个人信息保护法Q&A-企业篇
2021年8月20日,《个人信息保护法》通过中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议,2021年11月1日正式实施。
参与话题讨论
#《个人信息保护法》通过中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议,2021年11月1日正式实施了#
上次关于《个人信息保护法》的Q&A大受好评呢,大家在问什么时候出企业篇?感谢大家支持
A作为企业(个人信息处理者),什么情况下可以处理个人信息?
要将“充分知情”作为“同意”的前提条件。通过用户主动勾选、浏览隐私政策等获得个人信息的授权使用,还要赋予用户撤回同意的权利。
《个人信息保护法》也规定,在部分场景下,如获得处理敏感个人信息的授权使用、向他人提供或公开个人信息、向境外提供个人信息、收集个人图像等,均需要取得个人的单独同意。
所以,除了法律规定的特殊情形,未经同意就处理个人信息是违法行为。QA同意与单独同意是什么关系?什么情况下一定要获取个人的单独同意?
同意和单独同意是包含的关系。是否需要取得个人的单独同意的前提,是基于取得个人同意处理个人信息。如果属于法律规定的特殊场景,则无需考虑是否需要取得个人的单独同意。
QA根据上面说的,不需要获得个人同意就处理个人信息的特殊场景有哪些?
一共有6种特殊场景:
1、签订合同后,在合同范围内需要处理个人信息的场景;
2、为履行法定职责或法定义务需要的处理个人信息的场景;
3、因保护个人生命健康和财产安全需要的处理个人信息的场景;
4、在合理范围内,为公共利益实施新闻报道、舆论监督等行为,需要处理个人信息的场景;
5、在合理范围内处理已公开的个人信息;
6、法律法规规定的其他情形。职责要点
QA现在还提到了“个人信息保护负责人”,这是什么角色?
《个人信息保护法》的52条提到,“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人。”但是,“规定数量”在法律中并没有明确。
不过,根据GB/T 35273-2020《信息安全技术 个人信息安全规范》,从业人员规模大于200人、或处理超过100万人的个人信息、或处理超过10万人的个人敏感信息,都是需要设立个人信息保护负责人的。
个人信息保护负责人的联系方式应当对外进行公开,个人信息保护负责人的姓名、联系方式等信息是需要报送国家网信部门的。QA对于境外的个人信息处理者,有什么特殊要求么?
在境外的个人信息处理者,需在境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送国家网信部门。
QA企业如果想要委托处理个人信息,双方应承担什么责任?
对于企业来说,需要与委托方约定处理目的、期限、处理方式、个人信息种类、保护措施、及双方的权利与义务,并对委托方的个人信息处理活动进行监督。
保护措施
QA企业该如何保护个人信息安全?
法律规定,企业应当采取下列措施,保障个人信息处理活动符合法律、行政法规的规定:
1、制定内部管理制度和操作规程;
2、对个人信息实行分类管理;
3、采取相应的安全技术措施保护个人信息;
4、对个人信息处理的操作权限进行限制;
5、定期对从业人员进行安全教育和培训;
6、制定并组织实施个人信息安全事件应急预案。
对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,还应当履行下列义务:
1、按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
2、遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
3、对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
4、定期发布个人信息保护社会责任报告,接受社会监督。
A什么情况下需要进行个人信息保护影响评估?
涉及以下情形之一,就需要开展个人信息保护影响评估:
1、处理敏感个人信息;
2、利用个人信息进行自动化决策;
3、向他人提供或公开个人信息;
4、向境外提供个人信息;
5、开展的个人信息处理活动对个人利益有重大影响。
根据《个人信息安全影响评估指南》,开展评估前,需要对评估对象(可为某项产品、某类业务、某项具体合作等)进行调研,形成清晰的数据清单,并梳理待评估的个人信息处理活动。开展评估时,通过分析个人信息处理活动对个人权益可能造成的影响程度,分析安全措施是否有效、是否会导致安全事件发生及发生的可能性,结合影响程度与安全事件可能性程度两方面结果,得出个人信息处理活动的安全风险及风险等级。针对发现的安全风险,要提出相应的改进建议,形成评估报告。
QA企业因业务需要,要向境外提供个人信息,该怎么做?
因业务等需要,确需向境外提供个人信息的,应当具备下列条件之一:
1、通过国家网信部门组织的安全评估;
2、按照国家网信部门的规定经专业机构进行个人信息保护认证;
3、按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
4、法律、行政法规或者国家网信部门规定的其他条件。
企业应当采取必要措施,保障境外接收方处理个人信息的活动达到规定的个人信息保护标准。
除此之外,向境外提供个人信息的,企业应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
惩罚
A违反《个人信息保护法》,有什么惩罚?
这里就需要分情况说明了。
对于一般的个人信息违法行为,如违反《个人信息保护法》的规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务。如果拒不改正的,处100万元以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。
对于情节严重的个人信息违法行为,如有前款规定的违法行为,情节严重的,没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款,责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款,禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
因篇幅问题,《个人信息保护法》——企业篇的Q&A到此结束啦,感谢大家支持~
后续我们会带来更多精彩内容,希望大家多多支持。