逐条精解:《个人信息保护法》28-32条
“
互联网时代,数据的流动和共享,成为不可或缺的重要一环。回顾往年,个人信息泄露事件频发,对于个人隐私、个人信息的保护呼声愈来愈强,平衡数据处理过程中个人数据保护和数据商业利用之间的关系迫在眉睫,而这也正是全球网络空间治理面临的共同难题。而今,我国出台《个人信息保护法》,目的就是推动个人信息处理向法治化方向发展,从而为数字经济保驾护航。
个人信息分为一般个人信息和敏感个人信息,《个人信息保护法》为了强化对敏感个人信息的保护,在第二章第二节专门对其设置了特殊的处理规则。敏感个人信息的保护,是个人信息保护法的重中之重。我们通过对敏感个人信息相关条款的梳理和解读,便于企业更迅速的了解相关法规以及背后的立法本意,以期在合规之路上安全、高效地发展。
”
文 | 夏海波 郑泽爽 上海格联律师事务所
校对 | 古锐 王军华 上海格联律师事务所
本文由作者向新则独家供稿
第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
条文精讲:本条规定了敏感个人信息的具体内容以及处理敏感个人信息的原则。本条第一款将敏感个人信息与一般个人信息相区分,可归纳为三类——
第一类是一旦泄露或者非法使用容易导致自然人人格尊严受到侵害的个人信息,如人脸信息等生物识别信息、宗教信仰和特定身份信息、医疗健康信息等。此类信息被泄露或非法使用,将可能被他人歧视,例如我国健康人群(乙肝病毒携带者)在社会中仍遭受着严重的就业歧视,当其相关信息被泄露后,将可能产生被他人和用人单位疏远和歧视的严重后果,个人被贴上特殊标签,人格尊严受辱,严重影响了个人的正常社会生活。
第二类是一旦泄露或者非法使用容易导致自然人人身、财产安全受到危害的个人信息,如生物识别信息、行踪轨迹信息、金融账户及相关的信息等。当个人的行踪信息被泄露或者被犯罪分子掌控,就可能危及该特定个人的人身安全;个人的金融账户包括储蓄账户及取款密码等泄露或者被犯罪分子掌控,就可能危及该特定个人的财产安全,导致存款被盗取的财产损失。
随着互联网技术的发展,“刷脸支付”受到众多民众的青睐,其中涉及的“人脸识别”就属于“生物识别信息”,一旦泄露或者遭到恶意使用,不仅会导致个人人格尊严受到侵害,还有其财产安全也将受到威胁。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》对此予以特别规定,专门对这类敏感个人信息进行规范。
第三类是将不满十四周岁未成年人的个人信息列为敏感个人信息。《个人信息保护法》草案三次审议稿增加了这一规定,不满十四周岁的未成年人的个人信息受到特殊保护,体现了对未成年人的重点保护,尤其是未成年人方方面面的个人信息对其未来的成长都有重要的个人意义。
第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
条文精讲:从一般要求看,基于个人同意处理敏感个人信息,应当取得个人的单独同意。
这也意味着一般APP的隐私条款中对于相关敏感个人信息条款的加黑、下划线、加粗等提示形式将面临不合规的风险,亟待整改。《网络交易监督管理办法》(2021年3月15日发布)第十三条第二款要求网络交易经营者收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的,应当逐项取得消费者同意。也就是说,“逐项同意”和此处的“单独同意”相近似,反映了敏感个人信息处理方面愈发严格的监管趋势。
从特殊要求看,“法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定”,留下了例外情形要求,后续有相应书面同意要求的,需要遵守其要求。
第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。
条文精讲:处理敏感个人信息,除了需要根据《个人信息保护法》第十七条规定向用户告知个人信息处理者身份信息、处理目的、方式、种类、保存期限及个人行使本法规定权利的方式、程序、法定其他事项外,还需要告知必要性以及对个人的影响。也就是说,针对敏感个人信息,告知的要求更加严格。
但是,本法第十八条规定“个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。”
第三十五条规定“国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。”
说明除其他法律法规规定不需要告知、紧急情况下无法告知、告知将妨碍国家机关履行法定职责这三种情形之外,处理敏感个人信息应当严格依照法律法规告知个人必要性及对个人权益影响,也就是保障个人的充分知情权。
第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
条文精讲:未成年人的父母或者其他监护人应当依法履行其保护职责,作为保护未成年人的第一道防线,监护人应更关注未成年人身心健康。《民法典》第34条第1款规定,“监护人的职责是代理被监护人实施民事法律行为,保护被监护人的人身权利、财产权利以及其他合法权益等。”
因此,在未成年人的个人信息保护中,应当充分发挥未成年人的父母以及其他监护人的重要作用。依照《未成年人保护法》第4条的规定,处理涉及未成年人事项,应当给予未成年人特殊、优先保护,尊重未成年人的人格尊严,保护未成年人的隐私权和个人信息。《未成年人保护法》第72、73条和本条对未成年人个人信息的处理和保护都作出了特别规定。
第三十二条 法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。
条文精讲:本条明确了处理敏感个人信息的特殊限制情形。《个人信息保护法》并未直接明确处理敏感个人信息的特殊限制情形,而是留下了兜底性适用规定,不排除后续可能有其他相关法律或者配套行政法规作出严格限制,需要密切加以关注。
相关文章链接:
- End -
# 大鱼聊天室 #
10月13日(周三)晚20:00,「大鱼聊天室」对谈恒都律师事务所大客户中心总经理/资深销售管理专家楚国华,一起聊聊:专业服务如何有效拓展企业客户。欢迎扫码预约,直播不容错过。
↓↓↓
# 推荐阅读 #