隐私保护与数据安全合规(八)
前言
笔者准备从渗透测试转向数据安全,本文算是自己学习的笔记产出,如果有任何偏差和遗漏,欢迎各位大佬的指正。
一、《中华人民共和国个人信息保护法》法律架构
2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》。自2021年11月1日起施行,全文共计8章74条。
分类 | 条款范围 | 主要内容 |
总则 | 第一条至第十二条(12条) | 包括立法目的、适用范围、基本原则等。如第一条为立法目的,第五至九条为五项原则。 |
个人信息处理规则 | 第十三条至第三十七条(25条) | 分为一般规定、敏感个人信息的处理规则以及国家机关处理个人信息的特别规定。一般规定中明确了个人信息处理者处理个人信息的合法情形等;敏感个人信息的处理规则对敏感个人信息的处理做出特殊规定;国家机关处理个人信息的特别规定则针对国家机关处理个人信息的活动进行规范。 |
个人信息跨境提供的规则 | 第三十八条至第四十三条(6条) | 主要规定了个人信息跨境提供的条件、程序等相关规则,如个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式等事项,并取得个人的单独同意。 |
个人在个人信息处理活动中的权利 | 第四十四条至第五十条(7条) | 明确了个人在个人信息处理活动中享有的权利,如第四十四条规定个人对其个人信息的处理享有知情权、决定权、有权限制或者拒绝他人对其个人信息进行处理。 |
个人信息处理者的义务 | 第五十一至第五十九条(9条) | 包括制定内部管理制度和操作规程、对个人信息实行分类管理、采取安全技术措施等一般性义务,以及制定个人信息保护负责人、定期进行合规审计等特定情况下的义务。 |
履行个人信息保护职责的部门 | 第六十条至第六十五条(6条) | 规定了履行个人信息保护职责的部门及其职责范围、监管措施等,如第六十条规定国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。 |
法律责任 | 第六十六条至第七十一条(6条) | 明确了违反本法规定处理个人信息,或者未履行个人信息保护义务等行为的法律责任,包括警告、罚款、没收违法所得等处罚措施。 |
附则 | 第七十二条至第七十四条(3条) | 主要是对一些术语的定义、法律的施行时间等进行规定,如本法自2021年11月1日起施行。 |
二、《个人信息保护法》简单解读
个人信息处理规则
- 知情同意原则——第十四条
- 个人信息撤回权——第十五条
- 不得拒绝提供服务原则——第十六条
- 个人信息告知规则、豁免及延迟——第十七条、第十八条
- 个人信息保存期限的限制——第十九条
- 共同处理人信息的权义约定和义务承担——第二十条
- 委托处理个人信息——第二十一条
- 个人信息转移——第二十二条
- 个人信息分享提供——第二十三条
- 自动化决策——第二十四条
- 个人信息公开——第二十五条
- 公共场所图像、身份收集规则——第二十六条
- 已经公开的个人信息处理——第二十七条
核心原则——“告知-同意”
- 处理个人信息,应在事先充分告知的前提下取得个人同意,不得误导、欺诈、胁迫等;
- 不得以个人不同意为由拒绝提供产品或者服务;
- 信息处理者应当提供便捷的撤回同意方式。
个人信息处理的“三最”
- 处理个人信息应当采取对外人权益影响最小的方式
- 收集范围应当限于实现处理目的的最小范围
- 保存期限应当为实现处理目的所必要的最短时间
个人信息跨境提供的规则
- 个人信息对外提供的条件——第三十八条
- 出境的告知要求——第三十九条
- 个人信息跨境提供的批准——第四十一条
- 境外违法个人信息处理活动的禁止性规定——第四十二条
- 针对中国的歧视性禁止、限制措施可采取对等措施——第四十三条
个人在个人信息处理活动中的权利
- 知情权和决定权——第四十四条
- 查阅权和复制权——第四十五条
- 更正权和补充权——第四十六条
- 删除权——第四十七条
- 解释和说明权——第四十八条
- 死者信息保护——第四十九条
- 申请受理机制——第五十条
个人信息处理者的义务
个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
完整的义务体系
- 个人信息处理者采取措施确保个人信息处理活动合法并保护个人信息安全的义务
- 按照规定指定个人信息保护负责人的义务
- 定期合规审计的义务
- 对于高风险个人信息处理活动进行个人信息保护影响评估并对处理情况记录的义务
- 在发生或可能发生个人信息泄露等安全事件时立即采取补救措施并通知监管机构和个人的义务
- 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者负有的“守门人义务”
法律责任
行政责任:个人信息保护法对于违法处理个人信息或者没有履行法律规定的个人信息保护义务的行为规定了严格的行政处罚。责令改正、给予警告、没收违法所得、责令暂停或者终止提供服务、罚款、暂停相关业务或者停业整顿、吊销相关业务许可或者吊销营业执照、禁止任职、记入信用档案。国家机关及人员责令改正、给予处分。个人信息保护职责的部门工作人员依法给予处分。
民事责任:依据个人信息保护法的规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。根据实际情况确定赔偿数额、依法向人民法院提起诉讼。
治安处罚和刑事责任:违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
三、《个人信息保护法》的合规专项工作(依据《数据合规入门、实战与进阶》)
第一步:识别业务活动中处理的数据是不是属于《个人信息保护法》下的“个人信息”。
第二步:识别企业属于《个人信息保护法》中的哪一类主体,因为主体身份不同,对应的义务和责任也不同。
第三步:确保企业处理个人信息的行为符合《个人信息保护法》的基本原则和一般规则,及是否遵守无场景差异的、普适性要求。
第四步:确保企业遵守《个人信息保护法》对于一般义务即无场景差异的义务要求。
第五步:如果企业属于特殊的“守门人”处理者,则在遵守一般处理者的通用义务与规则之外,还需满足与其自身地位相称的特殊义务。
第六步:排查企业的数据处理活动是否是《个人信息保护法》下的某些特定场景或者高风险场景,如是,则还需要履行增强型义务。
第七步:确保企业能够实现个人对其个人信息处理活动所主张的权利。
第八步:识别出企业可能承担的违法后果和举证责任。