《個保法》解讀周｜個人資訊處理的合規要求

上一期 友盟+

針對《個保法》企業需要履行責任進行了解讀，

本期我們來解讀企業在處理個人資訊時應該遵守哪些合規要求。

首先明確，什麼是個人資訊？

個保法對“個人資訊”的定義是：以電子或者其他方式記錄的與

已識別

或者

可識別

自然人有關的各種資訊，不包括匿名化處理後的資訊。

因此，個人資訊的範圍不只包括直接能判斷個人身份的資訊（如身份證資訊等），

還包括所有可能識別出個人的資訊（如裝置資訊等）。

在這些個人資訊中，

敏感程度的不同，分為一般個人資訊和敏感個人資訊。

敏感個人資訊指一旦被洩露或者非法使用，容易導致自然人人格尊嚴受到侵害或者人身財產安全受到危害的資訊。包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等資訊，以及不滿十四周歲未成年人的個人資訊。

常見的個人資訊舉例，詳見國家標準《個人資訊保安規範》附錄。

個人資訊處理的合規要求

企業在滿足什麼樣的合規前提下，可以處理個人資訊？

滿足以下三類合規前提的任何一種

：

（一）取得個人的同意。

企業在充分告知個人並取得同意後，可處理個人資訊。

（二）履行合同所必須。

這裡合同特指個人作為一方當事人的合同，如企業為個人提供服務的合同，或履行勞動合同所必須。

（三）法定特殊情形。

如履行法定職責或義務、處理公共衛生事件或緊急情況、進行新聞報道或輿論監督、或處理公開資訊

告知同意的具體要求

在取得個人同意的場景下，根據具體場景的不同，個保法對同意的形式也有不同的要求。

通常，在企業充分告知、個人明示同意後即可處理個人資訊。

但在以下5類特殊場景下，個人的同意需要“單獨”作出，即區分於一攬子同意，以“單獨清單”等方式向用戶告知並取得同意。

向他人提供個人資訊

處理敏感個人資訊

公開處理個人資訊

向境外提供個人資訊

維護公共安全而在公共場所安裝身份識別裝置

在此，

友盟+溫馨提示，處理個人資訊前務必要根據本節課程，自查是否滿足法律要求哦

~下一期，我們向大家講解個人資訊處理三大通用場景的合規要求，非常實操，可不要錯過哦。

友盟+作為開發者服務領域引導者，將在監管機構的指導下，積極與開發者一道共同推動個人資訊保護工作，共同落實個人資訊保護義務，為構建一個安全、合規、健康的網路環境貢獻力量。