要点|《个人信息保护法》要点解读( 二 )_实名|用户名|信息|网络|app|浏览

2、权利类型仅包括查阅、复制、更正、删除；
3、死者生前无其他安排。
（六）明确个人信息处理者的义务，区分大小型个人信息处理者
1、采取必要措施保障个人信息处理合法合规，防范个人信息管理风险。
2、定期开展合规审计。
3、处理个人信息对个人权益有重大影响的，应事前进行个人信息保护影响评估，相关记录至少保存三年。
4、发生个人信息安全事件应立即采取补救措施，并通知专职部门以及个人。
5、对于大型个人信息处理者（包括提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者），应当承担额外的个人信息保护义务。
6、对于小型个人信息处理者，由网信部门制定专门的个人信息保护规则、标准。
（七）衔接民法、行政法、刑法，明确法律责任
【要点|《个人信息保护法》要点解读】1、提高行政处罚上限，引入高管禁业，违法行为计入征信。
违法处理个人信息，情节严重的，将会被没收违法所得，至高处五千万或上一年度营业额百分之五的罚款，责令暂停业务或停业整顿。吊销业务许可或营业执照；直接责任人员至高将被处罚款一百万元，及被禁止担任董监高或个人信息保护负责人。
2、侵权责任认定采取过错推定原则。
处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。两个以上个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当承担连带责任。
二
法律风险分析及建议
（一）处理个人信息应取得同意
取得个人合法有效同意作为处理个人信息的合法性基础，是个人对其个人信息的处理享有决定权的表现。若该同意是未经充分告知前提下作出，同意的形式不符合法律要求，超范围处理个人信息，处理情况发生变更未重新取得同意，或者未提供撤回同意的方式等，均可被认定为未经个人同意处理个人信息，属于侵犯个人决定权的行为。
因此，基于个人同意处理个人信息的，应满足以下要求：
1、处理个人信息前，应以显著方式、清晰易懂的语言真实、准确、完整地告知个人信息处理者的基本情况，信息处理的目的、方式、范围、保存期限，个人的法定权利等事项，保障个人的知情权。
2、一般应取得个人的明确同意，特殊情况下还需取得单独同意或书面同意。如向第三方提供个人信息、公开处理的个人信息、处理敏感信息、向境外提供个人信息的，应取得单独同意。
3、个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得同意。
4、提供便捷的撤回同意的方式。
（二）不得通过自动化决策实行不合理的差别待遇
自动化决策，是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。通过自动化决策实行不合理的差别待遇，包括歧视性定价、定向推送不支持关闭等行为，均为《个人信息保护法》所明确禁止。
禁止基于自动化决策实行不合理的差别待遇并不等于禁止自动化决策方式，个人信息处理者通过自动化决策的，应满足以下要求：
1、保证决策的透明度和结果公平、公正，不得对个人在交易条件上实行不合理的差别待遇。
2、进行定向推送时，应提供非定向推送的选项或便捷的拒绝方式。
3、对个人权益有重大影响的，应按照个人要求予以说明，并提供拒绝方式。
（三）个人信息跨境传输应满足法定条件和路径