官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
本文由 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
全国人大常委会于2021年8月20日审议通过了《个人信息保护法》,并将于11月1日生效。随着这一法律的实施,中国的数据保护立法体系日趋完备,形成了《网络安全法》、《数据安全法》、《个人信息保护法》及《关键信息基础设施安全保护条例》等为主体的法律框架,为中国数字化进程中的发展奠定了坚实的法律基础。
《个保法》从2018年首次列入立法规划到最终审议通过历经三年,经专家及社会各界充分讨论,最终采用了接近甚至超越欧盟通用数据保护条例(“GDPR”)的从严保护的立法模式,以“告知—同意”作为个人数据处理的合法性一般规则。
《个保法》的推出,将广泛且深刻地影响正在经历数字化转型中的所有企业、国家机关,及工作和生活中的每一个人。本文通过比较的方法,带领大家简要了解《个保法》强在哪,以及它将对企业及个人产生何种影响。
1. 《个人信息保护法》(“下称《个保法》”)强在哪?
1.1 《个保法》出台前酝酿时间充分,立法部门对各方利益有充分了解
时间 | 立法进程 |
2018年9月7日 | 《个人信息保护法》首次被列入十三届全国人大常委会立法规划 |
2019年10月 | 《个人信息保护法(专家建议稿)》完稿 |
2019年12月16日 | 经第十三届全国人民代表大会常务委员会第四十四次委员长会议原则通过,制定《个人信息保护法》被明确列入全国人大常委会2020年度立法工作计划 |
2020年6月1日 | 十三届全国人大常委会第五十八次委员长会议审议通过调整后的全国人大常委会2020年度立法工作计划,拟于2020年初次审议《个人信息保护法》 |
2020年10月13日至17日 | 《个人信息保护法(草案)》提请十三届全国人大常委会第二十二次会议初次审议 |
2020年10月21日 | 《个人信息保护法(草案)》在全国人大网公布,公开征求社会公众意见。征求意见截至今年11月19日 |
2021年4月26日至29日 | 《个人信息保护法(草案)》提请十三届全国人大常委会第二十八次会议第二次审议 |
2021年4月30日 | 《个人信息保护法(草案二次审议稿)》在全国人大网公布,征求意见截止日期:2021年5月28日 |
2021年8月17日至20日 | 《个人信息保护法(草案)》提请十三届全国人大常委会第三十次会议第三次审议 与今年4月提交审议的二次审议稿相比,草案作出六处主要修改,涉及个人信息处理规则、未成年人信息保护、个人信息跨境提供规则和个人信息可携带权等内容。 |
2021年8月20日 | 十三届全国人大常委会第三十次会议表决通过 |
1.2中国立法者最终选择最严保护立场
我们相信在长达近2年的立法进程中,利益相关各方的利益和意见均得到了充分阐述和平衡。
我们看到最终《个保法》通过的版本,立法者采取最严保护立场,我们的分析来自于以下比较:
1.2.1对标欧盟GDPR,美国加州的《加州消费者保护法案》(“CCPA”)以及最近通过的美国《统一个人数据保护法案》(“UPDBA”),我国采取的是较为宽泛的个人信息保护范围。
个人信息的定义范围比较
隐私法律 | 个人信息定义 | 备注 |
中国《个保法》 | “个人信息”是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。 | 2021.11.1 日正式实施 |
欧盟GDPR | 个人数据”指的是任何已识别或可识别的自然人(“数据主体”)相关的信息;一个可识别的自然人是一个能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。 | 2018.5.25日实施; EDPB不定期公布处罚案例 |
美国CCPA | “个人信息”系指直接地识别、关系到或可合理地连结到特定消费者或家庭的信息,包括但不限于以下内容: 诸如真实姓名、别名、邮政地址、社会安全号码、驾驶证号码、护照号码、商业信息、生物信息、电子网络活动信息、地理位置数据、音频、电子、视觉、热量、嗅觉或类似信息、职业或就业相关信息等。 | 2020年1月1日实施; 自2020年起,已有多起针对物联网非法收集个人数据的集体诉讼案例 |
美国UPDBA | “个人信息”是指记录或描述的与直接识别的数据主体或假名化的个人数据;但并不包括匿名化的信息。 | 自2021年7月11日起180天后生效执行 |
综合比较中国、欧盟、美国受保护的个人信息范围,相较于美国对于间接识别数据需要“合理关联”,中国和欧盟均采用直接或间接可识别到个人的信息均属于个人信息的范围。举例来说,美国CCPA把能通过联邦、州政府公共网站能查询到的物业信息、专业执照信息并不视为个人信息。
1.2.2个人信息技术处理要求
隐私保护法律 | 个人信息的技术处理要求 | 备注 |
中国《个保法》 | 匿名化技术:指个人信息经过处理无法识别特定自然人且不能复原的过程。个人信息只有使用匿名化技术,才能不被视为是个人信息。 去标识化技术:是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。 加密技术:是将明文信息改变为难以读取的秘文内容,使之不可读的过程。 | |
欧盟GDPR | 匿名化以及加密技术是数据处理合法性的基础 | 2018.5.25日实施; EDPB已公布关于地域适用的规则 |
美国CCPA | CCPA要求公司采用合理的安全技术来贯彻隐私保护计划;否则涉事企业将被处于每次违法7,500 USD法规处罚以及对被泄露的个人每人每次不超过750 USD的处罚 | 2020年1月1日实施; 自2020年起,已有多起针对物联网非法收集个人数据的集体诉讼案例 |
美国UPDBA | UPDBA采取数据安全的手段(包括物理安全、技术安全、行政安全以及防止非法授权访问的技术手段) | 自2021年7月11日起180天后生效执行 |
1.2.3 法律适用范围
各国法律 | 个保法管辖范围 | 备注 |
中国《个保法》 | 在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。 | 2021.11.1 日正式实施; 同样适用于非中国的国外公司,只要向境内自然人提供产品或服务;或有分析评估境内自然人的行为 |
欧盟GDPR | 1.本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。 | 2018.5.25日实施; EDPB已公布关于地域适用的规则 |
美国CCPA | CCPA适用于满足以下要求之一的加州盈利企业: - 年销售额达到2500万美元; - 买卖加州的个人信息达50,000 - 销售额的50%以上来自于销售加州居民的个人信息 | 2020年1月1日实施; 自2020年起,已有多起针对物联网非法收集个人数据的集体诉讼案例 |
美国UPDBA | UPDBA适用满足以下条件之一: - 每日历年保存州个人信息达50,000条(但单纯基于支付交易保存的个人信息除外) - 每日历年有50%的收入来自于所保留的个人信息 - 有上述情形之一的数据处理者 | 自2021年7月11日起180天后生效执行 |
通过上述比较分析,中国与欧盟GDPR一样都具有管辖外国公司的权利即《个保法》在满足上述情形下,也同样适用于外国公司;即不论是否数据控制者、处理者是否设立在中国在中国拥有经营实体。
2. 作为企业,《个保法》对您的企业会在哪些方面产生影响?
《个保法》中最令人印象深刻的内容之一,无疑是其与欧盟GDPR看齐的巨额处罚标准,即在情节严重的情形下,省级以上监管部门有权对违法企业,处以五千万元以下或者上一年度营业额百分之五以下罚款。因此,侵害个人信息权的违法后果是相当严重的。
除了巨额处罚外,《个保法》对企业未来的影响,还主要体现在以下方面的风险:
业务活动(产品设置)中的数据处理活动
员工数据的处理
涉及个人信息处理的业务合同条款
因公司合并、分立、解散、被宣告破产等原因需要转移个人信息的情形
自动化决策、人脸识别等技术的应用
敏感个人信息的特殊处理
跨境数据的处理方式
对个人信息权利的响应与保障
数据安全的组织、制度及流程建设、技术保障措施
作为重要互联网平台的特殊义务
配合监管部门的执法检查、处罚
3. 作为个人,您的哪些个人隐私权利需要特别留意?
3.1 特别关注对敏感个人信息的保护
因为这些信息一旦泄露或者非法使用,容易导致人身、财产安全受到较大的危害,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
3.2 了解、重视个人的信息主体权利
公民对其个人信息享有广泛的权利,包括:知情权、决定权、查阅和复制的权利、携带权、要求更正及补充的权利、删除权、请求解释权、诉讼权。 作为死者的近亲属,为了自身的合法正当利益,还可以对死者的个人信息行使一定的权利。只有在了解权利内容的基础上,个人才能更好地运用个保法保护自己的权益。
3.3 注意识别、防范侵犯个人信息的常见场景
建议公民个人对一些常见的侵害个人信息权的情形有所了解和防范:
如:某些应用程序超过必要范围,搜集大量个人信息。
如:有的物业公司、商铺滥用“人脸识别”技术,非法采集人脸信息。
又如:一些互联网平台,通过用户画像,对用户进行“大数据杀熟”,提供不合理的差别待遇。
还有:一些企业非法收集,甚至购买个人信息,进行毫无节制的信息推送、商业营销。
在这些典型场景下,公民个人都应当保持警惕,保护好自己的个人信息,勇于对各类违法违规行为说不。
3.4 了解个人权利救济的方式和渠道
《个保法》规定,任何个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。
履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。
个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。
在某些情形下,人民检察院、消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
已在FreeBuf发表 0 篇文章
- 0 文章数
- 0 关注者