《个人信息保护法》实施,个人信息处理者有何责任?
(逐条解读《个人信息保护法》个人信息处理者的义务)
“强化个人信息处理者义务”作为本次立法的一大亮点屡被提及。作为个人保护的第一责任人,《个人信息保护法》明确个人信息处理者需要对其处理活动负责,并需要采取必要措施来保障其所处理的个人信息的安全。根据《个人信息保护法》之规定,个人信息处理者的责任包括但不限于:按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,指定负责人对其个人信息处理活动进行监督,定期对其个人信息活动进行合规审计,对处理敏感个人信息、利用个人进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估,履行个人信息泄露通知和补救义务等。
相对于其他文件中的“个人信息控制者”,值得一提的是《个人信息保护法》中使用了“个人信息处理者”一词。有此差异,其原因便在两词描述角度的不同:“处理”一词主要描述行为,而“控制”一词则主要描述状态。个人信息保护法作为行为规制法,主要针对信息处理行为,因此便选用了“个人信息处理者”行文。
本条详细规定了个人信息处理者采取必要安全保护措施的义务。
除《个人信息保护法》之外,个人信息保护的相关规定也见于《网络安全法》《数据安全法》《儿童个人信息网络保护管理规定》《电信和互联网用户个人信息保护规定》等相关法律法规及《电信和互联网服务用户个人信息保护分级指南》(YD/T 2782-2014)《信息安全技术个人信息安全规范》(GB/T 35273-2020)《信息安全技术—个人信息去标识化指南》(GB/T 37964-2019)等国家标准文件之中(相关文件请参考文末链接)。针对《个人信息保护法》中的个人信息分类及处理的标准,除结合本法前序条文进行理解之外,也可辅助参考相关国家标准以便具体落实合规要求。
以内部管理制度和操作规程为例,可参考本法第四条第二款之规定,“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”,个人信息处理者在制定及执行合规策略时,应针对以上各个环节制定内部管理制度和操作流程,全流程规范组织内个人信息的处理。
以个人信息分类管理为例,本法并未规定个人信息分类管理的分类标准,在具体合规实践中,相关个人信息处理者可参考工业和信息化部于2014年12月24日发布的《电信和互联网服务用户个人信息保护分级指南》(YD/T 2782-2014),该标准适用于电信业务经营者和互联网信息服务提供者在提供服务过程中的用户个人信息保护。此外,2020年3月6日由全国信息安全标准化技术委员会发布的《信息安全技术个人信息安全规范》(GB/T 35273-2020)中也有相应规定以供参考。
以采取相应的加密、去标识化等安全技术措施为例,个人信息处理者在选择安全技术措施时,可参照全国信息安全标准化技术委员会2020年3月6日发布的《信息安全技术个人信息安全规范》(GB/T 35273-2020)。更详细的内容则可参考2019年8月30日发布的《信息安全技术—个人信息去标识化指南》(GB/T 37964-2019),该文件描述了个人信息去标识化的目标和原则,提出了去标识化过程和管理措施。该标准针对微数据提供具体的个人信息去标识化指导,适用于组织开展个人信息去标识化工作,也适用于网络安全相关主管部门、第三方评估机构等组织开展个人信息安全监督管理、评估等工作。
以合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训为例,《信息安全技术个人信息安全规范》(GB/T 35273-2020)7.1详细规定了诸多与操作权限相关的执行建议,包括“建立最小授权的访问控制策略”“对个人信息的重要操作设置内部审批权限”“对安全管理人员、数据操作人员、审计人员进行角色分离”“越权操作审批及记录”及“个人敏感信息操作宜在角色控制基础上按业务流程触发授权 ”,11.6则规定了人员管理与培训的6条标准。
以制定并组织实施个人信息安全事件应急预案为例,个人信息处理者可参考《信息安全技术个人信息安全规范》(GB/T 35273-2020)进行个人信息安全事件处理与组织管理,该文件10.1规定了个人信息安全事件应急处置和报告的标准。
立法目的:
这是我国首次在法律层面规定“个人信息保护负责人”制度,欧盟《通用数据保护条例》 (GDPR) 称之为“数据保护官”(Data Protection Officer) ,两者虽表述不一,但功能相似。该职位介于个人、个人信息处理者、履行个人信息保护职责部门等之间,承担着对内负责全面统筹并落实个人信息保护相关工作,对外与监管部门日常联络沟通等多重角色
条文详解:
本条明确规定了个人信息处理者指定个人信息保护负责人的条件、义务和要求。
言及条件,目前《个人信息保护法》采取的是量化标准,即该信息处理者处理信息达到网信部门数量要求则必须设立负责人,并将联系方式报送有关部门。
根据全国信息安全标准化技术委员会发布的《信息安全技术个人信息安全规范》(GB/T 35273-2020)之规定,满足下列条件之一的组织应当设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:1)主要业务涉及个人信息处理,且从业人员规模大于200人;2)处理超过100万人的个人信息,或在12个月内预计处理超过100万人的个人信息;3)处理超过10万人的个人敏感信息的。
立法目的:
本条规定境外个人信息处理者应当在境内设立专门机构或指定代表,并概述了相关职责及境外个人信息处理者的报送义务,目的在于通过对境内设立的专门机构或指定代表更好地实现对个人信息权益的维护。我国类似规定曾见于《个人信息出境安全评估办法 (征求意见稿)》第 20 条。
条文详解:
本条主要规定了境外个人信息处理者个人信息保护机构设立、代表指定及报送义务。
《个人信息保护法》第三条第二款规定,“在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。”
值得注意的是,未来跨境个人信息合规也颇为重要。2021年10月29日,国家互联网信息办公室发布了《数据出境安全评估办法(征求意见稿)》(下称征求意见稿),该文件中详细规定了报送情形、数据出境风险自评估重要事项、报送部门等,根据征求意见稿,国家网信部门受理申报后,将组织行业主管部门、国务院有关部门、省级网信部门、专门机构等进行安全评估。
立法目的:
本条的自律性合规审计与本法第64条的监管性合规审计紧密联系,共同构建起完整的合规审计制度,在法律层面对个人信息处理者设定了合规审计义务。这意味着个人信息处理者必须将自身处理个人信息行为的合法性纳入审计范围,对完善合规审计相关法律制度、 推动企业健全合规体系、促进个人信息保护有着重要意义。
条文详解:
本条主要规定了个人信息处理者的合规义务。
此处的个人信息处理者合规义务,《个人信息安全法》并未做出详细规范,而是概括性地描述了个人信息处理者在日常业务中需要依法依规进行合规审计。
就企业而言,未来信息合规除了内部合规部门进行例行审查之外,依托于外部第三方信息合规服务提供机构所提供的合规审查服务也将成为企业的重要助力。
本条是关于个人信息保护影响评估制度的规定,对于所有的个人信息处理者,不论其规模大小,凡是实施具有高风险性、对个人权益有重大影响的特定类型信息处理活动,均应当按照“一事一评”的要求,事先开展影响评估。在本法制定前,个人信息保护影响评估制度仅见于 《个人信息安全规范》《个人信息安全影响评估指南》等国家标准中。本条与本法第 56 条首次在立法层面建立起较为完整统一的个人信息保护影响评估机制。
条文详解:
本条主要规定了个人信息处理者的事前个人信息保护影响评估义务。与事后追责相比,事前的预防性评估机制能更好的防止个人信息泄露等不良后果的发生。
立法目的:
本条独立成文,凸显了个人信息保护影响评估内容的重要性。关于个人信息保护影响评估的内容,《个人信息安全规范》第11. 4条中亦有相关规定,本条与之较为相似,但更为简练地概括了评估内容,并且首次明确个人信息保护影响评估报告和处理情况记录应当至少保存三年。
条文详解:
本条主要是针对个人信息保护影响评估标准的具体规定,为个人信息处理者进行合规审计提供了具体标准,尤其是“至少保存三年”的要求为今后的合规审计工作指明了具体方向。
本条规定的是安全事件可能发生或实际发生时,个人信息处理者应主动履行的补救及通知义务,属于事中、事后安全保护义务,与本法第51条规定的事前制定并组织实施应急预案,共同构建起完整的个人信息处理者安全保护义务体系。
条文详解:
本条主要规定了个人信息处理者在发生个人信息泄露时的补救及通知义务。
此外,《信息安全技术个人信息安全规范》(GB/T 35273-2020)10.2中对个人信息控制者的安全告知方式和内容也可以作为个人信息处理者的参考标准。
立法目的:
作为与国际接轨的特色创新之一,本条内容合理借鉴欧盟《数字市场法 (草案)》的思路引入针对特定个人信息处理者的特殊义务,即“守门人条款”,旨在完善个人信息保护相关原则,特别强调对“大型互联网平台”的监督,以维护市场的公平与开放。
条文详解:
本条是为大型网络平台(“守门人”)特别义务的规定。
随着数字经济的不断发展,互联网在公民的生活中日趋重要,互联网平台为商品和服务的交易提供技术支持、交易场所、信息发布和交易撮合等服务。据此,个人信息保护法对这些大型互联网平台设定了特别的个人信息保护义务,包括:按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;遵循公开、公平、公正的原则,制定平台规则;对严重违法处理个人信息的平台内产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。个人信息保护法的上述规定是为了提高大型互联网平台经营业务的透明度,完善平台治理,强化外部监督,形成全社会共同参与的个人信息保护机制。
立法目的:
本条的相关规定,就是从参与个人信息处理活动的角度,对个人信息处理者、接受委托处理个人信息的受托人、共同个人信息处理者等进行区分,并界定了何为接受委托处理个人信息的受托人及其相关的安全保护义务和协助义务。
条文详解:
本条是本法第二十一条个人信息处理者委托处理个人信息受托人的对应义务之规定,受托人依据委托人委托处理个人信息的,也应履行个人信息安全保障义务。
结语
个人信息保护合规,勿以小而不为。《个人信息保护法》是我国第一部个人信息保护方面的专门法律,为个人信息保护提供了明确的法律指引。
随着数字经济不断发展,个人信息权益保护的重要性日益凸显,如何平衡商业发展与个人信息保护也将成为各企业面对的重要课题。
北京星权律师事务所
华东政法大学新闻学学士、法学硕士,专注于泛文化娱乐行业、TMT行业及网络与数据合规。
编辑:舒玮仪
审核:朴艺丹