國信息和數(shù)據(jù)安全領域的基本框架。01進一步擴大了域外效力02限制過度收集用戶個人信息03以“告知—同意”為信息處理的核心原則04禁止強制利用個人信息進行自動化決策05濫用人臉識別技術的規(guī)則目錄1進一步擴大了域外效力進一步擴大了域外效力《個人信息保護法》借鑒歐盟《通用數(shù)據(jù)保護條例》（GDPR）的做法，將“以向境內自然人提供產品或者服務為目的”和“分析、評估境內自然人的行為”情形下在境外開展的處理境內自然人個人信息的活動，納入本法的管轄范圍。對比之前出臺的《網(wǎng)絡安全法》和《數(shù)據(jù)安全法》，個人信息保護法進一步擴大了域外效力的范圍，將關涉我國境內自然人的個人信息處理行為都納入法律規(guī)制范圍，旨在更大程度和范圍內保護境內自然人的個人信息權益。02限制過度收集用戶個人信息限制過度收集用戶個人信息《個人信息保護法》進一步完善個人信息處理規(guī)則，特別是對應用程序（App）過度收集個人信息、“大數(shù)據(jù)殺熟”等作出有針對性規(guī)范。第一，處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。第二，收集信息的范圍應當限于實現(xiàn)處理目的的最小范圍。第三，被收集信息的保存期限應當為實現(xiàn)處理目的所必要的最短時間。03以“告知—同意”為信息處理的核心原則以“告知—同意”為信息處理的核心原則其一，告知義務。個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言向個人告知個人信息的處理目的、處理方式、信息種類和保存期限等必要告知事項。法律、行政法規(guī)規(guī)定應當保密或者不需要告知的情形除外。緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的,個人信息處理者應當在緊急情況消除后及時告知。告知同意原則是指，處理個人信息，應在由個人在充分知情的前提下，取得個人的同意?！秱€人信息保護法》中有關告知同意原則的規(guī)則如下：以“告知—同意”為信息處理的核心原則其二，無需征求個人同意的例外情形：1）為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需；2）為履行法定職責或者法定義務所必需；3）為應對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；4）為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理的范圍內處理個人信息；5）依照本法規(guī)定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息等。以“告知—同意”為信息處理的核心原則其三，個人具有撤回同意權?；趥€人同意而進行的個人信息處理活動,個人有權撤回其同意。并且信息處理者應當提供便捷的撤回同意的方式。但是，個人撤回同意，不影響撤回同意前已進行的個人信息處理活動的效力。以“告知—同意”為信息處理的核心原則其四，個人具有不被拒絕服務權。個人信息處理者不得以個人不同意為由,拒絕提供產品或者服務。處理個人信息屬于提供產品或者服務所必需的除外。其五，敏感信息的額外告知和單獨同意。相較于處理一般個人信息的告知和同意要求，處理生物識別、醫(yī)療健康等敏感個人信息時，個人信息處理者需：1）向個人告知處理行為的必要性及對個人的影響；2）取得個人的單獨同意。敏感個人信息的收集，則需要考慮是否設置專門的授權頁面。以“告知—同意”為信息處理的核心原則其六，未成年人適用特殊同意規(guī)則。個人信息處理者處理不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監(jiān)護人的同意。個人信息處理者處理不滿十四周歲未成年人個人信息的，應當制定專門的個人信息處理規(guī)則。04禁止強制利用個人信息進行自動化決策禁止強制利用個人信息進行自動化決策自動化決策，是指通過程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等，并進行決策的活動。比如構建用戶畫像并進行算法推薦、推送個性化廣告或大數(shù)據(jù)殺熟等。禁止強制利用個人信息進行自動化決策首先，自動化決策應當遵守個人信息處理的一般規(guī)則，應當在充分告知個人信息處理相關事項的前提下取得個人同意，不得以個人不同意為由拒絕提供產品或者服務。其次，《個人信息保護法》第二十四條對自動化決策作出專門規(guī)范，要求個人信息處理者保證決策的透明度和處理結果的公平合理，不得通過自動化決策對個人在交易價格等交易條件上實行不合理的差別待遇，并在事前進行個人信息保護影響評估。禁止強制利用個人信息進行自動化決策第三，賦予個人充分的權利。個人認為自動化決策對其權益造成重大影響的,有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。通過自動化決策方式進行商業(yè)營銷、信息推送,應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。05濫用人臉識別技術的規(guī)則濫用人臉識別技術的規(guī)則根據(jù)《個人信息保護法》第二十六條的規(guī)定，首先，僅當為維護公共安全所必需,且遵守國家有關規(guī)定的情況下，才能在公共場所安裝圖像采集、個人身份識別設備。其次，在公共場所安裝圖像采集、個人身份識別設備，應當設置顯著的提示標識。第三，所收集的個人圖像、個人身份特征信息只能用于維護公共安全的目的,不得公開或者向他人提供。06敏感個人信息的特殊處理規(guī)則敏感個人信息的特殊處理規(guī)則《個人信息保護法》第二十八條界定了敏感個人信息的內涵和外延。敏感個人信息是指，一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。敏感個人信息的特殊處理規(guī)則個人信息處理者處理敏感個人信息需滿足以下條件：1）具有特定目的和充分的必要性；2）采取嚴格保護措施；3）取得個人的單獨同意；4）除本法第十七條第一款規(guī)定的處理一般個人信息的法定告知事項外，還要告知個人處理敏感個人信息的必要性以及對個人權益的影響。07個人信息的跨境提供規(guī)則個人信息的跨境提供規(guī)則《個人信息保護法》在現(xiàn)有規(guī)則的基礎上，重構了個人信息跨境傳輸?shù)谋O(jiān)管框架。首先，一般情形下，個人信息跨境提供應滿足“四選一加二”的條件。“四選一”是指，個人信息處理者向境外提供個人信息的，應當至少具備下列一項條件：1）已通過國家網(wǎng)信部門組織的安全評估；2）經專門機構進行個人信息保護認證；3）按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；4）法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。個人信息的跨境提供規(guī)則此外，個人信息處理者應當滿足以下兩個條件：1）采取必要措施，保障境外接收方處理個人信息的活動達到本法規(guī)定的個人信息保護標準；2）向個人就境外接收方的身份、聯(lián)系方式、處理目的等法定告知事項充分告知,并取得個人的單獨同意。個人信息的跨境提供規(guī)則其次，《個人信息保護法》第四十條規(guī)定了兩種向境外提供的特殊主體，即關鍵信息基礎設施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者。以上兩種情形，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的,應當通過國家網(wǎng)信部門組織的安全評估;法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進行安全評估的,從其規(guī)定。08個人信息處理者的安全保護義務個人信息處理者的安全保護義務1.通用的安全保護義務《個人信息保護法》第五十一條規(guī)定，個人信息處理者應當采取必要措施確保個人信息處理活動合法合規(guī),并防止未經授權的訪問以及個人信息泄露或者被竊取、篡改、刪除。個人信息處理者構建數(shù)據(jù)合規(guī)體系應當采取的必要措施有：1）制定內部管理制度和操作規(guī)程；2）對個人信息實行分類管理;3）采取相應的加密、去標識化等安全技術措施;4）合理確定個人信息處理的操作權限,并定期對從業(yè)人員進行安全教育和培訓;5)制定并組織實施個人信息安全事件應急預案等。此外，《個人信息保護法》第五十四條規(guī)定，個人信息處理者應當定期對其個人信息處理活動、采取的保護措施等是否合法合規(guī)進行審計。個人信息處理者的安全保護義務2.特定主體的安全保護義務根據(jù)《個人信息保護法》第五十二條的規(guī)定，處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應當履行下列義務：1）指定個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監(jiān)督；2）公開個人信息保護負責人的聯(lián)系方式，并將其姓名、聯(lián)系方式等報送履行個人信息保護職責的部門。個人信息處理者的安全保護義務《個人信息保護法》第五十三條規(guī)定，屬于本法管轄的境外個人信息處理者,應當履行下列義務：1）在中華人民共和國境內設立專門機構或者指定代表,負責處理個人信息保護相關事務；2）將有關機構的名稱或者代表的姓名、聯(lián)系方式等報送履行個人信息保護職責的部門。個人信息處理者的安全保護義務《個人信息保護法》第五十八條規(guī)定，提供重要互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者，應當履行下列義務：1）建立健全個人信息保護合規(guī)制度體系，成立主要由外部成員組成的獨立機構對個人信息保護情況進行監(jiān)督;2）制定平臺規(guī)則，明確平臺內產品或者服務提供者處理個人信息的規(guī)范和保護個人信息的義務；3）對嚴重違反法律、行政法規(guī)處理個人信息的平臺內的產品或者服務提供者，停止提供服務;4）定期發(fā)布個人信息保護社會責任報告，接受社會監(jiān)督。個人信息處理者的安全保護義務3.特定情形下的安全保護義務《個人信息保護法》第五十五條規(guī)定，進行對個人有重大影響的個人信息處理活動時，應當落實事前進行風險評估,和事中處理情況記錄義務。對個人有重大影響的個人信息處理活動，包括：處理敏感個人信息，利用個人信息進行自動化決策，委托處理、向其他個人信息處理者提供和公開個人信息，向境外提供個人信息等信息處理活動等。個人信息處理者的安全保護義務《個人信息保護法》第五十七條規(guī)定，發(fā)生或可能發(fā)生個人信息泄露的,應當立即采取補救措施,并通知履行個人信息保護職責的部門和個人。其中，個人信息處理者采取措施能夠有效避免信息泄露造成損害的,個人信息處理者可以不通知個人;但是,履行個人信息保護職責的部門認為個人信息泄露可能對個人造成損害的,有權要求個人信息處理者通知個人。09健全投訴舉報機制健全投訴舉報機制當前，個人信息保護面臨維權渠道窄、成本高、處罰侵權力度不夠等問題，制約著用戶的維權意愿?！秱€人信息保護法》進一步壓實各方責任，加強有關部門查處案件的協(xié)調配合。對完善個人信息保護投訴、舉報工作機制及違法處理個人信息涉嫌犯罪案件的移送提出明確要求。健全投訴舉報機制《個人信息保護法》第六十五條規(guī)定，任何組織、個人有權對違法個人信息處理活動向履行個人信息保護職責的部門進行投訴、舉報。履行個人信息保護職責的部門應當公布接受投訴、舉報的聯(lián)系方式。此外，《個人信息保護法》還規(guī)定，收到投訴、舉報的部門及時將處理結果告知投訴、舉報人，這將讓相關機制能夠良性運轉。10強化監(jiān)管職責，嚴懲違法行為強化監(jiān)管職責，嚴懲違法行為監(jiān)管主體?！秱€人信息保護法》第六十條規(guī)定，履行個人信息保護職責的部門包括，國家網(wǎng)信部門以及國務院和縣級以上地方人民政府在各自職責范圍內負責個人信息保護和監(jiān)督管理工作的有關部門，其中國家網(wǎng)信部門負責統(tǒng)籌協(xié)調個人信息保護工作和相關監(jiān)督管理工作。強化監(jiān)管職責，嚴懲違法行為其次，監(jiān)管措施。《個人信息保護法》第六十四條規(guī)定監(jiān)管主體可以采取的監(jiān)管措施：履行個人信息保護職責的部門發(fā)現(xiàn)個人信息處理活動存在較大風險或者發(fā)生個人信息安全事件的，可以依法實行以下職權：1）對該個人信息處理者的法定代表人或者主要負責人進行約談；2）要求個人信息處理者委托專業(yè)機構對其個人信息處理活動進行合規(guī)審計；3）發(fā)現(xiàn)違法處理個人信息涉嫌犯罪的，應當及時移送公安機關依法處理。強化監(jiān)管職責，嚴懲違法行為第