澎湃Logo
下载客户端

登录

  • +1

《个保法》生效,企业收集、使用个人信息怎么做才算合规

王静 陈悦   
2021-11-02 13:35
来源:澎湃新闻
全球智库 >
字号

《中华人民共和国个人信息保护法》(简称《个保法》)11月1日开始施行。截至2021年6月,中国网民规模达10.11亿,网站数量为422万个,市场上监测到的 APP 数量为302万款。对于每日不间断收集、存储、使用、加工、传输巨量个人信息的各种社会主体包括企业、社会组织而言,个人信息保护将成为违法的“重灾区”,亟需从组织架构完善、价值观导入、制度建构和流程重塑达到合法要求。

《个保法》与《网络安全法》和《数据安全法》立法重点不同,更多聚焦于民事权利保护,为个人信息处理者设定了大量法律义务,更容易触发政府主管部门监管,并成为政府监管的最主要抓手之一。而且为了彰显中国作为数据大国的重要地位和对个人信息保护的高度重视,《个保法》在惩罚力度上比欧盟《通用数据保护条例》(GDPR)更为严格,也可能会成为处罚数额最高的执法领域之一。 

《个保法》给社会主体带来前所未有的影响

《个保法》对个人信息保护做了全面规定,包括个人信息处理的基本原则、与政府信息公开条例的关系、对政府机关与其他个人信息处理者的不同规制方式及其效果、协调个人信息保护与促进信息自由流动的关系、个人信息保护法在特定行业的适用问题、关于敏感个人信息问题、法律的执行机构、行业自律机制、信息主体权利、跨境信息交流问题、法律责任问题等。《个保法》以问题为导向,以国情为基础,作出了许多创新性规定,需要社会主体高度关注和深入学习领会。

(一)个人信息作为民事权利来给予最高等级、全面保护

中国在编纂《民法典》中,将个人信息受法律保护作为一项重要民事权利作出规定。在第四编人格权编的第六章独立设置了隐私权和个人信息保护,从个人信息的定义、个人信息处理的原则和条件以及个人信息处理者的安全保障义务等整体角度分别作出规定。对个人信息保护与隐私的立法目的和保护方式是不同的,二者存在重叠交叉部分,即涉及个人私生活领域,私密性较高,以至于个人不愿意被他人所知晓的信息,如犯罪记录、病历等。从个人信息保护范围来看,这部分信息属于“个人敏感信息”范畴,个人信息保护规范往往会将这部分信息区分于姓名、性别等公共性较高的一般个人信息。《个保法》和《民法典》对个人信息的保护是以民事权利的高度来予以安排的,这种保护是最高等级的、全面的。而且涉及到个人信息保护也往往牵涉到舆情,也需要从社会关系和政府关系的角度来予以高度关注。

(二)多重复杂的个人信息合规义务

《个保法》对合规义务的规定多达八十个条文,为社会主体保护个人信息设定了多重、复杂的义务,达到完全合规的难度很大。目前立法对社会主体仍然要求在采集、处理、利用个人信息时要征得个人同意,在委托他人处理或者将数据交于第三方时还要再次取得个人同意。这些法律义务不仅仅是修改社会主体相关协议能够实现的,需要在社会主体的价值观、组织架构和流程上都要配合《个保法》尽快作出新的安排和回应。《个保法》之后,还会以此为基础构建政府部门规章、规范性文件立体的监管依据,以网状形式对社会主体合规予以全面监督。由于《个保法》所规定的法律依据更为具体细致,触发监管比现在正热的反垄断和反不正当竞争执法更为容易,未来会成为社会主体合规的难点和焦点之一。

同时,《个保法》采纳了中国消费者协会建议的,“与消费者权益保护法有关规定相衔接,在本法中明确法律规定的消费者组织可以对违法处理个人信息侵害众多个人权益的行为提起诉讼。”在第七十条规定,个人信息处理者违反本法规定处理个人信息,侵害众多个人权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。这意味着正在扩展领域的公益诉讼,个人信息保护也将成为其重点发展领域,社会主体将可能面临来自检察机关、法律规定的消费者组织或者由国家网信部门确定的组织依法提起的民事公益诉讼。

(三)要求基础性平台设立个保独立机构

全国人民代表大会宪法和法律委员会关于《中华人民共和国个人信息保护法(草案三次审议稿)》修改意见的报告中提出,应当要求大型互联网平台建立个人信息保护合规体系,加强内部合规管理。规定大型互联网平台应当“按照国家规定建立健全个人信息保护合规制度体系”。

在个人信息保护层面上,这种个人权利的保障不仅需要法律规范的立法保障、政府部门的监督保障,同样需要企业自身的配合,在个人信息处理的源头,即确立有序的合规意识,阻断不当的个人信息处理行为,有效保障个人信息权利。《个保法》第五十八条创设了一种全新的机构和制度,要求提供基础性互联网平台服务、用户数量巨大、业务类型复杂的特定个人信息处理者(企业)成立“独立机构”来负责监督个人信息保护。这一独立机构的成员是企业外部成员,负责对个人信息处理活动进行监督。企业有必要对这一制度进行建构,研究如何建立符合企业运营实际,又能满足监管需求的独立机构,以及开展工作的具体方法。

(四)前所未有的惩罚力度

目前中国《个保法》的法律责任的规定,采取的是比GDPR更为严格的法律规制,责任追究和惩罚的力度是全球最高的。对违法行为情节严重的“责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”。未来会产生比反垄断、消费者权益保护、数据安全等都更高的罚单。而且,目前法律的规定是从国家层面到县级主管部门,从网信部门到工信、市场监管、交通等主管部门都是个人信息保护的监管者,从这个角度讲,个人信息处理者被约谈、检查、调查、处罚的几率将大大提高,因此,社会主体提高个人信息保护合规的意识和能力刻不容缓。 

社会主体依据《个保法》应当采取的行动

对个人信息处理者而言,对照《个保法》法律要求,避免更大的法律风险和舆情风险,首先需要做到以下几点:

第一,要高度重视《个保法》,组织架构要有所安排。按照《个保法》规定,必须匹配高级别管理人员作为专职负责个人信息保护负责人,对个人信息保护的组织架构、制度构建和流程再造等予以规划和安排。

第二,个人信息保护要成为社会主体最高价值观。以个人信息保护的几大基本原则,包括诚信原则、合理原则、比例原则和权益保障原则等,作为社会主体处理个人信息的最高价值观进行普及和培训,并为社会主体内部制度和流程再造提供基本指引。

第三,对社会主体内部流程规范进行修改和完善。包括个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等,都要符合《个保法》的要求,并建立比法律要求更为严格的规范要求。结合社会主体自身业务,结合业务流程对个人信息保护进行全面梳理:一是要建立社会主体自己的个人信息保护风险评估机制。二是积极采取相应的加密、去标识化等安全技术措施、合理确定个人信息处理的操作权限。三是制定并组织实施个人信息安全事件应急预案等。四是涉及到知情同意的复杂规则需要结合业务具体场景进行深入研究,并一揽子修改完善。五是对一般个人信息和敏感个人信息予以区分。对业务中所涉敏感个人信息,即一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息予以识别并予以标注,结合业务流程建立更为严格的保护路径和方式。

第四,建立个人信息权利申请的响应机制。结合国内外案例和事件对个人信息权利展开研究,制定在遇到个人申请查阅、复制、更正、补充、删除和提出解释个人信息处理规则申请时,社会主体的应对方法,并建立投诉举报机制,应对拒绝个人请求时的方法。

第五,对与其他社会主体共享数据的情况作出制度安排。对社会主体与其他相关主体按照协议等来提供信息的,要按照法律要求与受托方约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托方的个人信息处理活动进行监督;对《个保法》所规定的其他个人信息处理者接受个人信息,如何获取个人重新同意需要建立新的路径和方法,并评估成本。

第六,建立数据出境的安全内部审查制度。结合《数据安全法》和《个保法》,对确需向境外提供数据和信息的,在内部审查的基础上,依法向有关主管部门报送并经过安全评估而获批允许出境,防范因数据和个人信息出境而带来的违法风险;并同时构建在境外司法或者执法机构要求提供数据和信息时的报批机制。

第七,设立个人信息保护监督的外部独立机构。按照《个保法》第五十八条要求,头部数据企业,属于基础性互联网平台服务,建立外部独立机构是法定义务,要积极探索符合企业实际又高于行业水平的机制和做法,比如可以展开第三方评估,在建立各项内部合规制度之初进行评估,在制度运行半年、一年时展开实操效果评估。

第八,为明年年度个人信息保护社会责任报告做准备。将年度报告作为个人信息保护的必备工作来进行安排,并以此来树立行业标杆。

[作者王静系中央党校(国家行政学院)政法部副教授;陈悦系安徽大学管理学院讲师、法学博士,澄观治库研究员] 

附件:《个保法》为个人信息处理者设定的重要法律义务

 

    责任编辑:田春玲
    校对:刘威
    澎湃新闻报料:021-962866
    澎湃新闻,未经授权不得转载
    +1
    收藏
    我要举报

            扫码下载澎湃新闻客户端

            沪ICP备14003370号

            沪公网安备31010602000299号

            互联网新闻信息服务许可证:31120170006

            增值电信业务经营许可证:沪B2-2017116

            © 2014-2024 上海东方报业有限公司

            反馈