Intertek觀察 | 中國首部個人信息保護法規即將實施 這些內容劃重點
《中華人民共和國個人信息保護法》
(以下簡稱“《個保法》”)
中國首部專門規范個人信息保護的法律
“千呼萬喚”正式誕生。
數字化社會的重要法律版塊終補全,
對公民的個人信息權益保護
與各組織的數據隱私合規
都將產生直接和深遠的影響。
-
2003年原國務院信息化辦公室正式部署立法研究工作
-
2018年9月《個保法》正式納入人大立法規劃
-
2021年8月20日,第十三屆全國人民代表大會常務委員會第三十次會議審議通過
-
2021年11月1日起,正式實施
近年來,個人信息保護立法在世界范圍內如火如荼地展開,目前全球已經有超過128個國家通過立法保護公民的個人信息和隱私。其中,以歐盟《通用數據保護條例》(GDPR),美國加利福尼亞州隱私保護法(CCPA&CPRA),以及中國剛剛出臺的《個人信息保護法》為最具有影響力的法律文本。
《個保法》的發布和實施,從個人隱私信息保護層面,不論是對個人還是企業,甚至于各種類型的組織都有非常重大的影響和深遠的意義。Intertek天祥集團數據安全保護領域、信息安全管理領域的技術專家們將陸續解讀《個保法》。此為專題系列首篇,關注法規重點內容及企業合規應對。
重點關注
《個保法》將開啟,我國個人信息保護新篇章,以下內容需重點關注:
1. 管轄范圍
《個保法》第三條規定:
在中華人民共和國境內處理自然人個人信息的活動,適用本法。
在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動,有下列情形之一的,也適用本法:
(一)以向境內自然人提供產品或者服務為目的;
(二)分析、評估境內自然人的行為;
(三)法律、行政法規規定的其他情形。
Intertek解讀
《個保法》確定了境內處理個人信息的活動和在境外但向境內自然人提供產品或服務、或分析評估境內自然人或法律行政法規規定的情形都在《個保法》的管轄范圍之內。這里需要注意的是同GDPR一樣,不僅僅只能關注境內處理數據的活動,還需要關注境外處理個人信息的活動。
2. 個人信息的定義
《個保法》第四條:個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。
Intertek解讀
此處《個保法》并沒有舉例說明或更加進一步明確個人信息,意味著只要是已識別或者可識別自然人的相關信息均為個人信息,例如,姓名、住址、身份證號甚至宗教信仰、血型、人臉信息等,范圍覆蓋非常廣泛。
3. 處理活動
《個保法》明確了個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。
Intertek解讀
數據處理活動到底是什么活動?此處注意“刪除”活動,此活動往往被自然人所忽視或被信息處理者(或委托者)所利用。在《個保法》的第47條,明確了個人有權請求刪除的情形,例如當我們刪除一個手機APP應用的時候,該APP提供商則需要在其服務器上刪除我們的個人信息,并不得保留,個人也有權請求刪除。
4. 角色
《個保法》中涉及個人信息的三種角色分別為個人信息處理者、委托者和自然人,類似于GDPR中的數據控制者、數據處理者和數據主體。
Intertek解讀
《個保法》中涉及個人信息的三種角色分別為個人信息處理者、委托者和自然人,類似于GDPR中的數據控制者、數據處理者和數據主體。
5. 立法目標
《個保法》立法目標是:保護個人信息權益,規范個人信息處理活動,促進個人新消息合理利用。
6. 由國家網信部門 履行個人信息保護職責的部門
《個保法》第60條規定:國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定,在各自職責范圍內負責個人信息保護和監督管理工作。
7. 法律責任
-
違反本法的情形:對組織責令改正,給予警告,沒收違法所得,對于應用程序,暫停或者終止提供服務。
-
拒不改正的情形:對組織 并處一百萬元以下罰款,對組織負責人處一萬元以上十萬元以下罰款。
-
情節嚴重的:責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務或者停業整頓,或吊銷營業執照。對組織負責人處十萬元以上一百萬元以下罰款。
應對
新法即將正式實施,組織在業務運營和商務活動中,如何合規規范使用個人信息數據?
《個保法》從法律條款、要求層面約束了企業,而非指導企業如何去做。因此企業在考慮合規和合理使用個人信息數據時,可以參考相關的行業標準、國際標準,例如ISO于2019年發布的隱私信息管理體系(ISO/IEC 27701:2019)。
該體系在著名的ISO/IEC 27001信息安全管理體系基礎上進行擴展,特別強調如何進行個人信息隱私保護的管理。組織可參考此類體系標準,形成自有的企業運行制度、作業指導文件,以符合法律法規的要求。
Intertek將持續關注《個保法》出臺后的執法趨勢,并進行相應解讀,為企業合規提供更加有效的幫助。《個保法》專題系列,后續將帶你深入了解個保法的框架、個保法與GDPR的比較、從隱私信息管理體系規劃實現個保法合規等,敬請關注。
想繼續了解和學習企業IT管理標準化
掃描二維碼訂閱天祥信息安全相關資訊,即可加入Intertek信息安全社區平臺,國內外標準一手掌握。更有不定期信息安全資料包更新,免費研討會門票、培訓優惠等信息。
關于Intertek天祥集團
Intertek是全球領先的全面質量保障服務機構,始終以專業、精準、快速、熱情的全面質量保障服務,為客戶制勝市場保駕護航。憑借在全球100多個國家的1,000多家實驗室和分支機構,Intertek致力于以創新和定制的保障、測試、檢驗和認證解決方案,為客戶的運營和供應鏈帶來全方位的安心保障。
詳情請登錄:www.sjbchjg.com
