处理者|构建权责明确的个人信息处理和保护制度规则解读个人信息保护法( 二 )_阿里|新低|大跌|泄露

个人信息保护法将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息，要求只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可处理敏感个人信息，同时应当事前进行影响评估，并向个人告知处理的必要性以及对个人权益的影响。
“这主要是考虑到此类信息一旦泄露或者被非法使用，极易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害，因此，对处理敏感个人信息的活动应当作出更加严格的限制。”杨合庆说。
为保护未成年人的个人信息权益和身心健康，个人信息保护法特别将不满十四周岁未成年人的个人信息确定为敏感个人信息予以严格保护。同时，与未成年人保护法有关规定相衔接，要求处理不满十四周岁未成年人个人信息应当取得未成年人的父母或者其他监护人的同意，并应当对此制定专门的个人信息处理规则。
个人信息保护法还有一个重要内容，是将个人在个人信息处理活动中的各项权利总结提升为知情权、决定权，明确个人有权限制个人信息的处理；对个人信息可携带权作了原则规定，要求在符合国家网信部门规定条件的情形下，个人信息处理者应当为个人提供转移其个人信息的途径。
此外，个人信息保护法还对死者个人信息的保护作了专门规定，明确在尊重死者生前安排的前提下，其近亲属为自身合法、正当利益，可以对死者个人信息行使查阅、复制、更正、删除等权利。
强化处理者保障信息安全义务
个人信息处理者是个人信息保护的第一责任人。
个人信息保护法强调，个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。在此基础上，设专章明确了个人信息处理者的合规管理和保障个人信息安全等义务。
尤为需要特别指出的是，个人信息保护法对大型互联网平台设定了特别的个人信息保护义务。“在个人信息处理方面，互联网平台为平台内经营者处理个人信息提供基础技术服务、设定基本处理规则，是个人信息保护的关键环节。”杨合庆指出，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者对平台内的交易和个人信息处理活动具有强大的控制力和支配力，因此在个人信息保护方面应当承担更多的法律义务。
随着经济全球化、数字化的不断推进以及我国对外开放的不断扩大，个人信息的跨境流动日益频繁，但由于遥远的地理距离以及不同国家法律制度、保护水平之间的差异，个人信息跨境流动风险更加难以控制。为此，个人信息保护法构建了一套清晰、系统的个人信息跨境流动规则，以满足保障个人信息权益和安全的客观要求，适应国际经贸往来的现实需要。
健全工作机制加大惩戒力度
个人信息保护涉及的领域广，相关制度措施的落实有赖于完善的监管执法机制。根据工作实际，个人信息保护法明确，国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作，同时，对个人信息保护和监管职责作出规定，包括开展个人信息宣传教育、指导监督个人信息保护工作、接受处理相关投诉举报、组织对应用程序等进行测评、调查处理违法个人信息处理活动等。
根据个人信息处理的不同情况，个人信息保护法对违法处理个人信息的行为设置了不同梯次的行政处罚。同时还专门规定，对违法处理个人信息的应用程序，可以责令暂停或终止提供服务。在民事责任方面，个人信息保护法明确，处理个人信息侵害个人信息权益造成损害的，个人信息处理者如不能证明自己没有过错的，应当承担损害赔偿等侵权责任。