本
文
摘
要
引言
本周五全国人大第十三届常务委员会第三十次会议表决通过《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”),决定于2021年11月1日起实施。
本部法律的通过,对于广大用户而言,个人信息的保护确实是越来越完善了,那相应的,各种软件开发、网络平台、中介服务、地产销售等领域的企业就面临着承担更多的责任。
不少企业从欧盟的 GDPR实施之后开始,神经就一直处于紧绷状态,GDPR相对来说还只是对于数据存在跨国传输、接触欧盟数据的企业有约束力。现在中国版 GDPR 的实施,中国企业到底要在《个人信息保护法》的指引下,做出什么规定动作?各位请看过来!《个人信息保护法》在第五章个人信息处理者的义务当中,正文与第二次审议稿相比,并没有太大的变化。本文根据《个人信息保护法》第五章个人信息处理者的义务,总结出企业必须要做的十大规定动作,并据此探讨该如何完成这些动作。
一.制定内部管理制度和操作规则
无论从哪部跟信息、数据相关的法律来看,受到约束的企业行为都是全生命周期的!
在向用户告知并取得用户同意方面,合同协议类文书确实是书面达成一致的有效要件,对外确实需要顺应现有中国法律和国际法律趋势量身定制的《隐私政策》和《用户服务协议》。
但对内而言,收集、存储、使用、加工、传输、提供、公开、删除流程中的内部管理制度一个都不能少!
怎么管?管多深?咋实际操作?企业领导们,可得好好思考了!
二.对个人信息实行分类管理
为什么要对个人信息实行分类管理?因为针对不同的个人信息,《个人信息保护法》提出了不同的要求,如敏感信息的处理,要求企业应当取得个人的单独同意。
企业在处理用户个人信息的过程中,需要对用户个人信息实行分类管理,方便后续对不同级别的个人信息采取相应的保护措施。
最常见的分类方式是根据个人信息的内容进行分类;再根据个人信息的敏感程度进行分级,敏感程度即个人信息一旦泄露或者非法使用,个人受到歧视或者人身、财产安全受到危害的程度。
《个人信息安全规范》(GB/T 35273—2020)给出了相对详细的个人信息种类和个人敏感信息举例。
个人信息种类:
个人敏感信息举例:
以上举例以外,《个人信息保护法》正文明确将不满十四周岁未成年人的个人信息作为敏感个人信息,并要求企业针对不满十四周岁未成年人的个人信息,制定专门的个人信息处理规则,足以看出,国家对十四周岁未成年人权益保护的重视。
企业可以参照腾讯、网易等企业制定的儿童个人隐私保护指引,来制作本企业相关的规则。
企业根据自身属性,还可以选择参照《电信和互联网服务 用户个人信息保护分级指南》(YD/T 2782-2014)、《个人金融信息保护技术规范》(JR/T 0171-2020)、《信息安全技术 移动智能终端个人信息保护技术要求》(GB/T 34978-2017)的规定进行个人信息的分级分类管理。
三.采取安全技术措施
企业根据个人信息分级分类的结果,采取不同的安全技术措施。以敏感个人信息为例,在充分保障用户知情权、决定权等权利基础上,还需要在敏感个人信息的处理过程中使用更高强度的加密措施,保障相关数据的机密性和完整性;对敏感个人信息采取严格的访问控制措施,设置内部数据审批流程,并对敏感个人信息的使用进行实时监控及预警。
四.加强人员管理和教育培训
人员管理上,企业需要明确涉及个人信息处理不同岗位人员的安全职责和操作权限,建立发生安全事件的处罚机制;与相关人员签署《保密协议》,并要求即使调离相关岗位或者终止劳动合同时,还需履行保密义务;根据企业个人信息分类分级的结果,对大量接触敏感个人信息的人员可以进行背景调查,了解其犯罪记录、诚信状况、工作经历等。
《个人信息保护法》明确指出企业应定期对从业人员进行安全教育和培训,参考《个人信息安全规范》的规定,对于新员工,可以将个人信息安全作为入职培训的内容,后续再同老员工一同参加个人信息安全教育和培训;对于老员工,企业可以每年至少一次或者个人信息保护政策发生重大变化时,进行个人信息安全教育和培训,确保相关人员熟练掌握个人信息保护政策和企业最新管理制度。从培训内容看,个人信息安全的相关法律、法规、国标、行标和企业相关管理制度、操作规程等,都可以纳入培训的内容。
五.制定安全事件应急预案
《个人信息保护法》明确将“制定并组织实施个人信息安全事件应急预案”上升为个人信息处理者的义务。
如何制作安全事件应急预案?建议企业可以参照《个人信息安全规范》第10条的要求,应急预案进行以下处置:
①记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个 人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;
②评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;
③按照《国家网络安全事件应急预案》等有关规定及时上报,报告内容包括 但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的 联系方式;
④如果安全事件可能会给用户的合法权益造成危害的,应及时将相关情况告知用户,难以逐一告知用户时,应采取合理、有效的方式发布与公众有关的警示信息。
告知内容包括:安全事件的内容和影响;企业已采取或将要采取的处置措施;用户自主防范和降低风险的建议;针对用户提供的补救措施;个人信息保护负责人和个人信息保护工作机构的联系方式。
六.定期合规审计
《个人信息保护法》第五十四条仅明确了企业应当定期进行合规审计的原则性规定,而并未说明该如何进行合规审计。
《个人信息安全规范》第11.7条则作出了较为详细的审计要求,审计要求包括:
①应对个人信息保护政策、相关规程和安全措施的有效性进行审计;
②应建立自动化审计系统,监测记录个人信息处理活动;
③审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑;
④应防止非授权访问、篡改或删除审计记录;
⑤应及时处理审计过程中发现的个人信息违规使用、滥用等情况;
⑥审计记录和留存时间应符合法律法规的要求。
七.个人信息保护影响评估
《个人信息保护法》正文在二次审议稿的基础上,将“风险评估”改为“个人信息保护影响评估”,用语上更加准确。
相较于其他义务条款的规定,《个人信息保护法》第五十五条、第五十六条明确规定了事前个人信息保护影响评估的对象、内容、保存时间,给与了企业更有利的指引。
应当进行事前评估的个人信息处理活动:①处理敏感个人信息;②利用个人信息进行自动化决策;③委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;④向境外提供个人信息;⑤其他对个人权益有重大影响的个人信息处理活动。评估的内容应当包括:①个人信息的处理目的、处理方式等是否合法、正当、必要;②对个人的影响及风险程度;③所采取的安全保护措施是否合法、有效并与风险程度相适应。
第五十五条还明确提出评估报告和处理情况记录应当至少保存三年的具体要求。
八.源于处理数量的企业特殊义务
《个人信息保护法》第五十二条规定:“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人。”
就该条规定的义务而言,只有处理个人信息达到国家网信部门规定数量的企业才需要承担。但现在网信办还并没有对这个“数量”进行定义,企业现在可以参考《个人信息安全规范》对“数量”的定义,即:①处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;②处理超过10万人的个人敏感信息的。达到上述规定数量的企业,需要提前准备个人信息保护负责人的人选。
该条第二款规定的义务:“个人信息处理者应当公开个人信息保护负责人的联系方式, 并将个人信息保护负责人的姓名、联系方式等报送履行个人信息 保护职责的部门。” 对于企业来说,上述事项很容易就能完成,但是个人信息保护负责人需要做什么?《个人信息保护法》并未给出指引,可能需要等待网信办根据本条内容,制定出更为详细的规定,落实“数量”和个人信息保护负责人的职责和义务。
现阶段,企业可以参考《个人信息安全规范》第11.1条对个人信息保护负责人职责的规定。个人信息保护负责人的职责包括:① 全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;②组织制定个人信息保护工作计划并督促落实;③ 制定、签发、实施、定期更新个人信息保护政策和相关规程;④ 建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;⑤开展个人信息安全影响评估,提出个人信息保护的对策建议,督促整改安全隐患;⑥组织开展个人信息安全培训;⑦在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;⑧公布投诉、举报方式等信息并及时受理投诉举报;⑨进行安全审计;⑩与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况。
九.制境外企业的特殊义务
《个人信息保护法》第五十三条规定:“本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。”
这样规定的目的在于国家更容易管理境外企业处理个人信息的活动。专门机构可以是境外企业的关联公司、子公司、分支机构等。
十.重要互联网平台的特殊义务
《个人信息保护法》第五十八条规定“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(四)定期发布个人信息保护社会责任报告,接受社会监督。”
本条是《个人信息保护法》第五章中改动最多的一条,新增了第(二)项的规定,明确提出符合要求的企业需要制定平台规则的要求。首次从法律层面明确提出强化重要互联网平台个人信息保护义务的要求,但还需要立法部门、监管部门在后续给出将企业认定为重要互联网平台的具体条件,以及用户数量巨大、业务类型复杂的划分方法。
符合条件的企业不仅要“管好自己”,还要“管好他人”,对在平台内的其他信息处理者进行监管。
本条第(一)项强调企业成立的独立监督机构需要由外部成员组成,这种要求,一定程度上是为了能更公正、透明的进行监督工作,这里所指的的外部成员,可能包括信息安全测评机构、律师事务所等。
第(四)项提到个人信息保护社会责任报告,那何为个人信息保护社会责任报告?
指的是企业将其履行个人信息保护的理念、战略、安全措施、应急预案等内容,和企业在个人信息处理活动中对社会、用户个人等造成的直接和间接影响、取得的成绩等信息,进行系统的梳理和总结,并向社会公众方进行披露的文件。可以参照腾讯、华为、中兴等企业发布的《隐私保护白皮书》。
结语
我国《个人信息保护法》是一部个人信息权益保障法,严格规制企业处理个人信息的全过程,并在结合《网络安全法》、《民法典》等法律法规和《个人信息安全规范》等国家标准的规定上,总结其实施经验,整体上互相契合。
在《个人信息保护法》还未实施的现在,工信部就已经在定期对各类APP进行个人信息安全审查,通报要求不合格的进行整改。可想而知,《个人信息保护法》实施以后,企业需要面对的是何种监管力度。
而且《个人信息保护法》的处罚手段不仅仅是要求整改,还涉及五千万元以下或者企业上一年度营业额百分之五以下的高额罚款;直接负责的主管人员和其他直接责任人员也可能面临十万元以上一百万元以下的罚款,并可能还被禁止在一段时间内进行相关任职。
企业完成《个人信息保护法》规定动作的任务已经刻不容缓,早日行动起来,避免“人财两空”!
龙朝阳 泰和泰律师
