【星来析法】《个人信息保护法》下企业不可忽视的十个要点（下篇）| 附上篇链接

Original 史倩君星来律师 2022-09-24

收录于合集

2021年8月20日，《中华人民共和国个人信息保护法》由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议审议通过，并将自2021年11月1日起正式施行。历经三次审议、两次征求意见，备受海内外瞩目的《个人信息保护法》终千呼万唤始公布。《个人信息保护法》共八章七十四条，集合众多专家智慧结晶，作为我国第一部专项针对个人信息的立法，展示了诸多制度亮点，具有重要的里程碑意义，也为企业数据合规提供了新规范。

星来律师特就《个人信息保护法》与企业合规相关的十大要点展开评议，聚焦告知同意实现路径与豁免、数据跨境传输、企业治理、权利义务、法律责任等关键条款，解构当前个人信息保护监管体系，以期为企业迎接“个保法”时代，开展/更新合规管理起参考之效。

*说明：本篇为下篇，特就第六至第十个要点进行评析。

附上篇链接：

【星来析法】《个人信息保护法》下企业不可忽视的十个要点（上篇）

六、尊权利：个人信息主体的新权利

2020年10月1日起生效的《信息安全技术个人信息安全规范》（GB/T 35273-2020）明定了个人信息主体的六项权利：查询权、更正权、删除权、撤回授权同意权、注销权及复制权。《个人信息保护法》在此基础上，对个人信息主体权利进行了更加清晰的界定，以立法的形式固定了该推荐性国家标准中指导适用的权利内容，并在此基础了进行了丰富与补充，特别添加了可携权与逝者近亲属的特殊权利规定。

至此，中国法律语境下，个人信息主体的权利体系已较为完善，将对个人信息处理者提出新的挑战：

1. 知情权与自决权

2. 查询权与复制权

3. 更正权与补充权

4. 撤回同意权

5. 删除权

6. 可携权

7. 逝者近亲属的特殊权利

七、担义务：企业需注意的特别义务

除在前述几节中评析过的个人信息处理者的一般性义务（例如告知同意的实现、对敏感个人信息（特别是儿童个人信息）的保护、对信息主体权利的保障、处理活动的原则性规定及规则（特别是删除活动）），笔者特就《个人信息保护法》中有关企业义务的亮点内容作如下评析：

1. 个人信息保护影响评估

依照《信息安全技术个人信息安全规范》，个人信息控制者（这一概念在《个人信息保护法》中被调整为“个人信息处理者”）应建立个人信息安全影响评估制度，评估并处置个人信息处理活动存在的安全风险。《个人信息保护法》在此基础上，将“个人信息安全影响评估”调整为“个人信息保护影响评估”，这一改变扩大了评估的内容，除防范安全风险外，确保对个人信息生命全周期的处理活动合法合规，始终是信息处理者合规工作贯穿始末的重点。

2. 合规审计

根据《个人信息保护法》第五十四条的规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

审计重点应当至少包括：

（1）定期更新监管动态和法律法规；

（2）法律、行政法规中规定的义务是否已在企业内部合规管理体系中实现了对映，例如是否已制定相关的制度措施、是否已设立相关的合规岗位、是否定期就相关岗位开展培训；

（3）定期检查企业合规管理措施是否得以有效实施，衡量“有效性”可以从以下两个维度入手：（a）制定的合规制度是否可以帮助企业及时识别并防范风险；（b）如发生违规事件，当前制定的合规制度能否帮助企业及时、有序开展补救工作，例如报告主管部门的流程和材料准备工作、防范危害结果进一步加大的措施等；

（4）定期评测网络和系统安全，防范因网络安全风险致使个人信息泄露；

（5）定期通过问卷形式测评重要岗位员工的合规意识及必要的合规知识储备情况；

（6）建议设立内部举报监督机制，鼓励匿名投诉违规行为和违规人员，并建立对举报者的保护机制；

……

3. 重要互联网平台的特殊义务

《个人信息保护法》第五十八条特别就提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者制定了特殊的义务，这是新法的另一大亮点，即创设性得区分了“大小”处理者法定义务。

根据第五十八条，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：（一）按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；（二）遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；（三）对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；（四）定期发布个人信息保护社会责任报告，接受社会监督。

虽然当前就“重要互联网平台服务”、“用户数量巨大”、“业务类型复杂”三项指标尚未明确具体的判定标准，但不难预测当前知名的几家头部互联网公司将有较大可能落入该项规定的范畴。至于独立监督机构中外部成员的选任规则和社会责任报告的发布规范，还有待进一步说明。

八、慎流通：个人信息跨境流通规则

根据《个人信息保护法》中有关个人信息跨境传输的规定，笔者认为合法性基础应为同时满足以下三个条件：

九、新角色：企业内部个人信息保护负责人

《个人信息保护法》第五十二条要求处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。

结合《信息安全技术个人信息安全规范》（GB/T 35273-2020）中的相关规定，具体而言：

十、严处罚：高额罚款+“双罚制”

在法律责任层面，《个人信息保护法》从行政、民事两个层面对个人信息处理者的法律责任做出了较为详尽的规定。其中，共同处理者的连带责任、与年度营业额挂钩的高额罚款、组织与负责人“双罚制”等创新性规定，以空前严格的处罚力度，对违法处理个人信息的行为形成了强有力的震慑。

1. 共同处理者连带责任

（1）共同处理者的概念：

两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，则为共同处理者。

（2）连带责任规定：

根据《个人信息保护法》第二十条，两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务。但是，该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。

连带责任是民事侵权责任中的概念，《个人信息保护法》中该条的规定也符合《民法典》中关于侵权责任的相关规定，即内部之间的责任约定无法对抗外部，不影响连带责任的承担。

2. 民事诉讼风险

（1）个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼；

（2）个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。

3. “双罚制”：高额行政罚款+负责人员市场禁入

《个人信息保护法》第六十六条的另一创新之举，是推出了“双罚制”的处罚措施，即对违规企业和直接责任人员进行双重处罚。

即违反《个人信息保护法》规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，情节严重的，不仅企业需要接受责令改正、没收违法所得、高额罚款等处罚措施，直接负责的主管人员和其他直接责任人员也要接受罚款与市场禁入的相应处罚。

结语

此次出台的《个人信息保护法》在与国际接轨的同时保留中国特色，积极回应了App过度收集信息、人脸识别、大数据杀熟等社会热点问题，为个人信息保护奠定了扎实的制度基础。自此，网络安全与数据合规领域“《网络安全法》-《数据安全法》-《个人信息保护法》”三足鼎立的时代即将来临，也为企业合规带来了前所未有的机遇与挑战。虽然《个人信息保护法》对企业，尤其是大型互联网企业的合规工作提出了较高的要求，但在大数据时代的浪潮下，良好的数据合规将成为企业核心竞争力的重要组成部分，已经成为越来越多企业的共识。

过去企业参考适用的国家标准、行业指引多为《网络安全法》下各项原则性制度的配套文件，在《个人信息保护法》出台后，新的规范文件也将逐步制定，为个保法的具体适用提供指引。星来律师事务所也将持续聚焦《个人信息保护法》及其相关规范文件的最新动态，为企业数据合规建设提供实时的法律建议。

本文作者

史倩君

北京星来律师事务所

电话：17812203617

微信：sqj1220

邮箱：shiqianjun@xinglailaw.com

毕业于上海外国语大学和上海对外经贸大学，先后取得法学学士学位和法律硕士学位。主攻专业方向为合规实务，专长于网络犯罪与数据合规，曾参与多个合规法律服务项目，涉及的行业包括医疗、互联网、教育、车企、金融科技等。在加入星来律师事务所之前，曾在某知名外企负责合规工作。

现就职于北京星来律师事务所，致力于为客户提供全方位的合规法律服务，包括网络安全与数据合规、广告合规、白领犯罪和政府监管等。

感谢星来合规法律服务中心实习生-北京大学法学院学生周可嘉对本文的贡献。

星来律所介绍

北京星来律师事务所成立于2020年底，以“助力企业构建规范合规体系”为使命，专注于创新的企业合规业务，并辅之以高端的刑事、民商事诉讼及非诉法律服务，不断为客户提供高品质、综合性问题解决方案。星来与北京法意科技有限公司一起，联合星来合作网络中的资深律师打造出国内第一款以企业合规为内容的数字产品——“星来智引-企业刑事合规指数”。

星来律所特聘顾问

发展战略顾问	_
王忠德	欧盟中国委员会理事会副主席

特聘顾问
樊崇义	中国政法大学教授
赵旭东	中国政法大学教授
陈卫东	中国人民大学教授
白建军	北京大学教授
汪建成	北京大学教授
黎宏	清华大学教授
邓峰	北京大学教授
刘品新	中国人民大学教授