《个人信息保护法》合规要点

前言

将于2021年11月1日起施行的《个人信息保护法》（“《信保法》“）对企业和个人的个人信息（“信息”）处理行为提出了很多具体要求。所有企业都会涉及员工信息的处理，而面向消费者的企业还会涉及消费者信息的处理，因此，所有企业都需要对照《信保法》的要求，检查自己的制度和信息处理行为是否合规。

虽然很多企业，尤其是外资企业和为互联网企业，在《信保法》出台之前可能都已经建立了信息处理合规制度，但是由于《信保法》提出了很多新的要求，我们相信多数企业都需要更新自己的信息处理合规制度和基础文档。具体而言，多数企业的现有制度可能并不满足以下《信保法》的要求：
1)    必要性原则
2)    最低期限原则
3)    主动删除原则
4)    安全性原则
5)    透明性原则
6)    处理敏感信息获得单独同意
7)    向境外传送信息须通过网信部门的安全评估或认证，或者与境外机构签订网信部门发布的标准合同
8)    互联网平台企业应建立独立信息保护监督机构

 

为了帮助企业更好地理解《信保法》的规定，完善自己的信息保护合规制度，下面对《信保法》的结构、概念和主要要求做一介绍。

 

一、定义
1.    个人信息，是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。
2.    敏感个人信息，是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。
3.    个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
4.    自动化决策，是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。
5.    去标识化，是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。
6.    匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程。
7.    单独同意，指将待同意事项单列出来，由个人单独就该事项表示同意，而不与其他事项集合在一起概括同意。

 

二、适用范围
1.    境内：在中华人民共和国境内处理境内自然人个人信息（下称“信息”）的所有活动，处理自身和家庭事务所涉信息除外。

2.    境外：在中华人民共和国境外处理境内自然人的个人信息，且（1）以向境内自然人提供产品或者服务为目的；或（2）分析、评估境内自然人的行为。

 

三、适用主体
包括自然人和组织，类型可分为：
1)    一般信息处理者
2)    关键信息基础设施经营者（由有关部门认定）
3)    规模信息处理者，即信息处理量达到网信办规定的一定数量以上者（待网信部门明确数量标准）
4)    重要互联网平台

后三类处理者除完全满足第一类的要求外，还要额外满足特殊要求。

 

四、处理行为及对象类型
1.    一般信息处理

2.    向境外提供信息

3.    特殊信息处理：(1) 向第三方转移信息; (2) 处理敏感信息; (3) 处理14周岁以下个人信息.

后二类行为除满足第一类行为的所有要求外，还要满足一些额外要求。

 

五、信息处理一般原则（所有主体的所有信息处理行为均应遵守）
1.    有权性原则：处理信息须获得个人同意，或为履行合同所必须，或 ：（1）履行法定职责；（2）应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全；（3）新闻报道；（4）处理已经合法公开的信息；（5）法律、行政法规规定的其他情形。

2.    目的性原则：处理信息须有明确且合理的目的。

3.    必要性原则：收集信息范围限于实现处理目的的最低限度。

4.    最低期限原则：保存信息期限应为实现处理目的的最短期限。

5.    透明性原则：信息处理者须将处理信息的目的、方式、范围、期限、个人行使权利的程序以及信息处理者联系方式等明确告知个人。

6.    无歧视原则：自动化决策程序不得在交易价格、交易条件等方面对个人实行差异对待，且应在提供有针对性信息推送时，同时提供无针对性信息推送。

7.    安全性原则：信息处理者应采取加密、去标识化等安全技术措施，应防止信息泄露、篡改、丢失或被无权访问。

8.    服从权利原则：信息处理者应满足个人关于查阅、复制、更正、删除、转移信息的要求。

9.    主动删除原则：在处理目的已实现、无法实现或已无必要、停止提供产品或者服务、保存期限已满或者个人撤回同意时，信息处理者应及时主动删除信息。

 

六、向境外传送信息的特别要求
1.    应具备下列条件之一：
1)    通过国家网信部门组织的安全评估；
2)    经专业机构进行个人信息保护认证；
3)    按照国家网信部门制定的标准合同与境外接收方订立合同，确保境外接收者达到同样保护标准。（注：标准合同有待发布）

2.    须向个人告知境外接收者情况，并取得单独同意。

3.    向外国司法或执法机构提供个人信息，须取得主管机关批准。

 

七、特殊信息处理的特别要求
1.    向第三方转移信息：应取得单独同意。
2.    处理敏感信息：须取得单独同意，说明必要性及对个人权益的影响。（注：此处所谓单独同意，是指对每一条敏感信息单独同意，还是对所有敏感信息组成的组别单独同意，法律并未明确。笔者倾向于认为是对敏感信息组别表示单独同意。）
3.    处理不满14周岁信息：须取得监护人同意，且单独制定规则。

 

八、对关键信息基础设施运营者、规模信息处理者和境外信息处理者的特别要求
1.    关键信息基础设施运营者和规模信息处理者，信息应存储境内；如需向境外提供，须通过网信部门安全评估。
2.    规模信息处理者，应指定个人信息保护负责人，公开其联系方式，并报送有权部门备案。
3.    境外信息处理者，应在中国境内设立专门机构或者指定代表，并报送有权部门备案。

 

九、一般信息处理者内部制度（所有信息处理者均应实施）
1.    制定内部管理制度和操作规程；
2.    对个人信息实行分类管理；
3.    采取加密、去标识化等安全技术措施；
4.    合理确定信息处理的操作权限，并定期对从业人员进行安全教育和培训；
5.    制定并组织实施个人信息安全事件应急预案。

 

十、重要互联网平台内部制度的额外要求
1.    成立主要由外部成员组成的独立机构对信息保护情况进行监督；
2.    制定平台规则，明确平台内产品或者服务提供者处理信息的规范和保护信息的义务；
3.    对严重违规的平台内的产品或者服务提供者停止提供服务；
4.    定期发布信息保护社会责任报告。