问卷调查

立即填写
会员
搜索

      《个人信息保护法》发布解读之企业合规策略

      时间:2021-09-08
      管理员:jiangguandi

        自2020年10月《个人信息保护法(草案)》在全国人大网公布征求意见至今,历经三次全国人大会议审议,历时303天,这部在我国个人信息保护法治进程上重量级的大法终于在上周五尘埃落定,中国跨入了在个人信息保护领域具有符合自身特色的专门法律的新时代。这部法律之所以万众瞩目,于公民个人来说代表着国家在尊重和保障人权方面所做出的积极努力,将我国宪法“个人人格尊严和自由不受侵犯”精神落实到具体个人信息保护立法之中;于企业来说,处罚条款中“五千万元或上年营业额百分之五”这一除反垄断法外前所未有的高额罚款力度时刻威慑着企业自律,警醒企业将依法履行个人信息处理者义务作为合规经营的红线。

       

        2021年8月20日,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》或《个保法》)已由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议正式通过,并将于2021年11月1日正式施行。《个人信息保护法》是我国首部专门规定个人信息保护的法律,它为监管机构和司法机关提供了明确的执法抓手,为企业和组织提供了落实个人信息保护责任的法律依据,明确了个人信息处理和利用的合规要求,为公民个人提供了个人信息权益保护的法律保障。

       

        一、《个人信息保护法》十大变化亮点

        《个人信息保护法》由八章七十四条组成,其内容涵盖了个人信息处理、个人信息跨境传输、个人信息主体权利、个人信息处理者义务、监管机构个人信息保护职责及适用法律责任。《个人信息保护法》相较于《个人信息保护法(草案二次审议稿)》在个人信息处理规则、个人信息跨境传输、个人信息主体权利、个人信息处理者义务方面均有创新性变化。具体如下:

       

        1、新增职场数据处理的合法依据

        《个人信息保护法》第十三条中创新性提出“实施人力资源管理所必需”作为个人信息处理的合法依据之一。企业在个人信息保护中,出于人力资源管理目的而存在的雇主与雇员关系上固有的不平衡性,导致对于员工个人信息处理的同意无法享有充分自由权利,企业对员工个人信息的保护相较于对客户个人信息的保护而言略显滞后。

        企业在使用“实施人力资源管理所必需”作为处理员工个人信息的合法性依据时,应仅限于按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的场景,审视职场数据处理的“必要性”,防止该合法依据沦为滥用员工数据的“挡箭牌”。同时也应遵循透明度原则,及时制定相关政策文件来保障员工合法权益。

       

        2、限制对已公开个人信息的处理

        《个人信息保护法》第十三条、第二十七条对于已公开个人信息的处理范围进行了细化与限定,目前的要求与《民法典》第一千零三十六条要求一致。个人信息处理者“可在合理范围内”处理“个人自行公开或者其他已经合法公开的个人信息”,即要求处理者审核个人信息来源的合法性,明确个人信息处理的合理性,防止恶意泄露或恶意公开的个人信息被进一步处理。

        另外,企业应保障个人的拒绝权,提供用户拒绝的途径,当个人明确拒绝处理其公开的个人信息时,应停止处理;当企业处理已公开的个人信息对个人权益有重大影响时,应依法取得个人同意。

       

        3、限制公共场所采集个人图像、身份识别信息

        《个人信息保护法》第二十六条明确,出于维护公共安全目的,在公共场所安装图像采集、个人身份识别设备的,应显著标识以进行告知;收集的个人图像、身份识别信息不能用于除维护公共安全以外的目的,除非取得个人单独的同意。

        根据今年315晚会曝光的人脸识别乱象以及最新的公共场所人脸识别案件,企业收集人脸信息用于商业营销目的时,仅在门店区域进行显著标识已无法满足收集的合法性,除非获得个人的单独同意。对企业来说合规的门槛已大大提升,企业应审慎开展人脸识别相关业务,具体可参照2021年8月1日正式施行的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》执行。

       

        4、强调自动化决策的公平透明,避免算法歧视

        《个人信息保护法》第二十四条细化了利用个人信息进行自动化决策的要求,明确企业应保证决策的透明度和结果的公平、公正性,不得利用算法实行价格歧视等差别性待遇。这一要求从立法层面有力回应了“大数据杀熟”的现象,表明了国家对个人权益的尊重和保障。

        其次,通过自动化决策向个人推送消息、商业营销时,企业应保障个人的选择和拒绝权,即企业应同时提供非个性化推荐的内容(如提供关闭个性化推荐的功能)或者提供便捷的营销信息退订的渠道。

        最后,若企业使用自动化决策作出对个人权益有重大影响的决定时,个人有权拒绝仅通过自动化决策作出的决定;当个人提出异议时,企业可采用人工介入的方式进行决定;对个人权益有重大影响的场景,可参考GDPR自动化决策相关指引说明,如信贷审批、工作录用、大学录取等场景。

       

        5、扩充个人信息出境的合法依据,限制境外司法调取个人信息

        《个人信息保护法》第三十八条拓展了个人信息出境的合法依据,“中华人民共和国缔结或者参加的国际条约、协定”可作为个人信息出境的合法依据之一,但不能作为境外司法调取境内存储的个人信息的豁免依据。《个人信息保护法》第四十一条明确了,境外司法调取境内存储的个人信息应在获得中华人民共和国主管机关批准后,处理者方能提供。该要求与《数据安全法》第三十六条关于数据出境的要求相呼应。这些变化一方面体现出国家对于数据经济全球化趋势的支持和重视,另一方面也体现了对国家安全、企业和个人信息主体合法权益的重视与保障。

       

        6、完善个人信息主体的权利

        《个人信息保护法》第四十五条新增了个人信息可携带权,它是个人信息查询、复制权的重要补充。当个人提出此类请求时,若符合国家网信部门规定条件,个人信息处理者应提供个人信息转移的途径。GDPR、CCPA等国外隐私法中也规定了数据可携带权,使用户能够自我管理和重复使用个人信息,增强用户对个人信息的控制权,促进数据流动,有助于防范企业数据垄断、数据不正当竞争。已按照GDPR等法规要求建立个人信息主体权利响应的流程和机制的企业,可利用已有合规基础落实个人权利保障工作。

       

        7、强调对个人权益的影响

        《个人信息保护法》第五十五条将个人信息处理者风险评估义务,更名为个人信息保护影响评估义务,借鉴了GDPR中DPIA数据保护影响评估和GB/T 35273-2020《个人信息安全规范》中个人信息安全影响评估的定义和要求。

        同时,全文中多处将“对个人的影响”更改为“对个人权益的影响”。根据GB/T 39335-2020《个人信息安全影响评估指南》中的举例,对个人权益的影响可从四个维度考虑 :“限制个人自主决定权”、“引发差别性待遇”、“个人名誉受损或遭受精神压力”、“人身财产受损”,可供企业参考借鉴。企业在实践中不仅要保障个人信息的安全性,还应保障个人的合法权益。

       

        8、完善个人信息安全事件的处理要求

        《个人信息保护法》第五十七条修订了个人信息安全事件处理的要求,明确了个人信息处理者在“发生或者可能发生”个人信息“泄露、篡改、丢失”时,应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。与《民法典》、《网络安全法》、《消费者权益保护法》的要求一脉相承。企业在实践中不仅要保护个人信息的保密性,还应保护个人信息的完整性和可用性,也就是传统的安全CIA三属性。对于风险隐患也应进行有效监控,做到事前、事中、事后的管控。

       

        9、压实“守门人”职责

        《个人信息保护法》第五十八条完善了重要互联网平台方的义务,除成立独立机构监督个人信息保护情况和发布社会责任报告外,平台方还需制定平台规则以明确产品或服务提供者处理个人信息的规范和保护个人信息的义务。该条要求加强了重要互联网平台的个人信息保护责任,通过平台实现个人信息治理,助力个人信息保护相关法律义务履行的有效落地。平台内产品或服务提供者可对照事先明确的规范和义务进行自查,减少错误成本,健全营商环境。与此同时,该要求有助于防范平台滥用“守门人”职责,保障公平性。

       

        10、明确受托人的协助义务

        《个人信息保护法》第五十九条补充完善了受托人的义务,受托人除需采取必要措施保障个人信息安全外,还需协助个人信息处理者履行相关义务。具体如何协助处理者履行义务可参考国际个人信息管理体系标准ISO27701,标准中要求受托人向处理者提供适当的信息,以便处理者证明其履行了相关义务;协助处理者履行个人行权响应相关的义务,如协助处理者及时响应更正个人信息、删除个人信息等请求。

       

        二、新法案对企业的三大影响

        国内企业要建立符合《数据安全法》、《个人信息保护法》这两大新法案的治理体系,需要自上而下地从战略、C级责任制进行配套设计以及为人员、技术和新流程提供计划资金。通过C级责任制压实企业管理层及直接负责的主管人员的管理监督职责。同时,个人信息保护也要求企业思考和转变处理个人信息的方式,将极大的注意力放在消费者的体验与权益保护上。新法案的生效对企业有如下三大影响:

       

        1、企业保护个人信息的驱动力增加

        合规驱动:《个人信息保护法》明确了个人信息处理者的法律责任和义务,个人信息处理违规行为可能导致企业财务损失,同时,对相关责任人员也将进行罚款。(第六十六条)

       

       

        可信驱动:社会对个人信息保护整体意识提升,负向事件易对企业产生重大声誉风险,产生信任危机;正向事件可为企业带来品牌认可和信赖,通过个人信息保护助力企业业务发展。

       

        2、个人信息保护涉及的职能范围扩大

        融合的管理象限:个人信息保护工作需要交叉的管理能力,管理象限融合数据安全和权益保护。企业内部个人信息保护团队需要和数据安全团队、消费者权益保护团队等共同协作,共建企业个人信息保护运行环境。

       

       

        共建的透明度:透明作为个人信息处理的基本原则之一,在《个人信息保护法》中也有多处进行了体现(第七条、第十七条、第二十二条、第二十三条、第二十四条)。这要求企业在个人信息处理义务方面秉承更清晰的告知、更明确的承诺以及更友好的交互方式,提供更“便捷”的个人权利影响程序。特别地,在涉及到产品或服务通过程序自动分析、评估个人行为习惯或者经济、健康、信用状况时,更需要保证自动化决策系统的透明度,从而避免在交易价格上对个人产生不公平的差别待遇,这需要企业内部的多部门来协同共建更和谐的服务提供环境。

        多触点的同意和控制:同意作为企业大部分场景使用的个人信息处理合法依据之一(第十三条),《个人信息保护法》中也规定了其他需要取得同意/单独同意的场景。同时,对于同意的有效性(第十四条)、撤回同意(第十五条)、拒绝同意(第十六条)、重新获得个人的同意(第十四条、第二十二条、第二十三条)等进行了规定,企业在客户触点要求更多的同意和控制。

       

       

        3、监管执法的力度和细度逐步升级

        ·《个人信息保护法》使判罚规则清晰化,同时企业的过错推定及归责有了合法依据。(第六十六条至第六十九条)

        ·2021年上半年,监管机构执法主要聚焦在“违规收集个人信息”、“APP强制、频繁、过度索权”、“违规使用个人信息”等方面,未来监管执法将更加深入和广泛,企业在个人信息删除/擦除、个人信息主体权利响应等目前监管尚未重点关注的方面应做好充分的准备,实现持续合规。

       

       

       

        三、《个人信息保护法》六大合规底线

        法律法规的要求是企业开展业务的合规底线,不容忽略。企业应结合以下六大合规红线,审视自身个人信息保护工作,积极应对个人信息保护合规。

       

        1、明确个人信息处理合法性依据(个保法第十三条)

        在《个人信息保护法》中,明确了个人信息处理的七项合法依据,除“同意”外,企业可以通过履约、履责等合法依据对个人信息进行处理,具体如下:

       

       

        对企业来说,应特别注意避免将个人信息主体置于“被动”或“无感知”的情形,慎重使用“为履行个人作为一方当事人的合同”作为合法依据的情形。若使用“履约”作为合法依据,应充分验证和证明处理的个人信息确为履行个人作为一方当事人的合同“所必需”。同时应注意目的限制,若要将基于合同目的收集个人信息用于其他目的时,应寻求其他的合法依据。

       

        2、保障用户撤回同意的权利(个保法第十五条)

        用户可以在个人信息的收集、使用、保存、共享等全生命周期内行使撤回权利。同时应向个人信息主体明示撤回同意的方法,确保该方法便捷易操作,且能及时获得企业的响应。对于“便捷”和企业及时响应的落地,可参考《APP违法违规收集使用个人信息行为认定方法》第六条执行,对于撤回同意不应设置不必要或不合理条件,未及时响应用户撤回同意操作,需人工处理的,应承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理。个人撤回同意,但不影响撤回前基于个人同意已进行的个人信息处理活动的效力,企业仍可保留同意撤回之前对于个人信息的处理活动与结果。

       

        3、与受托人约定必要保护义务(个保法第二十一条、第五十九条)

        企业/组织在业务委托合同中应与受托人约定处理目的、期限、处理方式、信息种类、保护措施以及双方的权利与义务。同时企业有责任对受托人的个人信息处理活动进行监督,确保受托人处理行为依照合同约束开展。监督行为可通过对受托人的现场审查、发放评估问卷等形式定期开展,同时保留记录存档。

        接受委托处理个人信息的受托人,应当履行个保法规定的相关义务,同时有义务协助个人信息处理者履行个保法的要求。

       

        4、保存个人信息保护影响评估记录(个保法第五十五条、第五十六条)

        个人信息处理者涉及以下场景之一,应开展“事前”的个人信息保护影响评估:

        ·处理敏感个人信息;

        ·利用个人信息进行自动化决策;

        ·委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;

        ·向境外提供个人信息;

        ·其他对个人权益有重大影响的个人信息处理活动。

        个人信息保护影响评估应围绕个人信息的处理目的、方式等的合法、正当、必要性展开,评估对个人权益的影响及安全风险以及所采取的安全保护措施的合法、有效性。个人信息保护影响评估报告和处理情况记录应当至少保存三年。

       

        5、个人信息出境遵循评估原则(个保法第三章)

        企业涉及个人信息出境时,应遵循“境内存储”原则,确有必要向境外提供个人信息的,应事先进行个人信息保护影响评估,明确个人信息出境的合法依据。企业特别是跨国公司、境外企业需审慎处理个人信息出境。

        个人信息出境的合法依据:

       

       

        个人信息出境的告知与同意:

        企业向境外提供个人信息,需向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使权利的方式和程序,并确保取得个人的单独同意。值得注意的是,GDPR中“同意”是个人信息出境的合规依据之一,但是在《个人信息保护法》中 获取“单独同意”是个人信息出境的必选项。

        境外司法调取个人信息的事先批准原则:

        企业涉及案件调查、诉讼请求需向境外执法或司法机构提供存储于境内的个人信息时,需经由中华人民共和国主管机关批准。

       

        6、管理证据留痕以应对归责(个保法第六十九条)

        违反个保法规定处理个人信息,侵害个人权益造成损害,企业无法证明无过错的,需要承担赔偿责任。企业对于已采取的安全保护措施需要保留尽职证据链, 以自证清白。

       

        四、个人信息保护尽职履责框架

        在企业个人信息保护合规体系的建制过程中,除了积极满足法律法规要求外,还应保留完整证据链路,以证明自身对个人信息处理活动的合法性。通过对个人信息保护体系中关键证据的梳理,寻求主动合规。而这种主动性可以通过以下三步进行实现:

        ·第一步:从个人信息保护体系构成要素入手,梳理分析流程操作;

        ·第二步:综合专业知识与监管资料解读,罗列各流程节点中的关键控制点;

        ·第三步:形成证据链列表,并检查有效性。

        企业形成个人信息保护尽职证据链可以通过下图示例中的三种记录体现:包括个人信息处理流程操作的流程记录、各流程节点中的关键控制点的评审记录以及生成的抽样记录,全方位多角度地对自身个人信息保护尽职履责提供有力依据。

       

       

       

      本文版权由安永(中国)企业咨询有限公司网络安全与隐私保护团队所有。

      上一篇:中国企业境外投资“拥抱合规,行稳致远”

      下一篇:全面解读:“双循环”新格局下的国际投资促进服务新趋势