公众号后台回复“个保法”,即可下载个保法全文PDF
引言
2021年11月1日起,个保法即将实施。
上一次的文章中,我们聊了个保法与数字营销相关的影响,参见。
今天我们来一起看下,在数字营销与营运过程中,与用户权益、企业处理用户个人信息等《个人信息保护法》中相关的名词解释。
全文目录如下
01 用户个人信息权益相关
1.个人信息定义
以电子或其他形式记录的已辨识或可辨识自然人的有关信息,但其中不包括匿名化处理后的信息,也就是说,个人信息具有可辨识自然人的特点。
比如常见的通过手机号辨识用户,或是用户手机设备惟一标示device id,均属于个人信息。
2.个人敏感信息
个保法中提出,个人敏感信息是指一旦泄漏或则非法使用,容易造成自然人的人格尊严遭到侵犯或则人身、财产安全遭到害处的个人信息。包括生物辨识、宗教信仰、特定身分、医疗健康、金融帐户、行踪轨迹等信息。
举例来说,生物辨识信息中就包含指纹、人脸信息等,而当人脸信息泄漏后,就可能被用于刷脸支付,从而恐吓到用户的财产安全。可见相比普通个人信息,个人敏感信息的泄密害处更大。
3.未成年人个人信息
指不满十四周岁未成年人的个人信息,个保法中规定处理这类信息需要取得未成年人的监护人同意。
4.个人行使权力:撤回同意
个保法规定,个人同意处理其个人信息后,也有权撤回同意。也就是说,尽管用户前期同意授权自己的信息给企业,后期用户想要毁约撤回,企业也要提供撤回同意的形式。并且即便用户撤回同意,也不能对前期提供的服务进行限制收回。
5.个人行使权力:查阅复制
当用户想要查阅或复制自己的个人信息,企业须要及时向用户提供。
6.个人行使权力:更正补充
个人信息不确切或不完整的情况下,用户有权对自己的个人信息进行更正或补充。
7.个人行使权力:删除权
在一些情况下,若企业未主动删掉个人信息,用户有权恳求删掉,例如用户撤回同意、企业停止提供产品或服务等等。具体可参见个保法第四十七条(公众号后台回复“个保法”,即可下载个保法全文PDF)
8.个人行使权力:可携权
在符合国家网信部门规定的情况下,用户恳求将自己个人信息转移到其他地方,企业也须要提供相应的途径。也就是说用户个人信息具有可携权,这一规定才能一定程度上避免部份平台垄断数据,带来多个数据孤岛的局面。
而企业与企业之间也可在用户知情且同意授权的情况下,建立数据合作项目,有利于数据生态的发展。
9.个人行使权力:拒绝权
除了法律规定的情况之外,用户拥有拒绝别人处理其个人信息的权力。
10.个人信息处理者
个保法中对个人信息处理者的定义为:在个人信息处理活动中自主决定处理目的、处理方法的组织、个人。
也就是说,无论是组织还是个人,只要存在对别人个人信息处理活动的,均属于个人信息处理者的范畴,也就须要合法合规地对信息进行处理。
PS:为了便捷理解,下文我们将主要以企业代指个人信息处理者。
11.处理
处理包含个人信息的搜集、存储、使用、加工、传输、提供、公开、删除等。
12.匿名化处理
个保法中的个人信息不包含匿名化处理后的信息,而匿名化处理是指,企业对个人信息进行加工处理后,无法辨识出特定用户的信息,且匿名化信息难以复原。
例如将用户的手机号做技术处理后,则难以通过处理后的信息匹配到特定用户,那么这样匿名化处理过的信息,就不属于个人信息的范畴。
13.个人敏感信息处理
企业在处理用户敏感信息时,需要额外获得用户的单独同意,且明晰告知用户怎样使用其敏感信息,以及对用户的个人权益会带来什么样的影响。
比如说,尽管用户前期对个人信息进行了授权,但当涉及到处理用户个人敏感信息时,则须要单独获得用户同意,且明晰告诉用户处理的必要性及可能的影响。
14.多方处理个人信息
当用户的个人信息数据的处理,涉及到多方时,需要向用于告知相关处理方的信息,包括名称/姓名、联系方法、处理目的、处理方法以及涉及的个人信息是哪些,告知以外,也须要获得用户的单独同意。
例如过去品牌使用三方数据公司提供的人群包来进行广告投放的玩法,在个保法实施后,则属于多方处理用户个人信息,需要获得用户的单独同意。
比如三方数据公司在搜集用户信息时,除了告知用户信息使用目的,还需说明涉及的其他处理方使用目的,如品牌用于广告投放。
15.公开信息处理
用户自行公开的个人信息,企业可以在合理范围内进行处理,但若处理会对用户权益导致重大影响,仍然须要获得用户同意。
并且即便用户公开个人信息,仍有拒绝信息被处理的权力,因此总的来说,处理用户信息时最好取得用户同意。
16.个人信息处理原则:正当原则
个保法第五条规定:处理个人信息应该遵守合法、正当、必要和诚信原则,不得通过欺骗、欺诈、胁迫等方法处理个人信息。
这里的原则意味着处理用户信息时要合法合规,禁止通过恐吓的手段来逼迫用户同意授权个人信息,例如过去常见的,一些APP在用户不同意隐私条款下直接死机,导致用户为使用APP功能而不得已授权同意。
02 用户信息处理相关
17.个人信息处理原则:公开、透明原则
公开透明原则指,在处理用户个人信息前,企业须要明白告知用户,处理其个人信息的目的、方式以及范围。
例如美团获取用户地理位置信息时,告知用户是为了给其推送距离较近的店面。
18.处理目的最小范围
个保法第六条强调,收集个人信息,应当限于实现处理目的的最小范围,不得过度搜集个人信息。
这里处理目的的最小范围的涵义是说,用户的个人信息不能用于实现处理目的以外的用途。
比如瑜伽APP搜集用户的性别年纪、身高体重等个人信息用于制订瑜伽计划,但让用户填写其收入范围则超过了处理目的的范畴。
19.告知
在处理用户个人信息前,需要以明显的形式清晰告知用户相关事项,如作为个人信息处理者的企业名称及联系方法,其个人信息处理目的、方式、处理的个人信息种类以及保存使用年限等等,具体可参见个保法第十七条(公众号后台回复“个保法”,即可下载个保法全文PDF)
这里告知须要以明显方法是指,需要明示用户涉及其个人信息处理的相关事项,比如有的平台在获取用户个人信息的时侯,会通过诱导用户点击的方法,让用户在不知情的情况下勾选同意授权。
另外,在特殊情况下,如紧急情况下为保护用户生命健康或财产安全难以及时告知,也须要在事后及时告知用户。
而只有在法律法规要求保密或无需告知用户的情况下,才可不用告知用户,个人信息处理者的企业名称及联系方法。
20.单独同意
单独同意指用户的部份信息,或部份情况下的信息处理,需要额外获得用户的单独同意。
具体情况有以下五种:
21.明示同意
明示同意指须要以明显的形式让用户阅读了解相关内容,例如通过高亮的形式便捷用户注意其个人信息使用途径,而非故意将重要信息以不醒目的形式让用户忽视。
比如一些APP的隐私条款会将其搜集的用户个人信息种类及用途放置在条款的众多文字中,让用户难以快速了解到。
22.重新取得同意
当企业对用户个人信息的处理目的或方法,和处理个人信息种类发生变更的时侯,需要重新取得用户的同意。
举例来说,用户为了购物授权给电商平台其个人信息数据,但若果平台要将其数据传输给品牌,则须要重新获得用户同意。
23.不需要取得个人同意
在以下情况中,处理用户个人信息时可以不取得其个人同意:
具体可参见个保法第十三条(公众号后台回复“个保法”,即可下载个保法全文PDF)
24.个人信息转移
当企业出现特殊情况须要转移用户个人信息的,也须要告知用户其个人信息的接收方名称及联系方法,并且当接收方将用户个人信息用于新目的时,同样须要重新取得用户的个人同意。
比如某公司旗下的分公司解散,将分公司所处理的用户数据转移到总公司,就须要告知用户此项变化,当总公司对这批用户数据进行新的处理时,如用于广告投放,则需重新取得用户同意。
25.个人信息的保存年限
个保法中没有明晰规定个人信息的保存年限,而是说应为实现处理目的所必要的最短时间,在完成处理目的后,需要尽早删掉。
也就是说,企业在搜集处理用户信息时,需要有相对明晰的保存年限,出现过期情况,需要重新获得用户授权同意,或删掉相关个人信息数据。
26.共同处理
个保法第二十条规定:两个以上的个人信息处理者共同决定个人信息的处理目的和处理方法的,应当约定各自的权力和义务。
在用户个人信息的实际处理中,往往涉及到多方数据流转,而个保法规定,两个及以上的处理者均属于共同处理范畴,而在共同处理的情况下,多方都须要符合个保法的规定取得用户同意。
例如甲乙两个公司有数据合作项目,用户将个人信息数据授权给了甲公司,而乙公司在使用相关用户数据时,仍须要获得用户的授权同意。
27.委托处理
个保法规定,当企业委托其他企业处理用户个人信息的时侯,需要与被委托企业约定相应的处理目的、期限、方式以及个人信息种类等等,并且须要监督被委托企业的处理活动。
例如某品牌将自己的用户数据给到数据剖析公司,委托其剖析品牌的用户画像,这时就须要与数据公司规定这批用户数据的使用目的、方式、期限等等。
并且数据剖析公司不能在未经品牌同意的情况下,将数据给第三方处理。而数据剖析公司在完成项目后,需要退还或删掉品牌给到的用户个人信息数据。
28.自动化决策
指通过计算机程序剖析大数据,判断用户的个人行为习惯,兴趣爱好,甚至是经济信用等状况,基于这种剖析结果,给用户进行特定的推送。
比如常见的在社交媒体上,根据用户常常点击浏览等数据,分析其偏好内容,推送相像的其他内容;在一些购物APP上,根据用户的订购数据剖析用户的经济能力,推送符合其经济能力的商品。
而企业在借助用户个人信息对其进行自动化决策时,一方面须要保证决策的透明度及公平性,另一方用户拥有拒绝自动化决策的权力,企业则需提供方便的拒绝形式。
例如一些APP针对用户喜好的个性化推送内容,平台须要在显著的位置,给用户提供拒绝个性化推荐的按键。
03 企业或平台的义务相关
29.公共场所安装辨识设备
在基于“公共安全”需要的情况下,企业可以在公共场所安装图象采集、个人身分辨识的设备,同时还需设置明显的提示,例如一些建行会在玻璃门上张贴“您已步入监控区域”的提示信息。
其中通过辨识设备搜集到的个人图象、身份辨识信息,在没有取得用户同意的情况下,只能用于维护公共安全这一目的。
例如过去某房产公司在售楼部设置人脸识别系统,记录客户的人脸数据判定客户类型,当客人属于自然来访这一类型,则在签署买房协议时缴纳更高的佣金,当客人属于渠道带客这一类型,则缴纳相对较低的佣金,而整个过程用户均不知情。
在个保法即将施行后,这一“商业模式”则不再合法合规。
30.个人信息处理者义务
总的来说,个保法指出企业须要对用户个人信息处理活动进行全程的负责。除了最重要的“告知”义务,个保法还专门规定了其他相关义务,具体如下:
合规流程处理个人信息义务:
保证个人信息安全义务:
31.加密、去标识化
个保法中规定,企业有义务采取一定的举措确保个人信息处理活动合法合规,其中包括加密、去标识化等安全技术举措。
这里的去标识化是指将用户的个人信息进行处理,在通常情况下难以辨识匹配到特定的人,与匿名化的区别在于,匿名化处理的过程未能复原,而去标识化的处理过程,可在利用额外信息的情况下,恢复到原始数据辨识个人。
例如电商平台将用户数据进行加密处理后输出给店家,而店家倘若揭秘数据,则需使用平台提供揭秘API接口,这种可揭秘的形式则为去标识化处理。
32.《个保法》适用范围
个保法的使用范围主要在两方面,一方面适用于在中国境内处理个人信息的活动,另一方面境外处理境内个人信息的活动同样须要符合个保法的规定。
例如部份跨国企业的中国区公司,在境内获取到了用户的个人信息,若要将用户的个人信息传输到境外的公司总部或其他用途,则须要单独获取用户的授权同意。
04 跨境数据流转相关
33.数据出境
在境内搜集或形成的个人信息数据,提供给境外的组织或则机构,均属于数据出境。
例如跨国企业的境外总公司,可以直接获取到境内分公司搜集的用户个人信息数据这一处理活动,尽管是同一家企业,但同样属于数据出境,需要注意合法合规。
34.数据储存
根据个保法第四十条,当企业处理的个人信息数目达到国家网信部门规定的,需要将在境内搜集或形成的个人信息储存在境内。
例如一家跨国企业,在中国境内搜集的用户个人信息数据达到国家网信部门规定,相关数据则须要储存在境内,而不应跨境储存。
35.个人信息跨境提供条件
当企业在境内搜集的用户个人信息数目达国家网信部门规定,同时又确实须要将数据向境外提供,则须要满足以下三个条件之一:
(1)安全评估
(2)专业机构认证
(3)设置标准协议
以上为个保法中涉及到企业数字营销与营运过程中的35个名词解释,希望对你们有帮助!
自11月1日起,《个保法》已即将开始施行,那么具体来说,企业对数据的搜集与应用,数字营销策略的拟定与施行都须要注意什么点?更多详情可扫描下方图中二维码了解。