背景:
“2020年10月21日,中国人大网公布《中华人民共和国个人信息保护法(草案)》(以下简称“《个人信息保护法(草案)》”)全文,并对其公开征求意见。《个人信息保护法(草案)》于2020年10月13日经第十三届全国人大常委会第二十二次会议进行了初次审议。
作为首部专门规定个人信息保护的法律,《个人信息保护法(草案)》在正式出台后,将成为个人信息保护领域的“基本法”。《个人信息保护法(草案)》全文共八章,内容包括总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任和附则。”
————摘自律所解读,这个网站对于70条法律条款都给予一一解读,这里将不再搬运。
首先明确个人信息是什么?
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
已识别指的是例如身份证号这种唯一识别个人的信息;而可识别指的是与特定个人关联的信息。若干可识别信息可以结合转化为已识别信息。
草案中还有敏感个人信息的概念:一旦泄漏对个人有严重危害的个人信息。包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户和个人行踪等。
从企业的角度,可能在意的点做一个思考。首先作为一个盈利性机构,资金方面的考量是首要了解的。其次,作为信息处理方,如何操作才是合法的?有无例外情况考虑?对于外企来说,涉及到境外信息及处理,该遵循哪些法律法规?下面来一一解答。
先说处罚:违反的职责部门没收违法所得并警告;警告后不改正的100万以下罚款;并对负责人罚款1-10万元;情节严重的没收所得,5000万以下/上年度营业额5%以下罚款,暂停整顿,并对负责人罚款10-100万。
那么如何做才能避免处罚?首先要获取信息主体的同意。
(条目摘自德勤)
当然也有例外情况,例如需要配合公安机关确认恐怖分子信息时是不需要提前通知主体的。
获取同意后就到了处理环节。处理得有明确、合理的的目的,且涉及的个人信息是处理所需最小范围的,而且信息得是准确、及时更新的;处理规则透明、公开,包括自动化决策。
在信息处理的时候提到去标识化,那么这一概念和匿名、脱敏是什么关系呢?
匿名化后的数据已不具备和主体关联的属性,而去标识化的数据联合其他信息还是可以关联到个人的,且针对对象是个人信息数据。脱敏是更广泛的数据保护操作,包括去标识化,针对对象是敏感数据。
若是交由第三方来处理个人信息,还得通知个体第三方的身份、联系方式、处理目的、处理方式和信息的种类,并且得取得个人的单独同意。
在处理已公开的个人信息时,也要注意:处理目的应该符合该信息被公开时的用途,超出与该用途相关的合理范围时应当依法告知个人并取得其同意。
另外数据的生命周期也是需要关注的点,其保存期限应当为实现处理目的所必要的最短时间;在对个人信息处理活动前进行风险评估,且评估报告和处理记录保存至少三年。
若万一信息泄漏,应立即采取补救措施并通知职责部门和个人,通知事项包括:泄漏原因,信息种类及可能造成的伤害,已经采取的补救措施,个人可采取的减轻损失的措施以及处理者的联系方式。若处理者采取措施可有效避免泄漏危害的课不告知个人。
除了企业的角度,还有个人信息保护职责部门的角度。
什么是个人信息保护职责部门呢?——中央层面有网信部、国务院各部门;地方层面有县级以上地方人民政府有关部门。
要做什么呢?大体来讲:开展宣传教育、指导、监督处理与保护,接受投诉、举报,调查、处理违反草案的活动,中央层面还有制定规则、标准的特殊职责。
以上是基于目前认知的一些总结,望指正。