(一)识别监管要求聚焦安全保护重点
个人信息处理
原则合规
《个人信息保护法
》总则中规定了个人信息处理的合法、正 当、必要、诚信、公开透明等,这些基本原则既是处理者开展个人 信息处理活动的基本遵循,也是构建个人信息保护具体规则的制度 基础。需要明确的是企业或组织在个人信息的处理中占据绝对的主 导地位,在处理个人信息必须遵循合法、正当、必要和诚信原则, 具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保 证信息质量,采取安全保护措施等,而这些措施必须贯穿于个人信 息处理的全过程、各环节。
第一、合法原则。按照《个人信息保护法》《民法典》《网络 安全法》《消费者
权益保护法》的相关规定其内涵包括:处理者处 理个人信息必须具备法律法规规定的合法性基础和处理者在处理个 人信息时必须履行法律法规为其设定的义务两个方面,即权利与义 务的统一性,既要符合法律法规的要求,又要履行法律法规富裕的 义务,企业或组织在个人信息处理的过程中避免出现只使用权利而 承担应尽义务的情况。
第二、正当原则。正当包括目的正当与手段正当,目的正当即 在进行个人信息处理时,要提供一个合法、合理的目的。手段正当 即其处理个人信息的过程需要公开、公正、透明。而非通过欺骗、 诈骗等方式获取并处理个人信息。比如诈骗或者帮助他人诈骗或者 个人信息等就属于目的不正当和手段不正当。
第三、最小必要原则。主要指处理者处理个人信息不应当超过 可以实现处理目的的最低限度,其处理的个人信息应当限于满足处 理目的的最小范围之内,个人信息的过度采集或者加工极容易造成 难以预见对主体的损害甚至带来财产损失乃至造成生命威胁。而现 实中 App端普遍存在违规采集个人信息、超范围采集个人信息、违 规使用个人信息、过度索取权限以的现象,同时使用谐音、刷屏、差评等行为对个人进行诋毁、污蔑等现象也普遍存在。因此,合理 最低限度的收集与使用个人信息是个保法中的重要原则。
第四、诚信原则。诚信是一个道德范畴,以真诚之心,行信义之 事。“人之所助者,信也”,“言必信,行必果”。讲诚信,并不 是说说,很多人说得容易做起来难,其中《个人信息保护法》相较 于《网络