面向企业和组织:《个人信息保护法》实操解读1
一、处罚严厉
《个人信息保护法》是一部比欧洲 GDPR 还要严厉的法律。
在民事、行政、和刑事领域对于违法行为的追责达到空前力度。
在民事领域,确立了过错推定原则、连带责任,公益诉讼等机制;
在行政责任领域,引入了基于营业额的处罚基准;
在刑事领域,通过近年来陆续出台的刑事司法解释,入刑门槛低,刑罚重已然成为个人信息刑事责任体系的突出特点。
二、徒法不足以自行
一部法律的颁布不会产生立竿见影的效果。
需要看到如何执行和如何处罚。
等首个《个人信息保护法》的处罚案例出现。
三、数据安全相关法律已成型
《网络安全法》+《数据安全法》+《个人信息保护法》,加上《关键信息基础设施保护条例》+相关行政规定。
下一步重点在于相关行业管理办法、国家和行业标准体系。
这样的组合已经相当严密。
当然对于企业经营者、组织单位,和 IT 服务商/供应商的压力非常大。
短时间内对某些数据密集型、数据敏感的产品,可能产生巨大打击。
如大型互联网企业、互联网医疗等。
四、法律条文解读
第七十三条 本法下列用语的含义:
(一)个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
【Andy】数据拥有者(如企业、医院等)、和数据处理者(如云服务提供商、数据交易平台等)都可归为此类
(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。
【Andy】可能存在的灰度是,即使经过处理过的数据,但是经过大数据技术仍然能够“识别”出某个特定自然人的情况也会算,没有“匿名化”。
第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
【Andy】与常人关联最紧密、而且更敏感、更容易出问题的是:医疗数据。在当前医疗平台开放的环境下,如何完成合规,无疑非常具有挑战。
第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。
【Andy】关键是什么是“关键信息基础设施”和“国家网信部门规定数量的”是多少。这里有比较多细节,基本上是注册用户数超过1000万,或活跃用户(每日至少登陆一次)数超过100万。
第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务
【Andy】这一条针对互联网巨头们。处罚直至“停止提供服务”。具体处罚力度如何,看最近的案例。
第六十九条 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
【Andy】这一条属于过错推定原则,是对个人的一个保护。但是,对于“个人信息处理者”的难度会比较大,从技术上和管理上存有非常大难度。
第六十六条 ... ... 有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
【Andy】“年度营业额百分之五”高出 GDPR 的 4%。这应该是相当严厉的了。
五、目前可参考材料
ISO 27001 — 信息安全管理体系 【Andy】关于建立完整的信息安全管理体系
ISO 27701 — 安全技术-扩展的ISO/IEC 27001和ISO/IEC 27002-隐私信息管理要求和指南【Andy】关于隐私信息管理延申
GB/T 35273-2020 — 信息安全技术 个人信息安全规范
GB/T 39335-2020 — 信息安全技术 个人信息安全影响评估指南
《互联网个人信息安全保护指南》
《APP违法违规收集个人信息行为认定方法》