個人信息保護法解讀,企業(yè)該如何接招?
《個人信息保護法(草案)》發(fā)布,該法以保護個人信息權(quán)益,規(guī)范個人信息處理活動,保障個人信息依法有序自由流動,促進個人信息合理使用為立法宗旨,規(guī)定了個人、企業(yè)、國家機關(guān)多主體對個人信息保護的權(quán)利與義務(wù)。
個人信息保護法(草案)內(nèi)容公布
那么該法會對企業(yè)有何影響?企業(yè)該怎么開展數(shù)據(jù)合規(guī)工作?本文將對以上問題進行闡述。
1. 個人信息保護法的適用于全行業(yè)
草案規(guī)定個人信息處理者對于個人信息使用的僅適用于境內(nèi),對于跨境處理個人信息者需要設(shè)立專門機構(gòu)或者制定代表。明確了個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息,對于個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。組織、個人在中華人民共和國境內(nèi)處理自然人個人信息活動,對于跨境處理個人信息者,應(yīng)在境內(nèi)設(shè)立專門機構(gòu)或者制定代表。必要的情況下域外適用效力,以充分保護我國境內(nèi)個人的權(quán)益。
具體參照:第三條、第四條、第五十二條、第六十八條
2. 聚焦了個人信息的使用場景
草案規(guī)定了個人信息處理者在大數(shù)據(jù)分析、數(shù)據(jù)共享分發(fā)、數(shù)據(jù)跨境等具體場景下的相關(guān)規(guī)定。在利用個人信息進行自動化決策時,個人認為自動化決策對其權(quán)益造成重大影響的,有權(quán)要求個人信息處理者予以說明,并有權(quán)拒絕。利用自動化決策進行商業(yè)營銷、信息推送時,應(yīng)當(dāng)提供不針對個人特征的選項。
對于向境外提供個人信息的,至少需具備網(wǎng)信部門組織的安全評估、網(wǎng)信部門規(guī)定的經(jīng)專業(yè)機構(gòu)進行個人信息的保護認證、與境外接收方訂立合同虛達到本法律法規(guī)規(guī)定的個人信息保護標(biāo)準(zhǔn)及法律法規(guī)規(guī)定的其他標(biāo)準(zhǔn)其中之一方可進行。
草案規(guī)定在個人信息共享分發(fā)、境外傳輸活動前應(yīng)進行風(fēng)險評估,包括:目的、處理方式、影響及風(fēng)險程度、保護措施、風(fēng)險程度等,并將評估報告保留至少三年。
具體參照:第二十五條,第二十六條,第三十八條,第五十四條
3. 增強了個人信息的處理要求
草案明確了信息處理者在處理個人信息時需要取得個人同意,違者從嚴處罰。并對敏感個人信息進行了定義,具體包括:種族、民族、宗教信仰、個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等。強調(diào)只有特定的目的和充分的必要性,方可處理敏感個人信息,且要單獨取得個人同意或書面同意,并告知處理敏感個人信息的必要性和對個人的影響。對于違反個人信息使用的,根據(jù)相關(guān)法律、行政法規(guī),從嚴處理。
具體參照:第二十九條——第三十二條
4. 明確了個人信息的個人權(quán)力及處理者義務(wù)
草案與民法典第1034-1039條相銜接,對個人信息處理中的個人權(quán)利和信息處理者的義務(wù)進行了具體規(guī)定。個人權(quán)利具體包括:知情權(quán)、決定權(quán)、查詢權(quán)、更正權(quán)、刪除權(quán)、解釋說明權(quán)等。對于個人信息處理者拒絕個人行使權(quán)利的請求,應(yīng)說明理由。
對于個人信息處理者,有義務(wù)采取必要措施確保個人信息處理活動符合法律、法規(guī)的規(guī)定。包括管理制度建設(shè)、個人信息分類分級管理、加密去標(biāo)識化措施及其他安全技術(shù)措施。并制定個人信息保護負責(zé)人對其監(jiān)督。境外的個人信息處理者則需要在境內(nèi)設(shè)立專門機構(gòu)或者指定代表。
個人信息保護者需定期對個人信息進行審計、風(fēng)險評估,發(fā)現(xiàn)有個人信息泄露的,應(yīng)當(dāng)立即采取補救措施,通知履行個人信息保護的部門和個人。
具體參照:第四十四條——第五十五條
5. 加大對違法行為的處罰力度
草案對違法行為加大了處罰力度,違反個人信息保護法最高可處五千萬元或年度營業(yè)額百分之五罰款。對于違反《個人信息保護法》處理個人信息或者沒有采取必要保護措施的,沒收違法所得。拒不改正的,處100萬以下罰款,直接負責(zé)的主管人員和其他直接負責(zé)責(zé)任人員,處一萬以上十萬以下罰款。情節(jié)嚴重的,由履行個人信息保護職責(zé)的部門責(zé)令改正,沒收違法所得,并處五千萬以下或者上一年度營業(yè)額百分之五以下罰款,并可以責(zé)令暫停業(yè)務(wù)、停業(yè)整頓、吊銷業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。
具體參照:第六十二條
從GDPR看個人信息保護法
GDPR被視為當(dāng)前最為全面、嚴格的數(shù)據(jù)保護法案。通過比較我國《個人信息保護法(草案)》與GDPR的異同,可以更好地幫助企業(yè)應(yīng)對數(shù)據(jù)全球流動的挑戰(zhàn),并讓企業(yè)從其他國家的合規(guī)實踐中為在中國部署數(shù)據(jù)合規(guī)措施提供參考:
- 以中國境內(nèi)自然人為保護對象,與GDPR的管轄范圍基本一致;
- 保護的對象為個人信息,與GDPR、CCPA等主要數(shù)據(jù)法規(guī)沒有實質(zhì)性的區(qū)別;
- 規(guī)定了查閱權(quán)、復(fù)制權(quán)、更正權(quán)、刪除權(quán)、知情權(quán)、決定權(quán)、限制與拒絕處理權(quán)、解釋說明權(quán)等權(quán)利,更加接近國際主流數(shù)據(jù)保護法律的權(quán)利配置
- 設(shè)置了保護認證、簽訂合同等路徑,借鑒了GDPR對數(shù)據(jù)出境的規(guī)定
- 對數(shù)據(jù)保護職位責(zé)任人設(shè)置的前提要求有所不同
從對比上來看,一方面?zhèn)€人信息保護法借鑒了國際上先進的個人信息保護規(guī)則,以更好的與國際接軌,另一方面,也根據(jù)我國的實際環(huán)境下的數(shù)據(jù)安全保護需求進行了本土化的調(diào)整。
那么GDPR的實施情況如何呢:
GDPR實施后,已經(jīng)有近 300 起罰款,最低的一起罰款 90 歐元,而最高的則罰款 2.04 億歐元。2019年 11 月 8 日,匈牙利一所醫(yī)院因違反 GDPR 被罰 90 歐元。同樣這一年,英國航空公司由于泄露 50 萬名乘客個人信息被重罰近 2.04 億歐元。有超過三分之一的罰款事件源于數(shù)據(jù)處理的法律依據(jù)不當(dāng),還有接近三分之一的罰款是因為未充分采取技術(shù)和管理措施確保信息安全,比如發(fā)生數(shù)據(jù)泄露事件。
從GDPR對于個人隱私保護相關(guān)事件的判罰可以幫助我們一窺未來我國個人保護法對于數(shù)據(jù)安全事件的判罰尺度。
國家對個人信息保護的監(jiān)管趨勢
正是由于近年來頻發(fā)的個人隱私泄露事件,個人信息保護已經(jīng)成為整個社會的焦慮,從《網(wǎng)絡(luò)安全法》正式施行到最近的《個人信息保護法(草案)》,各監(jiān)管部門也在不斷地加強對個人信息保護領(lǐng)域執(zhí)法經(jīng)驗的累積,對個人信息保護的監(jiān)管呈現(xiàn)出以下特點:
一是法律法規(guī)不斷完善,近年來,我國在數(shù)據(jù)安全層面的法律法規(guī)愈發(fā)健全,隨著《民法典》《數(shù)據(jù)安全法》《個人信息保護法》的陸續(xù)出臺,《信息安全技術(shù) 個人信息安全規(guī)范》《個人信息出境安全評估辦法》《個人金融信息保護技術(shù)規(guī)范》及各行業(yè)數(shù)據(jù)安全分級指南的陸續(xù)發(fā)布,對各企業(yè)在正常業(yè)務(wù)開展過程中的數(shù)據(jù)安全要求更加嚴格。
二是監(jiān)管多主體化,現(xiàn)在個人信息保護由網(wǎng)信部門統(tǒng)籌,協(xié)調(diào)公安部門、市場監(jiān)管部門及其他行業(yè)主管部門進行監(jiān)管。公安部門負責(zé)互聯(lián)網(wǎng)領(lǐng)域APP治理,市場監(jiān)管部門負責(zé)消費者權(quán)益保護等,同時對線上和線下進行多維度監(jiān)管。隨著《個人信息保護法》的正式實施,監(jiān)管機關(guān)的執(zhí)法權(quán)力會進一步加強,多部門聯(lián)合執(zhí)法也會成為常態(tài)。
三是處罰力度逐步加大,隨著執(zhí)法經(jīng)驗不斷積累,對于有些企業(yè)多次違法的,處罰力度肯定會進一步加大。判罰標(biāo)準(zhǔn)也會逐漸按照《個人信息保護法》的處罰規(guī)定,因此,保證個人信息在收集、存儲、使用、加工、傳輸、提供、公開等活動中的安全,是免受巨額罰款和保證企業(yè)信譽安全的重要環(huán)節(jié)。
面對個人信息保護監(jiān)管要求,企業(yè)該如何接招?
針對企業(yè)內(nèi)部個人信息安全已存在或可能面臨的安全問題,為應(yīng)對行業(yè)監(jiān)管要求,提升個人信息整體安全防護效果,應(yīng)從頂層建設(shè)著手,制定關(guān)于個人信息保護的管理措施。觀安信息通過多年數(shù)據(jù)安全治理經(jīng)驗,建議企業(yè)對個人信息保護措施主要從以下幾方面進行:
(1) 加強企業(yè)內(nèi)部個人信息合規(guī)建設(shè)
隨著《網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)安全等級保護》《個人信息保護法》等安全法律法規(guī)的相繼實施,監(jiān)管力度也會越來越強,數(shù)據(jù)安全合規(guī)已成為企業(yè)未來可持續(xù)發(fā)展的必然要求。法律法規(guī)是保障信息化建設(shè)的強制性舉措,作為企業(yè)經(jīng)營者,安全合規(guī)是企業(yè)可持續(xù)發(fā)展的首要條件,對個人信息處理活動提前做好相關(guān)合規(guī)工作,打好基礎(chǔ),防患于未然。
(2) 建立健全企業(yè)內(nèi)部個人信息保護制度
草案第五十條對此進行了規(guī)定,總結(jié)來說就是企業(yè)應(yīng)當(dāng)根據(jù)個人信息的處理目的、方式、種類、影響以及可能存在的安全風(fēng)險等,在相關(guān)法律法規(guī)的規(guī)定下,制定企業(yè)內(nèi)部的管理制度和操作規(guī)程,對個人信息實行分級分類管理,采取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施。對此,企業(yè)應(yīng)建立和完善內(nèi)部個人信息管理制度,加強企業(yè)內(nèi)部安全意識培訓(xùn),對掌握公民個人信息的工作人員更要加強保密教育和培訓(xùn)。
(3) 制定個人信息精細化管控措施
對個人信息進行精細化管控,就需要知道哪些個人信息需要進行保護,草案第二十九條對敏感個人信息進行了描述,具體包括:種族、民族、宗教信仰、個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等。接下來企業(yè)就會面臨幾個問題:
(4) 這些敏感個人信息具體分布在哪?我該如何對這些敏感個人信息進行管理?
首先,我們明確了哪些是敏感信息。其次,我們要找到敏感個人信息分布在哪?最后,對于敏感個人信息地保護不可以采用一刀切的方式,比如全部進行脫敏。這既浪費了資源,也不利于敏感個人信息地有效管控。因此,針對靜態(tài)儲存的數(shù)據(jù)可以借助觀智敏感數(shù)據(jù)發(fā)現(xiàn)系統(tǒng)找到企業(yè)內(nèi)部各數(shù)據(jù)資產(chǎn)分布的敏感個人信息,根據(jù)行業(yè)相關(guān)規(guī)范要求及行業(yè)通用數(shù)據(jù),根據(jù)數(shù)據(jù)的來源、內(nèi)容和用途對數(shù)據(jù)進行分類。按照數(shù)據(jù)的價值、內(nèi)容敏感程度、影響和分發(fā)范圍不同對數(shù)據(jù)進行敏感級別劃分。不同敏感級別的數(shù)據(jù)有著不同的管控原則和數(shù)據(jù)開放要求,實現(xiàn)企業(yè)對不同類型和級別的敏感個人信息精細化運營管控的要求。
(5) 加強個人信息數(shù)據(jù)易泄露場景管理
企業(yè)業(yè)務(wù)系統(tǒng)經(jīng)過多年沉淀,積累了大量個人隱私數(shù)據(jù)和企業(yè)信息。海量數(shù)據(jù)除了在企業(yè)內(nèi)部流轉(zhuǎn),還需要進行外部“共享”。如何保證在產(chǎn)生、交換、共享等場景下的個人信息安全可用和數(shù)據(jù)使用價值?為滿足這一要求,數(shù)據(jù)共享時需要使用數(shù)據(jù)脫敏技術(shù)、水印溯源技術(shù)。特別是當(dāng)數(shù)據(jù)應(yīng)用于開發(fā)、測試、培訓(xùn)等環(huán)境時,使用真實數(shù)據(jù)將臨嚴重數(shù)據(jù)泄露的風(fēng)險。
(6) 定期對個人信息等敏感數(shù)據(jù)進行風(fēng)險評估
企業(yè)在采用安全產(chǎn)品治理后,需要定期對企業(yè)內(nèi)部資產(chǎn)進行風(fēng)險檢查。可以借助觀安敏感數(shù)據(jù)發(fā)現(xiàn)工具通過對敏感數(shù)據(jù)分布情況,結(jié)合數(shù)據(jù)分類分級的管控原則,檢查敏感數(shù)據(jù)安全保護情況,是否存在數(shù)據(jù)安全風(fēng)險,
例如:測試環(huán)境里是否有未脫敏、未加密的敏感數(shù)據(jù),有哪些非合規(guī)數(shù)據(jù)及其位置。及時給到相應(yīng)部門進行整改,以便后續(xù)對數(shù)據(jù)資產(chǎn)進行脫敏或加密等安全整改工作的執(zhí)行。
寫在最后
信息技術(shù)的高速發(fā)展,讓個人信息都變得的越來越易獲取,《個人信息保護法》的頒布有利于震懾一些通過不當(dāng)途徑獲取個人信息的不法之徒,避免企業(yè)對此類數(shù)據(jù)使用不當(dāng)給個人造成的財產(chǎn)損失和精神損失。而保障個人隱私信息與企業(yè)經(jīng)濟發(fā)展如何取得一定的平衡,則需要在法規(guī)的基礎(chǔ)上結(jié)合企業(yè)自律,共同完善個人信息保護體系。
