【瑛明分享】《个人信息保护法》亮点解读

正如我们在2021年6月发表的《数据安全法》文章中提到，第十三届全国人民代表大会常务委员会第十三次会议正式投票通过《中华人民共和国个人信息保护法》（“《个保法》”），该法将于2021年11月1日生效。

管辖权——除在中国境内处理的个人信息外，《个保法》还规定了向中国境内自然人提供产品和服务为目的的境内自然人个人信息的域外处理；分析或评估中国境内自然人的活动；及其他法律、行政法规另有规定的情形。立法者似乎借鉴了《通用数据保护条例》（“GDPR”）。

数据处理者——《个保法》没有区分数据处理者和数据使用者，而是倾向于捆绑一起作为数据处理者，并规定在两个或更多联合数据处理者的情况下应负共同责任。

处理原则——处理个人信息的法律原则与GDPR并无不同，应当合法、正当、必要，不得过度处理。

同意——网络安全法和民法典只接受同意为个人信息处理的前提。但是，并未对什么构成同意或同意必须是明示的还是默示的下定义。遗憾的是，《个保法》也没有明确这一点。《个保法》规定，同意必须在充分了解数据处理的目的、方法和范围的前提下自愿地、明确地表达。对这一问题的法律分析必须以最大程度的符合国家安全、国家主权和整个社会利益的国家法律为标准。

在《个保法》下，人力资源管理外包服务处理个人信息有了法律依据，即使未经明确同意，但只要根据合法制定的劳动规则和合同进行处理，就允许处理个人信息。而对于出于对员工/数据主体采取内部纪律处分的目的处理个人信息的情况，《个保法》的规定尚未明确，因为这种情况是否是《个保法》规定下的人力资源管理服务的一部分，业界尚“有争议”。

敏感个人信息(“SPI”)——为处理SPI提供高级别的保护。《个保法》中列出了一些SPI示例² ，是指一旦泄露或非法使用，将侵害自然人的尊严，严重危害自然人财产和人身安全的个人信息。这就是为什么，除非任何相关法律另有许可，否则在处理SPI之前必须获得数据主体的单独同意，并通知数据主体这样处理的必要性及对其权利的影响。

图像收集——图像的收集和分析（通过闭路电视或其他方式）必须出于公共安全目的或国家相关规定的要求，在这种情况下，应安装明确的标识并通知数据主体³。

儿童同意——处理不满14周岁未成年的任何个人信息需要得到监护人的同意⁴。这规定低于GDPR规定的16周岁。

数据主体的权利——数据主体的权利与GDPR中规定的权利并无不同，即访问、复制、传输和修改数据处理者持有的个人信息的权利⁵。

即使数据主体之前表达过同意，数据主体仍可能不受自动化决策处理的约束；也可以拒绝对其个人信息进行处理，即使该数据主体之前向数据处理者表达过同意。

除非数据主体在他去世前提前安排，否则已故数据主体的近亲可以为了他们自身的合法利益行使《个保法》赋予数据主体的权利⁶。

泄露事件报告——如果由于个人信息的任何泄露、篡改或丢失而导致数据泄露，数据处理者必须及时通知主管部门和受影响的数据主体⁷，而不仅仅是如果它“可能对自然人的权利和自由造成高风险”⁸。《个保法》中没有规定通知主管部门的确切时间表。此外，数据处理者必须采取补救措施，并就如何减轻可能出现的任何损害向受影响的数据主体提出建议。

互联网平台——提供互联网平台服务的企业用户量大、商业模式复杂，除设立独立机构对企业个人信息处理进行监督外，还必须坚持主管部门的指导和监督⁹。同样，这个独立机构的作用、责任和义务目前尚未明确。

影响评估——数据处理者必须考虑任何数据处理活动是否对数据主体有任何重大影响¹⁰。如果是，则应在数据处理之前进行影响评估。《个保法》中没有定义什么是“重大影响”。本条款涵盖的情况是数据处理程序处理SPI；或者个人信息用于自动化决策、委托给其他数据处理者或转让给国外的情况。因此，这是GDPR中“默认隐私和设计”的相应规定。可以想象，如今的大多数处理活动无论如何都会对数据主体产生重大影响。因此，预计影响评估会大量增加。这些报告必须至少保存三年。

外国利益——在向任何外国司法或执法机构提供任何个人信息之前，必须获得主管部门的事先批准。同样，外国组织或个人从事可能损害国家安全或公共利益的个人信息处理或者任何国家对在个人信息的监管和保护方面对中国采取歧视性的禁止或限制措施的，中国当局可以对其采取反制措施。

跨境数据传输——“业务必需”（即向境外控股公司传输数据）并达到一定数量门槛的个人信息，未经主管部门的安全评估和批准，不得传输。如果数量不超过规定限值，数据处理者将依据合同、个人信息保护认证等条件来保护这些数据，并确保接收方处理个人信息的标准与《个保法》规定的标准相当¹¹。在所有其他情况下，以数据本地化要求为准。此要求也适用于关键基础设施信息运营者¹²。预计相关标准、指南和标准合同条款将随后发布，我们将同步跟进。

数据保护官——与GDPR不同，当处理个人信息的处理者达到特定数量限值时，需要一名负责人。这些数量限值目前尚未发布。

《个保法》中引入了处罚。这对企业的影响最大，因为它会普遍增加合规成本。对严重违反《个保法》相关规定的，可处以上一年度营业收入额5%以下或者5,000万元以下的罚款，或者暂停业务或者停业整顿¹⁴。此外，企业中负责数据处理活动的人员还需承担个人责任。情节严重的，处10万元以上100万元以下的罚款，并可能在一定时期内禁止担任高级职务。《个保法》没有考虑判处监禁。与GDPR相比，可以理解为《个保法》中的处罚相对更为严厉。

自GDPR生效以来，迄今已有700多家公司受到制裁或罚款¹⁵。这些公司涉及的范围广泛，包括互联网公司、电信运营商、酒店、航空公司和时尚公司。言归正传，中国的科技公司最近正因为各种违法违规行为而成为有关部门核查的重点。如何在个人信息保护与企业经济发展之间取得最佳平衡，成为中国企业亟待解决的问题。

1. 审查并评估您企业的数据流，并根据需要提供与中国和其他国家适用法律的差距分析；

2. 向您提供我们的审查结果、建议补救措施并协助您遵守《个保法》相关的规定； 

3. 为您的企业审查和起草隐私政策和数据保护政策，包括审查和修订与供应商和各种第三方的现有协议以确保该等文件符合《个保法》的规定； 

4. 为您的相关员工和负责人提供法律和技术培训； 

5. 根据数据保护相关法规更新合规要求。

1. 继2017年6月1日施行的《网络安全法》和2021年9月1日施行的《数据安全法》之后。 

2. 《个保法》第28条 

3. 《个保法》第26条 

4. 《个保法》第31条 

5. 《个保法》第四章 

6. 《个保法》第49条 

7. 《个保法》第57条 

8. GDPR第33条第（1）款 

9. 《个保法》第58条 1

10. 《个保法》第55条第（5）款 

11. 《个保法》第38条 

12. 《个保法》第40条 

13. 《个保法》第53条 

14. 究竟适用于违规企业的全球收入还是仅适用于中国的收入，目前尚不明确。 

15. 来源：https://mp.weixin.qq.com/s?__biz=MzA4MjAyNzk0NQ==&mid=2649470770&idx=1&sn=56a009e465a1f64bade262adfc1c49bd&chksm=8794e3f4b0e36ae2e7f934301eca109effb108cbc2d46187339897dfbf3d429b3d4a6084d4ab&mpshare=1&scene=1&srcid=0908noiFascxqoIO29hV85m9&sharer_sharetime=1631779606062&sharer_shareid=5eeec235fd548f17abcc2925abc382e8&exportkey=Afjm0DiDQh7xDHeaG8L2nZs%3D&pass_ticket=wkFM%2BTInSdZPAnl%2BDs7oFEktm3T82Mj%2Bbc0z13cMe0N%2BJDvguEsezPcjcJeZdCrO&wx_header=0#rd

了解更多信息，请联系：

刘小鹏

(T) +86 21 2228 8380

(E) sunny.liew@chenandco.com

本材料是为提供一般信息的用途编制，并非旨在成为可依赖的法律或其他专业意见。请向您的顾问获取具体意见。