文章
保障个人信息,规范数字化经济
个人信息保护法深度解读
备受瞩目的《中华人民共和国个人信息保护法》(以下简称“个保法”)出台了!
十三届全国人大常委会第三十次会议于8月20日上午在第一项表决中批准了《中华人民共和国个人信息保护》(第91号主席令),该法案将在2021年11月1日起实施。
个保法将与《数据安全法》(以下简称“数安法”)和《网络安全法》(以下简称“网安法”)一起分别从各自的角度相辅相成构建中国的整体信息安全法律框架,再辅以刚刚颁布的《关键信息基础设施保护条例》,和即将颁布的《网络安全等级保护条例》,网信办和国务院各部委根据数安法制定的数据安全分级保护制度及重要数据目录,以及各种行业法规和国家标准,这些法规将形成一个全面的信息安全法律体系以全面规范各行业各领域的信息安全合规要求。
我们绘制了个保法的整体框架如下:
个保法与网安法及数安法一些关键要求之间的关系如下图:
- 网安法是从整体上规范了对网络安全的要求,涵盖“网络运营安全”、“网络信息安全”和“网络安全应急响应”,提出了对个人信息和重要数据的保护和网络安全等级保护制度;
- 数安法是聚焦于“数据安全”(任何形式的数据),提出了对数据的分类分级保护以及重要数据目录的概念;
- 个保法是聚焦于个人信息,对“个人信息处理规则”、“个人信息主体权利”、“个人信息处理者义务”、“跨境传输”等和其他国际隐私保护法律法规都重点关注的主题提出了具体要求。
上次我们分享了草案一审稿和GDPR的异同,这次我们将基于新鲜出炉的个保法原文(批准稿)以及与二审稿的比较与大家分享以下我们关注的重点:
批准稿吸取了有关专家、企业和法院系统的意见,关键的修改点如下:
- 为了体现制定实施本法对于保障公民的人格尊严和其他权益具有重要意义,批准稿中第1条增加了“根据宪法”。
- 为了进一步完善个人信息处理规则,特别是对应用程序(APP)过度收集个人信息、大数据杀熟以及非法买卖、泄露个人信息等作出有针对性规范:
a. 进一步明确处理个人信息应当遵循合法、正当、必要原则;
b. 第6条修改为“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围”;
c. 增加规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;
d. 增加规定,利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇;
e. 增加规定,履行个人信息保护职责的部门应当组织对应用程序等个人信息保护情况进行测评、公布测评结果,对违法处理个人信息的应用程序,责令暂停或者终止提供服务。 - 将有关企业、单位在人力资源管理工作中需要处理个人信息作为允许收集和处理个人信息的情形。
- 更好地与“民法典”衔接,将第28条修改为“个人信息处理者可以在合理的范围内处理已合法公开的个人信息,个人明确拒绝的除外;对个人权益有重大影响的,应当取得个人同意”,第56条的“个人信息泄露”修改为“个人信息泄露、篡改、丢失”。
- 将未成年人个人信息作为敏感个人信息予以严格保护。
- 考虑到我国缔结或者参加的经贸合作等国际条约,可以向境外提供个人信息,增加“中华人民共和国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的,可以按照其规定执行;个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。”
- 为方便个人获取并转移其个人信息,借鉴有关国家和地区的立法,增加个人信息可携带权的规定:” 个人请求将其个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径“。
- 在二审稿增加了对死者个人信息的保护的基础上,考虑到死者的近亲属行使相关权利应当有合理的理由,并尊重死者生前的安排,相关继承权条文修改为“自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外”。
- 考虑到处理信息数量少、处理活动简单的小型个人信息处理者,应适当减轻其合规成本,授权国家网信部门针对小型个人信息处理者制定相关规则。
- 为了完善个人信息保护投诉、举报机制,并在案件查处方面加强协同配合,增加以下规定:
a. 国家网信部门统筹协调有关部门完善个人信息保护投诉、举报工作机制;
b. 履行个人信息保护职责的部门发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理;对有关责任人员可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人等职务。
以下我们将对完整的个保法的各个重点条款以及修改的内容进行详细深入的分析,在比较表中,批准稿和二审稿维持不变但需重点关注的地方将只在二审稿中加粗,在批准稿中将加粗相对二审稿出现变化的地方。
一、基于宪法
个保法援引了宪法,以宪法中“公民的人格尊严不受侵犯;公民的通信自由和通信秘密受法律保护”为基础
二审稿 |
批准稿 |
第1条:为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,制定本法 |
第1条:为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法 |
二、定义
个保法第4条定义了“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”,一是将个人信息的范围扩大到非电子方式记录,与数安法的第3条相对应。二是明确匿名化处理后的信息不属于个人信息,以鼓励企业采用匿名化的措施,并且在第73条也明确给出了匿名化及去标识化的定义:
去标识化:是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程
匿名化:是指个人信息经过处理无法识别特定自然人且不能复原的过程。
二审稿 |
批准稿 |
第4条:个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等 |
第4条:个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等 |
批准稿比二审稿在个人信息处理的定义种增加了“删除”,对个人信息生命周期的覆盖更加全面。
三、域外适用(“长臂管辖”)
网安法第2条规定了“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法”。数安法第2条赋予了必要的域外适用效力:“在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任”。个保法第3条则更加明确地规定了以下情形适用个保法,在境外处理境内自然人个人信息的活动:
(1)以向境内自然人提供产品或者服务为目的;
(2)分析、评估境内自然人的行为。
而且个保法第53条还进一步规定了这类境外个人信息处理者应当在国境内设立专门机构或者指定代表。
四、合法性基础
关于收集处理个人信息的合法性基础,个保法第13条规定:
二审稿 |
批准稿 |
第13条: (一)取得个人的同意; (二)为订立或者履行个人作为一方当事人的合同所必需; (三)为履行法定职责或者法定义务所必需; (四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需; (五)依照本法规定在合理范围内处理已公开的个人信息 (二审稿增加); (六)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息; (七)法律、行政法规规定的其他情形。 |
第13条: (一)取得个人的同意; (二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需; (三)为履行法定职责或者法定义务所必需; (四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需; (五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息; (六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息; (七)法律、行政法规规定的其他情形。 |
从二审稿开始增加了在合理范围内处理已公开的个人信息为合法性基础,与《民法典》1036条将其作为免责事由的精神一致,批准稿增加了“个人自行公开或者其他已经合法公开”进一步明确了“已公开”必须是合法的,但如何界定“合理范围”依然需要结合具体场景具体分析。
批准稿还增加了“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”为合法性基础,减轻了企业人力资源工作收集处理个人信息为了合法性基础所需的工作量。
相对于GDPR,企业合法权益依然不是中国收集处理个人信息的合法性基础,而企业合法权益是大多数企业在GDPR合规方面最常使用的合法性基础之一。这就要求跨国企业尤其是已经遵照GDPR建立了个人信息合规体系的跨国企业在中国境内收集处理个人信息的时候必须更多的从个人信息主体同意、履行合同所必须、履行法定职责或义务以及法律、行政法规规定的其他情形中去寻找合适的合法性基础。
五、个人信息主体同意
与网安法41条及《个人信息安全规范》5.4条对应,个保法同样强调了”明示+同意“的合法性基础。同时还规定了下列5种情形需要获得个人信息主体的单独同意:
1. 向第三方提供个人信息(第23条)
2. 公开其处理的个人信息(第25条)
3. 将公共场所收集的个人信息用于维护公共安全以外的目的(第26条)
4. 收集处理敏感个人信息(第29条)
5. 向境外提供个人信息(第39条)
许多企业将为获得单独同意增加额外工作量,尤其是需要向第三方提供或涉及跨境传输的。不过参考13条中增加的“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”合法性依据,以及还是征求意见稿的《个人信息告知同意指南》6.1条,国家可能会对”与商业或职务行为直接相关的“以及”与个人信息主体求职、就业直接相关的“个人信息在上述四种需要单独同意的场景种放宽限制。
个保法第15条还赋予了个人信息主体撤回同意的权力,同时要求处理者“提供便捷的撤回同意的方式”,防止实践中企业将撤回方式隐藏过深,导致过于复杂以“诱使”用户放弃撤回同意。为了与《个人信息安全规范》8.4条对应,从二审稿开始也特别明确了“ 个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力“。
二审稿 |
批准稿 |
第15条:个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。 |
第31条:个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。 个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。 |
个保法第31条规定了处理不满14周岁未成年人个人信息应取得父母或监护人同意,并制定专门的个人信息处理规则。(因批准稿第28条将不满14岁未成年的个人信息归为敏感个人信息,所以将原二审稿15条相应规定移到了敏感个人信息处理规则28到32条种的31条)。
六、个人信息处理规则
个保法批准稿进一步完善个人信息处理规则,特别是对应用程序(APP)过度收集个人信息、大数据杀熟以及非法买卖、泄露个人信息等作出有针对性规范。
二审稿 |
批准稿 |
第5条:处理个人信息应当采用合法、正当的方式,遵循诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。 |
第5条:处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。 |
个保法第5条对比二审稿进一步强调了必要原则,是第6条的最小范围的基础。
二审稿 |
批准稿 |
第6条: 处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理。 |
第6条:处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。 收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。 |
个保法第6条对比二审稿就增加了“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息”,进一步明确了最小化原则从个人信息生命周期的第一步“收集”开始就必须遵循。
二审稿 |
批准稿 |
第10条: 任何组织、个人不得违反法律、行政法规的规定处理个人信息,不得从事危害国家安全、公共利益的个人信息处理活动。 |
第6条:任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。 |
个保法第10条对比二审稿进一步明确了在整个个人信息生命周期中(收集、使用、加工、传输)都必须合法,并强调不得“非法买卖、提供或公开”。
二审稿 |
批准稿 |
第21条:两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。 个人信息处理者共同处理个人信息,侵害个人信息权益的,应当承担连带责任。 |
第20条:两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。 个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。 |
个保法第20条规定,“两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利“,这与GDPR共同控制者的概念相似。批准稿比二审稿明确了承担连带责任的前提是“造成损害”。
二审稿 |
批准稿 |
第25条:利用个人信息进行自动化决策,应当保证决策的透明度和结果的公平合理。 通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式。 通过自动化决策作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。 |
第24条:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。 通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。 通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。 |
个保法第73条对自动化决策进行了定义:“是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动”。在第24条中作出了具体要求对大数据和算法划出了红线,对比二审稿,尤其增加了“不得对个人在交易价格等交易条件上实行不合理的差别待遇”来杜绝“大数据杀熟”的现象,以及要求提供“便捷的拒绝方式”,与15条“便捷的撤回同意的方式”相一致。第55条还要求在“利用个人信息进行自动化决策”时“应当事前进行个人信息保护影响评估,并对处理情况进行记录”。并在第61条中赋予了网信部门,国务院相关部门,地方政府相关部门“组织对应用程序等个人信息保护情况进行测评,并公布测评结果”的职责。
另外,《个人信息安全规范》7.4也对用户画像的使用作出了限制,要求进行商业推送时应使用间接用户画像。而刚审批通过将于明年1月1日生效的《深圳经济特区数据条例》第30条进一步限制了对未满14周岁的未成年人通过用户画像推荐个性化产品或服务。
二审稿 |
批准稿 |
第27条:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供, 取得个人单独同意的除外。 |
第26条:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。 |
对于在公共场所收集的个人信息,批准稿将二审稿的“不得公开或者向他人提供”改为“不得用于其他目的”,进一步限制了对于公共场所收集的个人信息的使用范围。
二审稿 |
批准稿 |
第28条:个人信息处理者处理已公开的个人信息,应当符合该个人信息被公开时的用途。 超出与该用途相关的合理范围的,应当依照本法规定取得个人同意。个人信息被公开时的用途不明确的,个人信息处理者应当合理、谨慎地处理已公开的个人信息;利用已公开的个人信息从事对个人有重大影响的活动,应当依照本法规定取得个人同意。 |
第27条:个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。 |
对于公开信息的处理,批准稿第27条明确了其首先必须是合法公开的“自行公开或其他已合法公开”,其次确认了个人可以“明确拒绝”。
七、敏感个人信息
个保法第二章第二节(从28-32条)专门针对敏感个人信息的处理制定了规则。
二审稿 |
批准稿 |
第29条:个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。 |
第28条:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。 只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。 |
个保法28条明确了生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息等一旦泄露或者非法使用,可能导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息为敏感个人信息。这比GDPR规定的敏感个人信息范围更广。
尤其是批准稿比二审稿增加了“特定身份”以及“未成年人”,体现了对特殊身份人员以及未成年人的重点保护。同时还要求敏感个人信息处理者在特定目的和充分必要性的基础上“采取严格保护措施”。
二审稿 |
批准稿 |
第31条:个人信息处理者处理敏感个人信息的,除本法第十八条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人的影响 |
第30条:个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外 |
个保法30条还要求向个人告知处理敏感个人信息的必要性以及对个人的影响,批准稿增加了“依照本法规定可以不向个人告知的除外”,与18条及35条中规定的不需要告知的条款相呼应。
八、个人信息跨境
网安法37条规定了“关键信息基础设施的运营者(CIIO)在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”,对于非CIIO是否需要数据本地化及跨境评估留下了疑问,尽管后来相继出台了《个人信息和重要数据出境安全评估办法-征求意见稿》,《个人信息出境安全评估办法-征求意见稿》,《数据出境安全评估指南》等一系列国标,但都还未生效。
数安法定义了数据处理者的概念,并在31条规定了“其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定”。并在第26条赋予了对于中国采取歧视性的禁止、限制措施的国家或地区采取对等措施的权力。
个保法第三章专门定义了个人信息跨境的规则。
二审稿 |
批准稿 |
第38条:个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当至少具备下列一项条件: (一)依照本法第四十条的规定通过国家网信部门组织的安全评估; (二)按照国家网信部门的规定经专业机构进行个人信息保护认证; (三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准; (四)法律、行政法规或者国家网信部门规定的其他条件。 |
第38条:个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一: (一)依照本法第四十条的规定通过国家网信部门组织的安全评估; (二)按照国家网信部门的规定经专业机构进行个人信息保护认证; (三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务; (四)法律、行政法规或者国家网信部门规定的其他条件。 中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。 个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。 |
第38条规定了个人信息的跨境提供必须符合的条件,其中按照国家网信部门制定的标准合同与境外接收方订立合同有助于统一规范合同内容和双方的责权,这也与GDPR要求的SCC相类似。
批准稿将二审稿“签订标准合同”条款中的“监督其个人信息处理活动达到本法规定的个人信息保护标准”移到了外面并改成了“应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”,这进一步明确了境内的个人信息处理者的职责以及要达到的目的。
二审稿 |
批准稿 |
第39条:个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。 |
第39条:个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。 |
个保法39条要求向个人信息主体提供境外接收方的一系列信息,确保了第44条规定的个人信息主体的知情权,批准稿进一步要求提供“名称或姓名”而不仅仅是“身份”。
个保法第40条要求“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的, 应当通过国家网信部门组织的安全评估”。这与网安法37条及数安法31条相呼应。
网信部门规定数量目前还不明确,《数据出境安全评估指南-征求意见稿》第一版中提出了50万条个人信息的规定数量,而第二版中将其改成了“主管部门规定的大量个人信息”,留下了给主管部门根据行业实际情况作出进一步规定的余地。不过参考因为滴滴事件新出台的《网络安全审查办法-修订草案征求意见稿》第6条“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”,这个“网信部门规定数量”很可能是100万。
个保法52条还规定了“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人”,类似GDPR中的DPO角色。
另外从行业的角度,金融、汽车及医疗健康等强监管行业也都出台了本地化和跨境相应的规范和要求。
一是五部委联合发布的将于2021年10月1日生效的《汽车数据安全管理若干规定(试行)》,定义了汽车相关的个人信息和敏感个人信息:
- 个人信息:是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息。
- 敏感个人信息:是指一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。
- 将“包含人脸信息、车牌信息等的车外视频、图像数据”以及“涉及个人信息主体超过10万人的个人信息”定义为重要数据。
- 第11条规定了:“重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。未列入重要数据的涉及个人信息数据的出境安全管理,适用法律、行政法规的有关规定”。第13条还要求:“汽车数据处理者开展重要数据处理活动,应当在每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送以下年度汽车数据安全管理情况”。
二是央行在2019年10月发布了《个人金融信息(数据)保护试行办法》,2020年2月13日发布了《个人金融信息保护技术规范》。定义了个人金融信息是:金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。试行办法第20条和规范7.1.3.d都规定了“在中华人民共和国境内提供金融产品或服务过程中收集和产生的个人金融信息,应在境内存储、处理和分析”,这是比境内存储更严格的要求。
三是卫健委2018年7月12日印发的《国家健康医疗大数据标准、安全和服务管理办法(试行)》,其中第30条规定“健康医疗大数据应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核”,在2021年7月1日开始生效的《健康医疗数据安全指南》中定义了“健康医疗数据包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关数据”“个人健康医疗数据涉及个人过去、现在或将来的身体或精神健康状况、接受的医疗保健服务和支付的医疗保健服务费用等”。
二审稿 |
批准稿 |
第41条:中华人民共和国境外的司法或者行政执法机构要求提供存储于中华人民共和国境内的个人信息的,非经中华人民共和国主管机关批准,不得提供;中华人民共和国缔结或者。 参加的国际条约、协定有规定的,可以按照其规定执行。 |
第41条:中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。 |
个保法41条规定了企业必须通过中国主管机构批准才可向境外司法执法机构提供个人信息,与数安法的36条相呼应。
二审稿将条文变成禁止性规定,从“应当依法申请批准”变成了“非经批准不得提供”,增强了监管力度。而且适用范围也从“国际司法协助或行政执法协助”变成所有“境外司法或执法机构要求”。
批准稿进一步修改为“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求”,明确了“根据法律”、“缔结或参加的国际条约、协定”、“平等互惠原则”三个处理外国司法或执法机构的先决条件,并移除了一审稿的“从其规定”和二审稿的“可以按照其规定执行”,更大程度保证了国家主管机构应对外国司法执法机构“长臂管辖”时的灵活性。同时将“境外”改成了“外国”,把通常定义为境外但中华人民共和国对其拥有主权的港澳台地区排除在外。
个保法42条规定了黑名单机制,43条呼应了数安法26条针对歧视性国家地区采取对等措施的权力。
网安法,数安法和个保法分别对CIIO,其他重要数据处理者,超过规定数量的个人信息处理者分别提出了本地化和跨境安全评估的要求,形成了全面的覆盖。可以预见相应的条例和细则将相继出台,为数字化经济需要的数据确权,数据估值及数据贸易提供法律基石,各企业尤其是外资企业必须对这个即将成为监管重点的领域充分认识准备。在实践中,已经有非常多的外资企业参照《数据出境安全评估指南-征求意见稿》进行安全评估并向行业监管申请数据出境。
九、个人信息主体的权利
个保法第四大章规定了个人信息主体有以下权利:
- 第44条规定了知情权和决定权,明确了个人信息主体“有权限制或者拒绝他人对其个人信息进行处理”,与GDPR的知情权,限制处理权和拒绝权类似。
二审稿 |
批准稿 |
第45条:个人有权向个人信息处理者查阅、复制其个人信息;有本法第十九条第一款规定情形的除外。 个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。 |
第45条:个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。 个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。 个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。 |
个保法第45条赋予了个人信息主体查阅、复制权。
批准稿将例外情况覆盖到第35条的情形使其更加严密,并增加了“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”,将原有的“复制权”进一步上升为了与GDPR相似的“携带权”。至此,中国个保法将要赋予个人信息主体的权利已经和GDPR几乎完全一致。
个保法第46条赋予了个人信息主体修改更正权,与GDPR的纠正权相似。
二审稿 |
批准稿 |
第47条:有下列情形之一的,个人信息处理者应当主动删除个人信息; 个人信息处理者未删除的,个人有权请求删除: (一)处理目的已实现或者为实现处理目的不再必要; (二)个人信息处理者停止提供产品或者服务,或者保存期限已届满; (三)个人撤回同意; (四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息; (五)法律、行政法规规定的其他情形。 法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。 |
第47条:有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除: (一)处理目的已实现、无法实现或者为实现处理目的不再必要; (二)个人信息处理者停止提供产品或者服务,或者保存期限已届满; (三)个人撤回同意; (四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息; (五)法律、行政法规规定的其他情形。 法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。 |
个保法第47条赋予了个人信息主体删除权,与GDPR的删除权(遗忘权)类似。批准稿增加了“无法实现”使得条款更加完整。同时也考虑到了个人信息在处理过程中可能被多次复制、转换、聚合,技术上可能难以实现完整彻底的删除,所以还是允许在此等情况下可以但仅可以进行存储并落实必要的安全保护措施。
个保法第48条赋予了个人信息主体“要求个人信息处理者对其个人信息处理规则“进行解释说明”的权利,与GDPR的访问权中的一些内容类似。
二审稿 |
批准稿 |
第49条:自然人死亡的, 本章规定的个人在个人信息处理活动中的权利,由其近亲属行使。 |
第49条:自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。 |
个保法第49条赋予了个人信息主体近亲属“继承权”。
批准稿进一步明细了可以继承的条件“自身的合法、正当利益”,以及可以继承的具体权利“查阅、复制、更正、删除”,为解决死者死后其个人信息无法被其近亲属合法处理的难题提供了法律依据。另外也通过“死者生前另有安排的除外”的条款保证了死者的利益。这个新增的继承权也将要求企业建立死者个人信息主体权利响应机制,包括确认死亡证明,核实亲属关系等。
国际上有关数字遗产继承的法律屈指可数 ,只有少部分国家有相关立法,大部分国家尚属空白。GDPR目前没有对应条款,美国特拉华州是美国第一个对网络数字遗产进行全面立法的州,其《数字访问与数字账号委托访问法》规定继承人和遗嘱执行人有权接收立遗嘱人的数字资产或设备,俄罗斯国家遗产继承法规定,网络数字遗产可以被视为可继承遗产分类中的“其他财产部分”。而中国《民法典》,第一百二十七条规定,“法律对数据、网络虚拟财产的保护,依照其规定。”这标志着《民法总则》承认了网络虚拟财产的合法性。
二审稿 |
批准稿 |
第50条:个人信息处理者应当建立个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。 |
第50条:个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。 个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。 |
个保法50条赋予了个人信息主体行使其权利的权力。
批准稿进一步赋予了个人信息主体“起诉权”来主张自己的权利。第62条也要求网信部门“完善个人信息保护投诉、举报工作机制。”进一步完善保护个人信息主体权利的体系。第70条规定了“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼”。
为了明确个人信息保护公益诉讼办案的重点,最高检8月22日下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》,其中明确了“各级检察机关在履行公益诉讼检察职责时应该突出重点,从严把握以下方面:生物识别、宗教信仰、特殊身份、医疗健康、金融账号、行踪轨迹等敏感个人信息应当严格保护;儿童、妇女、残疾人、老年人、军人等特殊群体的个人信息需要特别保护;教育、医疗、就业、养老、消费等重点领域处理的个人信息,以及处理100万人以上的大规模个人信息应当重点保护;对因时间、空间等联接形成的特定对象的个人信息加强精准保护。
通知体现了对于敏感个人信息,特殊群体、重点领域、特定对象的关注,同时100万人这个数量也和《网络安全审查办法-修订草案征求意见稿》第6条相呼应。
十、个人信息处理者义务
二审稿 |
批准稿 |
第51条:个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除: (一)制定内部管理制度和操作规程; (二)对个人信息实行分类管理; (三)采取相应的加密、去标识化等安全技术措施; (四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训; (五)制定并组织实施个人信息安全事件应急预案; (六)法律、行政法规规定的其他措施。 |
第51条:个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失: (一)制定内部管理制度和操作规程; (二)对个人信息实行分类管理; (三)采取相应的加密、去标识化等安全技术措施; (四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训; (五)制定并组织实施个人信息安全事件应急预案; (六)法律、行政法规规定的其他措施。 |
个保法第51条规定了个人信息处理者的基本义务,批准稿将“泄露、窃取、篡改、删除”修改成更全面准确的“泄露、篡改、丢失”。同时对第57条也做了相应的修改。
二审稿 |
批准稿 |
第55条:个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录: (一)处理敏感个人信息; (二)利用个人信息进行自动化决策; (三)委托处理个人信息、向他人提供个人信息、公开个人信息; (四)向境外提供个人信息; (五)其他对个人有重大影响的个人信息处理活动。 风险评估的内容应当包括: (一)个人信息的处理目的、处理方式等是否合法、正当、必要; (二)对个人的影响及风险程度; (三)所采取的安全保护措施是否合法、有效并与风险程度相适应。 风险评估报告和处理情况记录应当至少保存三年。 |
第55条:有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录: (一)处理敏感个人信息; (二)利用个人信息进行自动化决策; (三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息; (四)向境外提供个人信息; (五)其他对个人权益有重大影响的个人信息处理活动
|
第56条:个人信息保护影响评估应当包括下列内容: (一)个人信息的处理目的、处理方式等是否合法、正当、必要; (二)对个人权益的影响及安全风险; (三)所采取的保护措施是否合法、有效并与风险程度相适应。 个人信息保护影响评估报告和处理情况记录应当至少保存三年。 |
批准稿将二审稿的55条拆分成了55和56条,分别对什么时候要进行评估及评估的内容进行了定义。尤其是将原来模糊的“风险评估”改成了“个人信息保护影响评估”,应该是指引企业遵照已经生效的国标《个人信息安全影响评估指南》来进行评估。
二审稿 |
批准稿 |
第56条:个人信息处理者发现个人信息泄露的,应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。 通知应当包括下列事项: (一)个人信息泄露的原因; (二)泄露的个人信息种类和可能造成的危害; (三)已采取的补救措施; (四)个人可以采取的减轻危害的措施; (五)个人信息处理者的联系方式 个人信息处理者采取措施能够有效避免信息泄露造成损害的,个人信息处理者可以不通知个人;但是,履行个人信息保护职责的部门认为个人信息泄露可能对个人造成损害的,有权要求个人信息处理者通知个人。 |
第57条:发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项: (一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害; (二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施; (三)个人信息处理者的联系方式。 个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。 |
个保法第57条规定了个人信息处理者在发生个人信息事件时的通知义务,批准稿将事件从“泄露”补充完整到了“泄露、篡改、丢失”,与第51条的修改相对应。GDPR规定了数据控制者需在事件发生72小时内通知,但个保法没有规定相应的时限。
二审稿 |
批准稿 |
第57条:提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当 履行下列义务: (一)成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督; (二)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务; (三)定期发布个人信息保护社会责任报告,接受社会监督。 |
第58条:提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务: (一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督; (二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务; (三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务; (四)定期发布个人信息保护社会责任报告,接受社会监督。 |
二审稿57条新增了对“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”的要求。
批准稿将“基础性互联网平台服务”改成了“重要互联网平台服务”。
基础性互联网平台服务是二审稿首次提出的概念,如何界定还需等待进一步的立法解释。不过可以参照2021年2月7日生效的《国务院反垄断委员会关于平台经济领域的反垄断指南》第2条对于“互联网平台”的概念以及中国互联网协会2021年4月27日颁布的《互联网平台企业依法合规经营倡议书》的首批150家响应企业。另外,批准稿中将“基础”改成“重要”可能是为了和“重要数据”等概念相对应。
“用户数量巨大”也需等待进一步立法解释。欧盟委员会2020年12月15日公布的《数字市场法(草案)》中对“守门人”(在数字市场中达到一定规模或具有一定影响的科技企业)采取的界定标准之一为“使用核心平台服务的月活跃终端用户数超过4500万,包含本土用户和暂居于欧盟境内的用户;或者上一财政年度内拥有注册于欧盟境内的商业用户超过10000家”,而张新宝教授在对《个人信息保护法(草案)》提供立法建议时,也引入了“守门人”的概念,张新宝教授将“守门人”界定为“控制关键环节,有资源赋予其他个人信息处理者处理个人信息能力的互联网运营者”,主要包括应用程序的分发平台、移动终端操作系统、搭载小程序的大型App平台。
“成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督”,这是要求能公平公正履职的人员参加,增加对个人信息活动监督的透明度,要求应该类似于审计公司对于执业人员独立性的要求。
批准稿增加了“遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务”,进一步强调了对本法的遵从。
“定期发布个人信息保护社会责任报告”,虽然报告的内容可以参考其他社会责任报告或者不少企业已经发布的《隐私保护白皮书》等,但具体内容和要求还需进一步立法解释。
十一、受托方义务
不同于GDPR明确定义了数据控制者和数据处理者,个保法只定义了个人信息处理者,但通过第22条及59条对受托方提出了要求:
22条规定了受托方应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托方应当将个人信息返还个人信息处理者或者予以删除,不得保留。未经个人信息处理者同意,受托方不得转委托他人处理个人信息。
二审稿 |
批准稿 |
第58条:接受委托处理个人信息的受托方,应当履行本章规定的相关义务,采取必要措施保障所处理的个人信息的安全 |
第59条:接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。 |
59条要求接受委托处理个人信息的受托方协助履行本章规定的相关义务, 采取必要措施保障所处理的个人信息的安全,批准稿强调了对本法及其他法律法规的遵从,并将二审稿的“应当履行本章规定的相关义务”修改成了“协助个人信息处理者履行本法规定的义务”,“应当”改成“协助”,一方面降低受托方的责任,另一方面强调了连带责任,“本章”改成“本法”扩大了受托者的义务范围。总体来说比GDPR对于数据处理者的要求更加严格。
十二、履行个人信息保护职责的部门
个保法第6章规定了履行个人信息保护职责的部门的职责,首先定义了网信部门负责“统筹协调”及“监督管理”;国务院相关部门及县级以上政府有关部门负责“保护”及“监督管理”。
对网信部门的授权与网安法第8条及数安法第6条相一致,“监督管理”赋予了网信部门一定的“执法权”,而天津网信办在2021年7月27-29日已经根据数安法第6条开办了“行政执法人员培训暨网络数据安全业务培训班”,为中国第一批数据安全执法证做准备。当然,如何划分网信部门和国务院相关部门及地方政府部门之间的“监督管理”执法权还有待进一步司法解释。
二审稿 |
批准稿 |
第60条:履行个人信息保护职责的部门履行下列个人信息保护职责: (一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作; (二)接受、处理与个人信息保护有关的投诉、举报; (三)调查、处理违法个人信息处理活动; (四)法律、行政法规规定的其他职责。 |
第61条:履行个人信息保护职责的部门履行下列个人信息保护职责: (一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作; (二)接受、处理与个人信息保护有关的投诉、举报; (三)组织对应用程序等个人信息保护情况进行测评,并公布测评结果; (四)调查、处理违法个人信息处理活动; (五)法律、行政法规规定的其他职责 |
个保法61条规定了履行个人信息保护职责的部门的具体职责,批准稿增加了“组织对应用程序等个人信息保护情况进行测评,并公布测评结果”,彰显了国家对于治理应用程序(APP)过度收集、滥用个人信息乱象的决心。
二审稿 |
批准稿 |
第61条:国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作: (一)制定个人信息保护具体规则、标准; (二)针对敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准; (三)支持研究开发安全、方便的电子身份认证技术; (四)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务。 |
第62条:国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作: (一)制定个人信息保护具体规则、标准; (二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准; (三)支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设; (四)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务; (五)完善个人信息保护投诉、举报工作机制。 |
个保法第62条定义了网信部门的部分职责,制定规则标准赋予了“立法权”,对人脸识别、人工智能专门的规则、标准表明了国家对于新技术的关注,并确保有相配套的规则、标准。批准稿还增加了对“小型个人信息处理者”的专门规则和标准的要求,这说明国家充分考虑到了小企业合规的成本。“完善个人信息保护投诉、举报工作机制”与第50条结合保证了个人信息主体主张其权利的权力。
个保法第63条赋予了网信办、国务院相关部门、地方政府相关部门在执法中调取信息的权力,与网安法第49条和数安法第35条赋予的权力相呼应。并进一步明确了具体的措施:
- (一)询问有关当事人,调查与个人信息处理活动有关的情况;
- (二)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;
- (三)实施现场检查,对涉嫌违法的个人信息处理活动进行调查;
- (四)检查与个人信息处理活动有关的设备、物品; 对有证据证明是用于违法个人信息处理活动的设备、物品,向本部门主要负责人书面报告并经批准,可以查封或者扣押。
不少企业尤其是外资企业对此“调取信息权”一直有所担忧,其实具有类似法律规定的国家有不少。根据国际大律所Baker McKenzie最新的统计,爱尔兰、意大利、捷克、韩国、印度尼西亚、巴拉圭等都有类似的法规。
十三、法律责任
二审稿 |
批准稿 |
第65条:违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得;拒不改正的, 并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。 |
第66条:违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。 |
个保法的最高罚款限额是5000万人民币或者5%的年营业额,数额大大高于网安法的100万(新颁布的《关键信息基础设施保护条例》罚款上限也只有100万),也高于数安法的1000万。这充分显示了国家对于保护个人信息的重视程度。
批准稿中提出“违法处理个人信息的应用程序,责令暂停或者终止提供服务”,这再次彰显了国家整治应用程序(APP)过度收集和违法使用个人信息的决心。
与网安法和数安法一样,个保法也规定了对于“直接负责的主管人员”和“其他直接责任人员”的罚则,金额最高100万。
批准稿与网安法第63条呼应,增加了“并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”。
批准稿69条(二审稿68条)将原65条的“个人信息处理者能够证明自己没有过错的,可以减轻或免除责任”改为“个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”。明确了个人信息侵权行为的归责原则为过错推定,大大减轻了个人信息主体的举证责任。
个保法71条明确了一旦构成犯罪将追究刑事责任,与刑法第九修正案第253条的严厉罚则对应:“向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金; 情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。
综上所述,各企业应该遵照个保法,结合网安法,数安法以及各相关法律法规,国家标准及行业规范充分规划,积极应对。我们在此建议各企业采取以下十二大应对措施:
- 建立个人信息分类分级管理制度
- 建立个人信息保护组织,在符合要求的情况下指定个人信息保护负责人
- 建立个人信息全生命周期管理体系
- 建立个人信息主体授权管理平台并与企业访问权限管理系统对接
- 建立个人信息安全影响评估体系
- 建立个人信息安全事件应急响应制度及配合监管部门调查取证的流程
- 建立个人信息受托方管理制度
- 建立个人信息主体行使权利的申请受理和处理机制
- 建立个人信息保护合规审计制度
- 建立个人信息安全教育和培训制度
- 建立个人信息跨境传输安全评估体系
- 建立隐私设计体系,针对应用程序(APP)对用户画像、大数据分析、人工智能等高新技术使用的审核机制,充分利用加密、去标识化等隐私计算技术。
我们将在后续的系列文章中深入分析不同行业该如何实施上述十二大应对措施,敬请期待。
附:个人信息保护法全文中华人民共和国个人信息保护法_中国人大网 (npc.gov.cn)
在这个数字世界里,企业的声誉可能始于网络,也可能止于网络。网络无处不在,所以网络安全是整个企业的共同责任。信任是各种关系的基石,是您与员工,供应商,合作伙伴和客户进行所有交互的基础。德勤最新的网络安全服务, “理解,连接,信任 - 德勤网络安全赋能解决方案 ” 将帮助我们的客户“安全无界,畅行无限”!
欲了解更多与网络安全相关的信息,敬请联系 CNRACyber@deloitte.com.cn