新闻速递

企业合规视角下的《个人信息保护法 (草案) 》解读

发布人:周杨 史蕾,北京德和衡律师事务所 发布时间:2020-11-03

自2018年5月25日欧盟《一般数据保护条例》(“GDPR“)正式施行以来,受制于其全球管辖带来的网络主权危机,全球个人数据保护立法掀起层层高潮,美国、日本、新加坡、韩国、巴西、印度乃至阿联酋等国家都陆续完成了相关个人数据立法工作。作为全球最大的互联网市场,中国在法律层面一直没有出台针对个人数据的专门立法。万千企盼之下,《个人信息保护法》(草案)(“草案“)正式全文发布。

《个人信息保护法》(草案)全文共八章七十条,在总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人处理者的义务、履行个人信息保护职责的部门、法律责任和附则等多个层面设计和建构个人信息保护的立法框架。作为数据合规行业的资深从业者,我们最为关注的是与现有的个人信息保护规范体系,特别是标准GB/T 35273—2020《信息安全技术 个人信息安全规范》(以下简称《个人信息安全规范》)相比,《个人信息保护法》对于数据合规实务方面产生的重大影响。本文之目的亦在于从企业风控合规的实操角度观察《个人信息保护法》(草案)可能对实务工作发生影响的以下【23】个重要条款。

代表,并要求履行沟通渠道的报送义务,该项规定弥补了一直以来针对境外机构监管的敞口,与《草案》的域外管辖扩展落地直接呼应,也是与欧盟GDPR等域外个人信息保护法的机制保持一致性的对等要求。因此,对于可能触发《草案》适用的外国组织应做好中国境内机构或指定代表的准备。

第五十二条 本法第三条第二规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

18. DPIA强制义务场景具象化

高风险处理活动评估(DPIA)是是个人信息处理者合规经营持续化自主运转以及满足自证要求的最重要渠道之一。但此前,我国DPIA的规定处于《个人信息安全规范》非强制性标准级别,大多数企业也未将评估作为必备内控手段。《草案》此次将DPIA要求提升至法律强制性要求,对于企业内部合规制度建设提出更严格要求。相比《个人信息安全规范》 存在的“高风险”性笼统场景性规定(产品或服务发布前、业务功能发生重大变化时、法律法规有新的要求时、业务模式、信息系统、运行环境发生重大变更时、发生重大个人信息安全事件时),《草案》提出的强制性DPIA要求则从更加具体化的处理活动为出发点 ---处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向第三方提供个人信息、公开个人信息、向境外提供个人信息,对于处理者来说DPIA的遵循执行上《草案》减少内部判断繁琐和不确定性风险。另外,对于风险评估报告和处理情况记录保存时间提出了至少三年的期限性要求,也应作为企业档案保管制度新变化点。

第五十四条 个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录:

(一)处理敏感个人信息;

(二)利用个人信息进行自动化决策;

(三)委托处理个人信息、向第三方提供个人信息、公开个人信息;

(四)向境外提供个人信息;

(五)其他对个人有重大影响的个人信息处理活动。

风险评估的内容应当包括:

(一)个人信息的处理目的、处理方式等是否合法、正当必要;

(二)对个人的影响及风险程度;

(三)所采取的安全保护措施是否合法、有效并与风险程度相适应。

风险评估报告和处理情况记录应当至少保存三年。

第六章 履行个人信息保护职责的部门


19. 个人信息保护职责部门的定义、层级及职责范围更加清晰


《草案》下,个人信息保护职责部门的层级划分及职责范围如下表所列;履行个人信息保护职责的部门的具体职责主要包括:(1)宣导和监督;(2)受理投诉和举报;(3)调查处理违法个人信息处理活动。


“第五十六条 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律,行政法规的规定在各自职责范围内负责个人信息保护和监督管理工作。

县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。

前两款规定的部门统称为履行个人信息保护职责的部门。”

第五十七条 履行个人信息保护职的部门履行下列个人信息保护职责:

(一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;

(二)接受、处理与个人信息保护有关的投诉、举报;

(三)调査、处理违法个人信息处理活动;

(四)法律、行政法规规定的其他职责。


20. 推动标准和认证体系建设




与《网络安全法》重视标准建设的原则一致,《草案》在“”履行个人信息保护职责的部门”专章中设有专门条款强调其标准建设的工作职能。同时,《草案》将个人信息保护评估、认证服务纳入到个人信息保护社会化服务体系建设当中,呼应了重要原则中的“协同治理原则”,但哪些机构有权开展、开展流程以及认证结论的时效性等问题仍有待关注具体的实施细则如何确定。

“第五十八条 国家网信部门和国务院有关部门按照职责权限组织制定个人信息保护相关规则、标准,推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务。”

第七章 法律责任


21. 显著提高行政责任处罚标准

在《草案》草案中,行政责任的处罚标准在延续原有的《网络安全法》的百万处罚标准基础上,新设了“情节严重”的处罚标准,并将单位罚金提高至“五千万元以下或者上一年度营业额百分之五以下”,直接负责的主管人员和其他直接责任人员罚金提高至“十万元以上一百万元以下”,并同时可导致业务暂停乃至“吊销相关业务许可”的严厉处罚。

该处罚明显借鉴了GDPR中2000万欧元或者企业上一年度全球营收的4%(两者取其高)罚款的严厉处罚思路,也反映了监管对于整肃个人信息处理市场、打击违法处理个人信息的决心。

第六十二条 违反本法规定处理个人信息,或者处理个人信电未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

22. 明确了民事责任法定赔偿制度,明确采用过错推定责任原则

民事责任赔偿制度一直是个人信息保护中的弱项,《草案》规定的民事责任赔偿制度非常类似知识产权中的“法定赔偿制度”。即,可证明损失或获益的,以具体损失或获益承担赔偿责任;难以计算损失或获益的,由人民法院酌定赔偿数据。可见,与知识产权法定赔偿制度的由来一致,个人信息侵权赔偿亦存在权利性质的特殊性和损失难以计算的属性,同时笔者也相信,在该具体条款的适用中,也将面临与知识产权法定赔偿条款雷同的困难,诸如如何证明已经满足适用法定赔偿的前提,侵犯个人信息主体多项权利时如何计算法定赔偿额,各区域是否存在统一的赔偿量化标准等,届时我们亦将拭目以待具体的落地细则如何解决实际操作中可能存在的困难。

同时需要注意的是,《草案》明确个人信息民事侵权赔偿适用过错推定原则。根据《民法典》第1165条的规定,“行为人因过错侵害他人民事权益造成损害的,应当承担侵权责任。依照法律规定推定行为人有过错,其不能证明自己没有过错的,应当承担侵权责任。”对于个人信息处理者来说,过错推定原则的适用意味着个人信息处理者必须时刻注意履行“自证合规”义务,在日常的处理活动中严守合规制度,并做好相应的记录和存证。

“第六十五条 因个人信息处理活动侵害个人信息权益的,按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任;个人因此受到的损失和个人信处理者因此获得的利益难以确定的,由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。”

23. 公益诉讼制度浮出水面

《草案》提出个人信息权益保护的公益诉讼制度。如同《民事诉讼法》中对公益诉讼主体的定义,“人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织”仍是一个未见踪影却被寄予厚望的机构,但不可否认的是,公益诉讼制度的提出意味着监管当局已经注意到了广大公民个人信息遭受侵犯而无力承担诉讼成本的现状,而我们也相信该现状将在近年内从多个层面得到有力遏制。

“第六十六条 个人信息处理者违反本法规定处理个人信息。侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼。”


咨询

试用

微信

公众号二维码

关注公众号

电话

咨询热线

400-807-5518

公司热线

0755-26406096