观安信息
- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
2021年8月20日,正式颁布了《个人信息保护法》(下简称“个保法”),并将于2021年11月1日正式施行;该法从自然人、社会组织/企业、监管机构三类主体视角,全面定义了各个主体在个人信息保护工作上的权利和义务,以及违反“个保法”所产生的责任和所需承担的惩罚性后果。本文仅从社会组织/企业侧,来对“个保法”进行解读,通过解读来为企业更好的依法合规开展个人信息处理相关业务活动,提供积极的参考或建议。
一、适用本法的企业
本法统一定义为“个人信息处理者”,指在个人信息处理活动中,自主决定处理目的、处理方式的组织、个人。处理方式包括了自动化决策、去标识化、匿名化等已明确给出的具体方式定义。可以说,基本涵盖了所有对采集、存储、使用个人信息的商业公司及其他组织。
二、法文条款解读
(1)个人信息处理的全生命周期要求
虽然“个保法”没有提及“个人信息生命周期”的概念,但其对企业侧要求的权利责任和义务已经涵盖了个人信息的整个生命周期。包括采集前对个人信息在业务活动中的对象范围、目的、场景、合法合规性等业务和安全性设计;以及采集、存储、传输、加工、流转、删除销毁等各个阶段的要求和安全保护性能力。总体说来,企业作为个人信息处理者,在整个个人信息生命周期的业务活动,需遵循3大原则、关注5个特性:
1)个人信息处理的3大原则
明确的自愿同意原则
采集处理的必需必要及完整性原则
透明公示原则
2)个人信息处理的5大特性
相关性:即采集目的的相关,要求和产品服务直接相关。
时效性:即个人信息保存期,表明企业在不同时期采集的个人信息,应有明确的、对应的保存期限(第十七条第二款),且为实现处理目的所必要的最短时间(即保存期届满的情况)(第十九条);要求最低可保存个人信息及相关记录三年以上;且过期后自然人对其个人信息享有如删除销毁等指定权利。
可解释性:即在处理个人信息过程中,企业需具备对个人信息处理目的、存储状况、处理规则等能够做出真实有效的解释说明。
合法性:此处合法性指的是企业在个人信息处理的整个生命周期中各个阶段,需满足合法合规性要求。
运营性:本法对企业组织的个人信息相关组织制度规范建设、个人信息的业务活动处理、个人信息安全保护等多个方面提出了长效运营的要求,体现在:
企业的个人信息保护规章制度及组织建设可运营
企业在管理和处理个人信息的业务活动上可运营
企业在个人信息的安全性保护及影响评估上可运营
企业在个人信息保护社会责任上可运营
(2)个人信息流转情形及企业侧责任义务
“个保法”在要求企业侧的责任和义务时,和以往相关数据安全法律法规相比,着重强调了个人信息流转情形下共同个人信息不同合作处理方的连带责任。个人信息流转可从两个方面来看:
1)基于个人信息业务的多方合作之间流转。对于合作方本法给出了两种形式:
常见的业务上下游合作渠道、外包等社会组织/企业。
基于委托关系的个人信息处理企业方。
前者的合作关系中,个人信息流转更注重基于业务上下游或共同业务的共同处理情形,即各方均会对个人信息进行流转交换、加工处理等;后者的合作关系中,个人信息流转更注重委托处理和被委托处理情形,即个人信息的采集处理等更多发生被委托方,采集或处理后的个人信息可能回传给委托方。但无论是哪种情形,一旦发生个人信息泄露或其他违法违规事件,合作各方对外均需承担共同连带责任。
2)基于跨国跨境传输的合作方之间流转。跨国跨境传输流转,需要满足“安全评估”、“保护认证”、“官标合同”、“其他条件”四个其中一个(第三十八条);但同时强调了企业在跨境传输后,接收方对个人信息保护应符合本法规定的标准,责任主体依然在提供跨境传输的企业方一侧。
(3)个人信息处理的安全能力/要求
1)数据分类要求:“个保法”明确提出了针对个人信息的分类要求:
个人信息分类处理(第五十一条第二款):对个人信息实行分类管理。
敏感个人信息做了独立分类处理(第二十八条):敏感个人信息主要包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等,以及不满十四周岁未成年人的个人信息。
个人信息在年龄上做了更细粒度区分处理(第三十一条、第三十八条):不满十四周岁未成年人个人信息,需要制定专门信息处理规则。
2)安全技术要求(第五十一条第三款):采取相应加密、去标识化等安全技术措施,保障个人信息的完整性、机密性。
3)合规审计要求(第五十四条):要求企业定期开展合规性审计,审计内容包括但不限于对个人信息处理目的、处理规则的明确性定义;对个人信息全生命周期的安全性保障措施;对个人信息处理活动记录;个人信息组织建设及负责人信息公示情况等。
4)保护影响评估要求(第五十五条、五十六条):个人信息保护影响评估旨在确保合法合规情况下,将风险前置,避免或降低对个人、社会的广度和深度性影响,减少经济损失,并为事故发生后的应急预案和补救措施提供数据支持。
5)权限控制要求(第五十一条第四款):合理确定个人信息处理操作权限;虽然“个保法”仅从侧面提到了个人信息处理操作权限问题,但从安全视角来看,则涵盖了权限分配管理、权限认证、权限访问控制等多个隐藏项。
(4)个人信息处理的强制性业务要求
“个保法”就个人信息处理业务,明确提出了部分强制性要求,需要重点关注的包括以下几点:
1)用户不同意不再是全盘拒绝产品服务的“挡箭牌”;正常情况下,不得以用户不同意处理其个人信息或撤回同意为由,企业全盘拒绝提供产品或服务(必须依赖个人信息的产品或服务除外)。(第十六条)
2)不得“大数据杀熟”,即通过自动化决策方式,在交易价格上不得差别化处理;商业营销、信息推送上,不得提供针对个人特征的选项。(第二十四条)
3)不得公开处理个人信息,除取得个人同意外。(第二十五条)
4)处理敏感个人信息应当取得个人的单独同意,处理不满十四周岁未成年人个人信息的应取得未成年人父母或其他监护人同意。(第二十九条、第三十条)
(5)个人信息处理的组织制度建设保障
“个保法”明确了个人信息处理者在组织制度建设上的义务和要求:
1)规范/规程:
制定内部管理制度和操作规程。(第五十一条第一款)
定期对从业人员进行安全教育和培训。(第五十一条第四款)
制定并组织实施个人信息安全事件应急预案。(第五十一条第五款)
制定平台规则,明确平台内产品或服务提供者处理个人信息的规范和保护个人信息的义务。(第五十八条第二款)
合理确定个人信息处理操作权限。(第五十一条第四款)
2)组织建设:
按照国家规定建立健全个人信息保护合规制度体系。
设立个人信息保护负责人(掌握超过100万用户个人信息的企业组织)。(第五十二条)
设立由外部成员组成的独立监督机构。(第五十八条第一款)
设立境内专门机构或指定代表(境外个人信息处理)。(第五十三条)
对组织企业而言,为充分满足“个保法”,可理解为需构建“专人专职专权”、“责任主体制”、“外部独立监督制”的制度保障措施,并加强安全意识教育和培训。
(6)对企业组织进行监管的个人信息保护监管部门
国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作(第六十条)。但本法并未直接给出个人信息保护监管部门的监管标准和规则,需要企业后续继续跟进网信部在个人信息保护的监管要求
三、实用性指南
我们就可能被其他解读者忽略的点——组织企业的连带责任制,进行分析并给出实用性参考建议。
上文在“个人信息流转情形及企业侧责任义务”板块分析了需要满足连带责任的企业合作模式。“个保法”强调连带责任制本意是为了强化对个人信息的自然人保护,防止组织企业对个人信息的滥用,要求组织企业对个人信息的业务处理活动和安全性肩负起法律、社会责任。因此企业侧存在对个人信息处理的多方合作时,无论是哪一方出现了问题,均需要共同承担相应法律责任。对此,企业该如何做,以尽可能降低自身的风险和法律成本?
(1)全面梳理合作方,确认连带责任主体确认可能违法违规或泄漏的第三责任方
存在个人信息共同处理或委托处理的子公司、渠道商、外包团队等第三方合作组织机构;明确企业侧需承担连带责任合作方有哪些。通过该梳理,可从整体上确认风险责任主体,针对风险责任主体制定相应的个人信息安全防护措施和合作协作框架。
(2)就连带责任的对内责任义务纳入合作
对外一致承担共同责任,对内按损害责任主次承担相应责任,降低违法违规成本。
与第三方合作企业、组织或个人,针对双方各自个人信息存储、流转、使用等过程中一旦产生本法范围外的损害情况时,在签署合作合同时,应当将就如何针对损害情况共同承担相应法律责任事宜纳入合同范围。具体包括但不限于:
1)根据损害情况,内部约定主责和次责主体及相应的权利和义务;
2)可要求合作方具备并证明对个人信息的存储、流转、使用、删除销毁等能力;
3)可要求合作方定期或条件性披露个人信息的存储、流转、使用、删除销毁等情况;在个人信息定价上,保证各个合作方之间是公开透明的;这要求组织和企业建立个人信息安全性责任沟通协作机制或个人信息合规性安全监督机制;
4)应当制定损害后共同应对损害状况的处置应对策略,包括但不限于:
对外一致性自证清白:对已泄漏个人信息的数据,合作各方进行全面数据溯源,通过集体自证清白来对外免责(第六十九条)。
连带责任中的自证清白:基于违法暴露个人信息的数据溯源追踪,根据上条合作方之间合作合同中确认的责任划分条款内容,以确认暴露责任主体或自证清白,尽量降低连带责任中,非主体责任方的损失。
查明包括被损害个体在内的同业务所有个人信息在双方业务系统中的存储和流转分布情况,确保可在第一时间进行二次安全性合规性摸排检查,查漏补缺;或就查询、删除、信息最小化处理等操作予以合法合规性配合。
明确一方损害后对合作方法所需承担的赔偿或违约责任,以及对损害状况尽职说明和报告等义务。
(3)个人信息流转安全能力建设
具体内容包括但不限于:
1)个人信息资产梳理:
资产清单:全面梳理出所有包含个人信息的业务系统(如Web/移动应用、业务系统数据库/云存储、测试库、大数据中心等)、流转的接口(如内外可调用API)、流转的办公网络系统(如邮件、文件等)。
个人信息分类定级清单:能通过主动扫描方式,发现静态存储的个人信息,并对个人信息实施自动分类和定级处理。
2)流转测绘:
在不影响业务可用性的前提下,对个人信息尤其是敏感个人信息,在不同业务系统、接口、数据库中的流转节点和流向进行测绘。通过可视化流转测绘结果,来形成个人信息的流转视图,掌握个人信息的整体流入流出等流转情况,便于后续监控和风险排查。
3)流转监控:
对个人信息尤其是个人敏感信息的在企业内部及合作方之间的动态访问流转情况,具备实时或即时的流转能力,时刻监控个人信息是否在合法、业务指定范围内进行流转;并在定向传输或导出时,需具备对个人信息尤其是个人敏感信息的脱敏/加密能力,并就脱敏/加密效果进行监控。
4)监察审计:
内部可进行监察巡视管理,构建针对个人信息保护的业务、应用接口资产、数据等重点监察清单,通过日常对监察清单的个人信息安全运营及周期性的全面安全性检测检查,来确认个人信息安全状态,避免泄漏、违规操作等安全性风险发生;
对外可基于合规性进行个人信息的存储、流转情况、访问操作等进行全面的审计,构建合规性审计策略和清单,周期性或检查期间,通过审计策略和审计清单从个人信息生命周期不同阶段来满足合规性审计要求。
5)风险评估:
静态评估和动态评估;静态评估主要针对静态存储个人信息数据的存储单位、存储数量、存储媒介(如数据库)、存储媒介安全性(如数据库安全)、存储数据自身是否加密等方面,从安全保护系数、影响广度、影响深度三个维度进行评估;
动态评估主要针对在不同业务、不同合作方之间个人信息的传输、流转情况进行动态影响评估。
(4)建立个人信息合规性监督/报备机制
具体包括但不限于:
存储/加工:对是否按规进行个人信息分类定级、处理目的和规则描述等进行报备和监督。
流转:对个人信息尤其是个人敏感信息的在企业内部及合作方之间的动态访问流转情况,进行流转监测,确保个人信息在合法合规、业务指定范围内进行流转。
传输:定向传输或导出时可对个人信息尤其是个人敏感信息的脱敏/加密能力,并就脱敏/加密效果进行监督。
删除销毁:可对指定存储个人信息的数据库等媒介,在删除销毁后,进行主动扫描,确保依法依规进行删除销毁,避免遗漏导致二次泄漏事故发生。
四、写在最后
“个保法”整体是从监管和个人信息权利保护的视角出发制定的,强调了个人信息的机密性、完整性,强调了强监管的姿态;在对企业侧的可用性进行一定限制的同时,要求企业承担更多的法律及社会责任与义务。企业组织应由内而外、自上而下构建个人信息保护体系,以满足监管合规、顺应时代发展变化和趋势。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)