企业是该重新审视《个人信息保护法》了
【引言】
《个保法》发布已经过去半个月了,媒体热议的热情已经褪去,企业是该静下心来重新审视《个保法》了。本文目的是抛砖引玉,除了文中所述几个看点,《个保法》全面规定了诸如个人信息处理“三最”原则、应用程序过度收集个人信息、泄漏个人信息、将未成年人的个人信息作为敏感信息处理等等的一系列明确规则,就不再一一列举阐述了。
身处数字化时代,当人们在享受数字经济和网络生活带来诸多便利的同时,一些企业、组织机构以及个人为了某些商业利益,对个人信息做出的各种不当处理,造成了不良影响,严重的甚至侵扰个人生活。个人信息遭受侵害的风险越来越大,隐私泄露事件层出不穷、愈演愈烈。在这样的背景下,《中华人民共和国个人信息保护法》(以下简称《个保法》)历经三年多次审议修订,在2021年8月20日,十三届全国人大常委会第三十次会议上表决通过,并将于2021年11月1日起施行,这也是我国首部个人信息保护领域的专门立法,和《网络安全法》、《数据安全法》一起组成我国网络和数据安全领域的三部基础法律。
《个保法》总共8章74条内容,对个人信息的定义、个人信息处理规则、个人信息跨境的规则、个人的权利、个人信息处理者义务、履行保护的部门职责、法律责任都进行明确的规定。
随着《个保法》的落地和即将施行,个人信息保护力度将会不断加大,而处于弱势地位的个人在保护个人信息方面有了强有力的法律保障,具体内容就不再赘述了。
对于企业来说,需要落实和切实做好个人信息保护方面的工作,尤其是商业模式依赖于大量个人信息特性如提供互联网平台服务的企业,在数据安全上升到国家安全层面的情况下,监管日趋严厉,企业要提前重视和行动起来。本文尝试从企业合规角度对其中一些关注点进行阐述延展,以供参考。
关注点之一:对个人信息和个人信息的处理做出了明确定义。
《个保法》对于个人信息给出了明确定义:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
随着《个保法》在2021年11月1日开始施行,企业要对涉及的个人信息进行全面和重新核查、梳理和比对,确定个人信息适用范围和针对这些个人信息的处理活动,当前采取处理方式是否遵循监管合规,发现问题及时纠正。
关注点之二:在处理个人信息处理活动时,始终要以告知和同意为核心原则。
《个保法》明确要求,个人信息处理者在处理个人信息前,应当充分告知并取得个人同意方可;当个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新向个人告知并取得同意。
这是非常重要的一点,不管是常见的纸介质类型(如购买合同/新开账号/参会人信息填报等)个人信息处理,还是电子记录中个人信息的处理,都强制要求企业明确进行告知,取得同意方可进行相关信息的处理。一旦没有遵循,就会触及监管合规。
尤其是对于数字时代的无纸化趋势,绝大多数操作是在网站和应用程序以电子记录形式,在电子记录形式的处理个人信息时,有些企业即使做了告知,也不醒目和清晰,其次现在的协议都很长,用户基本不可能通篇仔细阅读全文,就选择了同意。造成后面个人信息处理过程中出现的不当行为,双方各执一词。
现在,《个保法》明确提出“告知-同意”的规则,对于保护个人信息意义重大。也就意味着企业再也不能采用之前不重视和打擦边球的方式了,很容易触及监管合规,需要发现问题及时纠正。
关注点之三:在利用个人信息过程中,全面规范企业使用自动化决策。
通过个人信息的自动收集、分析、评估和预测模型,计算机程序自动跟进个人的行为习惯、兴趣爱好或者经济、健康、信用状况等进行自动决策的过程,造成对不同对象收取不同的价格,使得个人在使用过程中遭受不公正待遇,最常见的就是打车或订票因人而异,价格差别很大,这就是常说的“大数据杀熟”,这已经成为个人信息保护领域的热点和矛盾激化的问题。
《个保法》要求,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
现在从法律上对此进行了明确定义和规范,企业要对涉及的自动化决策系统进行全面重新核查,确定当前处理方式是否遵循监管合规,发现问题及时纠正。
关注点之四:明确了个人信息的适用范围,明确了个人信息跨境流动的规则。
随着全球全面数字化,数据的流动打破了原有的边界,数据安全和个人隐私信息的保护风险日益突出,数据安全上升到国家安全层面,这也是国家出台《数据安全法》和《个保法》的背景。
《个保法》明确规定了任何主体在中国境内从事个人信息处理活动均应遵循本法要求,同时在中国境外处理个人信息,如果涉及向境内自然人提供产品或服务,或分析、评估境内自然人的行为,亦应遵循与境内处理个人信息相同的合规要求。
个人信息的跨境流动日益频繁,由于地理距离以及不同国家法律制度、保护水平之间的差异,个人信息跨境流动风险更加难以控制,《个保法》明确规定了个人信息跨境提供的规则。
企业的业务涉及在境外开展业务的,或跨国企业业务涉及中国境内个人信息的,都需要重新审视和核查个人信息适用范围和跨境提供,是否满足《个保法》的规定,一旦触及监管合规风险就面临惩罚。
关注点之五:强化个人信息处理者应承担的义务
个人信息处理者是个人信息保护的第一责任人。《个保法》明确规定个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
《个保法》要求个人信息处理者制定内部管理制度和流程、个人信息分类分级、采取相应的安全技术措施、指定负责人、定期进行合规审计,风险评估、制定补救措施等。
随着强监管时代的到来,企业需要意识到应该承担的义务的内容和重要性,及时评估和审视当前的安全防御体系是否能够满足《个保法》要求的相关义务,建立完善的个人信息保护的机制,规避监管合规风险。
关注点之六:加大对侵犯个人信息行为的惩处力度
《个保法》制定了更为严厉的处罚规则,就是为了确保《个保法》规定的各项规定落到实处,切实保护个人的权益。对于违反《个保法》规定处理个人信息,或者处理个人信息未履行《个保法》的个人信息保护义务的个人信息处理者,视不同的情况将进行相应的处罚,《个保法》针对违法行为构建了从信用公示到刑事惩处一个全方位、多维度的法律责任体系。
《个保法》对于情节严重的处罚,其罚款的最高额度是五千万以下或者是上一年营业额5%,通过选择采取设置高额罚款等严厉的事后处罚机制,目的是倒逼企业实现对个人信息的全面保护。可以说《个保法》成为有史以来最严格的数据安全保护法律之一。企业应该对《个保法》应该有一个清晰明确的认知和严肃对待,一旦出现个人信息处理过程中的违法行为,就有可能面临监管和惩罚。
企业如何做好个人信息保护和遵从监管合规
《个保法》是顺应时代和大势所趋,明确了相关企业的权责边界,将有力促进企业进一步自律和完善自我,获取用户的信任;同时降低潜在的法律和行业监管风险,通过良好的合规能力提升企业品牌可信形象,推动企业更加健康发展。
我们在阐述这些关注点的时候,对企业如何做好个人信息保护工作和监管合规,都做了方向性的建议。在关注点之五——强化个人信息处理者应承担的义务部分,明确说明了企业需要做的工作:包括制定内部管理制度和操作流程、对个人信息分类分级、采取相应的安全技术措施、指定负责人、定期对个人信息处理活动进行合规审计、风险评估、制定补救措施等。
这些工作涉及企业在制度、组织、管理层面的协调和配合,最终对于个人信息保护和合规的落地,是需要借助技术和工具来完成的,也就是选择合适的技术和工具来实现个人信息的发现和收集、个人信息分级分类、个人信息处理活动的监测、合规审计以及风险评估等一系列的内容,才能够做到有效保护个人信息和满足监管合规。
除了以上所述几个看点,《个保法》全面规定了诸如个人信息处理“三最”原则、应用程序过度收集个人信息、泄漏个人信息、将未成年人的个人信息作为敏感信息处理等等的一系列明确规则,就不在一一列举阐述了,本文目的是抛砖引玉,《个保法》发布已经过去半个月了,媒体议论的热度已经过去,企业是该静下心来重新审视《个保法》了。
企业是该重新审视《个人信息保护法》了相关推荐
- 《个人信息保护法》与隐私计算应用场景的合规路径浅析
从<个人信息保护法>看隐私计算的科技向善应用 --关于隐私计算应用场景的合规路径浅析 2021年8月20日,<个人信息保护法>(以下简称<个保法>)经十三届全国人大 ...
- 吴晓灵:尽快制定“个人信息保护法”
文/中国经济50人论坛 吴晓灵 对个人而言,个人信息保护不足导致个人隐私.安宁.财产等权利受到侵害且在受到侵害后无救济渠道.近年来时有发生的个人信息泄露事件及因信息泄露导致的欺诈案件,危及了个人财产和 ...
- 互联网晚报 | 8月21日 星期六 | 中国电信正式在A股上市;呷哺呷哺将关闭200家亏损门店;个人信息保护法表决通过...
今日看点 ✦ <中华人民共和国个人信息保护法>获表决通过,自2021年11月1日起施行 ✦ 中国电信正式在上交所主板挂牌上市,实现"A+H"全布局 ✦ 苏宁易购:由于公 ...
- 毕马威_【毕马威快讯】毕马威发布个人信息保护法(草案)概览
内容提要 Summary 2020年10月21日,中国人大网公布<中华人民共和国个人信息保护法(草案)>(下称"个保法草案")全文,并对其公开征求意见. On Octo ...
- 41款App存在违规收集用户信息 明年将制定个人信息保护法
据中新网消息,在全国人大常委会法工委举行的第三次记者会上,全国人大常委会法工委发言人岳仲明表示,中国明年将制定个人信息保护法.数据安全法等. 今年1月,中央网信办.工业和信息化部.公安部.市场监管总局 ...
- 政策解读 | 杜绝“大数据杀熟” 《个人信息保护法》来了
昨日,十三届全国人大常委会第三十次会议表决通过了<中华人民共和国个人信息保护法>.这部专门法律充分回应了社会关切,为破解个人信息保护中的热点难点问题提供了强有力的法律保障. (此图来源于新 ...
- 与你相关|《个人信息保护法》发布后我们能做什么?
<中华人民共和国个人信息保护法>于11月1日正式施行,其中明确收集个人信息,应当限于实现处理目的的最小范围:处理个人信息应当与处理目的直接相关,采取对个人权益影响最小的方式. <个人 ...
- 个人信息保护法相关法律法规学习和梳理
个人信息保护法相关法律法规学习和梳理 全国人大常委会<中国人民共和国网络安全法> [http://www.npc.gov.cn/wxzl/gongbao/2017-02/20/conten ...
- 中华人民共和国个人信息保护法
无论是个人,还是企业,甚至是国家,对于数据安全的重视程度越来越高,在国家层面,就已经颁布了几个和数据相关的法律法规,例如<中华人民共和国数据安全法>,而另外一个和我们个人信息相关的< ...
最新文章
- windows10下使用wget命令(安装失败,请大家提意见)
- ORA-28001: 口令已经失效
- 是否可以在Gradle中声明一个可用于Java的变量?
- 可能是把Docker的概念讲的最清楚的一篇文章
- 转:linux设置进程优先级
- IT项目管理总结:第六章 项目时间管理
- 数据解析,重中之重!
- uva 10037——Bridge
- Symbian系统开发教程(二)
- solaris10默认防火墙软件ipfilter
- Matplotlib作业3
- php状态机,有限状态机FSM的原理与GO的实现
- ❤️Spring注入集合❤️(建议收藏)
- 计算机控制v90伺服,西门子S7-1200控制V90伺服教程(TIA).pdf
- 联想微型计算机a20,联想乐player A20
- python+opencv入门-基于Harr特征的人脸检测分类器
- Android适配全面屏,三星S8的18.9,小米mix全面屏
- uni-app获取省市区详细位置信息
- Python3《机器学习实战》学习笔记(八):支持向量机原理篇之手撕线性SVM
- JAVA知识整理(一)