日期: 2021年8月24日
《個人信息保護法》於2021年8月20日經全國人大常委會通過,將於2021年11月1日起施行。這是內地首部針對個人信息保護而訂立的法律。
《個人信息保護法》確立以個人的同意為處理個人信息的主要法律基礎,規定處理個人信息須遵循合法、正當、誠信、最少必要以及公開透明的原則,並且須具有明確、合理的目的[1]。
個人有權向個人信息處理者(相當於香港《個人資料(私隱)條例》下的「資料使用者」)查閱、複製、更正以及要求刪除其個人信息,亦有權要求個人信息處理者提供轉移其個人信息至其他處理者的途徑[2]。
個人信息處理者在處理屬未滿十四周歲未成年人的個人信息時,須取得其父母或監護人的同意,及須制定專門的個人信息處理規則[3]。
《個人信息保護法》禁止利用個人信息進行自動化決策以對個人在交易價格上實施不合理的差別待遇(即俗稱「殺熟」行為)。此外,如果個人信息處理者通過自動化決策方式向個人進行信息推送或商業營銷,須向個人提供不針對其個人特徵的選項或便捷的拒絕方式[4]。
個人信息處理者如要向境外提供個人信息,須取得個人的單獨同意,以及符合特定條件,例如通過國家網信部門組織的安全評估、取得規定的認證、或簽定國家網信部門制定的標準合同等[5]。
《個人信息保護法》具境外效力。境外機構如為向境內自然人提供產品或者服務,或者為分析、評估境內自然人的行為等而處理境內自然人的個人信息,亦須遵守《個人信息保護法》的規定[6],及在境內設立專門機構或代表[7]。
國家網信部門將負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門亦會在各自職責範圍內負責個人信息保護和監督管理工作[8]。
違反《個人信息保護法》規定的個人信息處理者,最高可被罰款人民幣五千萬元,或上一年度營業額的百份之五,並可被責令停業整頓、吊銷相關業務許可或營業執照等[9]。
有關《個人信息保護法》的全文,可參閱全國人大的網頁︰
http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml
個人資料私隱專員公署將透過專題網頁提供更詳盡的《個人信息保護法》介紹。