法条解读|《个人信息保护法》第五章“个人信息处理者的义务”
发布于 2021-09-27 11:33
经过十多年酝酿论证、十三届全国人大常委会三次审议,2021年8月20日,十三届全国人大常委会第三十次会议表决通过了《个人信息保护法》。这部法律将于2021年11月1日起施行。
全国人大常委会法工委经济法室副主任杨合庆表示,这是我国首部专门针对个人信息保护的系统性、综合性法律,其对于个人信息保护的意义自不待言。接下来,笔者将对该法第五章“个人信息处理者的义务”作逐条解读。
个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
【解读】本条明确了个人信息处理者对个人信息负有安全保护义务。
就内部管理制度和操作规程而言,结合《个人信息保护法》第四条第二款,管理制度和操作规程至少应覆盖个人信息收集、存储、使用、加工、传输、提供、公开、删除等个人信息全生命周期流程。
就个人信息分类管理而言,参照《电信和互联网服务用户个人信息保护分级指南》、《个人金融信息保护技术规范》和《个人信息安全规范》的规定,实践中常见的方式是对用户个人信息按照内容、敏感程度进行分类。
就应采取的安全技术措施而言,企业应当根据个人信息的敏感程度,即相关个人信息遭到未经授权的处理后产生的影响和危害,对个人信息进行分级,采取不同的安全技术措施,对于敏感程度较高的个人信息,更应采取更为严格的安全技术措施。
就内部操作权限配置而言,参照《个人信息安全规范》第7.1 (a)条,合理的内部操作权限配置应符合最小授权的访问控制策略,使被授权访问个人信息的人员只能访问职责所需的最小必要的个人信息;就从业人员管理而言,《个人信息保护法》明确要求个人信息处理者应定期对从业人员进行安全教育和培训,宜在新员工入职培训时就强化个人信息安全意识,后续定期开展个人信息保护的相关法律法规规定、内部制度、操作流程的教育和培训,培训对象可包含高层员工在内的全体员工,只有领导层高度重视、基层员工严格践行,方能更好地开展个人信息安全工作。
就个人信息安全事件应急预案而言,《个人信息保护法》明确将“制定并组织实施个人信息安全事件应急预案”上升为个人信息处理者的义务。建议个人信息保护者定期组织内部人员开展相关应急响应培训和应急演练,促使相关人员在应急情形发生时更好地处理信息安全问题。
此外,本条第一款第六项留下了弹性空间,即“法律、行政法规规定的其他措施”,意味着如果法律、行政法规对个人信息保护者提出其他保护措施要求的,应依照其规定。
处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
【解读】本条明确了设置个人信息保护负责人的条件和履职信息公开要求。
《个人信息保护法》下的个人信息保护负责人同GDPR的数据保护专员(DPO)存在一定的区别。就本条而言,《个人信息保护法》以个人信息处理者处理个人信息的数量作为划分门槛,仅有处理个人信息达到国家网信部门规定数量的个人信息处理者才负有指定个人信息保护负责人的义务。
就职责来看,个人信息保护负责人的职责在于监督个人信息处理活动以及采取的保护措施。同时,个人信息处理者应当公开其姓名与联系方式等,并将相关信息报送相关监管部门。
仅从本条来看,《个人信息保护法》只是对个人信息保护负责人的设置提出了框架性的要求,而对于个人信息保护负责人的具体职责划分、任职要求、条件以及责任承担等问题,或有待网信部门后续制定详细的实施细则以进一步规范。
本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
【解读】本条要求在我国境外处理境内自然人个人信息的境外个人信息处理者应设立专门机构或指定代表负责个人信息保护相关事务并报送相关监管部门。
该条款设立的目的之一或许在于通过对境外个人信息处理者于境内设立的专门机构或指定代表的管辖而间接实现对境外个人信息处理者的管辖。然而值得注意的是,此处的专门机构所指向的对象范围是否包含境外个人信息处理者的境内主体、子公司、关联公司等机构仍存疑问。
个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
【解读】本条明确了个人信息处理者的个人信息安全审计要求。
相较于《个人信息安全规范》第11.7条规定的较为详尽的安全审计要求,《个人信息保护法》第五十四条仅对个人信息处理者的安全审计要求进行了十分原则性的规定,要求个人信息处理者确保在日常运营和业务开展过程中的个人信息处理行为符合法律法规规定。
有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
【解读】本条明确了个人信息处理者的事前个人信息保护影响评估义务。
《个人信息保护法》规定的事前个人信息保护影响评估义务同《个人信息安全规范》第11.4条规定的个人信息安全影响评估较为相似,相较于后者,本条在立法技术上更进一步,明确规定了需要进行事前风险评估的个人信息处理活动类别,为个人信息处理者开展个人信息事前风险评估指明了方向。
个人信息保护影响评估应当包括下列内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存三年。
【解读】本条明确了个人信息保护影响评估应当包含的具体内容,承接第五十五条内容。
《个人信息保护法》第五十六条第一项确立了对个人信息处理的合法性、合伦理性以及合比例性原则;第二项则侧重于对个人权益本身的影响与风险;第三项要求保护措施本身的正当性、合比例性,同时提出了个人信息保护影响评估报告和处理情况记录应当至少保存三年的具体要求。其中第一项、第二项对数据的保护侧重于处理行为本身,而第三项侧重于事后的保护措施。
发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:
(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;
(三)个人信息处理者的联系方式。
个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。
【解读】本条明确了发现个人信息泄露、篡改、丢失时个人信息处理者的补救和通知义务。
就补救义务的触发时点而言,只要个人信息处理者发现了该等信息已经或者可能泄露、篡改、丢失的情形,便应当立即采取补救措施;就义务的内容而言,主要表现为通知履行个人信息保护职责的部门和个人;就通知的内容而看,本条已进行完全列举;同时,《个人信息保护法》亦规定了可以不通知个人的例外情形,即个人信息处理者采取措施能够有效避免信息泄露造成损害的,以及例外情形的例外,即履行个人信息保护职责的部门认为个人信息泄露可能对个人造成损害的,个人信息保护部门有权要求个人信息处理者通知个人。
提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(四)定期发布个人信息保护社会责任报告,接受社会监督。
【解读】本条规定了提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的平台特殊义务。
本条规定主要面向诸如阿里巴巴、腾讯、今日头条等头部互联网企业,但在具体范围界定时仍存疑问,即如何认定个人信息处理者提供的互联网平台服务系“重要”,其用户数量可称“巨大”,其业务类型是否“复杂”;另外,第四项规定个人信息保护社会责任报告应当定期发布,其监督主体系谁又公布在何处,均需要立法进一步明确。
接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。
【解读】本条规定了接受委托处理个人信息的受托人适用与委托人一致的法律规范之义务。具体而言,受托人系由委托人委托,其权利义务之来源均为委托人,故委托人所应享有之权利与承受之义务自然相同,对相关法律和行政法规也应当遵守,对个人信息安全的保护力度也应一致;同时,受托人亦负有协助个人信息处理者履行本法规定义务之义务。
编辑:俞秀芝 宁波大学法学院2020级法律硕士研究生
审稿人:朱未来 宁波大学法学院2021级法律硕士研究生
本文来自网络或网友投稿,如有侵犯您的权益,请发邮件至:aisoutu@outlook.com 我们将第一时间删除。
相关素材