正式施行|美创科技浅谈《个人信息保护法》企业合规建设指南
作者: 日期:2021年11月01日 阅:3,048

自《数据安全法》出台实施后,11月1日即今天,《中华人民共和国个人信息保护法》正式施行,标志着我国数据安全和个人信息保护已进入监管新时代。对企业而言,如何遵循法律要求开展合规建设工作,美创科技高级数据安全咨询顾问将从企业合规建设角度浅谈需关注要点与合理化建议。

一、《个人信息保护法》基本情况概述

《个人信息保护法》是我国数字经济法律规范的重要板块,作为我国第一部专门针对个人信息保护的系统性、综合性法律,该法为维护个人信息权益,规范个人信息活动,促进个人信息的合理应用提供明确的法律依据,其三审稿中所增加“根据《宪法》制定本法”条款,表明:我国将个人信息受保护的权利提升至“国家尊重和保障人权”的高度。

美创科技专家认为该法落地,将与《网络安全法》、《数据安全法》,在国家总体安全观框架下,以《中华人民共和国国家安全法》为龙头,并驾齐驱,构成相互协调的、有机、统一的中国网络数据法律体系框架。

早在2003年起,我国个人信息保护立法相关课题开启研究立项,伴随移动互联网应用普及,各类个人信息泄漏事件频频爆出(典型如徐玉玉事件),立法进程加速推进:《全国人大关于加强网络信息保护的决定》(2012年),《网络安全法》(2016年)、《电子商务法》(2017)陆续出台;《消费者权益保护法(修订)》(2013)、《刑法修正案》(九)(2015)、《民法总则》(2017)、《民法典人格权编》(2020)等传统法律制定、修订工作对个人信息保护相关条款进行补充,这些立法中积累的个人信息保护条款也为《中华人民共和国个人信息保护法》的立法和出台实施提供了丰富的立法贮备经验和可靠基础。

相对于其它法律,《个人信息保护法》更多以“个人信息处理者”为核心规制主体,强调了个人信息包括电子以及其他载体形式的个人信息(在数字化的大背景下,毫无疑问电子信息是种类最多的一种个人信息),对处理个人信息的各项活动规则和边界进行划定,明确强化了个人信息处理者的义务与责任。同时,确立了以“告知——同意”为核心的个人信息处理规则,落实国家机关保护责任,加大对违法行为的惩处力度。《中华人民共和国个人信息保护法》11月1正式生效施行,企业需要针对自身业务是否合规进行自检是必要的,如存在风险需尽快弥补相关风险。

二、《个人信息保护法》五大要点聚焦

1、《个人信息保护法》个人信息的独特性

随着数字经济发展战略上升为国家战略,个人信息资产在生产生活中所具有重要经济价值和社会价值不断凸显,个人信息不仅是自身的数据资产,也是外界主动连接信息主体的窗口。通过问题看本质,我们发现在现实生活中不少企业、机构等主体从商业利益等角度出发滥用个人信息,甚至利用个人信息侵扰个人的生活安宁乃至生命财产安全等。

因此,个人信息实际区别于一般信息,它的独特之处在于,具有财产性的同时又蕴含信息主体的人格性。如果任由他者在自然人不知情、不同意或无力阻止的情况下处理其个人信息,就会将自然人个人信息所蕴含的财产性与人格性至于他者支配之下,可能让自然人在生产生活等社会活动中居于不平等地位,从国家层面来讲,也不利于盘活数字经济价值大方向的良性发展。

2、《个人信息保护法》个人信息权确立

《中华人民共和国个人信息保护法》规定个人信息权的权利主体只能为自然人,个人信息权的义务主体为个人信息处理者(如:机构、企业、个人)。其中:

●  权利主体有关乎个人信息的知情权、同意权、查阅权、删除权、更正权、补充权等权利内容,知情权、同意权实际是行使个人信息权保护机制的开端,促使个人可以介入到其个人信息的处理活动中,并知晓其信息的使用目的、可能产生的后果以及为保障其信息安全所采用的必要保护措施,同时也是对个人信息处理者是否要对其信息进行处理作出同意、拒绝或限制的判断依据。同样,为保障个人对个人信息的唯一所有权,个人也有权对处理过程中的个人信息进行查阅、复制、更正、删除权力。

●  义务主体(个人信息处理者)进行个人信息收集、处理、使用及存储的过程中遵守法律所规定的程序流程,达到法律所要求的的硬性条件,首先,义务主体需要履行告知义务,在进行个人信息收集时,个人信息处理者必需向权力主体告知其身份、收集信息、目的、处理过程、利用时间、利用空间、利用人员及利用后可能对个人信息产生的后果等内容 。其次,对信息处理和使用需在权力主体同意的前提下进行。

3、《个人信息保护法》个人信息预感知防控

《中华人民共和国个人信息保护法》提出需要对个人信息被滥用所可能产生的潜在风险进行防范,避免防范潜在威胁转化为现实中个人的人格隐私被侵害、经济财产受到损失的严重后果。因此,该法体现出一种前置性保护规范,更加突出了个人信息保护的预先防控,如在个人信息被处理所产生的利益层面,通过知情权、同意权,自然人应有权知道其信息被处理所产生的利益并决定是否同意这一利益的发生。在隐私利益上,对个人信息权重蕴含的人格利益的保护,避免因个人信息处理行为导致人格受损。

4、《个人信息保护法》个人信息保护原则

美创科技专家认为个人信息保护原则实际是该法的核心内容,通过该法中涉及的权利主体、义务主体、保护对象进行分析,我们认为可将《中华人民共和国个人信息保护法》对个人信息保护原则分为:一般原则、核心原则两方面。

● 在一般原则中,该法要求个人信息处理行为必须明确、合理,在此基础上个人信息处理者可直接向个人收集信息且处理该信息用于特定目的,但个人信息处理者需公开个人信息在处理环节的情况,并保护个人信息的安全,自然人可更正其中不确定、不完整的部分;

● 在核心原则中,本法将“告知——同意”的个人信息自决原则确立为核心原则,以个人信息权中的知情权、同意权为基础进行展开,使个人自己决定要向外界哪个主体、何种原因告知关乎自己的哪些信息,促使个人在个人信息中处于主动控制和利用自身信息的主导地位,避免他者擅自利用他人的个人信息进行不法侵害。针对于个人敏感信息(如:虹膜信息、个人行踪信息等),发生泄漏或被非法使用对个人造成严重影响的,使个人遭受歧视、财产损失等相关信息,该法要求一般需要个人的单独同意,但有些特定情形下的“告知——同意”的个人信息自决原则例外(如:公共卫生事件、突发紧急情况、公共利益事件等)可按照一般原则进行处理。

5、《个人信息保护法》体现的法律责任

目前,个人信息处理者在对个人信息进行处理时,利益驱动更为强烈。该法除对个人与个人信息处理者权力关系的一系列设定外,引入了以国家网信部门为主体的信息保护职责部门,建立健全个人信息保护机制。

通过对该法法律责任章节进行分析,美创科技专家发现对个人行使权力的申请受理机制进行了规定,应以简单便捷确保个人在个人信息处理中各项权利的有效行使,维护个人相关利益;判断个人信息处理者是否达到法律法规规定的条件,并对个人信息处理者进行风险评估(包括:自我评估、职责部门评估、委托第三方评估);对个人信息保护在处理达到规定数据,需要指定个人信息保护负责人(责任到人),监管个人信息处理活动依规开展情况。

在职责层面,赋有对个人信息保护的部门需要对个人信息处理者进行宣传教育、指导监督,并提供信息保护评估和认证服务;在事后补救层面,制定补救措施,可及时查明信息发生泄漏或者被非法使用的原因,尽可能减轻所产生的对个人权益的损害;在追责层面,赋有个人信息保护职责部门可对其进行警告、整改、没收、罚款、记录信用档案、吊销业务许可、吊销营业执照等惩罚措施,当情节严重、侵害了众多个人权益的,人民检察院、履行个人信息保护职责部门、国家网信办可提起民事及刑事诉讼,来维护个人信息主体合法权益。

三、基于《个人信息保护法》内涵 企业应重点强化内容

《中华人民共和国个人信息保护法》正式施行,标志着我国对个人信息的立法保护方面上升到了新的高度,作为“个人信息处理者”的企业同样有了法律上的“新的任务”,美创科技专家认为需要以该法律为个人信息安全抓手,在制度完备性、个人信息分类分级及权限管理、个人信息安全保护措施、个人信息安全教育培训、个人信息安全事件应急制度、个人信息事前风险评估义务上建立符合法律要求的个人信息及数据合规体系。

1、制度完备性

● 首先,制定符合企业内部个人信息相关制度,包括:对个人信息收集传输及处理制度、个人用户信息收集及处理制度、个人信息安全保护制度、信息分级分类管理制度、个人信息风险评估制度、审计制度等,使其具有合规性、可行性、完备性,全面覆盖企业各个业务条线;

● 其次,制定个人信息数据全生命周期操作流程,使其与建立的内部制度互相辅助,并在流程中注意严格的权限管理;

● 再次,当个人信息达到一定数量时,落实个人信息保护负责人使其可责任到人,由其进行相关工作的统筹和管理,有必要时可考虑成立相关部门,专门负责建立内部合规管理制度和相关措施,并负责推进制度及措施的实施。

2、个人信息分类分级

● 首先,摸清家底、了解现状、梳理企业信息库存,梳理清楚企业拥有哪些个人信息(包括外部个人信息、内部个人信息)、承载个人信息数据位于何处、数据如何流动等;

● 其次,明确所需个人信息,以“个人权益影响最小”为原则,尽可能多的去除非必要信息;

● 再次,对个人信息进行分类分级、处理权限划分等,当需要处理个人信息时进行比对,确定处理个人信息级别及权重。

3、企业合规建设,建立相应保护措施

● 美创科技专家建议企业需要采用安全技术措施来对个人信息进行保护,可采用建立访问控制、审计、匿名化(使个人信息主体无法被识别或者关联,处理后的信息不能被复原)、加密、去标识化(对标识进行处理,处理后的信息无法识别到特定个人信息主体的数据处理方式)等技术对个人信息开展防护。

4、持续开展个人信息安全教育培训

● 以假定“敌已在内、敌将在内”为核心,持续定期开展全员个人信息安全教育培训,树立安全意识,明确各自权限及边界,防止人为造成数据泄露。

5、建立个人信息安全事件应急机制

● 企业应当针对个人信息安全事件定期开展应急演练,并形成应急预案,持续动态进行预案调整,不断排除针对个人信息的安全风险。

6、个人信息事前风险评估

● 企业针对个人信息的事前风险评估设定为一项经常性工作,将其制度化、常态化,风险评估报告应涵盖个人信息种类、数量、收集、存储、使用、委托、提供等情况及可能面对的风险和应对措施,持续保证评估质量的情况下尽量实现高效、快捷。


相关文章