个人信息保护法出台啦!

Posted by shentanli on August 22, 2021 · 1 min read

2021.8.20《个人信息保护法》通过了!

8.20号晚上到8.21号,各家公众号纷纷发文各种解读、企业落地办法。例如图解《个人信息保护法》及55条改动对比,从总则、处理、跨境、权利、义务、监管、罚则等方面解读了个保法。对于一些疑惑的点,以下摘录:

  1. 个保法强调“属地原则”:在境内处理个人信息的活动,受个保法制约;

  2. 个人信息保存期限最短必要:满足处理目的后尽快删除,但对于另有法规的情形,例如反洗钱法、电子商务法、证券法、证券投资基金法等,保存期限另有规定,应一并考虑。

  3. 自动化决策:决策透明、公正;有权拒绝;对个人权益有重大影响,个人有权要求说明和拒绝。

  4. 跨境规定:或通过安全评估或经过专业机构认证或签订合同或其他条件才可向境外提供个人信息;且需告知个人境外接收方名称或姓名、联系方式、处理目的、处理方式、个人信息种类以及个人向境外方行使本法规定权利的方式和程序等,并取得单独同意。 若涉及关键信息基础设施运营者或处理个人信息达到网信部门规定数量的个人信息处理者,则要求更高:境内收集的信息存储在境内+通过网信部门组织的安全评估。 另外,增加了反制规定。

  5. 个人处理者的义务:信息分类管理;安全措施采用;内部人员管理(安全负责人、机构、代表);定期合规审计、事前个人信息保护影响评估(敏感信息处理、自动化决策、委托提供公开、境外提供等);事后事项通知;应急预案制定等。

  6. 罚则:违法处理个人信息的应用程序责令暂停或者终止提供服务;拒不改正的100万以下罚款,责任人1万元-10万元罚款;情节严重的没收非法所得,5000万以下或者上一年营业额5%以下罚款,暂停业务或者停业整顿,吊销相关业务许可或者营业执照,对责任人10万-1000万罚款,并禁止其在一定期限担任管理层和个人信息保护负责人;记入信用档案,公示等。

其他解读中,例如史上最详细《个人信息保护法》解读中,摘录一下几点:

  1. “根据宪法”:意义重大,点名了个保法的法律属性。

  2. 可携带权:和GDPR有一定的通性,是为了打破网络时代的不充分竞争格局,即:换APP、换手机,相关信息转移是可实现的。但这条也有一定的放宽:符合网信部门规定条件的个人信息处理者才有义务提供转移途径。

  3. 大数据杀熟:背后是自动化决策,什么是自动化决策?通过程序自动分析、评估个人的行为习惯、兴趣爱好或经济、健康信用状况等,并进行决策的活动。在一些场景下例如自动筛选简历、信贷评估额度等,大数据杀熟被监管起来。

  4. 区分大小企业的责任程度。减轻小微企业信息处理的负担。至于坚定方式,还需网信部门出台具体标准。

除国家机关外,互联网平台是目前最大的个人信息收集者,也是个保法最重要的市场。

互联网市场,开干吧。