新書推薦:
《
第二人生:找到重新定义人生的智慧
》
售價:HK$
96.8
《
唐朝三百年
》
售價:HK$
107.8
《
反操纵心理学:夺回人生主导权 拒绝被操纵
》
售價:HK$
54.8
《
同工异曲:跨文化阅读的启示(修订版)
》
售價:HK$
43.8
《
牛津立法研究手册
》
售價:HK$
358.6
《
制度为什么重要:政治科学中的新制度主义(人文社科悦读坊)
》
售價:HK$
63.8
《
梦醒子:一位华北乡居者的人生(1857—1942))(第2版)
》
售價:HK$
74.8
《
啊哈!原来如此(中译本修订版)
》
售價:HK$
63.8
編輯推薦:
重点解读\\实务要点\\案例解析\\关联法条\\附赠内容
【条文主旨】提炼个人信息保护法的核心要义。
【重点解读】对法条沿革、专业术语、内容重点等进行逐条解读。
【实务要点】对法条进行易混概念辨析、实践疑难解答、法律实务运用等剖析。
【案例解析】提炼案情介绍,并根据个人信息保护法最新条文内容作出务实法律解析。
【关联法条】列明与本条为关切的法律法规及条款,方便关联学习。
【附赠内容】免费赠送关联法规全文及案例详情电子版,附赠资料近600页。
內容簡介:
本书共设八章,分别与《个人信息保护法》的章节设定相对应,笔者根据自己的从业经验对立法规定逐一进行重点解读与实务分析,并就相关典型案例加以解析,力图以专业的法律从业者视角为读者提供前沿的实务观点和合规指引。本书章是对《个人信息保护法》“总则”部分的梳理,主要就立法目的、个人信息相关概念定义、法律适用范围以及基本原则等内容进行解读,摹画出个人信息保护立法的基本框架。第二章着重于“个人信息处理基本规则”,分三节介绍了本次立法中个人信息处理的一般规定、敏感个人信息的处理规则以及国家机关处理个人信息的特别规定,并结合现有实务案例进行要点解读,以使读者更加快速地理解个人信息保护的基本规则要义。第三章为“个人信息跨境提供的规则”,对于跨境提供个人信息的合规要件、处理规则、合规例外、国际协助处理规则进行梳理,本章为本次立法的全新规定,也凸显出个人信息跨境规制的重要意义。第四章为“个人在个人信息处理活动中的权利”,根据最新立法规定对个人信息知情权、决定权、查阅复制权、可携带权、更正权、删除权等权利内涵进行细化解读,并就死者个人信息保护问题加以分析。第五章为“个人信息处理者的义务”,主要包括个人信息处理者的一般安全义务、数据保护官规则、风险评估规则和泄露信息及时报告的义务,本章为数据企业合规实务提供了基础指引,具有重要的实务意义。第六章涉及“履行个人信息保护职责的部门”,立法确立了以网信办为主导的个人信息保护行政监管体系,并细化相应部门职责,构建起我国个人信息的基本监管框架。第七章为对“法律责任”部分的梳理,分别从民事责任、行政责任、刑事责任三个方面对违法收集、处理和利用个人信息行为应承担的法律责任加以解读,特别介绍了个人信息保护领域的公益诉讼制度。第八章为对“附则”部分的介绍,主要包括适用本法的例外情形以及相关名词定义。
關於作者:
刘新宇律师,法学博士,现为中伦律师事务所合伙人。
刘律师入选上海市数据合规与安全产业发展首批专家组成员。刘律师同时也担任公安部第三研究所网络安全特聘讲师、全国律协网络与高新技术委员会委员、上海市信息网络安全管理协会理事。刘律师还受聘为华东政法大学特聘校外导师,复旦大学司法研究中心实务部门研究员。
凭借精湛的专业技能、广泛的客户认可和超卓的执业表现,刘新宇律师近年来先后荣获2019《亚洲法律杂志》“客户*选律师”20强、2020 the Legal 500 “Fintech领域 领先律师”、2020 The Asian Lawyer“年度数据保护律师”提名、2020 IFLR1000中国“金融和企业领域 领先律师”、2021 the Legal 500 “数据保护领域 领先律师”等荣誉。
目錄 :
本书设置【重点解读】【实务要点】【案例解析】【关联法条】四个板块,其中有典型案例解析内容的条文已标注*。
章 总则
条【立法目的】
第二条*【个人信息受法律保护】
第三条【适用范围】
第四条*【个人信息及个人信息处理的定义】
第五条*【处理个人信息的原则】
第六条*【处理个人信息的必要性要求】
第七条*【明示个人信息处理规则的要求】
第八条*【个人信息的准确、完整要求】
第九条*【个人信息处理者安全保障责任】
第十条*【个人信息处理者的禁止性行为】
第十一条【国家在个人信息保护中的职责】
第十二条【个人信息保护的国际合作机制】
第二章 个人信息处理规则
节 一般规定
第十三条*【处理个人信息的合法性基础】
第十四条*【取得个人同意】
第十五条*【同意的撤回】
第十六条【不得拒绝提供产品或者服务】
第十七条【告知的要求】
第十八条【告知的例外】
第十九条*【个人信息的保存期限】
第二十条【共同个人信息处理者的责任分配】
第二十一条【个人信息的委托处理】
第二十二条【个人信息的转移】
第二十三条*【向他人提供个人信息】
第二十四条*【自动化决策的要求】
第二十五条【个人信息的公开】
第二十六条*【公共场所安装图像采集、个人身份识别设备的要求】
第二十七条*【已公开个人信息的处理】
第二节 敏感个人信息的处理规则
第二十八条*【敏感个人信息的定义及处理的要求】
第二十九条【处理敏感信息的单独同意与书面同意】
第三十条【处理敏感个人信息的特殊告知要求】
第三十一条*【未成年人个人信息的处理】
第三十二条【处理敏感个人信息的特殊限制】
第三节 国家机关处理个人信息的特别规定
第三十三条【国家机关处理个人信息的规则】
第三十四条*【国家机关处理个人信息的原则要求】
第三十五条【国家机关处理个人信息的告知义务及例外】
第三十六条【国家机关处理个人信息的存储】
第三十七条【具有公共事务职能的组织处理个人信息的要求】
第三章 个人信息跨境提供的规则
第三十八条*【向境外提供个人信息的条件】
第三十九条【向境外传输个人信息的告知要求与同意要求】
第四十条【特殊个人信息处理者向境外提供个人信息的要求】
第四十一条【向境外司法或执法机构提供个人信息的批准要求】
第四十二条【限制或者禁止个人信息提供清单制度】
第四十三条【对等反制措施制度】
第四章 个人在个人信息处理活动中的权利
第四十四条【知情权和决定权】
第四十五条【查阅权、复制权和可携带权】
第四十六条*【更正权和补充权】
第四十七条*【删除权】
第四十八条【解释与说明义务】
第四十九条【死者个人信息权利的行使】
第五十条【个人信息权益申请受理和处理机制】
第五章 个人信息处理者的义务
第五十一条*【个人信息处理者的安全保护义务】
第五十二条【个人信息保护负责人】
第五十三条【境外个人信息处理者的专门机构或指定代表】
第五十四条【个人信息合规审计】
第五十五条*【个人信息保护影响评估】
第五十六条【个人信息保护影响评估的具体内容】
第五十七条【个人信息泄露事件处置】
第五十八条【重要互联网平台特定的个人信息保护义务】
第五十九条【受托人的个人信息安全保护义务】
第六章 履行个人信息保护职责的部门
第六十条【履行个人信息保护职责的行政监管部门】
第六十一条【履行个人信息保护职责的部门的工作内容和职责】
第六十二条【国家网信部门的统筹协调职责】
第六十三条【履行个人信息保护职责可采取的措施】
第六十四条*【约谈与合规审计】
第六十五条【投诉、举报】
第七章 法律责任
第六十六条*【个人信息违法行为的法律责任】
第六十七条【信用惩戒制度】
第六十八条【国家机关不履行个人信息保护义务的法律责任】
第六十九条*【个人信息侵权行为的民事责任】
第七十条*【个人信息公益诉讼制度】
第七十一条*【个人信息违法行为的治安管理处罚和刑事责任】
第八章 附则
第七十二条【不适用个人信息保护法的特殊情形】
第七十三条【定义】
第七十四条【施行时间】
核心关联法规
中华人民共和国民法典(节录)
(2020年5月28日)
中华人民共和国网络安全法
(2016年11月7日)
中华人民共和国数据安全法
(2021年6月10日)
人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定
(2021年7月27日)
人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定
(2020年12月29日)
★附赠关联法规★
免费赠送如下内容电子版,请扫描封底“法规编辑部 ”二维码,在公号“资料下载”处获取。
中华人民共和国消费者权益保护法
(2013年10月25日)
中华人民共和国电子商务法
(2018年8月31日)
App违法违规收集使用个人信息行为认定方法
(2019年11月28日)
常见类型移动互联网应用程序必要个人信息范围规定
(2021年3月12日)
儿童个人信息网络保护规定
(2019年8月22日)
网络交易监督管理办法
(2021年3月15日)
公安机关互联网安全监督检查规定
(2018年9月15日)
国家网络安全事件应急预案
(2017年1月10日)
全国人民代表大会常务委员会发布关于加强网络信息保护的决定
(2012年12月28日)
国务院反垄断委员会关于平台经济领域的反垄断指南
(2021年2月7日)
人民法院、人民检察院关于检察公益诉讼案件适用法律若干问题的解释
(2020年12月29日)
中华人民共和国居民身份证法
(2011年10月29日)
中华人民共和国护照法
(2006年4月29日)
中华人民共和国反洗钱法
(2006年10月31日)
中华人民共和国反恐怖主义法
(2018年4月27日)
中华人民共和国统计法
(2009年6月27日)
中华人民共和国档案法
(2020年6月20日)
中华人民共和国治安管理处罚法
(2012年10月26日)
中华人民共和国公务员法
(2018年12月29日)
中华人民共和国公职人员政务处分法
(2020年6月20日)
征信业管理条例
(2013年1月21日)
不可靠实体清单规定
(2020年9月19日)
★附赠案例详情★
本书【案例解析】板块在案情介绍中对每个案例进行了提炼精简,需要获取“案例详情”的读者,可以下载附赠电子版。
內容試閱 :
2021年8月20日,十三届全国人大常委会第三十次会议正式表决通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),该法将于2021年11月1日起正式施行。《个人信息保护法》是个人信息保护领域的基本法律,以保护个人信息权益、规范个人信息处理活动为核心,旨在实现个人信息权益保护与个人信息合理利用之间的平衡。该法共八章七十四条,分别从个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、违反相关规定的法律责任等多个方面作出规定,就个人信息保护构建起了基本的法律框架,完善了我国个人信息保护领域的立法顶层设计,与《网络安全法》《数据安全法》共同构成我国数据治理领域的“三驾马车”。
个人信息保护的时代已经到来。随着信息化发展与个人信息价值的凸显,近年来个人信息保护成为不同法律部门聚焦的热点,也逐渐凸显出其独立的法律价值。《个人信息保护法》的正式出台,填补了我国个人信息保护专门立法的空白,标志着我国个人信息保护领域进入新的时代。本书立足于个人信息保护理论与实务,就《个人信息保护法》全文进行逐条解读,提炼立法重点、分享实务要点,并针对个人信息保护实务案例与社会热点加以分析,致力于为读者提供及时、全面、细致的立法解读与合规指南,为个人信息保护实务贡献自己的微薄之力,以共同促进我国个人信息保护法律事业发展。
本书共设八章,分别与《个人信息保护法》的章节设定相对应,笔者根据自己的从业经验对立法规定逐一进行重点解读与实务分析,并就相关典型案例加以解析,力图以专业的法律从业者视角为读者提供前沿的实务观点和合规指引。本书章是对《个人信息保护法》“总则”部分的梳理,主要就立法目的、个人信息相关概念定义、法律适用范围以及基本原则等内容进行解读,摹画出个人信息保护立法的基本框架。第二章着重于“个人信息处理基本规则”,分三节介绍了本次立法中个人信息处理的一般规定、敏感个人信息的处理规则以及国家机关处理个人信息的特别规定,并结合现有实务案例进行要点解读,以使读者更加快速地理解个人信息保护的基本规则要义。第三章为“个人信息跨境提供的规则”,对于跨境提供个人信息的合规要件、处理规则、合规例外、国际协助处理规则进行梳理,本章为本次立法的全新规定,也凸显出个人信息跨境规制的重要意义。第四章为“个人在个人信息处理活动中的权利”,根据立法规定对个人信息知情权、决定权、查阅复制权、可携带权、更正权、删除权等权利内涵进行细化解读,并就死者个人信息保护问题加以分析。第五章为“个人信息处理者的义务”,主要包括个人信息处理者的一般安全义务、数据保护官规则、风险评估规则和泄露信息及时报告的义务,本章为数据企业合规实务提供了基础指引,具有重要的实务意义。第六章涉及“履行个人信息保护职责的部门”,立法确立了以网信办为主导的个人信息保护行政监管体系,并细化相应部门职责,构建起我国个人信息的基本监管框架。第七章为对“法律责任”部分的梳理,分别从民事责任、行政责任、刑事责任三个方面对违法收集、处理和利用个人信息行为应承担的法律责任加以解读,特别介绍了个人信息保护领域的公益诉讼制度。第八章为对“附则”部分的介绍,主要包括适用本法的例外情形以及相关名词定义。
在信息化时代,个人隐私和信息安全问题频发,人脸识别技术滥用、“大数据杀熟”、应用程序过度收集个人信息等技术问题时刻威胁着公民的个人信息安全,相关行业难点和痛点问题亟待整治。《个人信息保护法》在《中华人民共和国民法典》的基础上进一步完善细化了我国的个人信息保护规则,要求个人信息处理者不得过度收集个人信息,不得非法买卖、提供或公开他人个人信息,在公共场所安装图像采集装置必须设置显著提示标识等,《个人信息保护法》的出台为保护提供了有效的法律武器。此外,在互联网平台企业的数据纠纷中也有相当一部分案例涉及个人信息,进一步从竞争层面凸显出个人信息保护的法律价值和理论意义。正所谓时代有所呼、立法有所应,《个人信息保护法》的出台正当其时,该法是我国个人信息保护领域的基本法律,凝结着我国立法、执法和司法各界法律从业人士和实务人员的心血和经验,为我国公民的个人信息保护扣上了法律“安全锁”,也为数据类企业的良性竞争和数字经济发展秩序提供了可供遵循的重要法律。本书正是根植于个人信息保护的各领域实务视角,以《个人信息保护法》正式出台为契机,结合典型案例及笔者多年数据合规执业经验就现阶段个人信息保护实务重点和实操要点加以解读分析,以飨读者。
感谢中国法制出版社编辑刘晓霞老师的敬业与耐心,在其协助下本书写作任务才得以高效完成。同时感谢团队中葛舒、张培培、吴豪雳、冯中杰、杨海鹏、边雪松、卢佳宏、闻林等多位成员的共同不懈努力,使得本书能够在《个人信息保护法》出台后时间与读者见面。仓促成稿,难免挂一漏万,如有错漏之处,望各位读者不吝赐教。
是为序。
刘新宇
2021年8月31日
第二十四条【自动化决策的要求】
个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
重点解读
本条明确了利用个人信息进行自动化决策的要求。
自动化决策技术本身具备一定的复杂性,且可能受个人信息处理者商业化决策的影响。在这种情形下,自动化决策算法犹如一个“黑箱”,信息主体无法知悉其决策流程,亦无法对其直接进行评判和监督,基于此,有必要对使用自动化决策的个人信息处理者予以必要的限制。
从自动化决策的过程和结果要求看,本条款强调自动化决策的透明和处理结果的公平公正。同时,本条款进一步强调个人信息处理者不得对个人在交易价格等交易条件上实行不合理的差别待遇,直指实践中常见的“大数据杀熟”行为。
同时,针对利用自动化决策开展信息推送、商业营销等对个人信息权益有直接影响的行为,本条第二款要求个人信息处理者同时提供不针对其个人特征的选项,这与《电子商务法》第十八条款规定相类似。
此外,本条第三款为个人提供了救济途径,即对于通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝。举例来说,在金融借贷场景下,如果依据数据模型自动决定个人贷款额度的,个人可以要求个人信息处理者作出说明并有权拒绝仅以数据模型自动决策的方式作出决定,相对应地,在个人依据本条提出权利主张的情况下,个人信息处理者可能需要对个人的贷款额度进行人工复核。
实务要点
1.“大数据杀熟”行为的定性
所谓大数据杀熟,是指商家利用大数据技术,基于对用户信息的分析和处理,对其中使用次数较多、对价格不敏感的客户实施差异性定价,其终目的是达到利益的化。
《个人信息保护法》出台前,针对大数据杀熟行为常用的规制依据是《消费者权益保护法》第十条规定的“公平交易权”。但该条文较为概括,且即使消费者基于“公平交易权”得到了赔偿,企业仅需要承担相应的民事责任,对于企业而言“违法成本”较低,不足以对“大数据杀熟”行为产生足够的威慑。由于“大数据杀熟”大多同市场垄断势力存在关联,故反垄断领域成为较早规制“大数据杀熟”行为的领域之一。2021年初,国务院反垄断委员会发布了《关于平台经济领域的反垄断指南》,其中第十七条规定,实施“大数据杀熟”可能被认定为“滥用市场支配地位”。若一旦被认定为滥用市场支配地位,则其需要根据《反垄断法》承担相应的法律责任。具体而言,企业可能需要面临“停止违法行为,没收违法所得,并处上一年度销售额百分之一以上百分之十以下的罚款”的行政处罚。
《个人信息保护法》系首次在法律层面直接对“大数据杀熟”行为作出规制,将“大数据杀熟”行为界定为“实行不合理的差别待遇”,系在《消费者权益保护法》的基础上,针对“大数据杀熟”行为性质的进一步界定。
2.如何约束信息系统的自动化决策
采用自动化决策相关技术是实践中的常见情形,已被广泛运用于贷款审批、简历筛选等环节。如何约束信息系统的自动化决策将成为《个人信息保护法》生效后企业面临的共同问题。
一方面,根据本法第五十五条的规定,就使用自动化决策机制前,个人信息处理者宜开展个人信息保护影响评估,充分评估自动化决策可能对信息主体的权益造成的损害。
另一方面,结合本条的要求,个人信息处理者应当向个人信息主体提供针对自动化决策结果的投诉渠道,通过该等渠道向个人提供必要的说明。
案例解析
*案情介绍
2018年7月19日11时55分20秒,刘某通过M公司运营的外卖平台,向某商家购买了“套餐金枪鱼三明治 红豆薏米汁”一份,收货地址为A大厦1320室,配送费为4.1元。同日12时8分20秒,其同事通过同一平台向同一商家订购了同样的套餐一份,收货地址也为A大厦1320室,配送费为3.1元。刘某诉称,M公司对其多收取的1元配送费是“大数据杀熟”区别定价,侵犯了其知情权、公平交易权等。
M公司提供平台后台日志并抗辩称,刘某订单所涉商圈当日11时47分开始订单大幅上涨,配送费动态上调,11时57分后订单大幅上涨的状态结束,配送费动态恢复正常水平。
*法律解读
本案中,法院经审理认为,刘某所述的两份订单虽然购买商家、商品、收货地址均一致,但关键是下单时间不一致。但被告提供的后台系统证据足以证明其对顾客未差别定价,M公司根据平台交易量对配送费进行动态调整,是自身的经营行为,现有证据不足以证明M公司对刘某多收1元的配送费是利用“大数据”区别定价,侵犯了其公平交易权等,并判决驳回刘某的诉讼请求。
本案折射出“大数据杀熟”类案件中的一大难点,即差别定价行为往往较为隐蔽,且消费者往往难以对此进行举证。尽管《个人信息保护法》明确将“大数据杀熟”行为纳入监管,且要求个人信息处理者保证决策的透明度,但对于此类“差别定价”行为在司法实践中如何认定,或还有待实践的进一步探索。
关联法条
《电子商务法》第十八条;《消费者权益保护法》第十条。