查看原文
其他

《个人信息保护法》通过,全文共74个“必须”,具有里程碑意义|附条文

SHIPA 知识产权那点事 2022-11-17

法律法条中,对“应当”的理解等同于“必须”,是一种强制性、义务性规定。


2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》(简称“《个保法》”),自2021年11月1日起施行。



《个保法》共八章七十四条,立法目的在于保护个人信息权益,规范个人信息处理活动,促进个人信息的合理利用,对个人信息保护具有里程碑意义。


《个保法》的重点、难点、亮点主要包括:(1)明确处理个人信息应遵循合法正当诚信原则、个人权益影响最小原则、公开透明原则和准确完整原则;(2)明确个人信息处理规则,对自动化决策(大数据杀熟)、图像采集(人脸识别)、敏感个人信息处理等作出有针对性规范;(3)个人信息跨境提供从严监管,对等措施应对长臂管辖问题;(4)个人对自己的信息享有知情权、决定权、更正权、删除权等;(5)个人信息处理者要承担对个人信息分类管理、安全技术保护、专人负责、合规审计、风险评估、信息泄露及时补救等几十项义务;(6)严厉惩处违反规定处理个人信息的行为,情节严重的,最高将面临5000万元罚款和吊销营业执照的责任;(7)信用惩戒、举证责任倒置;

(8)公益诉讼。


上述原则、规则、制度均有重要的理论、实务研究价值。《个保法》条文中共使用了74个“应当”,对“应当”的理解等同于“必须”,是一种强制性、义务性规定。


概言之,企业对个人信息处理的业务合规工作刻不容缓、迫在眉睫


向上滑动阅览

《个人信息保护法》第六十六条


违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款


有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

加大对侵犯个人信息行为的惩处力度


15个“必须”


本文重点关注《个保法》对个人信息处理者的法律义务,梳理介绍企业处理个人信息应当注意的“15个必须”,为企业处理个人信息合规提供帮助。


一、必须遵循合法正当诚信原则、个人权益影响最小原则、公开透明原则和准确完整原则


《个保法》规定了处理个人信息的一般原则,即必须遵循合法正当诚信原则、个人权益影响最小原则、公开透明原则和准确完整原则。


对企业合规而言,是否存在过度收集用户信息,收集的用户信息与业务目的是否相关,企业处理用户信息规则是否透明,处理的目的、方式和范围是否明确等问题,企业合规部门亟需排查,确保企业运营准确、完整的利用用户个人信息,不会对用户合法权益造成不利影响。


二、必须在个人充分知情的前提下,取得自愿、明确的同意


《个保法》规定,处理个人信息的同意,必须由个人在充分知情的前提下自愿、明确作出。处理个人信息必须取得个人单独同意或者书面同意的,法律、行政法规有规定的从其规定。


一直以来,“知情——同意”原则深入人心却不接地气。企业将各种用户协议刻意写的复杂冗长,让用户看不懂,没有时间、没有耐心去看隐私政策/用户协议。(阅读链接:“我已阅读并同意用户使用协议”是谎言?——谈APP用户信息保护《个保法》针对上述乱象,要求企业充分尊重个人知情权,对自己权利的处分是基于用户自愿、明确而作出的。这对企业合规提出新的更严格的要求。企业在文本长度、涉及用户信息等核心内容是否特别明示,是否采取加黑加粗等更容易引起用户注意的措施将成为新的合规方向。


三、必须对不满十四周岁的未成年人个人信息特别保护


信息网络时代,个人信息背后的商业价值巨大,未成年人因缺乏辨识认知能力,需要给予特殊的保护。为此,《个保法》规定,个人信息处理者处理不满十四周岁未成年人个人信息的,必须取得未成年人的父母或者其他监护人的同意,并且必须制定专门的个人信息处理规则。这里的处理包括对信息的收集、存储、使用、加工、传输、提供、公开等。从企业合规运营角度而言,将需要对不满十四周岁的未成年人个人信息特别制定用户协议,特殊保护。


四、必须将信息处理规则公开,且便于查阅和保存


《个保法》规定,个人信息处理者在处理个人信息前必须以显著方式、清晰易懂的语言向个人告知:个人信息处理者的名称或者姓名和联系方式;个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;个人行使本法规定权利的方式和程序等事项个人信息处理者过制定个人信息处理规则的方式告知上述规定事项的,处理规则必须公开,并且便于查阅和保存个人信息的保存期限必须为实现处理目的所必要的最短时间。


五、必须保证自动化决策的透明和结果的公平合理


《个保法》规定,利用个人信息进行自动化决策,必须保证决策的透明度和结果公平合理(“禁止大数据杀熟”)。通过自动化决策方式进行商业营销、信息推送,必须同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。


六、必须严格按照法定条件使用收集的个人图像、个人身份信息


《个保法》规定,在公共场所安装图像采集、个人身份识别设备,必须为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供,取得个人单独同意的除外。


七、必须合理、谨慎地处理个人已公开信息,符合被公开时的用途


《个保法》规定,个人信息处理者处理已公开的个人信息,必须符合该个人信息被公开时的用途。超出与该用途相关的合理范围的,必须依照本法规定取得个人同意。利用已公开的个人信息从事对个人有重大影响的活动,必须取得个人同意。


八、必须具有特定目的和充分必要性才可处理敏感个人信息


《个保法》规定,个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。此外,基于个人同意处理敏感个人信息的,个人信息处理者必须取得个人的单独同意。如果法律、行政法规规定处理敏感个人信息必须取得书面同意的,个人信息处理者应当取得信息被处理人的书面同意,同时,还必须向个人告知处理敏感个人信息的必要性以及对个人的影响。


那么,哪些属于敏感个人信息?立法描述认为,一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息均属于敏感个人信息,包括:种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等。


九、必须制定企业内部规程、分类管理、安全培训


《个保法》规定,个人信息处理者必须根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除,包括但不限于:

  • 制定内部管理制度和操作规程;

  • 对个人信息实行分类管理;

  • 采取相应的加密、去标识化等安全技术措施;

  • 合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;

  • 制定并组织实施个人信息安全事件应急预案等措施。


十、必须指定企业内部个人信息保护负责人


《个保法》规定,处理个人信息达到国家网信部门规定数量的个人信息处理者必须指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者必须公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。


十一、必须设立专门机构或指定代表处理境外信息


《个保法》规定,中华人民共和国境外的个人信息处理者,必须在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,包括以向境内自然人提供产品或者服务为目的;分析、评估境内自然人的行为等。


十二、必须定期进行企业合规审计


《个保法》规定,个人信息处理者必须定期对其个人信息处理活动遵守法律、行政法规的情况进行合规审计。什么是合规审计?合规审计是判断特定行为是否符合既定标准的一种审计模式。将来企业对个人信息处理活动合规审计,由谁来审计、审计什么、怎么审计是三个基础性问题。对此,《个保法》仅仅是提供了原则性规定,相关的研究、规定还在持续完善,涉及信息处理的合规审计会是企业合规审计的重点。


十三、必须事前进行风险评估


《个保法》规定,个人信息处理者必须对处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向他人提供个人信息、公开个人信息、向境外提供个人信息、其他对个人有重大影响的个人信息处理活动等,在事前进行风险评估,并对处理情况进行记录。并且风险评估报告和处理情况记录至少保存三年以上。


十四、必须履行信息泄露及时通知的义务


《个保法》规定,个人信息处理者发现个人信息泄露的,必须立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知必须包括下列事项:个人信息泄露的原因;泄露的个人信息种类和可能造成的危害;已采取的补救措施;个人可以采取的减轻危害的措施;个人信息处理者的联系方式。个人信息处理者采取措施能够有效避免信息泄露造成损害的,个人信息处理者可以不通知个人;但是,履行个人信息保护职责的部门认为个人信息泄露可能对个人造成损害的,有权要求个人信息处理者通知个人。


十五、必须设立独立监督机构,定期发布个人信息保护责任报告


《个保法》规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂个人信息处理者必须成立主要由外部成员组成的独立机构,遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务,对个人信息处理活动进行监督定期发布个人信息保护社会责任报告,接受社会监督。


如何判断是否属于“提供重要互联网平台服务”的企业,《关于平台经济领域的反垄断指南》将互联网平台定义为通过网络信息技术,使相互依赖的双边或者多边主体在特定载体提供的规则下交互,以此共同创造价值的商业组织形态。对此,可参照上述条文进行理解,但仍然存在一定区别,标准比较模糊。“用户数量巨大”的理解可以参考《网络安全审查办法(修订草案征求意见稿)》对掌握超过100万用户个人信息的运营者必须安全审查的规定。但是,对“业务类型复杂”判断,目前仍存在较大的不确定性。


结 语


习近平总书记强调,网信事业发展必须贯彻以人民为中心的发展思想,把增进人民福祉作为信息化发展的出发点和落脚点,让人民群众在信息化发展中有更多获得感、幸福感、安全感


此前《消费者权益保护法》《电子商务法》《民法典》《网络安全法》《数据安全法》等涉及个人信息保护的规定比较分散,缺乏体系性。随着《个保法》的落地,针对个人信息保护的网将越织越密。从欧盟《通用数据保护条例》、美国《加州消费者隐私法》等对个人信息保护的规定来看,从严监管是大趋势。国内企业,尤其是大型互联网企业更要加强个人信息保护合规管理工作,尊重用户的个人信息权益,合规经营。唯有这样,企业才能行稳致远,才能在商业战场上赢得用户的支持。




附录:《个人信息保护法》中涉及“应当”的条文梳理



“星标”、“转发”、“在看”,给小编加鸡腿哦!投稿请联系shipa@shipa.org
 近期热文

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存