智联·西岸|为民办实事:这份个人信息保护法律指引,请查收~
2021年4月29日,全国人大常委会向全社会公布了《个人信息保护法(草案二审审议稿)》和《数据安全法(二审审议稿)》,并公开征求意见,成为构建我国数据安全、网络安全和个人信息保护法律框架的重要支柱,并深刻影响我国数字经济格局、个人信息保护与企业数据合规。
然而,大数据“杀熟”、手机APP过度收集个人信息、恶窃取个人信息、垃圾短信营销以及因个人信息被泄露而侵犯公民人身、财产等现象仍在不断发生,引发公众对个人信息与数据使用边界的担忧。信息网络与数字经济时代,信息与数据的经济及战略价值已日益凸显。企业在有效释放数据要素价值与红利下,如何担负企业责任,避免引发个人信息保护合规法律风险?
下面,就请收下检察官为大家编写的个人信息保护法律指引,一起向侵害个人信息的行为SAY“NO”!
01
什么是
个人信息?
《个人信息保护法(草案二审审议稿)》
第四条规定
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。
《个人信息保护法(草案二审审议稿)》对于“个人信息”和“个人信息的处理”的定义与《网络安全法》、《民法典》略有不同,但总体上采取了在“识别性”认定路径的基础上,强调与特定自然人的“关联性”。随着社会的进步和网络的发展,个人信息的内涵也在不断延展,从传统的姓名、证件、住址信息为主,逐渐将生物识别信息、健康信息、财产信息、行踪信息等都纳入其中。
学习了个人信息的定义
接下来
检察官将通过具体案例
来告诉大家
企业侵害公民个人信息
将会面临哪些法律责任
02
企业违反个人信息保护
可能哪些面临的法律责任?
《个人信息保护与数据安全法律框架》
参考:中国信息通信研究院安全研究所
《隐私保护计算与合规应用研究报告(2021年)》
民事法律责任
典型案例:
侵害个人信息权益及隐私权案
——个人信息的跨软件利用需获得用户有效的知情同意
黄某在使用某app读书时发现,在其不知情的情况下,该软件获取其部分好友信息,并向好友公开读书信息,自动关注好友等。
法院认为该软件的上述行为并未获得有效的用户知情同意,好友信息与人格利益较为密切,公开读书信息存在较高的侵害用户隐私的风险,两个软件共用好友关系不符合一般用户的合理预期,侵害了原告的个人信息权益,但不属于侵害隐私权。(材料来源:《数据与个人信息案例盘点(2020)》)
行政法律责任
典型案例:
公司侵害消费者个人信息案
——未经消费者同意,擅自收集消费者个人信息
某教育科技有限公司未经消费者同意,擅自收集消费者个人信息480条,包含有“宝宝姓名、小名、出生日期、联系方式”等内容,通过电话营销方式推广公司相关业务。此后市场监管局依据《消费者权益保护法》相关规定,对该公司予以行政处罚。(材料来源:市场监管总局“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动十大典型案例)
刑事法律责任
典型案例:
侵犯公民个人信息案
——利用信息网络侵犯公民个人信息被提起刑事附带民事公益诉讼
被告人徐某某设置网站,使用与招考网站相似的标识,另设置名称为招考的公众号、自媒体账号等,以此误导公民提供姓名、手机号码等个人信息。同时,徐某某还先后设立多个网站,以自学考试、成人高考、远程教育等名义获取公民个人信息,并将以上述手段获取的公民个人信息提供给教育机构,从中获利。
检察机关考虑到徐某某的犯罪行为已经造成他人的隐私权、财产利益受到现实损害,或收到财产损失,或受到电话骚扰,也具有潜在的危害,在对徐某某提起公诉的同时,同步提起公益诉讼。最终徐某某被判处刑罚,并就侵犯公民个人信息的行为在省级媒体上向社会公众赔礼道歉。
学习了侵犯公民个人信息
可能面临的法律责任后
企业又该如何合规地去
收集和使用个人信息?
徐汇检察院的检察官们
为大家提出了九条建议
让我们来一睹为快吧!
03
企业合规收集、使用
个人信息的九条建议
1
健全知情同意信息收集规则
严格按照法律法规的要求及行业标准,健全完善个人信息告知、同意规则,可公开收集使用个人信息的规则、明示收集使用个人信息的目的和范围、征得用户同意后才收集或向第三方提供等角度进行评估、完善。
2
遵循数据收集最小化原则
企业收集的个人信息要确保与所提供的服务有相关性,在功能可实现的前提下最小范围内收集数据,做到为用户保留拒绝收集非必要信息或者打开非必要权限,不以非正当方式强制收集用户个人信息,不超过业务实际功能需要收集个人信息。
3
建立数据分级分类管理制度
针对信息、数据的管理与保护要有所区别,采取相应的加密保护、隔离存储、去标识化等安全技术措施,对在确认不具备处理的必要性后应及时、彻底销毁。如对敏感数据进行脱敏处理,保护隐私数据信息的安全,加强对敏感、重要的数据保护;将收集、利用、存储和与其他组织实体共享的数据中,不需要识别自然人身份的情况,通过匿名化改变数据的颗粒度,减少被识别后给自然人带来的风险。
4
保障个人信息的查询、更正、删除、退出等权利
通过提供有效的注销用户账户功能,更正、删除个人信息途径,在承诺时间内完成相应操作,客户端提示用户注销后,原账号信息应按要求及时在后台服务器上删除,公布个人信息安全投诉、举报渠道等方法,保障个人信息更正、删除、退出等权利。
5
建立全流程数据安全管理制度
根据有关法律的强制性要求,参照有关国家推荐性标准或行业标准,制定数据安全审查、数据出口管制、信息系统权限、数据调用审批等制度,形成事前、事中、事后全流程管理。
6
建立全流程风险防控体系
加强对个人信息处理过程风险评估及控制,对涉及上下游供应商或者委托第三方处理的情形,加强数据来源合法、数据合规水平、数据接收方具备相应安全保障能力、历史违规记录等审查,通过协议约定等方式督促合作方履行相应合规义务,规避牵连责任风险。
7
建立应急处置机制
健全完善应对监管调查、处罚的应对工作制度和应急处置规程,积极应对责令改正或者行政处罚决定,对监管机关作出的书面决定应做好整改落实措施,加强过程沟通,避免行政法律责任升级为刑事法律责任。
8
建立健全组织培训体系
企业应根据自身实际情况,建立个人信息保护、数据安全保护体系,指定个人信息保护或数据安全负责人,合理确定个人信息处理的操作权限;应定期对安全、合规、审计人员进行专业教育和培训,对其他员工加强合规风险与意识的培训。
9
前置法律合规联动机制
合规人员应尽早参与产品的开发和设计,分析法规、厘清与拟设计的新产品的和规范及法律要求,在产品设计流程之初即将法律合规列入产品设计的重要参数,如根据个人信息保护的相关法规和国家标准以及未来的前沿态势,确定受保护的个人信息的范围及未来市场与法律监管的预见性,从而不仅不满足监管要求,实现资源优化配置,在遭遇突发事件时,帮助企业协调内外资源,及时回应舆情或者监管关注。