图解个人信息保护法

图解《个人信息保护法》炼石网络 2021年8月前言 2021年8月20日，《个人信息保护法》正式发布，将于2021年11月1日起施行。个人信息保护关乎国计民生，明确被纳入《民法典》人格权保护范围，但是个人信息泄漏乱象频发，因此，结合国际通行实践，对个人信息保护专门立法，规范个人信息处理活动，保障个人信息的有序流通，对我国发展数字经济、数字社会、数字政府具有重要意义。数据安全领域里程碑 2021年11月1日《数据安全法》《个人信息保护法》 • 加速个人信息法制化进程 2021年9月1日 • 提升国家数据安全保障能力《密码法》 • 提出数据保护技术手段 2020年1月1日 2017年6月1日《网络安全法》 • 规定网络安全治理道路个人信息保护迎来里程碑《个人信息保护法》 2021年8月20日颁布政策法规技术标准 2021年5月1日起施行常见类型移动互联网应用程序（APP）必要个人信息范围 2020年6月1日起实施网络安全审查办法 2020年2月1日起施行国家政务信息化项目建设管理办法 2019年10月1日起施行儿童个人信息网络保护规定 2020年1月信息安全技术个人信息告知同意指南（征求意见稿） 2020年10月1日实施 GB/T 35273-2020信息安全技术个人信息安全规范 2020年9月18日互联网个人信息安全保护指南 2020年8月28日信息安全技术网络数据处理安全规范（征求意见稿） 2019年6月13日 2019年11月28日 APP违法违规收集使用个人信息行为认定方法 2019年5月28日 2019年8月信息安全技术移动互联网应用程序（APP）收集个人信息基本规范（征） 2017年8月信息安全技术数据出境安全评估指南（征求意见稿）个人信息出境安全评估办法（征）数据安全管理办法（征） 2013年9月1日起施行电信和互联网用户个人信息保护规定 2012年12月28日全国人民代表大会常务委员会关于加强网络信息保护的决定 2013年2月1日实施 GB/Z 28828-2012信息安全技术公共及商用服务信息系统个人信息保护指南《个人信息保护法》总结构个人信息保护法第一章总则 1.目的 2.宗旨 3.适用范围 4.关键定义 5.合法、正当第二章个人信息处理规则 13. 处理前提 21. 委托处理 14. 取得同意 22. 信息转移 8.准确、完整 9.责任到人 10.刑事追责 11.环境构建 12.国际合作 16. 不得拒绝服务 24. 自动化决策第二节敏感个人信息的处理规则 28. 关键定义 30. 必要性告知 29. 单独同意 6.目的、必要 7.公开、透明第一节一般规定 15. 撤回同意 23. 第三方共享 31. 未成年人保护第六章履行个人信息保护职责的部门 18. 例外情形 26. 公共采集 17. 告知要求 25. 不得公开 19. 最短时间 27. 重新同意 20. 共同处理第三节国家机关处理个人信息的特别规定 32. 行政许可 33. 适用范围 34. 范围限度 35. 告知同意 36. 境内存储 37. 公共事务 60.职责部门 61.保护职责 62.工作说明第三章个人信息跨境提供的规则 38.前提条件 39.告知要求 40.关基要求第四章个人在个人信息处理活动中的权利 41.主管批准 42.限制清单 43.对等反制第五章个人信息处理者的义务 44.知情、决定 45.查阅、复制 46.更正、补充 51.基本义务 52.责任到人 53.境外机构义务 47.主动删除 48.解释说明 49.代行使权 54.合规审计 55.影响评估 56.评估内容 57补救通知 58.大型互联网义务 59.受托人义务 50.处理机制第七章法律责任 63.履职措施 64.约谈审计 65.投诉举报第八章附则 66.行政责任 67.信用档案 68.国家机关处罚 69.民事责任 70.依法诉讼 71.刑事责任 72.特殊情况 73.专业术语 74.施行时间扩展域外管辖，侧重数据处理发生地欧盟国个人信息保护法中 1. 总则以处理行为“发生地”切入以控制者/处理者“设立地”切入 2.处理 1、以“营业地/设立地”为标准：在欧 1、强调“属地原则” 3. 跨境 4. 权利 5. 义务盟境内设立的数据控制者或处理者对个在中华人民共和国境内处理自然人个人信息的活动，适用本法。（无论处理者是否在境内设立，或者处理的是否为境内自然人信息，只 GDPR 人数据的处理行为（不论其实际数据处属地原则 . 理行为在何处） . 要处理行为发生在境内，就受个保法制约。） 2、以“保护主体”为标准：即使有关个人数据处理活动的控制者或处理者不在 6. 监管 2、对应GDPR“保护主体”标准： 7. 罚则目的”、“为分析、评估境内自然人的行为”及只要符合“向境内自然人提供产品或者服务为其他规定情形时，也应适用个保法的规定。欧盟设立，但若其：(a)为欧盟境内的数境外据主体提供商品或服务；或 (b)对发生在境外欧盟境内的数据主体的活动进行监控，则该类控制者或处理者也同样适用 GDPR。明确七大关键定义个人信息 1. 总则 2.处理 3. 跨境 4. 权利敏感个人信息一旦泄露或者非法使用，容易导致自然以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。已识别可识别宗教人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、医金融账户、行踪轨迹等信息，以及不满疗生物识别行踪十四周岁未成年人的个人信息。 5. 义务个人信息的处理个人信息处理者自动化决策去标识化匿名化 6. 监管包括个人信息的收集、在个人信息处理活动中通过计算机程序自动分个人信息经过处理，使个人信息经过处理无法存储、使用、加工、传自主决定处理目的、处析、评估个人的行为习其在不借助额外信息的识别特定自然人且不能输、提供、公开、删除理方式的组织、个人。惯、兴趣爱好或者经济、情况下无法识别特定自复原的过程。健康、信用状况等，并然人的过程。 7. 罚则等。进行决策的活动。个人信息处理规则前提条件 1. 总则 2.处理 3. 跨境 1.取得个人同意 2.订立、履行合同或实施人力资源管理所必需 4.突发紧急应对必需 5. 义务 5.公共利益的合理范围 7. 罚则具体要求明示同意充分知情、自愿明确 3.履行法定职责或义务必需 4. 权利 6. 监管告知要求 6.自行公开或其他已经合法公开的 7.其他情形 *注：第2-7项规定情形的，不需取得个人同意法定单独或书面授权同意同意 1 2 3 4 个人信息处理者的名称或者姓名和联系方式; 个人信息的处理目的、处理方式、种类、保存期限; 个人行使权利的方式和程序; 其他法定告知事项。两种例外情形：重新取得同意变更需重新同意个人有权撤回其撤销权同意法定保密或豁免告知第一款紧急情况事后告知 *针对第一种情形，最为典型的是根据《中华人民共和国反恐怖主义法》第五十一条的规定，即公安机关在调查恐怖活动的案件中，可以获得事先告知豁免。个人信息保存期限以最短必要为原则 1. 总则 2.处理 3. 跨境 4. 权利 5. 义务 6. 监管 7. 罚则 NO 没有固定期限：根据必要性的要求，规定在满足处理目的后，最短时间内尽快予以删除。需要企业制定相应内部合规制度，就个人信息的存储及删除时间进行明确规定。兜底条款：对个人信息保存期限另有规定的，从其规定。常见的法律、法规另有规定的情形包括：反洗钱法第十九条第三款：客户身份资料在业务关系结束后、客户交易信息在交易结束后，应当至少保存五年电子商务法第三十一条：商品和服务信息、交易信息保存时间自交易完成之日起不少于三年…… 证券法第147条：证券公司应当妥善保存客户开户资料、委托记录、交易记录和与内部管理、业务经营有关的各项资料……上述资料的保存期限不得少于二十年证券投资基金法第102条：基金份额登记机构应当妥善保存登记数据……其保存期限自基金账户销户之日起不得少于二十年六大场景下个人信息处理规定 1. 总则 2.处理共同处理者共同处理 • 共同决定处理目的和处理方式，约定权利和义务 • 个人可向其中任一信息处理者行使本法权利 • 侵害个人信息权益造成损害的，应当依法承担连带责任 3. 跨境 4. 权利 5. 义务 6. 监管 7. 罚则委托处理委托处理委托人 • 约定委托处理的目的、期限、处 • 按照约定处理个人信息理方式、个人信息的种类、保护 • • 个人信息转移受托人委托合同不生效、无效、被撤销措施以及双方的权利和义务等或终止，受托人应当将个人信息监督受托人的个人信息处理活动返还或予以删除 • • 破产等转移个人信息告知接收方的名称或者姓名和联系方式自动化决策未经同意，受托人不得转委托因合并、分立、解散、被宣告转移方其他个人信息处理者共享 • • 接收方继续履行个人信息处理者的义务变更处理目的、处理方式的，应重新取得个人同意公共采集提供个人信息提供方 • 告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类 • 取得个人单独同意其他个人信息处理者 • • 在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息变更处理目的、处理方式应重新取得个人同意自动化决策 • 保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇 • 通过自动化决策方式向个人进行信息推送、商业营销，提供不针对个人特征的选项，或提供便捷的拒绝方式 • 对个人权益具有重大影响的决定，个人有要求说明权和拒绝权公共采集 • 在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需 • 遵守国家有关规