随着数字经济的深入发展,个人信息保护已成为社会关注的焦点。为回应这一迫切需求,我国立法机关在既有法律框架基础上,审议通过了最新的《个人信息保护法》补充规定。该规定于近期正式生效,对个人信息处理活动提出了更为明确与严格的要求,标志着我国个人信息保护法治体系迈入新阶段。
最新规定的核心在于进一步细化个人信息处理的基本原则。规定强调,处理个人信息必须遵循合法、正当、必要和诚信原则,任何组织或个人不得通过误导、欺诈、胁迫等方式处理个人信息。特别值得注意的是,规定首次以列举方式明确了“必要原则”的具体场景,要求信息处理者所收集的个人信息必须与处理目的直接相关,且采取对个人权益影响最小的方式。这一细化操作,为实践中判断信息收集范围是否适度提供了清晰标尺。
在个人信息跨境提供规则方面,新规定构筑了更为严密的监管防线。根据新规,关键信息基础设施运营者以及处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,必须通过国家网信部门组织的安全评估。对于其他情况,则需按照国家网信部门的标准合同与境外接收方订立协议,或者通过专业机构进行个人信息保护认证。这一分层管理机制,既保障了重要数据的安全,也为正常的国际经贸往来提供了合规路径。
针对自动化决策与用户画像等新技术应用,规定设立了专门的约束条款。利用个人信息进行自动化决策,包括通过程序自动分析、评估个人的行为习惯、经济状况、健康、信用状况等,应当保证决策的透明度和结果公平公正。如果该决策对个人权益有重大影响,个人有权要求信息处理者予以说明,并有权拒绝仅通过自动化决策方式作出决定。此条款旨在防止算法歧视,保障个人在数字化生活中的自主选择权与公平待遇。
对于履行个人信息保护职责的部门,新规赋予了更充分的调查与处置权力。省级以上履行个人信息保护职责的部门,在发现个人信息处理活动存在较大风险或者发生个人信息安全事件时,可以约谈该信息处理者的法定代表人或者主要负责人。若违法行为情节严重,有关部门有权责令暂停或终止提供服务,并处以高额罚款。这些措施显著提升了法律的可执行性与威慑力。
规定还强化了个人信息处理者的内部治理义务。处理个人信息达到规定数量的企业,应当指定个人信息保护负责人,负责监督个人信息处理活动以及采取的保护措施。同时,必须定期对其个人信息处理活动进行合规审计,并将审计报告留存备查。这要求企业必须将个人信息保护从被动合规转向主动治理,建立健全内部长效管理机制。
最新规定的出台,是对数字化时代公民权利关切的积极回应。它不仅在实体规则上划定了更为清晰的行为边界,更在程序与执行层面设计了有力保障。各类信息处理主体应当及时深入学习规定内容,全面审视并调整自身的业务实践,确保个人信息处理活动全流程的合法合规。全社会也应以此为契机,共同推动形成尊重个人信息权益、促进数据安全利用的良好法治环境与社会风尚。
