君合法评丨《个人信息保护法》下的企业合规自查80条
《个人信息保护法》(以下简称“《个保法》”)已经于2021年8月20日经全国人大常委第三次审议通过,并将于2021年11月1日开始实施,中国即将进入以《个保法》为基本法的个人信息保护新时代。
《个保法》由八章七十四条构成(主要内容及章节见下表),在充分吸收《民法典》、《消费者权益保护法》、《网络安全法》关于个人信息定义及处理规则、处理流程、个人信息处理者的网络安全保护义务等的基础上,对禁止利用自动化决策“大数据杀熟”、加重大型互联网平台信息义务、严格个人信息跨境提供要求等方面做出了创新规定。企业作为典型的个人信息处理者,应高度重视各方面的规制要求。
主要内容 | 章 节 |
适用范围及个人信息处理的基本原则 | 第一章 总则 |
个人信息处理的具体规则、跨境提供规则 | 第二章 个人信息处理规则 第三章 个人信息跨境提供的规则 |
个人、企业、监管部门等参与主体的权责 | 第四章 个人在个人信息处理活动中的权利 第五章 个人信息处理者的义务 第六章 履行个人信息保护职责的部门 |
法律责任等 | 第七章 法律责任 第八章 附则 |
特别需要注意的是,在对个人信息违法行为的处罚措施上,《个保法》祭出了前所未有的重罚规定:对违法处理个人信息的App等应用程序进行暂停或者终止服务;对个人信息的严重违法行为,立法者参考《反垄断法》等按照营业额的百分比进行处罚的路径,规定最高处以上一年度营业额百分之五的处罚(或者5000万元以下)。
继2021年5月中央网信办与工信部、公安部、市场监管总局等四部门联合对摄像头偷拍人脸进行集中整治行动之后,2021年7月某知名出行App被下架整改并面临网络安全审查,预计《个保法》的正式实施将开启个人信息全面监管的新局面。企业应充分利用《个保法》2021年11月1日实施前的两个月窗口期,及时对现有App、网页、线下业务中的个人信息收集处理规则进行自查整改,防止成为适用《个保法》的第一案。我们制作了以下个人信息合规自查清单,供各企业自查整改之时作为路线图参考。
一、公司规章制度 | |
1. 是否建立了公司内部个人信息保护制度和操作规程 | · 是 · 否 |
2. 是否制定了公司网站等刊载的隐私保护政策 | · 是 · 否 |
3. 是否制定了并组织实施个人信息安全事件应急制度 | · 是 · 否 |
4. 是否制定了个人信息安全事件应急预案并定期进行演练 | · 是 · 否 |
5. 是否确定了个人信息处理的操作权限,并定期对从业人员进行安全教育和培训 | · 是 · 否 |
6. 是否定期对公司处理个人信息遵守法律、行政法规的情况进行合规审计 | · 是 · 否 |
二、个人信息处理全流程管理 | |
各处理环节通用规则(兼收集) | |
7. 处理个人信息前,是否已经取得个人的同意 | · 是 · 否 |
8. 收集、处理员工信息是否超出履行劳动合同、实施人力资源管理所必需的范围 | · 是 · 否 |
9. 如果未取得个人的同意,是否存在以下任一情形: (1) 为订立、履行个人作为一方当事人的合同所必需 (2) 按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需 (3) 依法合理的范围内处理个人自行公开或者其他已经合法公开的个人信息 (4) 其他 | · 是 · 否 |
10. 处理个人信息前,是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项: (1) 个人信息处理者的名称或者姓名和联系方式; (2) 个人信息的处理目的、处理方式,处理的个人信息种类、保存期限; (3) 个人行使本法规定权利的方式和程序。 | · 是 · 否 |
11. 是否存在以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务 | · 是 · 否 |
12. 是否存在采取误导、欺骗、胁迫方式取得个人同意的情形 | · 是 · 否 |
个人信息使用 | |
13. 个人信息的处理目的、处理方式和处理的个人信息种类发生变更时,是否重新取得了个人同意 | · 是 · 否 |
14. 共同处理:与其他个人信息处理者共同决定个人信息的处理目的和处理方式时,是否通过协议方式明确约定各自的权利和义务 | · 是 · 否 |
15. 委托处理1:委托处理个人信息时,是否通过书面协议与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等 | · 是 · 否 |
16. 委托处理2:委托处理个人信息时,是否在委托合同履行过程中对受托人的个人信息处理活动进行监督,使得受托人不得超出约定的处理目的、处理方式等处理个人信息 | · 是 · 否 |
17. 委托处理个人信息之前,是否事先进行个人信息保护影响评估,并对处理情况进行记录 | · 是 · 否 |
18. 是否制作了个人信息保护影响评估报告和处理情况记录并至少保存三年 | · 是 · 否 |
个人信息保存及公开 | |
19. 是否超过为实现处理目的所必要的最短时间保存个人信息 | · 是 · 否 |
20. 公开其处理的个人信息时,是否取得了个人的单独同意 | · 是 · 否 |
21. 公开个人信息之前,是否事先进行个人信息保护影响评估,并对处理情况进行记录 | · 是 · 否 |
22. 是否制作了个人信息保护影响评估报告和处理情况记录并至少保存三年 | · 是 · 否 |
个人信息提供 | |
23. 企业为提供方时:向其他个人信息处理者提供其处理的个人信息时,是否向个人告知了接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并已取得个人的单独同意 | · 是 · 否 |
24. 企业为接收方时:(1)从其他个人信息处理者接受其处理的个人信息时,是否约定对该个人信息的处理目的、处理方式和个人信息的种类 | · 是 · 否 |
25. 企业为接收方时:(2)处理个人信息时,是否按照约定的处理目的、处理方式和个人信息的种类等范围内处理个人信息 | · 是 · 否 |
26. 变更原先的处理目的、处理方式时,是否依照个人信息保护法的规定重新取得个人同意(是指向个人重新告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并重新取得个人的单独同意) | · 是 · 否 |
27. 向其他个人信息处理者提供个人信息之前,是否事先进行个人信息保护影响评估,并对处理情况进行记录 | · 是 · 否 |
28. 是否制作了个人信息保护影响评估报告和处理情况记录并至少保存三年 | · 是 · 否 |
自动化决策 | |
29. 利用个人信息进行自动化决策之前,是否事先进行个人信息保护影响评估,并对处理情况进行记录 | · 是 · 否 |
30. 是否制作了个人信息保护影响评估报告和处理情况记录并至少保存三年 | · 是 · 否 |
31. 利用个人信息进行自动化决策时,是否对个人在交易价格等交易条件上实行不合理的差别待遇 | · 是 · 否 |
32. 通过自动化决策方式向个人进行信息推送、商业营销,是否提供了不针对其个人特征的选项或者向个人提供便捷的拒绝方式 | · 是 · 否 |
33. 通过自动化决策方式作出对个人权益有重大影响的决定时,是否根据个人的要求予以说明 | · 是 · 否 |
个人信息权利主体的权利保障 | |
34. 基于个人同意处理个人信息的,个人信息处理者是否提供便捷的撤回同意的方式 | · 是 · 否 |
35. 是否在企业内部设置个人权利申请受理和处理机制以及时处理个人主体关于查阅、复制、更改、补充或者删除个人信息的权利请求 | · 是 · 否 |
36. 个人请求将个人信息转移至其指定的个人信息处理者,是否符合国家网信部门规定条件 | · 是 · 否 |
37. 前项如果符合,是否为个人提供转移的途径 | · 是 · 否 |
38. 存在以下情形之一时,是否主动删除个人信息: (1) 个人信息的处理目的已实现、无法实现或者为实现处理目的不再必要; (2) 个人信息处理者停止提供产品或者服务,或者保存期限已届满; (3) 个人撤回同意。 | · 是 · 否 |
三、特殊情形 | |
个人信息出境 | |
39. 境外接收方是否被国家网信部门列入限制或者禁止个人信息提供清单 | · 是 · 否 |
40. 向境外提供个人信息之前,是否事先进行个人信息保护影响评估,并对处理情况进行记录 | · 是 · 否 |
41. 是否制作了个人信息保护影响评估报告和处理情况记录并至少保存三年 | · 是 · 否 |
42. 是否属于关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者 | · 是 · 否 |
43. 如果是,是否就其向境外提供个人信息办理了网信部门组织的安全评估 | · 是 · 否 |
44. 是否属于经国家网信部门的规定经专业机构进行了个人信息保护认证即可出境的情形 | · 是 · 否 |
45. 如果是,是否按照国家网信部门的规定经专业机构进行了个人信息保护认证 | · 是 · 否 |
46. 是否属于按照国家网信部门制定的标准合同与境外接收方订立合同即可出境的情形 | · 是 · 否 |
47. 如果是,是否按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务 | · 是 · 否 |
48. 是否向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项 | · 是 · 否 |
49. 是否取得了个人的单独同意 | · 是 · 否 |
50. 是否采取了必要措施,以保障境外接收方处理个人信息的活动达到中国个人信息保护法规定的个人信息保护标准 | · 是 · 否 |
51. 是否被外国司法或执法机构要求提供存储在中国境内的个人信息 | · 是 · 否 |
52. 是否就前述事项取得了主管机关的批准 | · 是 · 否 |
敏感个人信息特殊保护 | |
53. 是否存在处理敏感个人信息(包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息)的情形 | · 是 · 否 |
54. 处理敏感个人信息是否具有特定的目的和充分的必要性 | · 是 · 否 |
55.处理敏感个人信息是否采取了严格的保护措施 | · 是 · 否 |
56. 是否就处理敏感个人信息取得了个人的单独同意 | · 是 · 否 |
57. 如果法律要求取得书面同意的,是否就处理敏感个人信息取得了个人的单独同意 | · 是 · 否 |
58. 处理敏感信息之前是否事先进行个人信息保护影响评估,并对处理情况进行记录 | · 是 · 否 |
59. 是否制作了个人信息保护影响评估报告和处理情况记录并至少保存三年 | · 是 · 否 |
60. 是否向个人告知了个人信息处理者的名称或者姓名和联系方式、处理敏感个人信息的必要性以及对个人权益的影响 | · 是 · 否 |
61. 是否存在处理不满十四周岁未成年人个人信息的情形 | · 是 · 否 |
62. 如果存在处理不满十四周岁未成年人个人信息的,是否取得未成年人的父母或者其他监护人的同意 | · 是 · 否 |
63. 如果存在处理不满十四周岁未成年人个人信息的,是否制定了专门的个人信息处理规则 | · 是 · 否 |
大量个人信息处理者 | |
64. 是否属于国家网信部门规定数量的个人信息处理者 | · 是 · 否 |
65. 如果属于国家网信部门规定数量的个人信息处理者,是否指定了个人信息保护负责人 | · 是 · 否 |
66. 是否公开了个人信息保护负责人的联系方式 | · 是 · 否 |
67. 是否将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门 | · 是 · 否 |
重要互联网平台 | |
68. 是否按照国家规定建立了健全个人信息保护合规制度体系 | · 是 · 否 |
69. 是否成立了主要由外部成员组成的独立机构对个人信息保护情况进行监督 | · 是 · 否 |
70. 是否遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务 | · 是 · 否 |
71. 是否对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务 | · 是 · 否 |
72. 是否定期发布个人信息保护社会责任报告 | · 是 · 否 |
中国境外的个人信息处理者 | |
73. 是否有在中国境外以向境内自然人提供产品或者服务为目的处理中国境内自然人个人信息的情形 | · 是 · 否 |
74. 是否有在中国境外分析、评估境内自然人的行为而处理中国境内自然人个人信息的情形 | · 是 · 否 |
75. 满足前两项任一情形的,中国境外的个人信息处理者,是否在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务 | · 是 · 否 |
76. 是否将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门 | · 是 · 否 |
App合规管理(要点) | |
77. 是否根据《个人信息保护法》修改目前的隐私保护政策 | · 是 · 否 |
78. 是否根据《个人信息保护法》修改目前的用户协议 | · 是 · 否 |
79. 是否根据《个人信息保护法》调整个人信息处理规则 | · 是 · 否 |
80. 是否根据《个人信息保护法》保障个人信息权利主体的权利 | · 是 · 否 |
杨锦文 合伙人
yangjw@junhe.com
业务领域:
公司与并购 合规 隐私保护、网络安全与信息法
高 健 律师
gaojian@junhe.com
李圆圆
liyuanyuan@junhe.com
相关阅读
点击阅读原文,直通君合手机官网,了解更多详情!
声 明
《君合法律评论》所刊登的文章仅代表作者本人观点,不得视为君合律师事务所或其律师出具的正式法律意见或建议。如需转载或引用该等文章的任何内容,请注明出处。未经本所书面同意,不得转载或使用该等文章中包含的任何图片或影像。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。