《个人信息保护法》通过后企业需要关注哪些问题
Locations
《个人信息保护法》(“个保法”)于2021年8月20日被全国人大常委会正式通过,将于11月1日生效。全文共计八章七十四条,主要内容规定了个人信息处理者须遵循的个人信息处理原则、需要承担的法律义务,提供了一些疑难杂症的解决方案,比如个人信息跨境传输的安排、数据安全影响评估等,赋予了个人信息主体非常全面的权利体系。这部法律的通过无疑会带给企业和个人非常重要的影响。对于企业而言,需要首先注意以下事项:
1. 法律通过和生效时间
法律是在2021年8月20日正式通过,但是将于11月1日正式生效。留给企业的时间真的不多了,2个月后,可能很多企业还不清楚国家有这部法了,这部法就已经生效实施了,这才是最担心的事情,尤其考虑到中国企业大多数不看这种法律,有可能企业还没开始整改,法律就已经实施了。
2. 为何需要企业关注
这部法律的适用非常广泛,只要处理个人信息的企业,就需要关注。处理的涵义非常广泛,按照第四条,处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。我们理解无论是B2C企业,还是B2B企业都会适用。因为企业至少会收集员工信息。同时,这部法在违法情形最严重时的罚款额度非常高,按照第六十六条的规定,在违法情形严重时,企业将面临没收违法所得外,并处5000万人民币以下或上一年度营业额5%以下的罚款。也就是顶格罚款额度在5000万人民币或上一年度营业额的5%,请注意此处的计算基础是营业额而非利润。
对于这部法而言,部分企业还需要关注的是其域外适用性,在境外的企业处理境内自然人的信息,如果以向境内自然人提供产品或服务为目的,或者分析评估境内自然人的行为等,这部法仍会适用于这些境外企业。
3. 企业需要关注什么
这部法是一部全面规定个人信息权利义务的专门法律,对于企业而言,需要注意的是:
1) 监管机关不是只有一个
- 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。
- 国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
- 县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。
配合监管也是企业需要注意的,包括配合调查和与监管机关的沟通交流。
2) 个人信息
很多企业搞不清楚什么是个人信息,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。这里有两个要点:
其一,不是只有姓名、身份证号、手机号才叫个人信息,是与已识别或可识别的自然人有关的各种信息。
其二,匿名化处理是指个人信息经过处理无法识别特定自然人且不能复原的过程,这样的匿名化不是企业简单理解的加密或脱敏,因为这样的信息仍然有被复原为识别特定自然人的可能性。
3) 个人信息保护合规义务不是只有保密义务
很多企业会把个人信息保护和保密义务划等号,但个人信息保密义务仅是其中的一个义务,除了保密义务,企业进行个人信息保护还需要履行很多义务,具体如下所述。
4) 原则必须遵守
多数企业会想着有原则就有例外的问题,但是必须要看到在这部法律中,原则必须被遵循,不存在例外,第五条至第九条的原则提纲挈领,企业必须遵循:合法正当和诚信原则;目的明确合理;最小化原则;公开透明原则;数据质量原则;问责制和安全性原则。
简而言之,企业不能无限制地处理个人信息,必须合法正当诚信地处理个人信息,不能以误导、欺诈和胁迫的方式来处理个人信息,以影响个人最小的方式,处理基于明确合理目的下所需的最小范围内的个人信息,企业需要公布企业的隐私政策来展示企业处理个人信息的目的、方式和范围,对个人信息负责,保障信息的安全性、准确性、完整性。
5) 取得个人同意之外,企业可以有其他理由处理个人信息
- 为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
- 为履行法定职责或者法定义务所必需;
- 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
- 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
- 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
但是需要注意的是,除了取得同意外,其他的合法依据上,都有“所必需”或“合理范围内”的要求,即不是拉个目的过来就能直接往上套的,必须评估是否满足目的限制和信息最小化原则,这也是企业需要注意的。
6) 同意的要求
以前企业可能只管征求同意,不管撤回同意或不同意,我们可称之为“管杀不管埋”。
现在同意必须可以撤回,企业必须提供个人撤回同意的便捷方式。同时,同意不得进行捆绑,不得强迫个人作出同意。在特定场景下,例如处理敏感个人信息、个人信息跨境传输、数据提供至第三方等都需要单独的同意或书面同意。
7) 敏感个人信息
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
处理上述信息必须要有特定的目的和充分的必要性,并采取严格的保护措施,此时才可以处理敏感个人信息。但是此外,还必须取得个人的单独或书面同意。
不满十四周岁的未成年人的个人信息被个保法的最终稿规定为敏感个人信息,这也使得企业需要更加注意不满十四周岁的未成年人的信息,尤其是互联网企业、游戏企业等,要遵循上述处理敏感个人信息的规则来处理不满十四周岁未成年人的个人信息。
8) 委托处理、数据分享与联合控制
企业需要做的是签署相关协议,约定双方权利义务,采取安全措施保障个人信息的安全。同时,需要说明的是,委托处理的受托人不是仅有合同义务,还有法定义务,按照第五十九条的规定,其有义务采取必要措施保障个人信息安全和协助个人信息处理者履行其法定义务。因合并、分立、解散、破产等导致个人信息转移的,接收方仍需要按照原目的处理个人信息,如果需要变更处理目的,必须重新获取个人同意。
9) 自动化决策
比如企业采用算法进行信息推送或者商业营销。自动化决策需要满足:- 决策透明,结果公平公正,不得有不合理的差别待遇
- 自动化决策进行信息推送或商业营销,应同时提供不针对个人特征的选项,或提供便捷的拒绝方式;
- 通过自动化决策作出对个人权益有重大影响的决定,个人有权要求要求企业予以说明,并且有权拒绝企业只采取自动化决策的方式进行个人信息处理
- 自动化决策处理个人信息,应开展个人信息保护影响评估
10) 在公共场所安装图像采集、个人身份识别设备
在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。这里企业需要注意,在公共场所安摄像头等图像采集或者身份识别的设备,目的仅限于维护公共安全所必需,并且提供标识,例如在酒店、机场、火车站这些,所以有一些为了便捷和提高身份识别效率的图像采集和身份识别设备,需要重新评估一下是否还要继续使用。同时,所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
11) 已经公开的个人信息也不能随便处理
- 处理已公开的个人信息需要在合理范围内;
- 个人可以提出拒绝;
- 处理已公开的个人信息对个人权益有重大影响,需要征求个人同意,同时,可能需要开展个人信息保护影响评估。
12) 个人信息跨境传输,不是想传就传
其一,个人信息处理者必须征求个人对此的单独同意;
其二,需要采取第三十八条第四种措施之一;
其三,个人信息处理者应采取特定措施,保障境外接收方的处理活动达到个保法的保护标准;
其四,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
其五,境外执法司法机构调取存储在境内的个人信息的,必须经中国主管机关批准。
其六,企业应关注国家的禁止和限制出境的相关措施或黑名单。
13) 个人的权利
企业必须保障个人的个人信息权利,建立个人行使权利的渠道,受理个人的权利请求:
- 知情权和决定权;
- 拒绝权和限制处理权
- 查阅和复制权
- 个人信息可携权
- 更正和补充权
- 删除权
- 解释说明权
- 保障死者利益及近亲属权益
14) 安全保障义务
企业应当采取以下安全措施,严格防止数据泄露:- 制定内部管理制度和操作规程;
- 对个人信息实行分类管理;
- 采取相应的加密、去标识化等安全技术措施;
- 合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
- 制定并组织实施个人信息安全事件应急预案;
- 法律、行政法规规定的其他措施。
但必须提示企业的是,不是做到上述的几项措施就能完全避免数据泄露,出现数据泄露时仍要承担相应责任,但是如果企业不做上述措施会直接导致违法。
15) 个人信息保护负责人和代表
满足第52条的条件,处理个人信息的量达到网信部门规定的数量时,企业需要设立个人信息保护负责人,并且需要公开其信息,并向监管机关报送相关信息。
根据53条,类似于GDPR的规定,境外企业如果在境内没有机构,则需要设立代表或代表机构,负责个人信息处理的相关事务。
16) 审计义务
企业有义务定期依法进行个人信息保护合规审计
17) 个人信息保护影响评估义务
企业有义务在以下情形下进行个人信息保护影响评估:
- 处理敏感个人信息;
- 利用个人信息进行自动化决策;
- 委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
- 向境外提供个人信息;
- 其他对个人权益有重大影响的个人信息处理活动。
这里需要注意的是,我们需要评估的事宜是考虑处理活动是否对个人权益有重大影响,而非是否有较高风险,这是与欧盟不甚相同的。
个人信息保护影响评估的记录需保存三年以上。
18) 数据泄露的报告和通知义务
当发生或可能发生数据泄露时,企业应立即采取补救措施,并通知监管机关和个人。与欧盟不同的是,这里没有规定时间限制,且企业必须要同时采取补救措施,不能只想着通知义务。
19) 重要互联网平台服务、用户数量巨大、业务类型复杂的企业
- 需要按照国家要求建立个人信息保护合规制度体系,并成立外部机构监督个人信息保护情况;
- 遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务
- 对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务
- 定期发布个人信息保护社会责任报告,接受社会监督
《个人信息保护法》会给企业带来上述影响,企业需要在近两个月内进行整改和准备,以符合法律的要求。但是企业也必须看到,个人信息保护的出发点是什么,而不是僵化地开展个人信息保护合规,否则即使企业做了很多形式工作,在实质上还是不符合法律的要求。另外,希望每个人都能理解《个人信息保护法》,因为你既有可能是企业的决策者,处理别人的个人信息,也可能是个人信息主体,自己的信息也可能被其他企业处理,希望每个人的个人信息都能被这个世界所善待。