|
《中華人民共和國個人信息保護(hù)法》
(以下簡稱“《個保法》”)
中國首部專門規(guī)范個人信息保護(hù)的法律
“千呼萬喚”正式誕生。
數(shù)字化社會的重要法律版塊終補(bǔ)全,
對公民的個人信息權(quán)益保護(hù)
與各組織的數(shù)據(jù)隱私合規(guī)
都將產(chǎn)生直接和深遠(yuǎn)的影響。
-
2003年原國務(wù)院信息化辦公室正式部署立法研究工作
-
2018年9月《個保法》正式納入人大立法規(guī)劃
-
2021年8月20日,第十三屆全國人民代表大會常務(wù)委員會第三十次會議審議通過
-
2021年11月1日起,正式實施
近年來,個人信息保護(hù)立法在世界范圍內(nèi)如火如荼地展開,目前全球已經(jīng)有超過128個國家通過立法保護(hù)公民的個人信息和隱私。其中,以歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR),美國加利福尼亞州隱私保護(hù)法(CCPA&CPRA),以及中國剛剛出臺的《個人信息保護(hù)法》為最具有影響力的法律文本。
《個保法》的發(fā)布和實施,從個人隱私信息保護(hù)層面,不論是對個人還是企業(yè),甚至于各種類型的組織都有非常重大的影響和深遠(yuǎn)的意義。Intertek天祥集團(tuán)數(shù)據(jù)安全保護(hù)領(lǐng)域、信息安全管理領(lǐng)域的技術(shù)專家們將陸續(xù)解讀《個保法》。此為專題系列首篇,關(guān)注法規(guī)重點內(nèi)容及企業(yè)合規(guī)應(yīng)對。
重點關(guān)注
《個保法》將開啟,我國個人信息保護(hù)新篇章,以下內(nèi)容需重點關(guān)注:
1. 管轄范圍
《個保法》第三條規(guī)定:
在中華人民共和國境內(nèi)處理自然人個人信息的活動,適用本法。
在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個人信息的活動,有下列情形之一的,也適用本法:
(一)以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的;
(二)分析、評估境內(nèi)自然人的行為;
(三)法律、行政法規(guī)規(guī)定的其他情形。
Intertek解讀
《個保法》確定了境內(nèi)處理個人信息的活動和在境外但向境內(nèi)自然人提供產(chǎn)品或服務(wù)、或分析評估境內(nèi)自然人或法律行政法規(guī)規(guī)定的情形都在《個保法》的管轄范圍之內(nèi)。這里需要注意的是同GDPR一樣,不僅僅只能關(guān)注境內(nèi)處理數(shù)據(jù)的活動,還需要關(guān)注境外處理個人信息的活動。
2. 個人信息的定義
《個保法》第四條:個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。
Intertek解讀
此處《個保法》并沒有舉例說明或更加進(jìn)一步明確個人信息,意味著只要是已識別或者可識別自然人的相關(guān)信息均為個人信息,例如,姓名、住址、身份證號甚至宗教信仰、血型、人臉信息等,范圍覆蓋非常廣泛。
3. 處理活動
《個保法》明確了個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。
Intertek解讀
數(shù)據(jù)處理活動到底是什么活動?此處注意“刪除”活動,此活動往往被自然人所忽視或被信息處理者(或委托者)所利用。在《個保法》的第47條,明確了個人有權(quán)請求刪除的情形,例如當(dāng)我們刪除一個手機(jī)APP應(yīng)用的時候,該APP提供商則需要在其服務(wù)器上刪除我們的個人信息,并不得保留,個人也有權(quán)請求刪除。
4. 角色
《個保法》中涉及個人信息的三種角色分別為個人信息處理者、委托者和自然人,類似于GDPR中的數(shù)據(jù)控制者、數(shù)據(jù)處理者和數(shù)據(jù)主體。
Intertek解讀
《個保法》中涉及個人信息的三種角色分別為個人信息處理者、委托者和自然人,類似于GDPR中的數(shù)據(jù)控制者、數(shù)據(jù)處理者和數(shù)據(jù)主體。
5. 立法目標(biāo)
《個保法》立法目標(biāo)是:保護(hù)個人信息權(quán)益,規(guī)范個人信息處理活動,促進(jìn)個人新消息合理利用。
6. 由國家網(wǎng)信部門 履行個人信息保護(hù)職責(zé)的部門
《個保法》第60條規(guī)定:國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個人信息保護(hù)工作和相關(guān)監(jiān)督管理工作。國務(wù)院有關(guān)部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定,在各自職責(zé)范圍內(nèi)負(fù)責(zé)個人信息保護(hù)和監(jiān)督管理工作。
7. 法律責(zé)任
-
違反本法的情形:對組織責(zé)令改正,給予警告,沒收違法所得,對于應(yīng)用程序,暫停或者終止提供服務(wù)。
-
拒不改正的情形:對組織 并處一百萬元以下罰款,對組織負(fù)責(zé)人處一萬元以上十萬元以下罰款。
-
情節(jié)嚴(yán)重的:責(zé)令改正,沒收違法所得,并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓,或吊銷營業(yè)執(zhí)照。對組織負(fù)責(zé)人處十萬元以上一百萬元以下罰款。
應(yīng)對
新法即將正式實施,組織在業(yè)務(wù)運營和商務(wù)活動中,如何合規(guī)規(guī)范使用個人信息數(shù)據(jù)?
《個保法》從法律條款、要求層面約束了企業(yè),而非指導(dǎo)企業(yè)如何去做。因此企業(yè)在考慮合規(guī)和合理使用個人信息數(shù)據(jù)時,可以參考相關(guān)的行業(yè)標(biāo)準(zhǔn)、國際標(biāo)準(zhǔn),例如ISO于2019年發(fā)布的隱私信息管理體系(ISO/IEC 27701:2019)。
該體系在著名的ISO/IEC 27001信息安全管理體系基礎(chǔ)上進(jìn)行擴(kuò)展,特別強(qiáng)調(diào)如何進(jìn)行個人信息隱私保護(hù)的管理。組織可參考此類體系標(biāo)準(zhǔn),形成自有的企業(yè)運行制度、作業(yè)指導(dǎo)文件,以符合法律法規(guī)的要求。
Intertek將持續(xù)關(guān)注《個保法》出臺后的執(zhí)法趨勢,并進(jìn)行相應(yīng)解讀,為企業(yè)合規(guī)提供更加有效的幫助。《個保法》專題系列,后續(xù)將帶你深入了解個保法的框架、個保法與GDPR的比較、從隱私信息管理體系規(guī)劃實現(xiàn)個保法合規(guī)等,敬請關(guān)注。
想繼續(xù)了解和學(xué)習(xí)企業(yè)IT管理標(biāo)準(zhǔn)化
掃描二維碼訂閱天祥信息安全相關(guān)資訊,即可加入Intertek信息安全社區(qū)平臺,國內(nèi)外標(biāo)準(zhǔn)一手掌握。更有不定期信息安全資料包更新,免費研討會門票、培訓(xùn)優(yōu)惠等信息。
|
