企业是该重新审视《个人信息保护法》了
作者: 日期:2021年09月07日 阅:3,211

【引言】

《个保法》发布已经过去半个月了,媒体热议的热情已经褪去,企业是该静下心来重新审视《个保法》了。本文目的是抛砖引玉,除了文中所述几个看点,《个保法》全面规定了诸如个人信息处理“三最”原则、应用程序过度收集个人信息、泄漏个人信息、将未成年人的个人信息作为敏感信息处理等等的一系列明确规则,就不再一一列举阐述了。

身处数字化时代,当人们在享受数字经济和网络生活带来诸多便利的同时,一些企业、组织机构以及个人为了某些商业利益,对个人信息做出的各种不当处理,造成了不良影响,严重的甚至侵扰个人生活。个人信息遭受侵害的风险越来越大,隐私泄露事件层出不穷、愈演愈烈。在这样的背景下,《中华人民共和国个人信息保护法》(以下简称《个保法》)历经三年多次审议修订,在2021年8月20日,十三届全国人大常委会第三十次会议上表决通过,并将于2021年11月1日起施行,这也是我国首部个人信息保护领域的专门立法,和《网络安全法》、《数据安全法》一起组成我国网络和数据安全领域的三部基础法律。

《个保法》总共8章74条内容,对个人信息的定义、个人信息处理规则、个人信息跨境的规则、个人的权利、个人信息处理者义务、履行保护的部门职责、法律责任都进行明确的规定。

随着《个保法》的落地和即将施行,个人信息保护力度将会不断加大,而处于弱势地位的个人在保护个人信息方面有了强有力的法律保障,具体内容就不再赘述了。

对于企业来说,需要落实和切实做好个人信息保护方面的工作,尤其是商业模式依赖于大量个人信息特性如提供互联网平台服务的企业,在数据安全上升到国家安全层面的情况下,监管日趋严厉,企业要提前重视和行动起来。本文尝试从企业合规角度对其中一些关注点进行阐述延展,以供参考。

关注点之一:对个人信息和个人信息的处理做出了明确定义。

《个保法》对于个人信息给出了明确定义:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

随着《个保法》在2021年11月1日开始施行,企业要对涉及的个人信息进行全面和重新核查、梳理和比对,确定个人信息适用范围和针对这些个人信息的处理活动,当前采取处理方式是否遵循监管合规,发现问题及时纠正。

关注点之二:在处理个人信息处理活动时,始终要以告知和同意为核心原则。

《个保法》明确要求,个人信息处理者在处理个人信息前,应当充分告知并取得个人同意方可;当个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新向个人告知并取得同意。

这是非常重要的一点,不管是常见的纸介质类型(如购买合同/新开账号/参会人信息填报等)个人信息处理,还是电子记录中个人信息的处理,都强制要求企业明确进行告知,取得同意方可进行相关信息的处理。一旦没有遵循,就会触及监管合规。

尤其是对于数字时代的无纸化趋势,绝大多数操作是在网站和应用程序以电子记录形式,在电子记录形式的处理个人信息时,有些企业即使做了告知,也不醒目和清晰,其次现在的协议都很长,用户基本不可能通篇仔细阅读全文,就选择了同意。造成后面个人信息处理过程中出现的不当行为,双方各执一词。

现在,《个保法》明确提出“告知-同意”的规则,对于保护个人信息意义重大。也就意味着企业再也不能采用之前不重视和打擦边球的方式了,很容易触及监管合规,需要发现问题及时纠正。

关注点之三:在利用个人信息过程中,全面规范企业使用自动化决策。

通过个人信息的自动收集、分析、评估和预测模型,计算机程序自动跟进个人的行为习惯、兴趣爱好或者经济、健康、信用状况等进行自动决策的过程,造成对不同对象收取不同的价格,使得个人在使用过程中遭受不公正待遇,最常见的就是打车或订票因人而已,价格差别很大,这就是常说的“大数据杀熟”,这已经成为个人信息保护领域的热点和矛盾激化的问题。

《个保法》要求,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。

现在从法律上对此进行了明确定义和规范,企业要对涉及的自动化决策系统进行全面重新核查,确定当前处理方式是否遵循监管合规,发现问题及时纠正。

关注点之四:明确了个人信息的适用范围,明确了个人信息跨境流动的规则。

随着全球全面数字化,数据的流动打破了原有的边界,数据安全和个人隐私信息的保护风险日益突出,数据安全上升到国家安全层面,这也是国家出台《数据安全法》和《个保法》的背景。

《个保法》明确规定了任何主体在中国境内从事个人信息处理活动均应遵循本法要求,同时在中国境外处理个人信息,如果涉及向境内自然人提供产品或服务,或分析、评估境内自然人的行为,亦应遵循与境内处理个人信息相同的合规要求。

个人信息的跨境流动日益频繁,由于地理距离以及不同国家法律制度、保护水平之间的差异,个人信息跨境流动风险更加难以控制,《个保法》明确规定了个人信息跨境提供的规则。

企业的业务涉及在境外开展业务的,或跨国企业业务涉及中国境内个人信息的,都需要重新审视和核查个人信息适用范围和跨境提供,是否满足《个保法》的规定,一旦触及监管合规风险就面临惩罚。

关注点之五:强化个人信息处理者应承担的义务

个人信息处理者是个人信息保护的第一责任人。《个保法》明确规定个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。

《个保法》要求个人信息处理者制定内部管理制度和流程、个人信息分类分级、采取相应的安全技术措施、指定负责人、定期进行合规审计,风险评估、制定补救措施等。

随着强监管时代的到来,企业需要意识到应该承担的义务的内容和重要性,及时评估和审视当前的安全防御体系是否能够满足《个保法》要求的相关义务,建立完善的个人信息保护的机制,规避监管合规风险。

关注点之六:加大对侵犯个人信息行为的惩处力度

《个保法》制定了更为严厉的处罚规则,就是为了确保《个保法》规定的各项规定落到实处,切实保护个人的权益。对于违反《个保法》规定处理个人信息,或者处理个人信息未履行《个保法》的个人信息保护义务的个人信息处理者,视不同的情况将进行相应的处罚,《个保法》针对违法行为构建了从信用公示到刑事惩处一个全方位、多维度的法律责任体系。

《个保法》对于情节严重的处罚,其罚款的最高额度是五千万以下或者是上一年营业额5%,通过选择采取设置高额罚款等严厉的事后处罚机制,目的是倒逼企业实现对个人信息的全面保护。可以说《个保法》成为有史以来最严格的数据安全保护法律之一。企业应该对《个保法》应该有一个清晰明确的认知和严肃对待,一旦出现个人信息处理过程中的违法行为,就有可能面临监管和惩罚。

企业如何做好个人信息保护和遵从监管合规

《个保法》是顺应时代和大势所趋,明确了相关企业的权责边界,将有力促进企业进一步自律和完善自我,获取用户的信任;同时降低潜在的法律和行业监管风险,通过良好的合规能力提升企业品牌可信形象,推动企业更加健康发展。

我们在阐述这些关注点的时候,对企业如何做好个人信息保护工作和监管合规,都做了方向性的建议。在关注点之五——强化个人信息处理者应承担的义务部分,明确说明了企业需要做的工作:包括制定内部管理制度和操作流程、对个人信息分类分级、采取相应的安全技术措施、指定负责人、定期对个人信息处理活动进行合规审计、风险评估、制定补救措施等。

这些工作涉及企业在制度、组织、管理层面的协调和配合,最终对于个人信息保护和合规的落地,是需要借助技术和工具来完成的,也就是选择合适的技术和工具来实现个人信息的发现和收集、个人信息分级分类、个人信息处理活动的监测、合规审计以及风险评估等一系列的内容,才能够做到有效保护个人信息和满足监管合规。

除了以上所述几个看点,《个保法》全面规定了诸如个人信息处理“三最”原则、应用程序过度收集个人信息、泄漏个人信息、将未成年人的个人信息作为敏感信息处理等等的一系列明确规则,就不在一一列举阐述了,本文目的是抛砖引玉,《个保法》发布已经过去半个月了,媒体议论的热度已经过去,企业是该静下心来重新审视《个保法》了。

关于全息网御

全息网御是行为数据驱动信息安全的领航者,通过其特有的专利技术系统性融合了NG-DLP、UEBA、NG-SIEM、CASB四项先进技术,结合机器学习(人工智能),发现并实时重构网络中不可见的“用户-设备-数据”互动关系,推出以数据为核心的数据安全风险感知平台。为企业的信息安全管理提供无感知、无死角的智能追溯系统,高效精准的审计过去、监控现在、防患未来,极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。


相关文章