汇业评论 |《个人信息保护法》理解与适用:百问百答
孔子说:正确提出问题,就成功解决了问题的一半。
参考近期监管、执法及司法个案,在对《个人信息保护法》及其配套规范进行文义、目的、历史、逻辑、体系等理解和解释的基础之上,汇业律师事务所黄春林律师团队就前期法律服务过程中客户高频咨询的相关问题,汇总解读形成本《百问百答》。
注:《百问百答》暂不对外免费提供,现仅发布问题目录如下,仅供参考:
1. 《网络安全法》、《民法典》及本法关于“个人信息”的定义有什么实质差别吗?
2. 境外处理境内自然人个人信息场景中,如何理解“以向境内自然人提供产品或者服务为目的”?
3. 如何理解“相关”原则、“质量”原则?
4. 如何理解“非法”尺度?
5. 收集规则与处理规则完全一致吗?
6. “合同必需”在实践中真的可以豁免同意吗?
7. 如何理解“人力资源管理所必需”?
8. 如何确定处理公开个人信息的“合理的范围”?
9. 豁免同意的情形,也豁免告知吗?
10. “个人信息处理规则”=隐私政策吗?
11. 隐私政策应当满足哪些形式要求?
12. 本法生效前,需要更新隐私政策哪些内容?
13. 如何理解“单独同意”?
14. 哪些变更情形,需要“重新同意”和告知?
15. 如何评价方式的“便捷”性?
16. 如何理解“提供产品或者服务所必需”?
17. 如何理解保存期限的“为实现处理目的所必要的最短时间”?
18. 哪些场景属于共同处理情形,一律“承担连带责任”吗?
19. 委托处理场景中,“受托人”也是个人信息处理者吗?
20. 个人信息处理者如何“监督”受托人的处理活动?
21. 委托处理需要告知个人并经其同意吗?
22. 并购一定要告知个人并经其同意吗?
23. 对外提供场景中,如何把握告知的颗粒度?
24. 自动化决策如何“保证决策的透明度”?
25. 哪些交易价格/条件上的差别待遇是“不合理”的?
26. 如何理解“不针对其个人特征”?
27. 如何理解“对个人权益有重大影响”?
28. 如何平衡“说明”义务与商业秘密保护?
29. 人脸识别信息仅能用于“公共安全目的”吗?
30. 人脸识别如何设置“显著的提示标识”?
31. 肖像图片、生物特征值属于个人信息吗?
32. 敏感个人信息里面的“特定身份”如何理解?
33. 如何取得儿童的“父母或者其他监护人的同意”?
34. 只要涉及儿童个人信息,就要制定单独的隐私政策吗?
35. 如何理解“具有特定的目的和充分的必要性”?
36. 如何理解“必要措施”、“严格保护措施”、“必要的安全保护措施”?
37. 处理敏感个人信息有哪些常见的行政“许可”或“限制”?
38. 受国家机关委托处理的个人信息是否也应“存储在境内”吗?
39. 一般商业机构在境内收集的所有个人信息都应当“存储在境内”吗?
40. “存储在境内”的意思是本地重建系统,还是仅保留备份即可?
41. “先出境再回流本地”和“先本地存储再出境”有合规差别吗?
42. “安全评估”何时做、谁来做、怎么做,《办法》什么时候发布、生效?
43. “认证”的专业机构是官方指定吗?认证有效期多久?各个执法机构都认可吗?
44. 出境到个人信息处理者自己在境外的服务器(云)上的,“标准合同”谁和谁签?
45. 中国大陆和港、澳地区之间什么时候签订数据出境“协议”?
46. 如何“保障”境外接收方合规达标?
47. 个人信息出境如何告知并取得“单独同意”?
48. “国家网信部门规定数量”现在有实践标准了吗?
49. 境内主体在境外提起、参与诉讼仲裁等争议解决程序时,提交的证据材料及法律文书涉及个人信息的也要批准吗?
50. 未在中国开展商业活动的境外实体违反本法的,相关处罚、措施如何执行?
51. 个人线下请求个人信息权利时,如何核对其身份和一致性?
52. 律师持法院调查令查询个人信息时,个人信息处理者如何配合?
53. 个人请求转移持牌、限制类个人信息时,个人信息处理者如何响应?
54. 个人请求转移个人信息时,仅提供“途径”还是需要提供接口等具体协助?
55. 个人以更正、补充权利为由故意篡改个人信息的,如何处理?
56. 如何理解“处理目的已实现”?
57. 撤回同意后一律要删除个人信息吗?
58. 如何理解法律意义上的“删除”?
59. 如何把握“解释说明”的范围和颗粒度?
60. 如何判断近亲属自身的利益“合法、正当”?
61. 如何审查死者生前是否“另有安排”?
62. 以个人信息处理者拒绝个人行使权利请求为由“提起诉讼”的,诉由和管辖如何确定,是否支持精神损害赔偿?
63. 个人信息处理者应当制定哪些内部“管理制度和操作规程”?
64. 个人信息如何“分级”分类?
65. 如何确保“操作权限”的合理性和最小化?
66. 如何制定“安全教育和培训”的内容、方式及参与范围?
67. 如何编制并演练“安全事件应急预案”?
68. “个人信息保护负责人”有资质、国籍、工作地点、用工方式等限制吗?
69. 个人信息保护负责人会成为“直接负责的主管人员和其他直接责任人员”?
70. 境外组织在境内的“专门机构”或者“代表”有资质、组织形式等限制吗,签订什么协议?
71. 如何确定开展“合规审计”的时间、范围及方式,由企业哪个部门牵头开展?
72. 所有的委托、提供、公开及跨境处理活动,都要开展“个人信息保护影响评估”吗,实践中是否设置数量级门槛?
73. 受托人、接收方是否需要开展“个人信息保护影响评估”?
74. 应当由企业内部哪个机构牵头开展“个人信息保护影响评估”?
75. 如何确定“个人信息保护影响评估报告”的颗粒度?
76. 如何理解和把握“可能发生个人信息泄露、篡改、丢失”的尺度?
77. 分别还是择一通知“履行个人信息保护职责的部门”,报警算通知吗,不受理怎么办?
78. 什么时间、以什么方式“通知”个人关于个人信息安全事件?
79. 非平台模式的其他“用户数量巨大、业务类型复杂”也应当采取增强合规策略吗?
80. 如何理解“个人信息保护合规制度体系”?
81. 如何遴选、组建“独立机构”,如何确定工作模式及范围?
82. 规定平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务的“平台规 则”需要单独成文吗?
83. 如何理解“严重违反法律、行政法规”,如何执行“停止提供服务”?
84. 如何撰写、发布“个人信息保护社会责任报告”?
85. 如何确定“接受、处理与个人信息保护有关的投诉、举报”的管辖?
86. 对履行个人信息保护职责部门的“测评”及“公布”行为,是否可以提起听证、异议或诉讼?
87. 哪些属于“小型个人信息处理者”,会豁免出境、评估等合规责任吗?
88. 法定代表人或者主要负责人参加“约谈”应当注意什么?
89. 符合性合规审计的“专业机构”有官方指定吗?
90. 哪些情形会触发“刑事移送”?
91. 如何确定不同违法情节对应的法律责任阶梯?
92. 哪些违法情形可能会导致APP停更、停注或下架?
93. 如何阻断不同业务线、子品牌的APP违法行为的相互影响或牵连?
94. “上一年度营业额”的计算范围、方式?
95. 董监高及个人信息保护负责人“禁入限制”如何执行?
96. 常规合规建设中如何做,有利于个案中被认定为“证明自己没有过错”?
97. 公证费、律师费等合理支出可以计入“个人因此受到的损失”吗?
98. 个案诉讼可以主张产品合规整改吗?
99. 统计法、档案法、会计法等对个人信息还有什么特殊规定?
100. 本法生效前的监管、执法及司法活动,会参照本法规定吗?
作者介绍