泰和泰研析丨《个人信息保护法》落地!律师解读十二大亮点(下)
2021年8月20日,中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议正式通过了《中华人民共和国个人信息保护法》,该法将于2021年11月1日正式实施。
上周,《<个人信息保护法>落地!律师解读十二大亮点(上)》 已在我所公众号发布,本文继续解读《个人信息保护法》亮点,分析新法新要求,助力企业把握合规红线,及时发现合规问题,降低违规风险。
上篇目录回顾
亮点一:确定“个人信息”定义,完善数据处理环节;
亮点二:确立个人信息保护原则,并着重强调必要原则;
亮点三:明确“告知-同意”规则,丰富同意的例外情形;
亮点四:加强处理者责任,明确过错推定原则与共同处理者的连带责任;
亮点五:回应热点问题,严禁大数据杀熟、违法人脸识别;
亮点六:平衡个人信息流通价值,支持个人信息合法利用;
下篇目录
亮点七:完善个人敏感信息制度,加大敏感信息保护力度;
亮点八:完善个人信息跨境提供规则,增强数据主权意识;
亮点九:完善个人信息主体权利,增加可携带权;
亮点十:确立个人信息处理者的“个人信息保护影响评估”义务;
亮点十一:强化互联网平台的个人信息保护义务;
亮点十二:加强惩处力度,增加主要负责人职业禁令处罚措施;
相较于《个人信息保护法(二审稿)》,《个人信息保护法》第二十八条对于个人敏感信息的定义、列举种类以及保护力度均有调整。
首先,《个人信息保护法》第二十八条规定:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。与《个人信息保护法(二审稿)》相比,认定“敏感个人信息”的标准有所降低,即不再要求达到“导致个人受到歧视”或者人身财产安全“受到严重危害”的程度。
其次,在列举部分敏感个人信息时,与《个人信息保护法(二审稿)》相比,《个人信息保护法》直接将“不满十四周岁未成年人的个人信息”纳入敏感个人信息范畴,将其从“第一节 一般规定”调整到“第二节 敏感个人信息的处理规则”,并在第三十一条增加规定:个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。前述调整加强了对未成年人个人信息权益的保护,对企业制备《用户服务协议》、《隐私政策》等文本以及用户交互页面合规设计提出了更高的要求。
最后,《个人信息保护法》将原来的第一款调换到了第二款的位置,并在处理敏感个人信息的前提条件中增加了“采取严格保护措施”,即处理敏感个人信息的前提条件有三:其一,特定目的;其二,充分的必要性;其三,采取严格保护措施。
《个人信息保护法(二审稿)》第三十八条规定了个人信息处理者向境外提供个人信息的四类前提条件,即①网信部安全评估、②专业机构保护认证、③使用标准合同并监督合作方、④其他法律法规或网信部规定的条件,四类条件至少满足其一即可。而《个人信息保护法》将对合作方的监督义务单独列为第三十八条第三款,同时将“监督”改为“保障”,从中我们可以看出:其一,无论个人信息处理者符合上述哪类条件向境外提供信息的,其均须对合作方进行有效监督,而不是经过网信部安全评估或者专业机构保护认证就万事大吉;其二,“保障”相比“监督”多了担保含义,实则加重了提供方的义务。
此外,相较于《网络安全法》,《个人信息保护法》第四十条扩大了应履行个人信息本地化存储义务的主体范围。《网络安全法》第三十七条规定:关键信息基础设施运营者应将在中华人民共和国境内收集和产生的个人信息存储在境内;《个人信息保护法》第四十条在“关键信息基础设施运营者”基础上,增加了“处理个人信息达到国家网信部门规定数量的个人信息处理者”。以往,判断一家企业是否属于关键信息基础设施运营者需要进行多维度的较为复杂的判断,而增加了“数量”判断标准后,本地化存储主体的判断将会更加容易。接下来,企业应重点关注后续配套文件规定的数量标准红线,若企业处理个人信息数量超出红线,则应在向境外提供个人信息前,通过国家网信部门组织的安全评估。
《个人信息保护法》强调了国家数据主权,且与《数据安全法》保持一致:在处理外国司法或者执法机构关于提供存储于境内个人信息的请求时,强调“平等互惠原则”、强调必须经过国家主管机关批准才能提供。此规定对于出海企业有较大影响,在面对境外司法或执法机构的要求时,企业不能再直接认为是司法或执法之必要,而应首位坚持国家主权原则,向国家主管机关提出申请,非经审批通过不得提供。
《个人信息保护法》第四章较为全面地规定了个人在个人信息处理活动中的权利,包括知情、决定、查阅、复制、更正、补充、删除、要求解释说明处理规则等权利,并且在第四十五条第三款新增了“可携带权”,即“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”根据该规定,个人将有权从个人信息处理者处获取其个人信息副本,并有权请求个人信息处理者直接将其个人信息传输给另一个人信息处理者,为个人提供了便利。但值得关注的是,《个人信息保护法》并未对“符合国家网信部门规定”这一前提条件做出细化,企业应持续关注网信部门规定,优化信息系统,为用户实现可携带权提供途径。
其次,《个人信息保护法》第四十九条对于死者近亲属处理死者个人信息的权利进行了细化。在《个人信息保护法(二审稿)》第四十九条的基础上,《个人信息保护法》进一步明确了近亲属行使权利的前提应是“近亲属为了自身的合法、正当利益”,行使权利的内容为“本章规定的查阅、复制、更正、删除等权利”。同时,《个人信息保护法》还对此做出例外规定,即“死者生前另有安排的除外”,也就是说,个人信息主体对其个人信息有决定的权利,若死者生前已有安排,则应尊重其决定。
此外,《个人信息保护法》还对个人信息保护投诉举报机制加以完善,在《个人信息保护法(二审稿)》第五十条的基础上,其一,要求受理和处理机制必须是“便捷的”,不得给用户设置复杂的投诉举报条件,增加用户投诉举报难度;其二,强调如果个人信息处理者拒绝个人行使权利的请求,个人可以依法向人民法院提起诉讼,与《民法典》新增案由“个人信息保护纠纷”相衔接。
总之,企业在面对用户的各类权利请求时,必须谨慎诚恳对待,对于用户的合理请求,应及时充分做出回应;对于用户的不合理请求,亦应耐心予以答复,最大限度避免产生纠纷,影响企业的商业信誉。
《个人信息保护法》规定了个人信息处理者的两项重要义务:针对整体处理活动的“合规审计”和针对特殊处理活动的“个人信息保护影响评估”。
此前,《信息安全技术 个人信息安全规范》在第11.7条规定了“安全审计”的相关要求,此次,《个人信息保护法》正式将“合规”二字写入法律,区别于“安全审计”主要针对安全保障措施进行的审计,“合规审计”针对的则是个人信息处理者处理个人信息遵守法律、行政法规的情况。《个人信息保护法》生效后,企业应持续关注合规审计的具体要求,委托规定的审计机构或组织定期开展合规审计。
针对特殊处理活动,《个人信息保护法》规定了个人信息处理者的个人信息保护影响评估义务,该等特殊处理活动即对个人权益有重大影响的个人信息处理活动,包括但不限于:处理敏感个人信息;利用个人信息进行自动化决策;委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;向境外提供个人信息等。针对该等特殊处理活动,个人信息处理者必须事前进行个人信息保护影响评估,评估内容须包括:个人信息的处理目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险,以及所采取的保护措施是否合法、有效并与风险程度相适应。也就是说,《个人信息保护法》要求企业在进行特殊处理活动前,必须对处理活动及相应的保护措施有完善的规划。从落地角度看,即企业在涉个人信息业务新立项、业务模式实质变更时,若判断可能属于特殊处理活动,则必须事前进行个人信息保护影响评估,且评估应从“法律+技术”两方面共同推进,若发现不合规、不安全的,必须制定相应方案,争取将风险控制在源头。
《个人信息保护法》在《个人信息保护法(二审稿)》的基础上,对互联网平台的个人信息保护义务提出了更高的要求。
首先,《个人信息保护法》再次使用“合规”二字,要求互联网平台按照国家规定建立健全个人信息保护合规制度体系。根据该规定,我们认为互联网平台类企业必须对内部制度体系进行梳理,并应将“数据合规”或“个人信息保护合规”体系设置为单独板块,以达到合规要求。企业应当以业务类型为横线、以数据生命周期为纵线,针对数据的收集、存储、使用、加工、传输、提供、公开、删除等各个处理环节制定相应合规制度,完善合规制度体系,提高合规水平。
其次,相较于《个人信息保护法(二审稿)》,《个人信息保护法》还对互联网平台新增了“制定平台规则”义务,要求互联网平台对平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务加以明确。该规定实则是在互联网平台经营模式的场景下,对互联网平台施加了管理义务,互联网平台应当根据法律法规规定,遵循公开、公平、公正的原则,在事前准入、事中监督、事后降低损害等方面,全方位履行合规义务,降低自身违规风险。
《个人信息保护法(一审稿)》发布之际,“处五千万元以下或者上一年度营业额百分之五以下罚款”就引起了社会广泛关注,《个人信息保护法》终稿最终确定了这一“天价罚款”。该罚款方式与欧盟GDPR的罚款思路一致,以个人信息处理者的营业额为基数计算罚款,此种方式对于依赖于处理用户个人信息的企业有较大威慑力,违规成本大幅提高。
此外,相较于《个人信息保护法(二审稿)》,《个人信息保护法》创设了新型处罚方式:其一,对自2019年起APP专项治理行动总结的经验予以确认,即“对违法处理个人信息的应用程序,责令暂停或者终止提供服务”,就是我们在新闻中常常看到的“下架APP”;其二,对于直接负责的主管人员和其他直接责任人员,除了可处罚款外,还可实施“职业禁令”,即“禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”。
《个人信息保护法》确定了十分严格的多轨制处罚方式,即对公司可处“天价罚款”、对应用程序可决定“下架”、对负责人可实施“职业禁令”,多维度、全方位地加大对个人信息处理者的惩处力度。《个人信息保护法》生效后,企业必须严格把握合规红线,保护用户个人信息,高昂的违规成本已不可忽视。
团队简介
泰和泰(北京)律师事务所沈志君律师团队长期关注互联网领域前沿法律问题,致力于为客户供优质的互联网合规法律服务及相关民商事争议解决服务。团队律师在数据合规、个人信息保护、影视著作权、互联网广告等领域有着丰富的法律服务经验,拥有成熟的法律服务方案,并在此基础上,为客户提供个性化定制法律服务方案,倾力满足每一位客户的法律服务需求。
往期数据类文章推荐
ARTICAL
2021-08-23
2021-06-20
2021-05-14
2021-05-13
2021-04-28