明天, 2021年11月1日《中华人民共和国个人信息保护法》(“《个保法》”)将正式生效。《个保法》是我国第一部在个人信息保护领域的综合性立法。明日起, 所有形式的个人信息, 无论以电子还是以纸质形式存在的信息, 无论是员工信息、消费者信息或其他个人的信息, 皆受制于同一部个人信息保护法律。而违反《个保法》的个人信息处理者, 将可能承担民事、行政, 甚至刑事责任。
《个保法》起草伊始并非一片空白。其诞生不但反映了2017年《网络安全法》生效以来一系列个人信息保护实践, 同时亦回应了个人信息保护框架内若干争议已久的热点。《个保法》确为个人信息保护领域的立法里程碑。
明日起, 处理个人信息的企业在其经营活动中将面临更为严苛的个人信息保护要求。面对即将生效的《个保法》, 你准备好了吗?
《个保法》对个人信息的保护贯穿了个人信息的全部环节, 包括个人信息的收集、存储、使用、处理、传输、提供、披露等环节, 《个保法》将这些环节整体定义为个人信息的“处理”。《个保法》从以下5个方面入手, 不断加强对个人信息的保护:《个保法》首次明确, 在中国境外处理个人信息的行为, 如涉及到国家利益, 将落入《个保法》域外效力的适用范畴。根据《个保法》第三条第二款的规定, “在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动, 有下列情形之一的, 也适用本法。(一)以向境内自然人提供产品或者服务为目的; (二)分析、评估境内自然人的行为。”为了规范外国企业处理个人信息的行为, 《个保法》要求符合《个保法》上述规定的外国企业设立专门机构或者指定代表, 负责处理个人信息保护相关事务。同时, 有关机构的名称或者代表的姓名、联系方式等应当报送履行个人信息职责的部门。此外, 《个保法》规定了对违反《个保法》的境外组织的制裁措施。根据《个保法》第四十二条的规定, 如果境外组织处理个人信息危害中国公民个人信息权益, 或者危害中国国家安全、公共利益的, 国家网信部门(“网信办”)可以将其列入限制或者禁止个人信息提供清单。由此, 中国组织、公民将被限制或禁止向上述境外组织提供个人信息。
(2) 个人信息全环节保护
《个保法》不但规范了处理个人信息的全环节, 包括收集、存储、加工、传输等行为, 并进一步对处理敏感数据提出了更高的要求。首先, 《个保法》规定了一系列处理个人信息的合法基础。除了长期以来被一致认为是处理个人信息的必要前提“告知、同意”之外, 《个保法》首次在国家立法层面拓宽了处理个人信息的合法基础, 例如为履行必要的合同义务、法律义务而进行处理的, 也被视为处理个人信息的合法基础。值得注意的是, 即使在上述处理个人信息不需要取得个人同意的情况下, 处理个人信息仍然需要告知相关个人处理的范围、目的以及方式。进一步地, 《个保法》细化了“告知、同意”的要求。当个人信息处理者: (1)处理敏感个人信息; (2)对外提供个人信息; (3)公开披露个人信息; (4)向境外提供个人信息时, 需要获得相关个人的单独同意。然而, 如何进行“单独同意”在实务中仍未明朗。此外, 《个保法》还制定了个人信息转移的若干规则。《个保法》将个人信息转移分为四种场景: (1)共同处理个人信息; (2)对外提供个人信息; (3)委托处理个人信息; 以及(4)业务转移背景下的个人信息转移。《个保法》对不同场景下的个人信息转移提出了不同要求, 比如通知、单独同意等, 以确保个人信息转移不会对个人信息保护的安全性造成不良影响。
《个保法》对个人信息出境制定了严格的规则。如《网络安全法》的类似规定, 除非按照网信办会同国务院有关部门制定的办法进行安全评估后认为有出境必要的, 关键信息基础设施运营者原则上应当在中国境内存储个人信息。《个保法》则是要求关键信息基础设施运营者和处理个人信息达到网信部门规定数量的个人信息处理者, 同样应当在中国境内存储个人信息。根据10月29日公布的《数据出境安全评估办法(征求意见稿)》, 网信部门规定的标准可能是(1)处理100万条个人信息的处理者, 或者(2)累计出境10万条个人信息或1万条个人信息的情形。
此外, 对于其他个人信息出境的场景, 个人信息处理者应当具备下列条件之一: (1)通过网信办的安全评估; (2)按照网信办的规定经专业机构进行个人信息保护认证; (3)按照网信办制定的标准合同与境外接收方订立合同, 约定双方的权利和义务; 或(4)法律、行政法规或者网信办规定的其他条件。同时, 个人信息出境之前, 个人信息处理者需要进行内部风险评估。
(4) 个人权利
与《通用数据保护条例》(GDPR)类似, 《个保法》授予相关个人控制与其相关的个人信息的权利。这些权利包括相关个人信息主体的(1)知情权, 其有权知晓哪些个人信息被收集或处理; (2)复制权, 即获得被收集或处理的个人信息的副本的权利; (3)更新或补充个人信息的权利; 以及(4)撤回对处理个人信息的同意的权利。不仅如此, 《个保法》首次引入了“可携带性”的概念, 如果个人信息主体要求将其个人信息转移给第三方个人信息处理者, 符合网信办规定条件的, 个人信息处理者应当响应该请求。但目前, 网信办规定条件尚未明确。
(5) 法律后果: 加重赔偿力度与民事责任
《个保法》加重了违法的处罚, 包括最高5000万元或上一年度营业额5%的罚款、没收违法所得、并可以责令停业整顿、吊销相关业务许可、营业执照等。此外, 《个保法》还可能进一步追究直接负责的主管人员和其他直接责任人员的责任, 并处以最高100万元人民币的罚款。被追究责任的个人, 在一定期限内, 可能被禁止担任董事、监事、高级管理人员或个人信息保护负责人。个人信息处理者侵犯个人信息权益, 给相关个人造成损害的将承担民事责任。重要的是, 《个保法》将“过错”的举证责任转移到被告, 即个人信息处理者身上, 侵犯个人信息权益的行为认定将更为容易。根据《个保法》第六十九条的规定, 处理个人信息侵害个人信息权益造成损害, 个人信息处理者不能证明自己没有过错的, 应当承担损害赔偿等侵权责任。
《个保法》严苛的新规则发布以来, 伴随了大众诸多担忧——企业该如何履行合规义务?《个保法》明日正式生效, 意味着《个保法》新规的执行已再无缓冲期, 也意味着所有处理个人信息的企业(特别是尚未符合《个保法》要求的企业)都必须从明天起遵守《个保法》的规定。对于企业而言, 《个保法》带来了怎样的挑战?有人担心繁重的个人信息保护义务可能影响企业运营, 有人担心担任个人信息保护负责人并需向政府报告的具体人选与任命职位, 也有人担心《个保法》将极大限制个人信息出境, 还有些人担心民事案件中的“举证责任倒置”将导致更多个人起诉相应个人信息处理者。面对以上挑战, 企业当下应该采取什么即时的应对措施?我们首要建议是: 企业应该建立内部数据管理体系以保护个人信息。建立个人信息保护的管理规则不仅是对个人信息处理者的法律要求, 更是企业发生任何个人信息事件时有效的保护罩。在《个保法》无过错举证责任倒置的规定下, 如发生个人信息事件, 企业可以通过展示其充分建立并有效执行的个人信息管理政策、基于个人信息管理政策训练有素的员工, 证明其实质上并无过错。此外, 完善的个人信息保护政策也体现了企业对法律的充分尊重, 即使企业个人信息保护层面出现了轻微的或技术层面的不合规事项, 在《个保法》生效后的短时间内, 执法机构可能选择从轻处罚甚至不处罚。同时, 我们也建议企业根据《个保法》的要求重整企业业务链条。《个保法》对个人信息的收集、处理、转让都设置了较高的义务, 特别是对处理敏感个人信息、对外提供个人信息以及收集个人生物识别信息设置了单独同意要求。进一步地, 《个保法》对数据出境也加设了多重法律义务, 使得个人信息出境更为困难。鉴于此, 企业可能需要考虑重新设计业务流程, 为征求相关个人的“知情同意”预留更多可执行空间, 同时考虑将地区的数据库中心放置于中国境内, 尽可能多地将高敏感性数据存储在中国境内。最后, 我们建议企业定期开展内部审计活动, 以确保对《个保法》以及相关个人信息保护法律法规的合规性。审计活动不但能提高企业的合规性, 更为重要的, 审计报告能够作为企业自证无过错的初步证据, 避免企业因个人信息事件承担民事责任。
作者:
| 杨迅 合伙人 +86 152 2182 2373 +86 21 3135 8799 xun.yang@llinkslaw.com |
| |
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。
点击“阅读原文”,直达通力官网了解更多资讯!