《中华人民共和国个人信息保护法》一阶段解读
《中华人民共和国个人信息保护法》经过近两年的筹备,三次审议,已于2021年11月1日起正式施行。
资料来源:http://www.gov.cn/xinwen/2021-08/20/content_5632486.htm
*照片来源:中国人大网
适用范围
l 境内:《个人信息保护法》第三条第一款:在中华人民共和国境内处理自然人个人信息的活动,适用本法。
l 境外:《个人信息保护法》第三条第二款:在中华人民共和国境外处理中华人民共和国境 内自然人个人信息的活动,有下列情形之一的,也适用本法:
1.以向境内自然人提供产品或者服务为目的;
2.分析、评估境内自然人的行为;
3.法律、行政法规规定的其他情形
关键词定义
l 个人信息:是以电子或者其他方式记录的与已识别或者可识别的自然人有 关的各种信息,不包括匿名化处理后的信息;
l 个人信息处理:包括个人信息的收集、存储、使用、加工、传输、提供、 公开、删除等
三大监管部门
l 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作;
l 国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作;
l 县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。
处理个人信息应当遵守的六个原则
l 合法、正当、必要和诚信原则
l 目的明确合理原则
l 最小范围原则
l 公开透明原则
l 质量保证原则
l 安全保障原则
个人在个人信息处理活动中的权利
《个人信息保护法》规定了个人信息主体享有以下权利
l 知情权
l 决定权(限制、拒绝、撤回权)
l 查阅复制权
l 个人信息移转权
l 更正补充请求权
l 删除权
l 规则解释权
个人信息处理者的义务
l
安全义务
1. 制定内部管理制度和操作规程;
2. 对个人信息实行分类管理;
3. 采取相应的加密、去标识化等安全 技术措施;
4. 合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
5. 制定并组织实施个人信息安全事件 应急预案;
6. 法律、行政法规规定的其他措施
l
合规审计义务:
1. 应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
l
个人信息处理者的补救、通知义务:
1. 发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。
l
大型互联网平台的特殊义务:
1. 按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
2. 遵循公开、公平、公正的原则,制 定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
3. 对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者, 停止提供服务;
4. 定期发布个人信息保护社会责任报告,接受社会监督。
违法违规处罚
l 违反处理个人信息, 或者处理个人信息未履行《中华人民共和国个人信息保护法》规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,
给予警告, 没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
l 违反处理个人信息,或者处理个人信息未履行《中华人民共和国个人信息保护法》规定的个人信息保护义务的,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
企业实施核心要点
l “规范个人信息处理活动”是个人信息保护法的核心
l 个人信息的内涵与匿名化
l 个人信息保护法的域外效力
l 个人信息处理的核心原则
l 构建了以“告知-知情-同意”为核心的个人信息处理规则
l 敏感个人信息的认定与保护规则
l 严禁“大数据杀熟”以及为“用户画像”等涉及不当自动化决策
l 个人信息跨境提供规则
l 个人在个人信息处理活动中的七项权利
l 重要互联网平台的“守门人”制度
企业针对该法的措施案例
l Apple
l 富途证券
l 老虎证券
雄狮科技——数据业务部