freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

网络安全与数据合规|解析《个人信息保护法(草案)》(下)
2020-11-17 11:22:52

导语:2020年10月21日,《个人信息保护法(草案)》(以下简称《草案》)出台,意味着我国的个人信息保护法制迈上新征程。《草案》的出台不仅顺应了互联网产业迅速发展的趋势,也符合了国家重视数字经济的政治要求,同时也是公众面对数据泄露等问题的殷切希望。从内容上看,《草案》中不仅借鉴了国外成熟的立法经验,还结合了我国目前的发展需求,同时也对技术发展等未知领域保持了包容的态度,以积极的态度面对技术带给我们的新机遇。

继上篇对《草案》的基本制度的总结,我们对《草案》的立法精神已有大致了解,下篇主要是对企业(即草案中的个人信息处理者)相关规定的梳理,并且以表格的形式列举出来,希望通过本次总结对企业的数据合规工作有所参考。同时将《草案》中关于国家机关以及处罚的规定列明,保证企业对惩治措施有所了解,进行权衡。

一、明确个人信息处理者的责任承担

区别于GDPR中的将信息处理主体分为控制者和处理者,《草案》延续我国法律的一贯规定,仅规定了个人信息处理者(《草案》第六十九条)。而企业最关注的信息处理主体的责任承担,在《草案》中也根据不同的情形做出了规定。本文将列举“共同处理”和“委托处理”两种情形,并与GDPR的相关规定进行对比如下。

1605583126_5fb34116b298fa3c9bfcf.png!small

通过上图对比我们发现,《草案》与GDPR的立法精神基本一致。其实,关于这两种情形在《信息安全技术 个人信息安全规范(GB/T 35273—2020)》(以下简称《个人信息安全规范》)已有详细规定,而且新版《个人信息安全规范》在今年10月1日的已经生效。《草案》的相关规定较之而言更为简练,这也是本次《草案》的一个立法精神,即面对变化较快的信息产业,在相关规定从行业规范上升到法律层面上,需要保持一定的谦抑性,不宜在法律这一效力层级上设置太多桎梏。

而关于“委托处理“以及“向第三方提供”两种行为更详尽的解读,可以参见网络安全与数据合规|“第三方”数据处理下的隐私政策合规风险。

二、明确个人信息处理者应承担的法定义务

《草案》作为我国个人信息安全方面的第一部专项法律,不仅要创设一些新制度,更要对目前我国个人信息安全方面的相关规定做以梳理,对我国目前的个人信息安全工作做以指导。其中有不少关于个人信息处理者的规定,是对我国个人信息处理者的直接要求,这也成为企业自身合规工作的重要参照。而之前企业的合规工作和体系建设基本都是参照《个人信息安全规范》,我们现在将二者以及GDPR的相关规定进行对比,给企业合规做出更明确的指引。

1605583205_5fb3416501dea10da03af.png!small1605583226_5fb3417aad2cd561b2f24.png!small1605583248_5fb3419080bd33fa0a51f.png!small

三、规制国家机关的处理行为

除了上述对常规意义上的个人信息处理者行为以及责任的规定,《草案》也在第二章第三节,对国家机关处理个人信息做出了特别规定。总体来看,国家机关的个人信息处理行为并无特别大的不同,仅在部分情况下有额外规定。所以,本节更多是宣示性的作用,保证了国家机关的行为也处于法律的界限内,这也是对疫情期间公众对于个人信息担忧的回应。关于国家机关的规定列明如下图:

1605583293_5fb341bd675369f778a77.png!small

四、处罚加重+公益诉讼,双向保障个人信息安全

(一)采取多种处罚措施惩治违法行为

1.经济处罚违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,拒不改正的,处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款。

2.限制资格。情节严重的可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。

3.计入诚信档案。有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。

4.与刑事责任接壤。违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

(二)规定“公益诉讼”保障信息权利主体的合法权益

个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼。

五、总结与展望

回顾草案,其中仍有不少亮点值得回味。无论是对“唯一同意原则”的有限突破还是对“人物画像”的有关规定,都有利于信息产业的发展,同时在引入了公益诉讼后,又加大了各项处罚力度,其中个人信息权利与发展相关产业的权衡也在《草案》中时时体现,总结起来,本次《草案》的热点如下:

(一)吸取国外成熟的立法经验,个人信息安全作为全球共同关注的话题,世界各地在诸多方面的担忧是一致的,及时跟上国外的立法动态,并结合我国的实际情况进行调整,不仅有利于我国迅速形成自身的特色个人信息保护法制体系,也有助于我国在“走出去”战略下与国际上相关规定及逆行接轨;

(二)反观国内,现行除了《民法典》的规定外,大多可操作的指南与规范大都是行业标准,甚至有些只是推荐行标准,这为我国企业的合规体系建设造成了阻碍,也给执法机关把握处罚尺度造成难题。现在将相关规定上升到法律层面,不仅为企业和监管机关指引了方向,也有助于目前国内各地不同数据政策的统一调整。

(三)充分尊重新技术的发展,对新事物保持开放包容的态度。虽然《草案》对国内目前各项标准和规范都有所涉及,但我们总结可以发现《草案》的立法原旨是“宜粗不宜细”,不希望通过法律层面过多限制新技术的发展,而是把握底线,交给行业规范等来进行动态调整,这不仅鼓励了新技术的开拓创新,也保证了《个人信息安全保护法》无需轻易变动,保持了法律的权威性,同时体现了《个人信息安全保护法》在此处的谦抑性,这也是我国在面对信息时代,个人信息安全与信息红利两手抓的思想精神。

总体来说,本草案的制定总体来看是很不错的,也迎合了我国亟待个人信息保护专项法律的需求,形成了《民法典》、《个人信息保护法》、以及各项规范互相补充的完整立法体系,使我国的个人信息保护法制走向了新篇章。相信《个人信息保护法》出台之后,我们的数字经济在它的加持下将会有光明的未来。

往期 · 推荐

IDC|IDC企业开展REITs融资时的项目合规审查

IDC|数据中心机房评测到底怎么做?

IDC|供电方案,合规要趁早

IDC|碳排放,绿色数据中心不得不重视的问题

网络安全与数据合规|“第三方”数据处理下的隐私政策合规风险

网络安全与数据合规|解析《个人信息保护法(草案)》(上)

网络安全与数据合规|“避风港原则”的新起点

网络安全与数据合规|乘风破浪,再溯数据出境

《基础设施REITs指引》落地!哪些方面作了较大调整

标票首批14产品落地,供应链ABS融资模式将受冲击

REITs新规,构建“公募基金+ABS+底层资产”产品模式

债务融资工具新规,“分层分类”管理模式升级


# 数据安全 # 个人信息保护 # 个人信息保护法 # 个人信息安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录