逐条精解:《个人信息保护法》51条-59条
“
为了保障个人信息权益,维护信息安全,《个人信息保护法》通过处理规则和专门义务的方式落实个人信息处理者的责任。《个人信息保护法》在三次审议的过程中经过多次修改,其中关于个人信息保护的措施也更加落地和细化,具备实操性和现实性。
本文对第五章做出阐述,本章主要规定了个人信息处理者的一些常规义务,要求个人信息处理者应从组织架构、管理制度、操作规程、分类分级、安全保障措施、合法操作权限、安全事件应急预案、安全教育培训等多方面综合考量建立以个人信息为核心的安全防护体系。
”
*点击文末链接可查看往期法条精解
文 | 夏海波 郑泽爽 上海格联律师事务所
校对 | 古锐 王军华 上海格联律师事务所
本文由作者向新则独家供稿
第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
法条精讲:本条明确了个人信息处理者的安全保护义务。
结合《个人信息保护法》第4条和本条第(一)项,管理制度和操作规程至少应覆盖个人信息全部处理流程。
《个人信息保护法》第(二)项就个人信息分类管理而言,常见的方式是对用户个人信息按照内容、属性进行分类,需要注意的是个人信息包含一般个人信息和敏感个人信息,需要对其作出区分。
《个人信息保护法》第(三)项应根据个人信息分级分类的结果,采取不同的安全技术措施,对于敏感个人信息,建议采取更为严格的安全技术手段如提升加密等级等措施,以降低个人信息可能面临的风险。
《个人信息保护法》第(四)项的内部操作权限配置,应符合最小授权的访问控制策略。同时,明确要求个人信息处理者应定期对从业人员进行安全教育和培训。
从业人员应当包含企业全体员工,中高层高度重视、基层员工严格践行,对个人信息保护的相关法律法规规定、内部制度、操作流程等,特别是最新出台的规定和内部制度流程等方面的重要修订应在员工入职阶段就强化个人信息安全意识,后续还应定期开展个人信息安全教育和培训。
《个人信息保护法》第(五)项明确将“制定并组织实施个人信息安全事件应急预案”上升为个人信息处理者的义务,配合定期组织内部人员开展相关应急响应培训和应急演练。
第五十二条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
法条精讲:本条明确了设置个人信息保护负责人的要求和履职信息公开及备案要求。
《个人信息保护法》下的个人信息保护负责人与GDPR的数据保护专员(DPO)存在一定的区别。就本条而言,以个人信息处理者处理个人信息的数量作为划分门槛,仅有处理个人信息达到国家网信部门规定数量的个人信息处理者才负有指定的个人信息保护负责人的义务,并非所有的个人信息处理者都等同于数据保护专员。
个人信息保护负责人的职责在于对个人信息处理活动以及采取的保护措施等进行监督。而对于个人信息保护负责人的具体职责划分、条件以及责任承担等问题,有待实施细则进一步规范。
同时,个人信息处理者应当公开其姓名与联系方式等,并将相关信息报送相关监管部门,以便定责到人,便利监督投诉。
第五十三条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
法条精讲:针对中国境外个人信息处理者活动的监管沟通路径,《个人信息保护法》要求设立境内专门机构或指定境内代表,并要求履行沟通渠道的报送义务。
该项规定补足了一直以来针对境外机构监管的缺口,与《个人信息保护法》的域外管辖扩展落地直接呼应,也是与欧盟GDPR等域外个人信息保护法的机制保持了一致性的对等原则。
第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
法条精讲:本条明确了个人信息处理者的个人信息安全审计要求。
本条仅对个人信息处理者的安全审计要求进行了原则性规定,要求个人信息处理者确保在日常运营和业务开展过程中的个人信息处理行为符合法律法规规定,以降低信息泄露的风险。虽然定期合规审计在一定程度上增加了企业的运营成本,但是从长远来看,定期审计有助于企业减少诉累和法律风险。
对于合规审计的具体内容、审查期限等具体事项,参考《信息安全技术个人信息安全规范》第11.7条,应对个人信息保护政策、相关规程、安全措施的有效性进行审计,并及时对审计过程中发现的违规情况及时处理,并按照相关规定留存审计记录。
第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
法条精讲:本条明确了个人信息处理者的事前影响评估义务。
《个人信息保护法》规定的事前影响评估义务,参考《信息安全技术个人信息安全规范》第3.9条对于个人信息安全影响评估的定义,即针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。
本条规定了需要进行事前风险评估的个人信息处理活动的类别,为个人信息处理者开展个人信息事前风险评估指明了方向。
第五十六条 个人信息保护影响评估应当包括下列内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。
法条精讲:本条明确了个人信息保护影响评估的内容。
《个人信息保护法》第55条规定了个人信息保护影响评估的原则性规定及开展评估的信息类别,本条则在前条基础上,明确了个人信息保护影响评估的内容。
对比《信息安全技术个人信息安全规范》第11.4条的开展个人信息安全影响评估规定,二者有一定相似,都对个人信息安全影响评估的具体内容进行了规范,不过本条规定语言更为简洁,偏向于原则性规定。
同时,本条第二款进一步对于报告和处理情况的保存期限做出约定,要求处理者保存三年。
第五十七条 发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:
(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;
(三)个人信息处理者的联系方式。
个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。
法条精讲:本条明确了发现个人信息泄露时个人信息处理者的补救和通知义务。
一旦个人信息处理者发现了该等信息泄露的情形,便应当立即采取补救措施,主要将泄露信息的情况包括泄露的原因、涉及的信息种类和可能造成的危害、已采取的补救措施、个人可以采取的减轻危害的措施以及联系方式通知履行个人信息保护职责的部门和个人。
同时,《个人信息保护法》亦规定了可以不通知个人的例外情形,即个人信息处理者采取措施能够有效避免信息泄露造成损害的,以及该种情形下的例外即履行个人信息保护职责的部门认为个人信息泄露可能对个人造成损害的,个人信息保护部门有权要求个人信息处理者通知个人。
第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(四)定期发布个人信息保护社会责任报告,接受社会监督。
法条精讲:本条明确了超大型互联网平台的个人信息保护义务。
对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,本条在《二审稿》的基础上新增了互联网平台应当制定平台规则,并明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。
互联网平台场景下可能涉及多方义务主体,因此对于个人信息的收集也可能包括平台内经营者、第三方SDK提供者等,同时鉴于实践中用户通常感知其个人信息的收集、使用主体为平台方,提供个人信息也可能系基于对头部互联网平台本身的信任,因此对于几方的平台方进行监管约束,赋予更多的社会责任与义务。
第五十九条 接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。
法条精讲:本条规定了委托处理者的安全义务,其应履行的义务包括不限于《个人信息保护法》第五章的规定以保障个人信息安全,同时新增了受托处理者有义务协助个人信息处理者依法履行相关义务。
如果受托人未能按照委托要求处理个人信息或未能有效履行个人信息安全保护责任的,可参照《信息安全技术个人信息安全规范》第9.1条,个人信息处理者(委托人)具有监督义务,一旦发现应立即要求受托人停止相关行为并采取补救措施,必要时应解除委托关系。
相关文章链接:
《逐条精解:<个人信息保护法>44条-50条》
- End -
# 新空小会 #
12月16日(星期四)晚7点,新空小会邀请到浙江律匠律师事务所副主任蔡维专,和我们分享“专业的三重境界:如何在技术上把案件做到极致”,直播不可回放,欢迎扫码预约。
↓↓↓
# 推荐阅读 #