01
/
/
/
【星来析法】《个人信息保护法》下企业不可忽视的十个要点(下篇)| 附上篇链接

【星来析法】《个人信息保护法》下企业不可忽视的十个要点(下篇)| 附上篇链接

  • 作者:
  • 来源:
  • 发布时间:2021-08-23 15:59
  • 访问量:

【星来析法】《个人信息保护法》下企业不可忽视的十个要点(下篇)| 附上篇链接

  • 发布时间:2021-08-23 15:59
  • 访问量:
详情

2021年8月20日,《中华人民共和国个人信息保护法》由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议审议通过,并将自2021年11月1日起正式施行。历经三次审议、两次征求意见,备受海内外瞩目的《个人信息保护法》终千呼万唤始公布。《个人信息保护法》共八章七十四条,集合众多专家智慧结晶,作为我国第一部专项针对个人信息的立法,展示了诸多制度亮点,具有重要的里程碑意义,也为企业数据合规提供了新规范。

 

星来律师特就《个人信息保护法》与企业合规相关的十大要点展开评议,聚焦告知同意实现路径与豁免、数据跨境传输、企业治理、权利义务、法律责任等关键条款,解构当前个人信息保护监管体系,以期为企业迎接“个保法”时代,开展/更新合规管理起参考之效。

 

 

*说明:本篇为下篇,特就第六至第十个要点进行评析。

 

附上篇链接:

 

【星来析法】《个人信息保护法》下企业不可忽视的十个要点(上篇)

 

六、尊权利:个人信息主体的新权利

2020年10月1日起生效的《信息安全技术 个人信息安全规范》(GB/T 35273-2020)明定了个人信息主体的六项权利:查询权、更正权、删除权、撤回授权同意权、注销权及复制权。《个人信息保护法》在此基础上,对个人信息主体权利进行了更加清晰的界定,以立法的形式固定了该推荐性国家标准中指导适用的权利内容,并在此基础了进行了丰富与补充,特别添加了可携权与逝者近亲属的特殊权利规定。

 

至此,中国法律语境下,个人信息主体的权利体系已较为完善,将对个人信息处理者提出新的挑战:

 

1. 知情权与自决权

 

 

2. 查询权与复制权

 

 

3. 更正权与补充权

 

 

4. 撤回同意权

 

 

5. 删除权

 

 

6. 可携权

 

 

7. 逝者近亲属的特殊权利

 

 

七、 担义务:企业需注意的特别义务

除在前述几节中评析过的个人信息处理者的一般性义务(例如告知同意的实现、对敏感个人信息(特别是儿童个人信息)的保护、对信息主体权利的保障、处理活动的原则性规定及规则(特别是删除活动)),笔者特就《个人信息保护法》中有关企业义务的亮点内容作如下评析:

 

1. 个人信息保护影响评估

依照《信息安全技术 个人信息安全规范》,个人信息控制者(这一概念在《个人信息保护法》中被调整为“个人信息处理者”)应建立个人信息安全影响评估制度,评估并处置个人信息处理活动存在的安全风险。《个人信息保护法》在此基础上,将“个人信息安全影响评估”调整为“个人信息保护影响评估”,这一改变扩大了评估的内容,除防范安全风险外,确保对个人信息生命全周期的处理活动合法合规,始终是信息处理者合规工作贯穿始末的重点。

 

 

2. 合规审计

根据《个人信息保护法》第五十四条的规定,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

 

审计重点应当至少包括:

(1)定期更新监管动态和法律法规;

(2)法律、行政法规中规定的义务是否已在企业内部合规管理体系中实现了对映,例如是否已制定相关的制度措施、是否已设立相关的合规岗位、是否定期就相关岗位开展培训;

(3)定期检查企业合规管理措施是否得以有效实施,衡量“有效性”可以从以下两个维度入手:(a)制定的合规制度是否可以帮助企业及时识别并防范风险;(b)如发生违规事件,当前制定的合规制度能否帮助企业及时、有序开展补救工作,例如报告主管部门的流程和材料准备工作、防范危害结果进一步加大的措施等;

(4)定期评测网络和系统安全,防范因网络安全风险致使个人信息泄露;

(5)定期通过问卷形式测评重要岗位员工的合规意识及必要的合规知识储备情况;

(6)建议设立内部举报监督机制,鼓励匿名投诉违规行为和违规人员,并建立对举报者的保护机制;

 

……

 

3. 重要互联网平台的特殊义务

《个人信息保护法》第五十八条特别就提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者制定了特殊的义务,这是新法的另一大亮点,即创设性得区分了“大小”处理者法定义务。

 

根据第五十八条,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;(四)定期发布个人信息保护社会责任报告,接受社会监督。

 

虽然当前就“重要互联网平台服务”、“用户数量巨大”、“业务类型复杂”三项指标尚未明确具体的判定标准,但不难预测当前知名的几家头部互联网公司将有较大可能落入该项规定的范畴。至于独立监督机构中外部成员的选任规则和社会责任报告的发布规范,还有待进一步说明。

 

八、慎流通:个人信息跨境流通规则

根据《个人信息保护法》中有关个人信息跨境传输的规定,笔者认为合法性基础应为同时满足以下三个条件:

 

 

九、新角色:企业内部个人信息保护负责人

《个人信息保护法》第五十二条要求处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。

 

结合《信息安全技术 个人信息安全规范》(GB/T 35273-2020)中的相关规定,具体而言:

 

 

十、严处罚:高额罚款+“双罚制”

在法律责任层面,《个人信息保护法》从行政、民事两个层面对个人信息处理者的法律责任做出了较为详尽的规定。其中,共同处理者的连带责任、与年度营业额挂钩的高额罚款、组织与负责人“双罚制”等创新性规定,以空前严格的处罚力度,对违法处理个人信息的行为形成了强有力的震慑。

 

1. 共同处理者连带责任

(1) 共同处理者的概念:

两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,则为共同处理者。

(2) 连带责任规定:

根据《个人信息保护法》第二十条,两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。

 

连带责任是民事侵权责任中的概念,《个人信息保护法》中该条的规定也符合《民法典》中关于侵权责任的相关规定,即内部之间的责任约定无法对抗外部,不影响连带责任的承担。

 

2. 民事诉讼风险

(1)个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼;

(2)个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。

 

3. “双罚制”:高额行政罚款+负责人员市场禁入

《个人信息保护法》第六十六条的另一创新之举,是推出了“双罚制”的处罚措施,即对违规企业和直接责任人员进行双重处罚。

 

 

即违反《个人信息保护法》规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,情节严重的,不仅企业需要接受责令改正、没收违法所得、高额罚款等处罚措施,直接负责的主管人员和其他直接责任人员也要接受罚款与市场禁入的相应处罚。

 

结语

此次出台的《个人信息保护法》在与国际接轨的同时保留中国特色,积极回应了App过度收集信息、人脸识别、大数据杀熟等社会热点问题,为个人信息保护奠定了扎实的制度基础。自此,网络安全与数据合规领域“《网络安全法》-《数据安全法》-《个人信息保护法》”三足鼎立的时代即将来临,也为企业合规带来了前所未有的机遇与挑战。虽然《个人信息保护法》对企业,尤其是大型互联网企业的合规工作提出了较高的要求,但在大数据时代的浪潮下,良好的数据合规将成为企业核心竞争力的重要组成部分,已经成为越来越多企业的共识。

 

过去企业参考适用的国家标准、行业指引多为《网络安全法》下各项原则性制度的配套文件,在《个人信息保护法》出台后,新的规范文件也将逐步制定,为个保法的具体适用提供指引。星来律师事务所也将持续聚焦《个人信息保护法》及其相关规范文件的最新动态,为企业数据合规建设提供实时的法律建议。

相关资讯

观点丨读桂明老师新作《有言在后》有感:法律之路的深度剖析与自我成长的启示
观点丨读桂明老师新作《有言在后》有感:法律之路的深度剖析与自我成长的启示
翻开《有言在后》的目录,首先吸引到我的文章,就是《我眼中的30年律界风云人物》。这篇文章详细记述了61位在法律界颇具影响力的人物,他们的事迹与成就如同璀璨星辰,照亮了法律的道路。
MORE
翻开《有言在后》的目录,首先吸引到我的文章,就是《我眼中的30年律界风云人物》。这篇文章详细记述了61位在法律界颇具影响力的人物,他们的事迹与成就如同璀璨星辰,照亮了法律的道路。
资讯丨《关于进一步规范网络司法拍卖工作的指导意见》的问题解答
资讯丨《关于进一步规范网络司法拍卖工作的指导意见》的问题解答
近日,最高人民法院下发了《关于进一步规范网络司法拍卖工作的指导意见》(法〔2024〕238号)(以下简称《网拍指导意见》),对进一步规范网络司法拍卖行为,提升执行财产处置水平,保障当事人的合法权益作出规定。最高人民法院执行局负责人就出台《网拍指导意见》相关问题回答了记者提问。
MORE
近日,最高人民法院下发了《关于进一步规范网络司法拍卖工作的指导意见》(法〔2024〕238号)(以下简称《网拍指导意见》),对进一步规范网络司法拍卖行为,提升执行财产处置水平,保障当事人的合法权益作出规定。最高人民法院执行局负责人就出台《网拍指导意见》相关问题回答了记者提问。
资讯丨星来王珺主任、王唯宁副主任荣登LexisNexis2024律商联讯「40岁以下精英」大中华区榜单
资讯丨星来王珺主任、王唯宁副主任荣登LexisNexis2024律商联讯「40岁以下精英」大中华区榜单
2024年11月18日,律商联讯(LexisNexis)正式揭晓了「40岁以下精英」大中华区榜单,表彰了一批在法律领域内崭露头角、潜力无限的青年才俊。北京星来律师事务所主任王珺律师与副主任王唯宁律师凭借卓越的法律才能和出色的业务表现,双双荣耀上榜,成为业界瞩目的焦点。
MORE
2024年11月18日,律商联讯(LexisNexis)正式揭晓了「40岁以下精英」大中华区榜单,表彰了一批在法律领域内崭露头角、潜力无限的青年才俊。北京星来律师事务所主任王珺律师与副主任王唯宁律师凭借卓越的法律才能和出色的业务表现,双双荣耀上榜,成为业界瞩目的焦点。
资讯丨星来协助国能榆林能源有限责任公司荣获合规管理体系认证证书
资讯丨星来协助国能榆林能源有限责任公司荣获合规管理体系认证证书
近日,北京星来律师事务所协助国能榆林能源有限责任公司正式通过中质协质量保证中心合规管理体系审核,荣获ISO 37301:2021及GB/T 35770-2022合规管理体系认证证书。
MORE
近日,北京星来律师事务所协助国能榆林能源有限责任公司正式通过中质协质量保证中心合规管理体系审核,荣获ISO 37301:2021及GB/T 35770-2022合规管理体系认证证书。
资讯丨“两高”发布《关于办理拒不执行判决、裁定刑事案件适用法律若干问题的解释》
资讯丨“两高”发布《关于办理拒不执行判决、裁定刑事案件适用法律若干问题的解释》

北京星来律师事务所 地址:北京市东城区建国门北大街8号华润大厦17层1701 电话:010-64011566 邮箱:contact@xinglailaw.com

北京星来律师事务所
描述:

您好,北京星来律师事务所很高兴为您服务! 为了更好地解答您的法律问题,建议您留下联系人姓名与电话,我们会有专业的法律顾问联系您。您还可以关注“星来律师”官方微信公众号并在后台留言,或添加“星来律师”微信号18811162996进行咨询。 感谢您的理解与信任!