最新动态
- 2024/09/27飘香马来西亚!“梦之蓝手工班全球行”东南亚启航
- 2024/09/27扬华夏之帆,助华商之梦!优发国际股份亮相第十七届世界华商大会
- 2024/09/08“万窖齐开 酒中头排”2024优发国际第七届开窖节举行
- 2024/09/05优发国际窖池群获吉尼斯世界纪录认证!梦之蓝手工班全球行闪耀金陵
- 2024/08/30北京站首航!梦之蓝手工班全球行引领“中国高端年份老酒”新潮流
《个人信息保护法》逐条解读:个人信息处理规则(三)
第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意
本条是第二个法律规定需要个人单独同意的条款。
实践中,个人信息处理者在收集到个人信息之后,往往有再次向其他个人信息处理者提供的行为,但是基本上没有告知个人更没有经过个人同意,顶多在用户协议中预留了相关条款。
《个人信息保护法》实施后,向其他个人信息提供者提供个人信息的成本将提高,需要告知个人相关信息并且取得个人的单独同意,预留相关条款的做法将达不到法律的要求。
在理解该条的时候要跟第二十一条区分开。第二十一条说的是受托处理个人信息的场景,例如个人信息处理者收集到个人信息之后,交给其供应商要求供应商按照其要求进行一定的分析处理。而本条讲的是把数据交给了另外一个个人信息处理者,例如收集到个人信息之后,提供给另外一个经营者用于其产品或者服务的设计和经营。
第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
这一条规定的是“用户画像”以及“大数据杀熟”的问题。在一段时间以来,很多消费者反映:自己刚刚在想要不要买某种商品,突然就接到了这种商品的推送;也有消费者反映遇到了大数据杀熟:同样的商品或者服务,熟客与生客的价格不一样,甚至不同类型的手机、不同的性别显示的价格不一样。很多人怀疑这是经营者在搞大数据杀熟,利用一些熟客对价格的不敏感攫取不合理的利益。
本条并没有规定不能进行“用户画像”,只是要求不得再交易价格等交易条件上实行不合理的差别待遇,另外主动推送的信息应提供不针对个人特征的选项并提供便捷的拒绝方式。这是把主动权给了个人,个人有权利拒绝针对个人特征的信息推送,有权利拒绝信息推送。
第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。
这又是一个关于个人“单独同意”的条款。需要指出的是,“单独同意”一定是明示作出的,由个人有一系列同意的动作,不能推论默示“单独同意”。
所谓“公开”,即没有把信息控制在一定范围内,不特定的人可以获取。
如果把收集到的个人信息用作分析、为决策提供参考,不属于公开,不用去的个人单独同意。
但是,如果把收集到的个人信息经过加工之后,向不特定的人展示,则需要取得个人的单独同意。
另外,这里的个人信息指的是第十三条规定的基于取得个人同意处理的个人信息。其他并非基于取得个人同意处理的信息,在公开的时候,也不用再次取得个人的单独同意。
第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
这是第三个法律规定需要个人单独同意的条款。
根据这条规定,首先只有为了维护公共安全,才能在公共场所安装采集、识别个人信息的设备。非为了维护公共安全的必需,不能随意安装。例如,某书店的经营者就不能安装拍摄店外公共区域的拍摄设备。其次,应设置显著的提示标志。未设置显著提示标志的,没有尽到法定义务。再次,所收集的个人信息只能用于维护公共安全的目的,不能用作其他目的。最后,如果需要用作其他目的的,那么需要取得个人单独同意。需要说明的是,一些公共场合下采集的个人信息,如果涉及人数众多,几乎难以取得每一个个人的单独同意。例如,在机场、火车站收集到的个人信息。
第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。
根据第十三条的规定,个人信息处理者可以依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。那么,何为“合理的范围呢”?
本条给出了下面几个规则:1、个人明确拒绝处理个人信息的,个人信息处理者不能处理;2、处理已经公开的个人信息对个人权益有重大影响的,应该取得个人的同意。
在苏州贝尔塔数据技术有限公司与伊某人格权纠纷一案中,贝尔塔公司把伊某的判决书放到了自己的网站上,被伊某起诉到了法院。法院指出:贝尔塔公司收到伊某要求后仍未及时删除相关裁判文书和公告文书,有悖于伊某对已公开信息进行传播控制的意思表示,违反了合法性、正当性和必要性原则,应该认为对伊某构成重大利益影响,侵犯了其个人信息权益。在伊某联系贝尔塔公司要求删除文书之后,贝尔塔公司仍以中国裁判文书网已公开诉争文书为由拒绝删除涉案文书,则构成对伊某个人信息的非法公开使用。