2021年8月20日,《个人信息保护法》正式通过,将于2021年11月1日起施行。这是国内首部针对个人信息保护的专门性法律,其赋予个人信息主体多项权益,明确履行个人信息保护职责的部门,指导企业、国家机关等个人信息处理者在个人信息保护的前提下进行各项个人信息处理活动。本文梳理了《个人信息保护法》(下称“《个保法》”)生效后,个人信息处理者需重点落实的八项工作,以供参考。然而,履行个人信息保护义务,并非完成这几项工作即可,个人信息保护工作需融入个人信息处理者日常运营的方方面面,不同的个人信息处理者所需承担的个人信息保护义务也不尽相同。
一 、遵循必要原则,梳理产品和服务必要个人信息
《个保法》规定处理个人信息应遵循必要原则,在处理个人信息前应具有明确、合理的目的,在实现处理目的的最小范围内收集个人信息,并采取与处理目的直接相关,对个人权益影响最小的方式进行个人信息处理活动。同时,个人信息的保存期限亦应为实现处理目的所必要的最短时间。此外,针对敏感个人信息,《个保法》第二十八条强调,只有在具有特定目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。换言之,从收集到删除的各个个人信息处理环节均应严格遵守必要原则,不得超出实现处理目的的最小范围。
因此,个人信息处理者需在事先根据其提供的产品或服务明确个人信息处理目的,并围绕该目的进行个人信息处理活动。以App运营者为例,其需在App中区分基本业务功能和拓展业务功能所需的个人信息。在个人信息主体拒绝App拓展业务功能的个人信息收集请求时,不得停止基本业务功能的运行。2021年5月1日,网信办、工信部、公安部与国家市监局联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》正式生效。这一文件为个人信息处理必要原则的具体落实,对地图导航类、网络约车类、房屋租售类、二手车交易类、问诊挂号类、女性健康类、用车服务类、输入法类、演出票务类等三十九类App的基本功能服务与必要个人信息进行明确。App运营者可参考该文件梳理自身提供产品和服务所需处理的个人信息。
二、落实告知义务,获取有效合法性基础
除个人信息主体或监护人同意外,《个保法》还设置了数项其他个人信息处理的合法性基础,减轻了个人信息处理者的同意获取成本,一定程度上放宽了个人信息的处理限制,有利于平衡个人信息保护和利用间的利益冲突:
(1)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(2)为履行法定职责或者法定义务所必需;
(3)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(4)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(5)依照《个保法》规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(6)法律、行政法规规定的其他情形。
然而,不可否认的是,“告知-同意”仍是我国个人信息处理最重要的合法性基础,《个保法》还对某些特殊场景提出了获取单独同意的要求:
具体场景 | 《个保法》 对应条文 |
个人信息处理者向其他个人信息处理者提供其处理的个人信息 | 第二十三条 |
个人信息处理者公开其处理的个人信息 | 第二十五条 |
在公共场所安装图像采集、个人身份识别设备所收集的个人图像、身份识别信息用于维护公共安全以外的目的 | 第二十六条 |
处理敏感个人信息 (法律、行政法规规定处理敏感个人信息应取得书面同意的,从其规定) | 第二十九条 |
个人信息处理者向中华人民共和国境外提供个人信息 | 第三十九条 |
法律、行政法规规定处理个人信息应取得个人单独同意或者书面同意 | 第十四条 |
《个保法》要求基于个人同意处理个人信息的,该同意应由个人在充分知情的前提下自愿、明确作出,而个人充分知情的前提在于个人信息处理者以显著方式、清晰易懂的语言真实、准确、完整地向个人告知。《个保法》针对不同场景提出了告知要求:
具体场景 | 告知内容 | 《个保法》 对应条文 |
一般个人信息处理活动 | (1)个人信息处理者的名称或者姓名和联系方式; (2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限; (3)个人行使《个保法》规定权利的方式和程序; (4)法律、行政法规规定应告知的其他事项。 | 第十七条 |
处理个人信息达到国家网信部门规定数量 | 个人信息保护负责人的联系方式 | 第五十二条 |
因合并、分立、解散、被宣告破产等原因需要转移个人信息 | 接收方的名称或者姓名和联系方式 | 第二十二条 |
向其他个人信息处理者提供其处理的个人信息 | 接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类 | 第二十三条 |
处理敏感个人信息 | (1)个人信息处理者的名称或者姓名和联系方式; (2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限; (3)个人行使《个保法》规定权利的方式和程序; (4)处理敏感个人信息的必要性以及对个人权益的影响 (5)法律、行政法规规定应告知的其他事项。 | 第三十条 |
处理不满十四周岁未成年人个人信息 | 制定专门的个人信息处理规则 | 第三十一条 |
向中华人民共和国境外提供个人信息 | 境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项 | 第三十九条 |
告知事项变更 | 将变更部分告知个人 | 第十七条 |
根据《个保法》第四十四条规定,个人对其个人信息处理享有知情权和决定权,有权限制或者拒绝他人对其个人信息进行处理。因此,即使个人信息处理者是依据《个保法》第十三条除同意以外的其他合法性基础进行个人信息处理活动,若非《个保法》第十八条第一款或第三十五条规定的应当保密、不需要告知或告知将妨碍国家机关履行法定职责等情形,在处理活动开展前依据《个保法》向个人进行告知更为妥当。
三、制定内部管理制度和操作规程,采取必要安全保护措施
个人信息滥用和个人信息泄露是个人信息保护所面临的两大问题,个人信息滥用问题的解决要求个人信息处理者严格遵循必要原则,而个人信息泄露问题的解决则需个人信息处理者采取必要的安全保障措施。
个人信息处理者一般同时属于网络运营者与数据处理者,需履行《网络安全法》《数据安全法》等法律法规设置的各项义务,比如落实网络安全登记保护制度和数据分类分级管理,并建立全流程数据安全管理制度。在此基础上,针对个人信息保护,个人信息处理者还应根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
具体要求 | 《个保法》 对应条文 | |
1. 制定内部管理制度和操作规程 | ||
一般制度 | (1)内部个人信息处理制度; (2)员工个人信息保护制度; (3)个人信息出境管理制度; (4)其他内部管理制度和操作规程 | |
定期合规审计制度 | 定期对个人信息处理者处理个人信息遵守法律、行政法规的情况进行合规审计 | 第五十四条 |
个人信息保护影响评估制度 | 有下列情形之一的,个人信息处理者应事前进行个人信息保护影响评估,并至少保存个人信息保护影响评估报告和处理情况三年: (1)处理敏感个人信息; (2)利用个人信息进行自动化决策; (3)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息; (4)向境外提供个人信息; (5)其他对个人权益有重大影响的个人信息处理活动 | 第五十五条 |
2. 采取安全技术措施 | ||
采取相应的加密、去标识化等安全技术措施 | (1)对个人信息实施分类管理; (2)根据个人信息的敏感程度、自身业务需求和技术能力采取不同的个人信息保护技术措施 | 第五十一条 |
合理确定个人信息处理的操作权限 | (1)根据个人信息分类管理要求,部门及岗位职责设计不同的个人信息处理权限; (2)与可接触、处理个人信息的岗位人员(比如财务人员、档案管理人员、人事部员工等)签署保密协议 | 第五十一条 |
建立个人信息安全事件应急响应机制 | 1. 制定并组织实施个人信息安全事件应急预案; 2. 发生或者可能发生个人信息泄露、篡改、丢失时,立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应包括下列事项: (1)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害; (2)个人信息处理者采取的补救措施和个人可采取的减轻危害的措施; (3)个人信息处理者的联系方式。 个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。 | 第五十一条 第五十七条 |
3. 定期对从业人员进行安全教育和培训 | ||
4. 做好个人信息保护措施采取留痕工作 | ||
《个保法》对于违反该法规定处理个人信息,或者处理个人信息未履行该法规定的个人信息保护义务的行为设置了严厉的惩罚。[1]同时,若处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应承担损害赔偿等侵权责任。因此,个人信息处理者不仅应遵守《个保法》等相关法律法规处理个人信息,还需在履行个人信息处理义务过程中做好留痕工作,以应对与个人信息处理活动相关的监管或诉讼活动。
四、建立健全个人行使权利响应机制
《个保法》以专章形式确定了个人在个人信息处理活动中的各项权利,并明确个人信息处理者应建立便捷的个人行使权利的申请受理和处理机制。个人信息处理者拒绝个人行使权利的请求的,应说明理由。
个人在个人信息处理活动中的权利 | 个人信息处理者的响应义务 | 《个保法》 对应条文 |
【撤回同意权】 基于个人同意处理个人信息的,个人有权撤回其同意。 个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力 | 提供便捷的撤回同意的方式 | 第十五条 |
【知情权、决定权】 对其个人信息的处理享有知情权、决定权,限制或者拒绝他人对其个人信息进行处理 | 向个人信息主体履行告知义务,根据个人的要求停止全部或部分个人信息处理活动 | 第四十四条 |
【查阅权、复制权】 向个人信息处理者查阅、复制其个人信息 (有《个保法》第十八条第一款[2]、第三十五条[3]规定情形的除外) | 及时提供 | 第四十五条 |
【数据可携权】 将个人信息转移至其指定的个人信息处理者 | 符合国家网信部门规定条件的,应提供转移途径 | 第四十五条 |
【更正权】 要求对不准确或不完整的个人信息进行更正、补充 | 对其个人信息予以核实,并及时更正、补充 | 第四十六条 |
【删除权】 要求删除个人信息 | 有下列情形之一的,个人信息处理者应主动删除个人信息;个人信息处理者未删除的,个人有权请求删除: (1)处理目的已实现、无法实现或者为实现处理目的不再必要; (2)个人信息处理者停止提供产品或者服务,或者保存期限已届满; (3)个人撤回同意; (4)个人信息处理者违反法律、行政法规或者违反约定处理个人信息; (5)法律、行政法规规定的其他情形。 法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应停止除存储和采取必要的安全保护措施之外的处理。 | 第四十七条 |
【要求说明】 要求个人信息处理者进行解释说明 | 应个人要求对其个人信息处理规则进行解释说明 | 第四十八条 |
【拒绝自动化决策】 拒绝个人信息处理者仅通过自动化决策的方式作出决定 | (1)保证自动化决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇; (2)同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式; (3)应个人要求对通过自动化决策方式作出对个人权益有重大影响的决定进行说明,并停止仅通过自动化决策作出对个人权益有重大影响的决定 | 第二十四条 |
【死者的个人信息保护】 已死亡的自然人的近亲属对死者相关个人信息行使《个保法》规定的查阅、复制、更正、删除等权利 | 协助死者近亲属对死者个人信息行使查阅、复制、更正、删除等权利,死者生前另有安排的除外。 | 第四十九条 |
五、落实向第三方提供个人信息的保护义务
目前个人信息滥用主要的表现形式之一即为个人信息处理者在个人不知情的情况下,向第三方提供个人信息,或第三方超出个人同意的范围处理个人信息,由此侵害了个人信息权益。《个保法》区分了多个个人信息处理者、委托处理、向第三方提供以及原个人信息处理者合并、分立、解散、被宣告破产的情况,对原个人信息处理者及第三方的义务做出规定。
个人信息处理者义务 | 第三方义务 | 《个保法》 对应条文 | |
两个以上个人信息处理者共同决定个人信息的处理目的和处理方式 | (1)向个人告知; (2)约定各自的权利和义务,该约定不影响个人向其中任何一个个人信息处理者要求行使《个保法》规定的权利; (3)侵害个人信息权益造成损害的,依法承担连带责任 | (1)根据约定处理个人信息; (2)响应个人的权利行使请求; (3)侵害个人信息权益造成损害的,依法承担连带责任 | 第二十条 |
委托处理个人信息 | 1.向个人告知; 2.事前个人信息安全影响评估; 3.与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务; 4.对受托人的个人信息处理活动进行监督 | (1)按照约定处理个人信息; (2)委托合同不生效、无效、被撤销或者终止的,将个人信息返还个人信息处理者或者予以删除,不得保留; (3)未经个人信息处理者同意,不得转委托 (4)采取必要措施保障所处理的个人信息的安全; (5)协助个人信息处理者履行《个保法》规定的义务 | 第二十一条 第五十五条 |
个人信息处理者因合并、分立、解散、被宣告破产等原因需转移个人信息 | 向个人告知 | (1)继续履行个人信息处理者的义务; (2)变更原先的处理目的、处理方式的,重新取得个人同意 | 第二十二条 |
向其他个人信息处理者提供其处理的个人信息 | (1)向个人告知并获取单独同意; (2)事前个人信息安全影响评估 | (1)依据原个人信息处理者向个人告知的处理目的、处理方式和个人信息种类等范围内处理个人信息; (2)变更原先的处理目的、处理方式的,重新取得个人同意 | 第二十三条 第五十五条 |
此外,我们还应结合《儿童个人信息网络保护规定》《信息安全技术个人信息安全规范》(GB/T 35273-2020)《信息安全技术个人个人信息安全影响评估指南》(GB/T 39335-2020)《网络安全标准实践指南—移动互联网应用程序(App)中的第三方软件开发工具包(SDK)安全指引(供求意见稿)》的相关规定,完善向第三方提供个人信息时的保护工作。比如依据《儿童个人信息网络保护规定》,个人信息处理者委托第三方处理儿童个人信息的,应对受委托方及委托行为等进行安全评估,签署委托协议,明确双方责任、处理事项、处理期限、处理性质和目的等,委托行为不得超出授权范围。受委托方应履行以下义务:
(1)按照法律、行政法规的规定和网络运营者的要求处理儿童个人信息;
(2)协助网络运营者回应儿童监护人提出的申请;
(3)采取措施保障信息安全,并在发生儿童个人信息泄露安全事件时,及时向网络运营者反馈;
(4)委托关系解除时及时删除儿童个人信息;
(5)不得转委托;
(6)其他依法应履行的儿童个人信息保护义务。
个人信息处理者向第三方转移儿童个人信息的,还应自行或者委托第三方机构进行安全评估。
六、重视员工个人信息保护工作
员工个人信息保护工作是所有企业均需关注的问题,在某些To B的企业中,员工个人信息保护可能才是个人信息保护工作的重点。
虽然正式通过的《个保法》将“为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”作为个人信息处理的合法性基础,降低了企业向员工获取同意的成本和合法性风险,但这并不意味着企业可放松员工的个人信息保护工作。
由于员工作为个人信息主体拥有知情权,企业仍需履行《个保法》所要求的告知义务,及时在劳动合同或集体劳动合同,以及相关规章制度、员工手册中增加个人信息保护相关内容,明确向员工告知企业的个人信息处理规则,并设置便捷的员工行使权利的申请受理和处理机制。企业还应严格遵循必要原则,不得超出人力资源管理的必要处理员工个人信息。除了在制度制定、日常管理、对外提供等环节中落实员工个人信息保护义务,还需注意在应聘阶段及离职阶段对应聘者和离职员工的个人信息保护。
七 、合法合规向境外提供个人信息
个人信息的跨境提供一直是本领域的热门话题,从《网络安全法》明确关键信息基础设施运营者在中国境内运营中收集和产生的个人信息原则上应在境内存储,到《个人信息和重要数据出境安全评估办法(征求意见稿)》《信息安全技术数据出境安全评估指南(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》相继公开向社会征求意见,历经《个人信息保护法(草案)》的三次修订与审议,个人信息出境制度终于在《个保法》中明确建立。但其中还有很多配套制度需要完善,比如《个保法》第三十八条所规定的安全评估制度、个人信息保护认证制度以及标准合同的具体内容还有待进一步明确。
基本要求 | 《个保法》 对应条文 | |
(1)向个人告知并获单独同意; (2)通过国家网信部门组织的安全评估/经专业机构进行个人信息保护认证/按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务/具备法律、行政法规或者国家网信部门规定的其他条件; (3)事先进行个人信息保护影响评估; (4)采取必要措施,保障境外接收方处理个人信息的活动达到《个保法》规定的个人信息保护标准 | 第三十八条 第三十九条 | |
特别要求 | 《个保法》对应条文 | |
关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者 | (1)原则上将在中国境内收集和产生的个人信息存储在境内; (2)确需向境外提供的,应通过国家网信部门组织的安全评估(法律、行政法规和国家网信部门规定可不进行安全评估的,从其规定); | 第四十条 |
向外国司法或执法机构提供存储于境内个人信息 | 应经中华人民共和国主管机关批准 | 第四十一条 |
八、履行特殊个人信息处理者的额外义务
在一般个人信息保护义务的基础上,《个保法》还针对一些特殊个人信息处理者设置了额外要求:
特殊个人信息处理者 | 额外义务 | 《个保法》 对应条文 |
处理个人信息达到国家网信部门规定数量的个人信息处理者 | (1)指定个人信息保护负责人 (2)公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门 | 第五十二条 |
在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的个人信息处理者: (1)以向境内自然人提供产品或者服务为目的; (2)分析、评估境内自然人的行为; (3)法律、行政法规规定的其他情形 | (1)在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务; (2)将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门 | 第三条 第五十三条 |
提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者 | (1)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督; (2)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务; (3)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务; (4)定期发布个人信息保护社会责任报告,接受社会监督 | 第五十八条 |
结 语
以上的总结仅为抛砖引玉,篇幅所限,无法对个人信息处理者义务做一个事无巨细、面面俱到的介绍,在《个人信息保护法》生效后,个人信息处理者不可仅仅局限在《个保法》所设定的要求之中,亦仍需关注其他法律法规对于个人信息保护作出的规定。比如处理儿童信息的个人信息处理者不得忽视《儿童个人信息网络保护规定》的相关规定,应注意设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。
[1]《个人信息保护法》
第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
第六十七条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
第六十八条 国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。
[2]《个人信息保护法》
第十八条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。
[3]《个人信息保护法》
第三十五条 国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。
