《个人信息保护法(草案)》视野下企业合规要点略览

来源:天元律师

文章摘要
近日,《中华人民共和国个人信息保护法(草案)》正式提交全国人大常委会审议。

近日,《中华人民共和国个人信息保护法(草案)》正式提交全国人大常委会审议。在《中华人民共和国个人信息保护法(草案)》(以下简称“草案”)出台前,我国个人信息保护相关规定散落于刑法、民法、各单行法、部门规章、以推荐性的国家标准、行业标准间。而《草案》的出台也将弥补了尚没有一部专门法律可以为个人信息提供直接法律保护的缺憾。尤其在数字经济时代,《草案》的出台也应引起正在进行数字化转型的企业关注,其对于企业进行个人信息合规建设具有重要的参考和指引性作用。
〔一〕我国个人信息保护规范的历史沿革

〔二〕《个人信息保护法(草案)》的主要内容
《草案》属于《立法法》规定的基本法律之外的法律,其位阶决定了法律条文的原则性,并为未来制度设立确立方向和预留空间。草案一共分为八章七十条,详细内容如下:分别为第一章为“一般规定”,主要规定了立法目的、个人信息的定义、适用范围以及基本原则等内容。第二章为“个人信息处理基本规则”,分三节对个人信息处理的一般规定、敏感个人信息的处理以及国家机关处理个人信息的特别规定予以明确。第三章为“个人信息跨境提供的规则”,对于跨境提供个人信息的合规要件、处理规则、合规例外、国际协助处理规则作出规定。第四章为“个人在个人信息处理获得中的权利”,对知情权、决定权、查阅复制权、更正补充权、删除权、解释说明权的内涵进行细化。第五章为“个人信息处理者的义务”规定了个人信息处理者的一般安全义务、数据保护官规则、风险评估规则和泄露信息及时报告义务。第六章为“履行个人信息保护职责的部门”,确立网信办为主导的个人信息保护行政监管体系,并细化相应部门职责。第七章为“法律责任”,从民事责任、行政责任、刑事责任三个方面对违法收集、处理和利用个人信息行为应承担的法律责任及承担进行规定,并创设个人信息保护领域的公益诉讼制度。第八章为“附则”,规定了适用《草案》的例外情形以及相关名词定义。
〔三〕《草案》正向维度规定了处理个人信息规则
《草案》为个人信息处理者处理个人信息提供了明确指引,其不仅确立了个人信息处理应遵循的原则,还对如何进行个人信息处理进行了详细规定。《草案》明确了以“告知—同意”为核心的合法性基础,并且设置了特殊的同意规则。《草案》同时强调处理个人信息的合法正当原则、目的明确原则、最小必要原则、公开透明原则、信息准确原则等。并且,从个人信息生命周期的角度,《草案》对包括处理、存储、公开、委托处理、共同处理、转移、对外提供等各项环节提出了要求,并对公共场所视频采集及使用、自动化决策等当前热点技术的运用进行了规定。

个人信息的跨境流动不仅涉及个人的信息安全甚至可能涉及国家安全,因此对个人信息跨境需要格外关注。《草案》规定个人信息以存储在境内为原则,在满足一定条件时才可以进行个人信息的跨境提供,首先必须将信息接收方相关信息告知个人并取得个人单独同意,并且针对不同情况还需要额外进行安全评估或者向相关部门申请批准等流程。

〔四〕《草案》从赋予信息主体权利的维度对处理个人信息提出了规则要求
《草案》明文确定了信息主体享有个人信息处理的知情权、决定权,除此之外,个人还享有查询复制其个人信息、更正错误或者不完整信息、要求删除以及要求解释说明个人信息处理规则等权利。并且,《草案》要求个人信息信息处理者建立个人行使权利的申请受理和处理机制。因此,企业应当遵守规定,根据公民个人信息权利内容的具体要求,保护信息主体权利。

〔五〕《草案》从制度保障和安全保障的维度对处理个人信息提出了规则要求
《草案》不仅对信息主体的权利、企业处理各个阶段的义务进行了规定,《草案》的内容还涵盖了企业整体的制度管理、人员管理等的各个方面,并且从这些方面规定了个人信息处理者的义务。包括明确了个人信息处理者的合规管理、保障个人安全的义务;要求其按照规定制定内部管理制度和操作规程,采取相应的安全技术措施;并指定负责人对其个人信息处理活动进行监督,定期对其个人信息处理活动进行合规审,对处理敏感个人信息、向境外提供个人信息等高风险处理活动,进行事前风险评估,履行个人信息泄露通知和补救义务等。

〔六〕《草案》明确了责任规则
《草案》规定了个人信息处理者的行政、民事、刑事三个层面的责任,很多内容具有突破性和创新性,并注意与其他法律规定进行衔接,构建了个人信息保护的责任规则。

技术驱动法律,专业成就未来