《个人信息保护法》逐条解读之个人信息处理者的义务
发布于 2021-10-12 18:05
《个人信息保护法》第五章 个人信息处理者的义务
其实,个人信息处理者的义务并不局限在这一章,在其他的章节也规定了一些个人信息处理者的义务。所以,个人信息处理者不但要遵守本章所规定的的义务,其他章节所规定的义务也需要遵守。
第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
解读
本条规定了个人信息处理者有义务建立内部管理制度、对个人信息分类管理、采取安全技术措施、确定操作权限和定期培训、制定应急预案等等。
这些义务很明确的写在这里,就是法定义务,个人信息处理者必须要做到,不应该应付了事。
例如,关于个人信息的分类管理,应该根据《信息安全等级保护管理办法》等法律文件的规定,建立分类管理的标准,对个人信息实行分类管理。
关于制定并组织实施个人信息安全事件应急预案,不能做样子工程,应实实在在的做好预案,否则有可能承担法律责任。
第五十二条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
解读
此处规定了一个职位“个人信息保护负责人”。该职务并非虚职,而是可能会承担相应的法律责任的。
例如,在《刑法》上有一个拒不履行信息网络安全管理义务罪,单位犯此罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。“个人信息保护负责人”就在这里所说的直接负责的主管人员和其他直接责任人员的范围。
个人信息处理者应该根据法律的规定,任命单位的“个人信息保护负责人”。个人信息保护负责人应该有相应的权利和义务,真正的负起责任,让单位的各项工作符合本法的规定。
第五十三条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
解读
这一条是专门针对我国境外个人信息处理者的规定。根据本法的规定,如果我国境外个人信息处理者符合本法第三条的规定,则应该遵守本法。
第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
解读
此条是关于审计的要求。我国法律并没有要求企业一定要定期审计,本条规定的审计要求是特别对个人信息处理者提出来的。
第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
解读
对于本条规定的几种信息,本法其他条款规定了其他的义务,例如需要经过个人的单独同意等等。无论是处理敏感个人信息还是向境外提供个人信息,对于个人来说都是影响很大的。除了本法其他条款规定的义务,本条又特意增加了事先进行个人信息保护影响评估的规定。
今年九月,《教育部办公厅等六部门关于做好现有线上学科类培训机构由备案改为审批工作的通知》中规定:教育移动应用提供者应当建立覆盖个人信息收集、储存、传输、使用等环节的数据保障机制,储存100万人以上个人信息的线上校外培训APP,应通过个人信息保护影响评估、认证或合规审计。
因为学生的信息多为敏感信息,需要进行个人信息保护影响评估。
第五十六条 个人信息保护影响评估应当包括下列内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存三年。
解读
本条是关于个人信息保护影响评估内容的要求。需要提出的是 ,个人信息保护影响评估需要法律工作者(如,律师)的参与。因为根据本条的规定,第一款和第三款都是有关合法性的评估。如果没有专业的法律知识,无法对于合法性作出评估。
第五十七条 发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:
(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;
(三)个人信息处理者的联系方式。
个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。
解读
本条是关于可能发生信息泄露、篡改、丢失的,个人信息处理者除了采取补救措施,还有义务通知有关部门和个人。
关于个人信息泄露的案件,已经出现过相关判决。有关责任人不但没有采取补救措施,而且拒不承认自己有过错,最后需要承担法律责任。
案例:2014年10月,庞某某委托鲁某通过北京趣拿信息技术有限公司(以下简称趣拿公司)下辖网站去哪儿网平台(www.qunar.com)订购了中国东方航空股份有限公司(以下简称东航)机票1张。去哪儿网订单详情页面显示该订单登记的乘机人信息为庞某某姓名及身份证号,联系人信息、报销信息均为鲁某及其尾号**58的手机号。后来,庞某某尾号**49手机号收到来源不明号码发来短信称由于机械故障,其所预订航班已经取消。该号码来源不明,且未向鲁某发送类似短信。东航称庞某某可能为东航常旅客,故东航掌握庞某某此前留存的号码。庞某某诉至法院,主张趣拿公司和东航泄露的隐私信息包括其姓名、尾号**49手机号及行程安排(包括起落时间、地点、航班信息),要求趣拿公司和东航承担连带责任。
法院最终判决,庞某某胜诉,趣拿公司和东航需要向庞某某公开赔礼道歉。
第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(四)定期发布个人信息保护社会责任报告,接受社会监督。
解读
本条是对个人信息处理者中的一些特殊单位提出的要求。例如,滴滴、阿里、腾讯等等个人信息处理者,他们提供了重要的互联网平台,用户数量非常大,业务也是多种多样。这些个人信息处理者,一旦出现信息泄露或者其他侵犯个人信息的情况,就非常严重。所以,有必要对他们提出更多的要求。
这些要求分为两个方面:一是加强外部监督;而是加强内部管理。
第五十九条 接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。
解读
本条是对受委托处理个人信息的受托人提出的要求。前面我们曾经提到,受委托处理个人信息的受托人不属于个人信息处理者,他们只是提供技术服务,根据合同的约定用专业知识和专业技能帮助个人信息处理者处理个人信息。在个人信息的收集、流转过程中,他们并没有参与,而只是辅助。所以,对他们来说,不用承担“获得用户同意”等等义务。但是,他们也有义务采取措施保证处理信息的安全,不能因为他们工作的问题泄露个人信息,侵犯其他人的合法权益。
本文来自网络或网友投稿,如有侵犯您的权益,请发邮件至:aisoutu@outlook.com 我们将第一时间删除。
相关素材