《个人隐私保护法》详解
《中华人民共和国个人信息保护法》(简称《个人隐私保护法》)于2021年11月1日正式实施,是我国首部专门针对个人信息保护的综合性法律。该法构建了完整的个人信息保护框架,核心内容如下:
一、立法目的与适用范围
立法目的 规范个人信息处理活动,保障个人信息权益,促进个人信息合理利用。
立法目标
=
{
保护权益
规范处理
促进利用
\text{立法目标} = \left\{ \begin{array}{l} \text{保护权益} \\ \text{规范处理} \\ \text{促进利用} \end{array} \right.
立法目标=⎩
⎨
⎧保护权益规范处理促进利用
适用范围
境内处理自然人个人信息的行为境外处理境内自然人个人信息的行为例外:匿名化处理的信息(无法识别特定个人)
二、核心原则
合法正当必要原则 处理个人信息需有明确目的,且与目的直接相关,不得过度收集。
处理条件
⇒
{
合法性
正当性
必要性
\text{处理条件} \Rightarrow \left\{ \begin{array}{l} \text{合法性} \\ \text{正当性} \\ \text{必要性} \end{array} \right.
处理条件⇒⎩
⎨
⎧合法性正当性必要性
知情同意原则 需以显著方式告知处理规则,并取得个人明示同意。特殊情形(如紧急避险)除外。
最小化原则 收集范围限于实现目的的最小程度,保存期限为必要的最短时间。
三、个人信息处理规则
敏感信息特殊保护 生物识别、医疗健康、金融账户等信息需单独同意,并采取更严格保护措施。
敏感信息类型 = {生物特征, 健康数据, 行踪轨迹, 金融信息...}
跨境传输规则
需通过安全评估向个人告知境外接收方信息取得单独同意 自动化决策限制 禁止"大数据杀熟",需提供非自动化选项并说明算法逻辑。
四、个人权利体系
知情权与决定权 个人有权查询、复制个人信息,拒绝或撤回授权。
更正补充权 发现信息错误时,可要求及时更正。
删除权 出现以下情形可要求删除:
删除条件
∋
{
目的已实现
同意撤回
违法处理
\text{删除条件} \ni \left\{ \begin{array}{l} \text{目的已实现} \\ \text{同意撤回} \\ \text{违法处理} \end{array} \right.
删除条件∋⎩
⎨
⎧目的已实现同意撤回违法处理
五、法律责任
处罚力度
最高罚款:5000万元或上年度营业额5%责任人:禁业处罚(最高5年) 举证责任倒置 处理者需自证无过错,否则承担侵权责任。
六、企业合规要点
建立管理制度 指定个人信息保护负责人,定期进行合规审计。
实施技术防护 加密、去标识化等安全措施。
完善处理流程
事前评估高风险处理活动事中记录处理日志事后建立投诉响应机制
实践意义:该法推动企业从"粗放收集"转向"精细治理",赋予个人对信息的实质控制权,标志着我国数字治理进入新阶段。企业需重构数据合规体系,个人应主动行使法定权利维护隐私安全。