《个人信息保护法(草案)》发布,该法以保护个人信息权益,规范个人信息处理活动,保障个人信息依法有序自由流动,促进个人信息合理使用为立法宗旨,规定了个人、企业、国家机关多主体对个人信息保护的权利与义务。
个人信息保护法(草案)内容公布
那么该法会对企业有何影响?企业该怎么开展数据合规工作?本文将对以上问题进行阐述。
1. 个人信息保护法的适用于全行业
草案规定个人信息处理者对于个人信息使用的仅适用于境内,对于跨境处理个人信息者需要设立专门机构或者制定代表。明确了个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,对于个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。组织、个人在中华人民共和国境内处理自然人个人信息活动,对于跨境处理个人信息者,应在境内设立专门机构或者制定代表。必要的情况下域外适用效力,以充分保护我国境内个人的权益。
具体参照:第三条、第四条、第五十二条、第六十八条
2. 聚焦了个人信息的使用场景
草案规定了个人信息处理者在大数据分析、数据共享分发、数据跨境等具体场景下的相关规定。在利用个人信息进行自动化决策时,个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝。利用自动化决策进行商业营销、信息推送时,应当提供不针对个人特征的选项。
对于向境外提供个人信息的,至少需具备网信部门组织的安全评估、网信部门规定的经专业机构进行个人信息的保护认证、与境外接收方订立合同虚达到本法律法规规定的个人信息保护标准及法律法规规定的其他标准其中之一方可进行。
草案规定在个人信息共享分发、境外传输活动前应进行风险评估,包括:目的、处理方式、影响及风险程度、保护措施、风险程度等,并将评估报告保留至少三年。
具体参照:第二十五条,第二十六条,第三十八条,第五十四条
3. 增强了个人信息的处理要求
草案明确了信息处理者在处理个人信息时需要取得个人同意,违者从严处罚。并对敏感个人信息进行了定义,具体包括:种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等。强调只有特定的目的和充分的必要性,方可处理敏感个人信息,且要单独取得个人同意或书面同意,并告知处理敏感个人信息的必要性和对个人的影响。对于违反个人信息使用的,根据相关法律、行政法规,从严处理。
具体参照:第二十九条——第三十二条
4. 明确了个人信息的个人权力及处理者义务
草案与民法典第1034-1039条相衔接,对个人信息处理中的个人权利和信息处理者的义务进行了具体规定。个人权利具体包括:知情权、决定权、查询权、更正权、删除权、解释说明权等。对于个人信息处理者拒绝个人行使权利的请求,应说明理由。
对于个人信息处理者,有义务采取必要措施确保个人信息处理活动符合法律、法规的规定。包括管理制度建设、个人信息分类分级管理、加密去标识化措施及其他安全技术措施。并制定个人信息保护负责人对其监督。境外的个人信息处理者则需要在境内设立专门机构或者指定代表。
个人信息保护者需定期对个人信息进行审计、风险评估,发现有个人信息泄露的,应当立即采取补救措施,通知履行个人信息保护的部门和个人。
具体参照:第四十四条——第五十五条
5. 加大对违法行为的处罚力度
草案对违法行为加大了处罚力度,违反个人信息保护法最高可处五千万元或年度营业额百分之五罚款。对于违反《个人信息保护法》处理个人信息或者没有采取必要保护措施的,没收违法所得。拒不改正的,处100万以下罚款,直接负责的主管人员和其他直接负责责任人员,处一万以上十万以下罚款。情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万以下或者上一年度营业额百分之五以下罚款,并可以责令暂停业务、停业整顿、吊销业务许可证或者吊销营业执照。
具体参照:第六十二条
从GDPR看个人信息保护法
GDPR被视为当前最为全面、严格的数据保护法案。通过比较我国《个人信息保护法(草案)》与GDPR的异同,可以更好地帮助企业应对数据全球流动的挑战,并让企业从其他国家的合规实践中为在中国部署数据合规措施提供参考:
- 以中国境内自然人为保护对象,与GDPR的管辖范围基本一致;
- 保护的对象为个人信息,与GDPR、CCPA等主要数据法规没有实质性的区别;
- 规定了查阅权、复制权、更正权、删除权、知情权、决定权、限制与拒绝处理权、解释说明权等权利,更加接近国际主流数据保护法律的权利配置
- 设置了保护认证、签订合同等路径,借鉴了GDPR对数据出境的规定
- 对数据保护职位责任人设置的前提要求有所不同
从对比上来看,一方面个人信息保护法借鉴了国际上先进的个人信息保护规则,以更好的与国际接轨,另一方面,也根据我国的实际环境下的数据安全保护需求进行了本土化的调整。
那么GDPR的实施情况如何呢:
GDPR实施后,已经有近 300 起罚款,最低的一起罚款 90 欧元,而最高的则罚款 2.04 亿欧元。2019年 11 月 8 日,匈牙利一所医院因违反 GDPR 被罚 90 欧元。同样这一年,英国航空公司由于泄露 50 万名乘客个人信息被重罚近 2.04 亿欧元。有超过三分之一的罚款事件源于数据处理的法律依据不当,还有接近三分之一的罚款是因为未充分采取技术和管理措施确保信息安全,比如发生数据泄露事件。
从GDPR对于个人隐私保护相关事件的判罚可以帮助我们一窥未来我国个人保护法对于数据安全事件的判罚尺度。
国家对个人信息保护的监管趋势
正是由于近年来频发的个人隐私泄露事件,个人信息保护已经成为整个社会的焦虑,从《网络安全法》正式施行到最近的《个人信息保护法(草案)》,各监管部门也在不断地加强对个人信息保护领域执法经验的累积,对个人信息保护的监管呈现出以下特点:
一是法律法规不断完善,近年来,我国在数据安全层面的法律法规愈发健全,随着《民法典》《数据安全法》《个人信息保护法》的陆续出台,《信息安全技术 个人信息安全规范》《个人信息出境安全评估办法》《个人金融信息保护技术规范》及各行业数据安全分级指南的陆续发布,对各企业在正常业务开展过程中的数据安全要求更加严格。
二是监管多主体化,现在个人信息保护由网信部门统筹,协调公安部门、市场监管部门及其他行业主管部门进行监管。公安部门负责互联网领域APP治理,市场监管部门负责消费者权益保护等,同时对线上和线下进行多维度监管。随着《个人信息保护法》的正式实施,监管机关的执法权力会进一步加强,多部门联合执法也会成为常态。
三是处罚力度逐步加大,随着执法经验不断积累,对于有些企业多次违法的,处罚力度肯定会进一步加大。判罚标准也会逐渐按照《个人信息保护法》的处罚规定,因此,保证个人信息在收集、存储、使用、加工、传输、提供、公开等活动中的安全,是免受巨额罚款和保证企业信誉安全的重要环节。
面对个人信息保护监管要求,企业该如何接招?
针对企业内部个人信息安全已存在或可能面临的安全问题,为应对行业监管要求,提升个人信息整体安全防护效果,应从顶层建设着手,制定关于个人信息保护的管理措施。观安信息通过多年数据安全治理经验,建议企业对个人信息保护措施主要从以下几方面进行:
(1) 加强企业内部个人信息合规建设
随着《网络安全法》、《网络安全等级保护》《个人信息保护法》等安全法律法规的相继实施,监管力度也会越来越强,数据安全合规已成为企业未来可持续发展的必然要求。法律法规是保障信息化建设的强制性举措,作为企业经营者,安全合规是企业可持续发展的首要条件,对个人信息处理活动提前做好相关合规工作,打好基础,防患于未然。
(2) 建立健全企业内部个人信息保护制度
草案第五十条对此进行了规定,总结来说就是企业应当根据个人信息的处理目的、方式、种类、影响以及可能存在的安全风险等,在相关法律法规的规定下,制定企业内部的管理制度和操作规程,对个人信息实行分级分类管理,采取相应的加密、去标识化等安全技术措施。对此,企业应建立和完善内部个人信息管理制度,加强企业内部安全意识培训,对掌握公民个人信息的工作人员更要加强保密教育和培训。
(3) 制定个人信息精细化管控措施
对个人信息进行精细化管控,就需要知道哪些个人信息需要进行保护,草案第二十九条对敏感个人信息进行了描述,具体包括:种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等。接下来企业就会面临几个问题:
(4) 这些敏感个人信息具体分布在哪?我该如何对这些敏感个人信息进行管理?
首先,我们明确了哪些是敏感信息。其次,我们要找到敏感个人信息分布在哪?最后,对于敏感个人信息地保护不可以采用一刀切的方式,比如全部进行脱敏。这既浪费了资源,也不利于敏感个人信息地有效管控。因此,针对静态储存的数据可以借助观智敏感数据发现系统找到企业内部各数据资产分布的敏感个人信息,根据行业相关规范要求及行业通用数据,根据数据的来源、内容和用途对数据进行分类。按照数据的价值、内容敏感程度、影响和分发范围不同对数据进行敏感级别划分。不同敏感级别的数据有着不同的管控原则和数据开放要求,实现企业对不同类型和级别的敏感个人信息精细化运营管控的要求。
(5) 加强个人信息数据易泄露场景管理
企业业务系统经过多年沉淀,积累了大量个人隐私数据和企业信息。海量数据除了在企业内部流转,还需要进行外部“共享”。如何保证在产生、交换、共享等场景下的个人信息安全可用和数据使用价值?为满足这一要求,数据共享时需要使用数据脱敏技术、水印溯源技术。特别是当数据应用于开发、测试、培训等环境时,使用真实数据将临严重数据泄露的风险。
(6) 定期对个人信息等敏感数据进行风险评估
企业在采用安全产品治理后,需要定期对企业内部资产进行风险检查。可以借助观安敏感数据发现工具通过对敏感数据分布情况,结合数据分类分级的管控原则,检查敏感数据安全保护情况,是否存在数据安全风险,
例如:测试环境里是否有未脱敏、未加密的敏感数据,有哪些非合规数据及其位置。及时给到相应部门进行整改,以便后续对数据资产进行脱敏或加密等安全整改工作的执行。
写在最后
信息技术的高速发展,让个人信息都变得的越来越易获取,《个人信息保护法》的颁布有利于震慑一些通过不当途径获取个人信息的不法之徒,避免企业对此类数据使用不当给个人造成的财产损失和精神损失。而保障个人隐私信息与企业经济发展如何取得一定的平衡,则需要在法规的基础上结合企业自律,共同完善个人信息保护体系。
