汇业评论 |《个人信息保护法》解读:企业主要合规义务及业务影响
2021年8月20日,历经三审三读,第十三届全国人民代表大会常务委员会第三十次会议审议通过《个人信息保护法》并公布,自2021年11月1日起施行。
结合近期立法趋势、监管执法实践及类似项目经验,汇业律师事务所网数团队简要解读《个人信息保护法》下企业的主要合规义务及对业务的影响如下,仅供参考。
一、关于法律适用
根据《个人信息保护法》及其配套规范,不同情形的法律适用情况如下:
二、制度合规
根据《个人信息保护法》及其配套规范,企业应当建立的个人信息保护相关的制度及规程,具体建议包括但不限于:
(1)个人信息安全原则及制度;
(2)个人信息保护机构管理规范;
(3)个人信息分级分类规范;
(4)个人信息安全影响评估规范;
(5)供应商个人信息保护规范;
(6)个人信息跨境提供规范;
(7)未成年人个人信息保护规范;
(8)个人信息安全应急预案及事件应对规范;
(9)个人信息用户权利请求、投诉及响应规范;
(10)政府机关调取个人信息规范;
(11)员工个人信息保护规范;
(12)个人信息保护违规处理规范;
(13)平台还应制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;等等。
建立上述制度、规范及其执行记录,不仅是企业合规遵从之法律义务,更是未来发生个人信息安全事件、侵权事件以后免责、抗辩的重要抓手之一,尤其是考虑到《个人信息保护法》之过错推定责任相关规定。
三、岗位人员合规
(一)关于境内个人信息处理者
根据《个人信息保护法》及其配套规范,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人。参照《个人信息安全规范》之规定,满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构:
(1)主要业务涉及个人信息处理,且从业人员规模大于200人;
(2)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;
(3)处理超过10万人的个人敏感信息的。
此外,《个人信息保护法》还规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,还成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。
最后,企业亦通过有关规范明确不同个人信息在内部的责任部门及人员,落实责任机制。企业设置上述工作机构、岗位人员和责任机制,不仅有利于相关制度、机制的落地,也有利于明确责任主体,有利于厘清未来事件中的“直接负责的主管人员”和“其他直接责任人员”,有利于在不同层级人员之间隔离法律风险,以避免被“禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”。
(二)关于境外个人信息处理者
根据《个人信息保护法》规定,适用本法的境外个人信息处理者(例如退出中国的某些互联网公司,以境外集团名义运营的相关网站或APP等)应当在境内设立专门机构或者指定代表(通常是境内的关联公司,或者相关中介机构),负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
四、个人信息生命周期合规
《个人信息保护法》生效前,企业应当全面调研业务所涉的个人信息场景,参照《个人信息保护法》、《网络安全法》、《数据安全法》、《民法典》、《个人信息安全规范》等规定及相关监管执法实践,开展合规差距评估,确保个人信息全生命周期符合包括但不限于下列合规要求:
五、其他管理合规
参照《个人信息保护法》及其配套规范,企业还应当履行的个人信息保护管理合规责任,包括但不限于:
(1)根据个人信息数量级及敏感程度等因素,依法开展网络安全等级保护测评、定级等工作;
(2)CII收集、使用个人信息的,还应当符合关键信息基础设施安全保护有关的规定,例如定期安全检测和风险评估;
(3)个人信息数量级达到一定标准或类型符合有关规定进而被认定为重要数据的,还应当符合数据安全有关规定,且相关处理活动还可能会触发网络安全审查;
(4)应当依法建立、完善个人信息内控机制,强化权限管理,加强监测巡查,落实应急管理等;
(5)应当依法开展个人信息风险评估,依法留存评估报告;
(6)自行或委托第三方定期对其个人信息处理活动进行合规审计;
(7)通过线上课程或线下培训、宣传等机制,定期对员工、外包人员、外部供应商等进行安全教育培训;
(8)依法响应个人信息主体的撤回同意、查询、复制、转移、更正、删除、获得解释等权利请求;依法响应死者的近亲属为了自身的合法、正当利益,对死者的相关个人信息行使查阅、复制、更正、删除等权利请求;
(9)制定并实施个人信息安全事件应急预案,发生安全事件后依法补救、汇报、通知及记录;
(10)积极参与行业自治组织活动,遵守行业标准及自律规范;等等。
六、其他待公布的配套规范
《个人信息保护法》正式公布后,作为《个人信息保护法》的配套落地细则,与之相关的几部正在制定中的配套规范相信也会陆续发布,具体包括但不限于:《个人信息出境安全评估办法》、《移动互联网应用程序个人信息保护管理暂行规定》、《数据安全管理条例》、《网络安全等级保护条例》、《网络安全审查办法(修订)》等。
再过一段时间,待到村头厕所无纸时,早几年的坛坛罐罐破铜烂铁,大抵也该翻出来修修补补了吧。周而复始,学海无涯,生命不息,巴扎黑!
作者介绍