解读《个人信息保护法》:为个人信息安全防护构筑坚实的法律基础
来源:天融信教育
2021年8月20日,十三届全国人大常委会第三十次会议通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),自2021年11月1日起施行。《个人信息保护法》坚持和贯彻以人民为中心的法治理念,是保障中国公民切身利益的重要法律制度,意义重大。该法表明中国个人信息保护从无法可依的初级状态进入到依法治理的高级阶段,在网络治理的层面构筑中国网络空间良好生态。该法顺应世界趋势,在国家数字经济发展层面对于中国网络信息产业全球化进程、参与国际博弈意义重大。
《个人信息保护法》与已经颁布的《网络安全法》和《数据安全法》是我国数据安全领域法律体系的"三驾马车”,共同构筑我国数字经济时代的法律基石。《个人信息保护法》全文共八章、七十四条,在相关法律体系基础上完善个人信息保护原则和个人信息处理规则。《个人信息保护法》确立处理个人信息应遵循的主要原则:合法、正当、最小必要、诚信、最短时间、目的明确合理等。
《个人信息保护法》主要内容
内容要点
《个人信息保护法》明确个人信息处理中不同主体权利义务边界,健全相关工作体制机制。《个人信息保护法》主要包括个人信息保护的界定、规范个人信息跨境保护、个人信息处理者的保护义务、履行个人信息保护职责的部门等几个方面的内容。
个人信息保护相关方角色
01 个人信息保护的界定
个人信息保护的界定涉及到个人信息及敏感个人信息、个人信息的处理及处理规则、个人在个人信息处理活动中的权利等方面,是开展个人信息保护要明确的基础性问题,《个人信息保护法》对此做了明确规定。
个人信息及敏感个人信息方面:《个人信息保护法》第四条定义“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”,第二十八条定义“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。敏感个人信息主要涉及医疗、公安、金融、电信、教育、交通等行业,处理时要求采取更加严格的保护措施。
敏感个人信息
个人信息的处理:《个人信息保护法》第四条定义“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”,覆盖个人信息的全生命周期。个人信息一旦产生,在其全生命周期内,直至其彻底删除之前,均处于《个人信息保护法》的保护框架之内。
个人信息的处理规则:在以下情形下,个人信息处理者方可处理个人信息,包括取得个人的同意;订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;为履行法定职责或者法定义务所必需;应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;依法在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;法律、行政法规规定的其他情形。个人信息处理者应当在履行告知义务,并在个人充分知情、自愿、明确同意处理个人信息的情况下才能处理个人信息。
个人在个人信息处理活动中的权利:个人对其个人信息的处理享有知情权、决定权。《个人信息保护法》规定除法律法规规定的例外情况,个人拥有个人信息的转移、更正、补充、删除等的权力。《个人信息保护法》第四十七条规定了个人信息处理者应当删除个人信息的条件,包括处理目的已实现、无法实现或者为实现处理目的不再必要;个人信息处理者停止提供产品或者服务,或者保存期限已届满;个人撤回同意;个人信息处理者违反法律、行政法规或者违反约定处理个人信息;法律、行政法规规定的其他情形。以上规定防止个人信息被过度处理。
02 规范个人信息跨境保护
为应对个人信息跨境流动不可避免、规模迅速扩大的趋势,《个人信息保护法》适应形势,对个人信息跨境提供进行全面的规范,主要包括以下几方面:
一是严格确定对境外提供个人信息的条件。必须满足以下四个条件之一:通过国家网信部门组织的安全评估、按照国家网信部门的规定经专业机构进行个人信息保护认证、按照国家网信部门制定的标准合同与境外接收方订立合同约定双方的权利和义务、法律行政法规或者国家网信部门规定的其他条件。此外,非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。
二是明确了在对外提供个人信息过程中的个人信息处理者的义务。《个人信息保护法》第三十八条规定“个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”,规定个人信息处理者是保障境外接收方遵循本法的责任主体,履行保护个人信息的义务。第三十九条规定“应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意”,突出了个人信息处理者的告知义务。第四十条规定“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估”,强调了关键信息基础设施运营者向境外提供个人信息之前应当先通过国家网信部门组织的安全评估。
此外,对于来自境外侵害我国公民个人信息权益以及国家利益的个人信息处理活动,《个人信息保护法》还规定了黑名单制度并保留国家层面的采取对等措施的权力。
《数据安全法》第十一条、第三十六条对于数据出境也做了相应规定。目前,《个人信息出境安全评估办法(征求意见稿)》正在积极制定之中,这个文件对于出境申报评估要求、评估内容、个人信息出境记录、出境协议内容、各方权利义务要求、个人信息安全风险及安全保障措施等将做出明确详细的规定,加速促进个人信息出境的落地。
03 个人信息处理者的义务
个人信息处理者是个人信息保护责任人,对个人信息处理活动负责。《个人信息保护法》规定了个人信息处理者应当采取的个人信息保护措施、个人信息保护影响评估的条件和内容、特定个人信息处理者应当履行的义务等。
首先,《个人信息保护法》规定个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取以下措施确保个人信息处理活动符合法律、行政法规的规定,防止未经授权的访问以及个人信息泄露、篡改、丢失。
个人信息处理者应当采取的措施
对一些特定的个人信息保护措施《个人信息保护法》进行了规定:处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人负责监督;境外的个人信息处理者应当在中华人民共和国境内设立专门机构或者指定代表以负责处理个人信息保护相关事务;个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
其次《个人信息保护法》还规定了必须进行个人信息保护影响评估的情形、个人信息保护影响评估的内容。个人信息保护影响评估的情形包括:处理敏感个人信息;利用个人信息进行自动化决策;委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;向境外提供个人信息;其他对个人权益有重大影响的个人信息处理活动。个人信息保护影响评估的内容包括:个人信息的处理目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应。通过个人信息保护影响评估发现并规避潜在风险。
此外,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:建立健全个人信息保护合规制度体系,成立独立机构对个人信息保护情况进行监督;制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告。通过以上措施对特定个人信息提供者起到监督规范的作用。
《数据安全法》第二十七、二十九、三十等条明确数据处理者对数据处理过程的安全保护义务,在组织、制度流程、技术措施、人员等方面全面建设有效防护体系,要求采取分级分类、风险评估、身份鉴权、访问控制、追踪溯源、应急响应等安全措施。
04 履行个人信息保护职责的部门职责
《个人信息保护法》对履行个人信息保护职责的部门的职责进行了细化,强化保护工作的组织管理基础。主要包括部门权限分工、保护职责、相关工作等。
一是部门权限分工,负有个人信息保护职责的部门包括:国家网信部门、国务院有关部门、县级以上地方人民政府有关部门。其职责划分如下图所示:
履行个人信息保护职责的部门职责
二是履行个人信息保护职责的部门职责:开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;接受、处理与个人信息保护有关的投诉、举报;组织对应用程序等个人信息保护情况进行测评,并公布测评结果;调查、处理违法个人信息处理活动;法律、行政法规规定的其他职责。
三为落实《个人信息保护法》,国家网信部门负有推进相关工作的责任:制定个人信息保护具体规则、标准;针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等的新技术、新应用,制定专门的个人信息保护规则、标准;支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;完善个人信息保护投诉、举报工作机制。我国尚没有制定个人信息保护的全国性标准,除金融等少数行业制定了针对个人信息保护的相关标准以外,其他主要行业未有行业性标准规范,制定与个人信息保护相关的标准规范成为当务之急。
展望
《个人信息保护法》提出个人信息保护的具体要求,规定了适用范围、工作原则以及对处理者的处罚措施,明确相关方的责任和义务,以及保障和促进措施,为个人信息保护工作提供了有力的法律支撑,备受网络安全行业从业者的关注。国家及行业相关部门将依据《个人信息保护法》制定个人信息保护标准规范制度和实施细则,相关企业及组织可以依据要求,在数据安全治理的统一框架下进行个人信息保护的组织、管理制度、技术体系、运营体系全面建设。
天融信个人信息保护解决方案思路
天融信以《网络安全法》、《数据安全法》、《个人信息保护法》等合规性要求为基础,以保护敏感数据为核心,做好分类分级管理,基于数据安全治理过程,构建包括个人信息在内的数据全生命周期统一保护体系。在数据安全治理统一框架下,通过“识别个人信息及安全风险、构造个人信息安全治理架构、建设个人信息安全治理制度、管控个人信息安全风险、安全防护”等步骤实现个人信息保护能力落地,采用脱敏、去标识化、加密、隐私计算等多种新技术保护个人信息安全,积极应对个人信息安全风险与挑战。
扫描下方二维码
了解更多详情