个人信息保护法》日前获得通过,将于2021年11月1日起正式施行。该法系统性回应了当前个人信息保护面临的复杂问题和严峻挑战,明确了个人信息处理的基本原则,有利于更好地规范个人信息处理活动,促进个人信息合理利用。

第一,合法正当诚信原则。

处理个人信息应当遵循合法、正当、诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。

第二,处理必要原则。

《个人信息保护法》对个人信息的收集范围、处理方式、保存期限等作了严格限制。收集个人信息,应当限于实现处理目的的最小范围。处理个人信息应当采取对个人权益影响最小的方式。除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需。

第三,目的特定原则。

处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关。个人信息的处理目的发生变更的,应当重新取得个人同意。受托人应当按照约定处理个人信息,不得超出约定的处理目的处理个人信息。因合并、分立、解散、被宣告破产等原因需要接收个人信息的接收方,变更原先的处理目的的,应当重新取得个人同意。在公共场所安装图像采集、个人身份识别设备,所收集的个人信息,除非取得个人单独同意,只能用于维护公共安全的目的,不得用于其他目的。

第四,知情同意原则。

知情同意是《个人信息保护法》规定的个人信息处理活动最重要的合法性基础。除了包括该法在内的法律、行政法规有特殊规定的,处理个人信息应当取得个人的同意。基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。个人信息处理者公开其处理的个人信息、处理敏感个人信息、向境外提供个人信息的,应当取得个人的单独同意。

第五,个体参与原则。

个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明。

第六,保证质量原则。

处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。

第七,公开透明原则。

处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知法定事项;通过制定个人信息处理规则的方式告知必要事项的,处理规则应当公开,并且便于查阅和保存。个人信息处理者应当公开个人信息保护负责人的联系方式。个人信息处理者处理敏感个人信息的,除非法律另有规定,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

第八,安全保障原则。

个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全;根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取相应的保护措施。接受委托处理个人信息的受托人,应当按照规定,采取必要措施保障所处理的个人信息的安全。