编辑导语:《个人信息保护法》的出台意味着未来信息安全、数据安全将愈发受到重视,而企业在收集个人信息时,也将有更加明确的界限。具体应该如何理解《个人信息保护法》的内容?本文作者做了详细解读,一起来看一下。
2020年10月21日,《中华人民共和国个人信息保护法(草案)》正式公开,向全社会公开征求意见。
2021年4月26日,第十三届全国人大常委会第二十八次会议对《中华人民共和国个人信息保护法(草案二次审议稿)》进行了审议。
2021年8月20日,第十三届全国人大常委会第三十次会议审议通过《中华人民共和国个人信息保护法》,并将于2021年11月1日起施行。
《中华人民共和国个人信息保护法》厘清了个人信息、敏感个人信息、自动化决策、去标识化、匿名化的基本概念,从适用范围、个人信息处理的基本原则、处理规则、跨境传输规则等多个方面对个人信息保护进行了全面规定,个人信息保护领域各主体的行为从此也有了更明确的法律依据。
本文将浅析《中华人民共和国个人信息保护法》,以期为各方提供些许参考。
目录
- 《个人信息保护法》处于何种法律地位
- 《个人信息保护法》的“个人信息”指什么
- 《个人信息保护法》需要哪些企业遵守
- 一般场景下处理个人信息的法定限制
- 特殊场景下的增强义务
- 对于个人信息处理者的其他合规要求
- 企业可能承担的违法后果
一、《个人信息保护法》处于何种法律地位?
《中华人民共和国个人信息保护法》是我国首部完整规定个人信息处理规则的法律。作为我国个人信息保护框架中重要的组成部分,《个人信息保护法》从立法开始就一直备受瞩目。
《个人信息保护法》一共分为8章74条,在有关法律的基础上,进一步明确了个人信息处理活动中的权利义务边界,细化、完善了个人信息保护应遵循的原则和个人信息处理规则。《个人信息保护法》第一条规定“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”该部法律“根据宪法”制定,意味着《个人信息保护法》已经成为了信息保护的基本法,也意味着个人信息保护权上升为公民的一项基本权利。
二、《个人信息保护法》的“个人信息”指什么?
1. 个人信息的定义
何谓“个人信息”?我国《个人信息保护法》第四条给出了如下定义:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
其实关于“个人信息”的定义,各部法律在具体的界定方法、概念的内涵均存在区别。从国际角度横向比较,中国的《个人信息保护法》与GDPR(General Data Protection Regulation,即通用数据保护条例)在定义上更加类似,二者都将所有可识别和已识别的自然人有关的个人信息都纳入了调整范围,保护范围更广,且都将匿名化信息排除在了个人信息范围之外。
而CCPA(California Consumer Privacy Act,即美国加州隐私保护法)则采用定义、列举、排除并行的方式对个人信息进行界定,强调“合理性”,进一步限制了个人信息的范围,CCPA排除适用的信息类型也远远多于GDPR与《个人信息保护法》。三者具体比较可参见下表。
从国内角度纵向对比,《个人信息保护法》的定义与《中华人民共和国民法典》(以下简称“民法典”)、《中华人民共和国网络安全法》(以下简称“网络安全法”)、《信息安全技术 个人信息安全规范》(以下简称“个人信息安全规范”)中对个人信息的定义近似,但略有区别,具体可参见下表。
通过比较可以看到,《个人信息保护法》通过内涵和外延较为宽泛的定义方式,最大程度上保证了本法的广泛适用,也最大限度保障了个人信息的保护,维护了个人信息主体的权益。
2. 个人信息与相关概念的区分
1)个人信息与隐私
个人信息与个人隐私呈交叉关系,即有的个人隐私属于个人信息,而有的个人隐私则不属于个人信息。
隐私无法包含公开的个人信息,个人信息亦无法包含生活安宁和没有形成记录的隐私。
具体来说,隐私重在隐匿,而个人信息重在识别,隐私具有当事人不愿公开的主观因素,而个人信息不涉及当事人的主观因素,只关注客观上是否能识别特定自然人。
“隐私”的定义可以参见《民法典》第一千零三十二条之规定:“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”“私人”与“不愿为他人知晓”是《民法典》关于“隐私”定义的核心字眼。
《民法典》在第一千零三十四条中对“个人信息”进行了如下界定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”
《民法典》还将“个人信息”进一步划分为了私密信息和非私密信息:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”
2)个人信息与敏感个人信息
个人信息和敏感个人信息呈包含关系,敏感个人信息首先是个人信息。
敏感个人信息与个人信息划分的标准是信息的敏感度,强调的是对信息主体造成不良影响的可能性,因此立法对敏感个人信息的保护标准更为严格,保护程度更高。
具体来说,《个人信息保护法》第二十八条将敏感个人信息定义为一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。个人信息处理者只有在具有特定的目的和充分的必要性,并且采取严格保护措施的情形下,才可以处理敏感个人信息。
3)去标识化与匿名化
在确定个人信息定义和范围时,“去标识化”和“匿名化”是非常重要的概念,两者都是为了保护个人隐私安全的技术防护手段,具备一定的共通性,但是二者也存在着显著区别。
《个人信息保护法》第七十三条分别对“去标识化”与“匿名化”进行了定义:“去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。”“匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。”
由此可见,去标识化后的信息,在满足一定条件下,仍可以识别到特定自然人,即去标识化后的信息仍可进行复原。而匿名化后的信息,在任何情况下都无法识别到特定自然人,且无法复原。
两者从内涵上类似于GDPR语境下的匿名化与假名化(GDPR 将匿名化信息定义为“已识别或可识别的自然人无关的信息或者以数据主体不可识别或不再可识别的方式匿名呈现的数据”,将假名化定义为“在采取某种方式对个人数据进行处理后,如果没有额外的信息就不能识别数据主体的处理。”
前者不再适用 GDPR,后者仍作为个人信息,依旧适用 GDPR),两种不同的技术区别在于数据是否可以被重新识别,匿名化要求该信息无法再识别到特定自然人。即使是在欧盟,判断企业在实操过程中是否实现了匿名化,也是一项较为困难的事情,就如欧盟第29条工作组在其意见中指出一样:“真正的数据匿名化是一个极高的标准,数据控制者往往无法真正实现数据的匿名化。”
根据个保法的定义判断二者的关键在于,经过处理后的信息是否能够复原且识别到特定自然人。去标识化后的信息因为仍有可能识别到特定自然人,故属于个人信息;而匿名化处理之后的信息,因无法识别特定自然人且不能复原,故匿名化后的信息不属于个人信息,处理这类匿名化信息,不受《个人信息保护法》的保护。
三、《个人信息保护法》需要哪些企业遵守?
《个人信息保护法》第三条规定:在中华人民共和国境内处理自然人个人信息的活动,适用本法。在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。
由此可见,《个人信息保护法》采取了类似于 GDPR 的综合立法模式,管辖范围不仅包括境内的个人信息处理行为,还包括了境外部分特定行为,将使用范围扩展至了域外,产生了“长臂管辖”的效果,同时,也与《数据安全法》在法律适用上进行了衔接。
但《个人信息保护法》与GDPR也存在区别:一、《个人信息保护法》强调“属地原则”,而GDPR以“营业地/设立地”为标准。二、GDPR以“保护主体”为标准:即使有关个人数据处理活动的控制者或处理者不在欧盟设立,但若其为欧盟境内的数据主体提供商品或服务、或对发生在欧盟境内的数据主体的活动进行监控,也将同样适用GDPR。
对标GDPR“保护主体”规则,《个人信息保护法》对域外适用也进行了规定,当有关个人数据处理活动的控制者或处理者以向境内自然人提供产品或者服务为目的、为分析、评估境内自然人的行为而进行数据处理行为时,也应当适用《个人信息保护法》。从域外适用的范围看,GDPR的范围更宽泛,中国《个人信息保护法》在地域范围上做了适当延伸,但相较GDPR而言更为克制,也体现了个保法的谦抑性。
四、一般场景下,处理个人信息的法定限制
1. 目的正当性与处理必要性
《个人信息保护法》与《民法典》、《网络安全法》一脉相承,保持和延续了个人信息处理的原则和规定。“最小影响、最小范围、最短时间”规则是个保法必要原则与诚信原则的具体化。而个保法要求个人信息处理者处理个人信息必须具有明确、合理的目的,否则不能进行处理活动,也充分体现了个保法中的合法、正当原则。
《个人信息保护法》在第五条中明确了个人信息处理者需要遵循的处理原则:合法、正当、必要和诚信,个人信息处理者不得通过误导、欺诈、胁迫等方式处理个人信息。在该原则的指引下,《个人信息保护法》又进行了进一步细化,明确了个人信息处理者在进行个人信息处理活动时需要遵守的,与处理目的相对应的“最小影响、最小范围、最短时间”规则,具体可参见《个人信息保护法》第六条与第十九条之规定。
个保法第六条明确个人信息处理者“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”
个保法对个人信息处理者处理活动的严格限定体现了“最小影响”与“最小范围”的要求;而《个人信息保护法》第十九条规定“除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。”体现了“最短时间”的要求。
而在实践中,大量APP存在收集过量信息的行为。2021年3月12日,中央网信办、工业和信息化部、市场监管总局、公安部等有关部门联合发布了《常见类型移动互联网应用程序必要个人信息范围规定》,列举了“常见类型APP的必要个人信息范围”。对APP采集个人信息的范围进行了一定的限制,而在《个人信息保护法》生效以后,有关监管部门将会对有关个人信息处理进行更严格的监管。
作为个人信息处理者的企业,应当充分结合《个人信息保护法》的合法、正当、必要和诚信原则与“最小影响、最小范围、最短时间”规则,积极进行自查自纠,对自身信息处理行为的目的正当性与处理必要性进行充分说明,明确提供基本功能服务所必须收集的个人信息范围,并与业务部门及时沟通调整实际收集个人信息的范围,以确保符合《个人信息保护法》的要求。
2. “告知-同意”原则与例外情形
“告知-同意”原则,是指信息处理者在收集个人信息前,应当对信息主体就有关个人信息处理有关事宜进行充分告知,征得信息主体明确同意后方能进行收集的原则。这也是本次个保法中最为核心的处理规则。
近年来,随着《网络安全法》、《民法典》等相关法律法规的出台,“告知-同意”原则已俨然成为了我国个人信息处理活动的合法性基础。其中,《网络安全法》更是将个人信息主体的“同意”视为个人信息处理的唯一合法性基础,这一规定虽然体现了对个人信息主体权利的尊重和保障,但是忽略了实务中大量存在的涉及订立或履行合同所必需、履行法定职责或法定义务、公共利益等多种个人信息处理场景。
《民法典》虽规定了同意的例外情形,但也仅限于处理自然人自行公开或其他已公开信息的情形以及维护公共利益或者自然人合法权益的情形。
相较于《网络安全法》和《民法典》,《个人信息保护法》采用了与GDPR一致的立法逻辑,将“告知-同意”确立为个人信息处理规则的核心,但《个人信息保护法》规定了更多无需征得个人同意的例外情形,在这些例外情形下,无需取得个人同意,即可处理个人信息。
但是无论是何种合法性事由,个人信息处理者都需要履行事先告知的义务。相比于《网络安全法》、《民法典》,《个人信息保护法》对于告知义务规定的较为详细,给企业在法律层面做出了明确的指引,但企业在不同场景下如何具体落实告知同意原则,后续可参考《信息安全技术 个人信息告知同意指南(征求意见稿)》。
与同意规则一样,告知规则也有不适用的情形,即在特定的情形下,处理者不负有告知的义务。个保法对告知的例外规定体现在第十八条和第三十五条,《个人信息保护法》第十八条规定:“个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知”;《个人信息保护法》第三十五条规定:“国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外”。
可见,个保法对免于告知的情况主要体现在法律、行政法规另有规定、紧急情况下为保护自然人的生命健康和财产安全、告知将妨碍国家机关履行法定职责的情形。例如《反恐怖主义法》第51条规定,公安机关调查恐怖活动,有权向有关单位和个人收集、调取相关信息和材料。有关单位和个人应当如实提供。在一些紧急情况下,可以事后告知。
由于在现实生活中存在的利益众多,公共利益、法定职责、国家利益、自然人的生命健康和财产安全等利益有时会存在冲突,所以,“同意 例外”规制方式,给予了个人信息处理更灵活的空间,也能够更好地保护国家和公民的利益。
但是我们发现,相较于《个人信息安全规范》第5.6条之规定,《个人信息保护法》大大压缩了理论上可以具有合法性的情形,简化了处理个人信息处理的合法性基础,可能给后续落地带来新的问题,使得一些具有正当性的个人信息处理情形陷入于法无据的困境。
3. 自动化决策
科技是把双刃剑,《个人信息保护法》在吸纳《电子商务法》和《个人信息安全规范》关于定向推送和个性化展示的规定基础上,对“自动化决策”作出专门限制,增加了“禁止大数据杀熟”条款,明确规定“自动化决策应保证透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。”丰富了对歧视性定价、算法歧视问题的规制路径。
《个人信息保护法》第二十四条中还明确“通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。”个保法在赋予个人主体拒绝权的基础上要求个人信息处理者提供“便捷”的拒绝方式,为用户提供退出或关闭个性化展示模式的选项,对信息处理者有较强的制约,信息处理者的责任进一步加重。
4. 撤回同意
撤回同意,实质为个人信息主体意思表示的撤销,即个人信息主体基于“告知-同意”原则,取消自己已经作出的“同意”的意思表示。个人信息主体行使撤回同意权利的时间不应仅局限于信息的收集阶段,因为在同意收集个人信息的初始阶段,个人信息主体往往很难理解、判断做出该同意将面临何种后果。
根据《个人信息保护法》规定可知,个人信息主体撤回同意的权利可以在个人信息的收集、使用、保存、共享等全生命周期内行使,而个人信息主体一旦行使权利,即包含了对个人信息使用全过程中的处分。
个人信息主体所撤回的个人同意,对于已经发生的个人信息处理行为,没有溯及力,但是个人信息处理者应主动删除内部所存储的个人信息。相较于《个人信息保护法》,GDPR中个人信息主体行使撤销同意权的范围更为广泛。
在GDPR中,不论数据处理活动是否是基于数据主体同意而进行的,数据主体在任何情况下均可撤回其同意。而《个人信息保护法》规定,个人信息主体仅可对基于其个人同意的处理活动撤回同意。个人信息主体撤回同意之后,个人信息处理的合法性基础将不复存在。作为个人信息处理者,必须立即停止数据处理行为,并根据《个人信息保护法》中的相关规定对其留存的个人信息进行处理,并且不得以撤回同意为由,拒绝提供产品或者服务。
根据《个人信息保护法》第十五条的规定,个人信息处理者应当提供“便捷”的撤回同意方式,我们理解便捷的方式,包括但不限于将撤回的按钮置于醒目的位置,与“同意”的选项相对应,给与对应撤回的选项等等,其困难程度不能高于“同意”的方式,企业在落地实施的过程中,可以参考《信息安全技术个人信息告知同意指南(征求意见稿)》第9.3条同意的撤回的规定。
另外,由于数据的可复制性,个人信息处理者在处理个人信息的过程中,可能将个人信息向其他第三方共享、提供、委托处理等等,在这些情况下,个人信息处理者还需要在共享、提供、委托处理等环节设置相应的联动机制,保证在个人信息主体撤回同意后,这些第三方个人信息接收方能够按照个保法的要求进行删除。
五、特殊场景下的增强义务
1. 必须获取“单独同意”的情形
对于影响个人利益的重大事项,例如向第三方提供个人信息、个人信息出境等,《个人信息保护法》要求个人信息处理者需要取得该个人的“单独同意”。
单独同意区别于《个人信息保护法》下的一般同意规则,个人信息处理者需仅针对单一事项取得个人信息主体授权同意,而不得通过一揽子授权的方式。在《个人信息保护法》项下,个人信息处理者需要征得个人单独同意的场景如下:
就“单独同意”的适用频率和行业普适性而言,《个人信息保护法》第二十三、二十九、三十九条相较于其他两条更高,也是许多企业无法避免的。作为个人信息处理者的企业应从个人信息的敏感度、场景进行风险分析,基于处理行为的类型去区别实施不同的同意方式,并为实现不同的同意匹配新型的同意机制。
那么什么是“单独同意”,如何取得“单独同意”,根据《信息安全技术个人信息告知同意指南(征求意见稿)》第8条及9.2.2条的规定,“单独同意”是指通过“增强式告知”或“即时提示”等方式,单独向个人信息主体告知处理个人信息的目的、方式和范围、以及存储时间、安全措施等规则,并由个人信息主体明示同意(主动作出确认性动作),不应与其他不相关的目的或业务功能相捆绑或混同在其他同意事项中,不应通过“同意个人信息保护政策”等方式一揽子获得同意。
“增强式告知”,指采用个人信息主体不可绕过的方式(如设置专门页面或单独步骤)向个人信息主体告知相关信息,以协助其作出是否授权同意的决定。具体到企业的业务场景中,可以根据特定的业务功能,采用单独的交互式界面或纸质页面向个人信息主体告知相关信息,并向其提供可分项选择同意的机制,如勾选、点亮等方式。
目前大数据行业的快速发展依赖于数据的共享与流动,《个人信息保护法》对单独同意的要求,意味着强监管时代的到来,在后续落实阶段,可能会给大数据行业个人信息的数据生态带来巨大的改变,企业在个人信息保护领域都需要构建全生命周期的数据合规管理体制,特别是数据的对外提供,此时,如何在不对外提供数据的情况下实现数据的价值呢?
隐私计算或能在一定程度上实现“数据的可用不可见”。例如“联邦学习”强调双方原始数据皆无流转,不存在对外提供、共享数据的情况,双方采用多方计算、同态加密等算法以及可信执行环境等,使用高强度加密算法确保数据的安全,解决了数据合作方之间互不信任而又可释放数据价值。
2. 敏感个人信息的处理
《个人信息保护法》对敏感个人信息处理者的特殊要求可以总结为三句话:目的限定更严、告知事项更多、同意机制更严。
根据《个人信息保护法》规定:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”
由此可见,除敏感个人信息原有定义外(详见上文),《个人信息保护法》还将未成年个人信息明确列为敏感个人信息,加以重点保护,此时还需要注意,《儿童个人信息网络保护规定》同样将不满十四周岁的未成年人定义为儿童,因此,企业在遵守《个人信息保护法》的同时,还需要遵守《儿童个人信息网络保护规定》的规定。
《个人信息保护法》设专节对处理敏感个人信息作出更严格的限制,第二十九条至第三十条对敏感个人信息的处理规则上作出要求。其他章节中,第五十五条对敏感个人信息事前影响评估进行规定,第六十二条提出监管将制定专门的个人信息保护规则、标准。
3. 个人信息跨境流动的要求
对于数据跨境的要求,我国已有多部法律法规以及国家标准进行规制,例如《数据安全法》、《网络安全法》、《关键信息基础设施安全保护条例》及《网络安全审查办法》等,因此需要结合其他法律法规共同理解。
首先,《个人信息保护法》进一步完善了个人信息跨境提供规则,相比《网络安全法》,《个人信息保护法》扩展了适用于数据本地化的适用主体范围,除关键信息基础设施运营者以外,还增加了个人信息达到国家网信部门规定数量的个人信息处理者,其中对于“规定数量”,还有待国家网信部门的细化规定出台。
《个人信息保护法》第四十条规定:“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”
这与《网络安全法》第三十七条规定基本上保持一致。作为个人信息处理者,如需向境外传输数据,首先应当判断其拟出境的数据是否涉及数据本地化要求,只有在不涉及数据本地化要求的情况下,才能进一步考虑个人信息出境需要满足哪些具体条件。
需要特别注意的是,根据《数据安全法》第三十一条及《网络安全法》第三十七条之规定,企业还需要判断是否涉及重要数据,否则即使是一般数据处理者,也同样需要遵守主要数据境内存储,境外提供需要单独进行安全评估的要求。
其次,当不涉及数据本地化要求的情况下,例如个人信息主体需要向境外提供个人信息的情况,《个人信息保护法》第三十八条规定了四项数据出境的合规路径:
- 通过国家网信部门组织的安全评估;
- 接受专业机构进行的个人信息保护认证;
- 与境外接收方签订根据国家网信部门制定的标准合同(类似于GDPR下的SCC条款),约定双方的权利义务;
- 提供了符合法律规定的兜底条件。
再者,《个人信息保护法》对个人信息跨境流动需要满足的必要条件进行了充分整合,并将向个人主体的告知和获取个人主体的单独同意作为另一必要前提条件。
《个人信息保护法》第三十九条规定:“个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。”个保法要求个人信息处理者提前告知并获取个人信息主体同意的义务可以被视为数据出境行为的前置条件。
最后,《个人信息保护法》对境外的个人信息处理者也作出了更严格的规定。根据《个人信息保护法》第五十三条之规定,中国境外的个人信息处理者,需设立境内专门机构或指定境内代表,并要求履行沟通渠道的报送义务,这也弥补了一直以来针对境外机构监管的敞口。
六、对于个人信息,处理者的其他合规要求
个人信息处理者负有配合个人信息主体行使权利的义务。个保法明确了个人信息主体享有的一系列权利,实则也是对个人信息处理者的合规性也提出了更高的要求。个人信息处理者应注意从以下几方面加强自身内部的合规建设。
1. 建立内部合规制度
根据《个人信息保护法》第五十一条的规定,个人信息处理者应建立内部合规制度,企业可以结合《个人信息保护法》及其他关联法律法规、国家标准、指南等的规定,结合自身业务特点进行补充调整。
具体而言可以从以下几方面着手落实。
首先,个人信息处理者应制定关于个人信息保护的内控合规管理制度与配套操作流程。
其次,个人信息处理者应对个人信息分类分级管理、分别保护,尤其应对敏感个人信息、出境个人信息、未成年个人信息等采取更严格的保护措施。
再者,个人信息处理者应对其所处理的个人信息采用相应的加密(可参考《信息安全技术 信息系统密码应用基本要求》GB/T 39786-2021)、去标识化(可参考《信息安全技术 个人信息去标识化指南》GB/T 35273—2020)等安全技术措施,最大程度保护个人信息安全。
最后,个人信息处理者应合理确定个人信息处理的操作权限并参考《国家网络安全事件应急预案》的规定制定相关预案。
2. 加强内部组织建设
根据《个人信息保护法》第五十二条规定,对于处理个人信息达到国家网信部门规定数量的个人信息处理者,应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
《个人信息保护法》中尚未对“国家网信部门规定数量”进行明确规定,可参考《个人信息安全规范》第十一条:满足以下条件之一的组织,都应当设立专职的个人信息保护负责人和个人信息保护工作机构:(1)主要业务涉及个人信息处理,且从业人员规模大于200人;(2)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;(3)处理超过10万人的个人敏感信息的。
3. 落实强制性个人信息保护影响评估
对高风险信息处理活动进行个人信息保护影响评估,是个人信息处理者合规经营、持续自主运转的要求,也是个人信息处理者满足自证要求的保障。
在个保法出台之前,《个人信息安全规范》等有关文件虽对个人信息保护影响评估也有所规定,但并非强制性,故大多数企业也并未将此作为一项必备的内控手段。
此次《个人信息保护法》第五十五、五十六条对需要进行个人信息保护影响评估的情形与个人信息保护影响评估应包括的内容进行了详实规定,从基本法的高度将个人信息保护影响评估提升为了一项对个人信息处理者的强制性要求,作为个人信息处理者的企业需要更加注意,并且予以贯彻落实。
七、企业可能承担的违法后果
《个人信息保护法》在处罚的措施的多样性与处罚力度方面较之前的立法有了大幅度提升。特别是第六十六条中规定的大额罚款,不仅借鉴了GDPR中2,000万欧元或者企业上一年度全球营收的百分之四(两者取其高)罚款的严厉处罚思路,更将罚款力度增加到上一年度营业额的百分之五。
总体而言,《个人信息保护法》的责任追究体系十分完整,涵盖了民事、行政与刑事领域,且十分严厉,具体可参见下表。
八、结语
如何平衡个人信息权益的保护和数字经济发展两者之间的关系,是当代社会必须要面对的命题。《个人信息保护法》根据宪法制定,是我国个人信息保护的基本法,具有优先适用的效力。个保法为监管机关的执法活动和企业的合规体系建设提供了重要指引,也是中国对当前全球数字治理的制度贡献。
本文由 @个推 原创发布于人人都是产品经理,未经许可,禁止转载。
题图来自 Unsplash,基于 CC0 协议
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。