首頁(yè) 新聞 國(guó)內(nèi) 聚焦 財(cái)經(jīng) 教育 關(guān)注 熱點(diǎn) 要聞 民生1+1

中國(guó)信通院張夕夜等:《個(gè)人信息保護(hù)法》正式實(shí)施,企業(yè)應(yīng)注意什么?

來(lái)源:北京日?qǐng)?bào)    發(fā)布時(shí)間:2021-11-02 16:30:09

《個(gè)人信息保護(hù)法》于11月1日施行,作為個(gè)人信息保護(hù)領(lǐng)域的基本法,其全面規(guī)定了企業(yè)等個(gè)人信息處理者的義務(wù)及責(zé)任,并在三處明確提出合規(guī)要求。隨著《個(gè)人信息保護(hù)法》的出臺(tái)與實(shí)施,其與《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《刑法》中相關(guān)條款共同形成公法視角下的個(gè)人信息保護(hù)法律體系。一方面,面對(duì)強(qiáng)制合規(guī)義務(wù)及責(zé)任,企業(yè)應(yīng)當(dāng)建立合規(guī)管理體系,以踐行處理個(gè)人信息的法定義務(wù),避免因違法處理個(gè)人信息而受到處罰。另一方面,與強(qiáng)制合規(guī)并存的合規(guī)激勵(lì)機(jī)制,如合規(guī)爭(zhēng)取寬大行政或刑事處理,則使企業(yè)主動(dòng)建立健全個(gè)人信息保護(hù)合規(guī)體系。

一、法律責(zé)任

應(yīng)然狀態(tài)下的法律責(zé)任是企業(yè)個(gè)人信息保護(hù)不完善時(shí)可能面臨的合規(guī)風(fēng)險(xiǎn),而不是企業(yè)承擔(dān)責(zé)任的實(shí)然狀態(tài)。行政和解制度、企業(yè)合規(guī)改革等合規(guī)激勵(lì)機(jī)制,賦予企業(yè)以合規(guī)爭(zhēng)取寬大行政處理及刑事處理的可能性,以此來(lái)減輕企業(yè)本應(yīng)承擔(dān)的責(zé)任,將較重的應(yīng)然責(zé)任轉(zhuǎn)為輕微的實(shí)然責(zé)任。

(一)應(yīng)然狀態(tài)下的法律責(zé)任

1、行政處罰

根據(jù)《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》 ,企業(yè)在處理個(gè)人信息時(shí)若違反禁止性規(guī)范或未嚴(yán)格落實(shí)義務(wù)性規(guī)范,可能面臨履行個(gè)人信息保護(hù)職責(zé)的部門(mén)吊銷(xiāo)營(yíng)業(yè)執(zhí)照等合規(guī)風(fēng)險(xiǎn),具體如下。

(1)申戒罰。企業(yè)違反法律規(guī)定處理個(gè)人信息,或者處理個(gè)人信息未履行法律規(guī)定的個(gè)人信息保護(hù)義務(wù)的,由履行個(gè)人信息保護(hù)職責(zé)的部門(mén)給予警告。

(2)財(cái)產(chǎn)罰。企業(yè)違法處理個(gè)人信息拒不改正的,由履行個(gè)人信息保護(hù)職責(zé)的部門(mén)對(duì)企業(yè)及責(zé)任人員處以罰款,并沒(méi)收企業(yè)違法所得。

(3)行為罰。一是限制開(kāi)展經(jīng)營(yíng)活動(dòng)。對(duì)違法處理個(gè)人信息的應(yīng)用程序,責(zé)令暫?;蛘呓K止提供服務(wù)。二是吊銷(xiāo)許可證件。違法處理個(gè)人信息情節(jié)嚴(yán)重的,吊銷(xiāo)相關(guān)業(yè)務(wù)許可或者吊銷(xiāo)營(yíng)業(yè)執(zhí)照。三是限制從業(yè)。禁止相關(guān)責(zé)任人員在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級(jí)管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人。

2、刑事責(zé)任

根據(jù)我國(guó)《刑法》規(guī)定,企業(yè)若違反法律規(guī)定處理個(gè)人信息,或未盡到個(gè)人信息保護(hù)的義務(wù),可觸犯作為犯“侵犯公民個(gè)人信息罪”及不作為犯“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”。

(1)作為犯罪?!缎谭ā返诙傥迨龡l之一為“侵犯公民個(gè)人信息罪”,根據(jù)此條規(guī)定,違反國(guó)家有關(guān)規(guī)定,向他人出售或者提供公民個(gè)人信息情節(jié)嚴(yán)重的,竊取或者以其他方法非法獲取公民個(gè)人信息的,處有期徒刑或者拘役,并處或者單處罰金。

(2)不作為犯罪?!缎谭ā返诙侔耸鶙l之一為“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”,根據(jù)此條規(guī)定,網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù),經(jīng)監(jiān)管部門(mén)責(zé)令采取改正措施而拒不改正,致使用戶(hù)信息泄露造成嚴(yán)重后果的,或有其他嚴(yán)重情節(jié)的,處有期徒刑、拘役或者管制,并處或者單處罰金。

(二)實(shí)然狀態(tài)下的法律責(zé)任

1、寬大行政處理

在證券期貨監(jiān)管及反不正當(dāng)競(jìng)爭(zhēng)等領(lǐng)域,我國(guó)在行政監(jiān)管環(huán)節(jié)已經(jīng)開(kāi)始了以合規(guī)換取寬大處理的制度和實(shí)踐。具體到個(gè)人信息保護(hù)領(lǐng)域,可在兩個(gè)方面做好個(gè)人信息保護(hù)合規(guī)管理,以爭(zhēng)取寬大行政處理。

積極的作為義務(wù)方面,一是面向用戶(hù)遵守個(gè)人信息處理的規(guī)則。如采集個(gè)人信息應(yīng)當(dāng)具有合法性基礎(chǔ),允許用戶(hù)撤回同意,為用戶(hù)行使刪除、更正的權(quán)利提供便利,告知用戶(hù)必要事項(xiàng),通知安全事件等。二是企業(yè)內(nèi)部承擔(dān)安全管理的義務(wù)。如個(gè)人信息分類(lèi)管理,采取加密等技術(shù)措施,建立應(yīng)急機(jī)制,設(shè)立組織機(jī)構(gòu),進(jìn)行影響評(píng)估及合規(guī)審計(jì)等。

消極的不作為方面,《個(gè)人信息保護(hù)法》等相關(guān)條款是企業(yè)處理個(gè)人信息時(shí)的禁止性規(guī)范,包括不得竊取或者以其他非法方式收集數(shù)據(jù),不得過(guò)度收集個(gè)人信息,不得公開(kāi)處理的個(gè)人信息等。據(jù)此,若企業(yè)未從事上述違法行為,僅員工因個(gè)人行為遭受行政調(diào)查時(shí),企業(yè)可以提出盡到了培訓(xùn)、懲戒等方面的合規(guī)管理義務(wù),從而將單位責(zé)任與員工的個(gè)人責(zé)任進(jìn)行切割。

特別的,無(wú)論是積極的作為義務(wù)還是消極的不作為義務(wù),若企業(yè)因“未盡強(qiáng)制性的義務(wù)”或“從事了禁止性的行為”而受到行政調(diào)查時(shí),企業(yè)可以通過(guò)合規(guī)承諾,說(shuō)服履行個(gè)人信息保護(hù)的職責(zé)部門(mén)免除或減輕企業(yè)的行政法律責(zé)任。

2、寬大刑事處理

我國(guó)當(dāng)前正在進(jìn)行企業(yè)合規(guī)改革試點(diǎn)。根據(jù)最高檢《關(guān)于開(kāi)展企業(yè)合規(guī)改革試點(diǎn)工作方案》,開(kāi)展企業(yè)合規(guī)改革試點(diǎn)工作,是指檢察機(jī)關(guān)對(duì)于辦理的涉企刑事案件,在依法做出“能不捕的不捕、能不訴的不訴、能不判實(shí)刑的提出適用緩刑”的量刑建議的同時(shí),針對(duì)企業(yè)涉嫌具體犯罪,結(jié)合辦案實(shí)際,督促涉案企業(yè)作出合規(guī)承諾并積極整改落實(shí),促進(jìn)企業(yè)合規(guī)守法經(jīng)營(yíng),減少和預(yù)防企業(yè)犯罪的改革舉措。

具體到個(gè)人信息保護(hù)領(lǐng)域,同樣可以在兩個(gè)方面做好個(gè)人信息保護(hù)合規(guī)管理,以爭(zhēng)取寬大刑事處理。積極的作為義務(wù)方面即履行信息網(wǎng)絡(luò)安全管理義務(wù)。消極的不作為義務(wù)方面即不允許員工在產(chǎn)品和服務(wù)中出售、提供、竊取、非法獲取個(gè)人信息。

三、合規(guī)建議

為貫徹落實(shí)相關(guān)要求,規(guī)范相關(guān)行為,提高相關(guān)企業(yè)合規(guī)意識(shí)和水平,相關(guān)部門(mén)在企業(yè)境外經(jīng)營(yíng)、金融、反壟斷等領(lǐng)域編制了相關(guān)管理指引,如國(guó)家發(fā)改委等七部委印發(fā)《企業(yè)境外經(jīng)營(yíng)合規(guī)管理指引》,為企業(yè)在具體領(lǐng)域的合規(guī)工作提供指引和參考。借鑒這些領(lǐng)域合規(guī)實(shí)踐,根據(jù)《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》及《刑法》,提出個(gè)人信息保護(hù)合規(guī)建議,具體內(nèi)容包括以下八個(gè)方面。

(一)擬定規(guī)章制度

根據(jù)個(gè)人信息保護(hù)的法律法規(guī)變化和監(jiān)管動(dòng)態(tài),建立健全并不斷更新個(gè)人信息保護(hù)合規(guī)管理制度,闡明個(gè)人信息保護(hù)合規(guī)目的與內(nèi)涵,明確處理個(gè)人信息的行為規(guī)范及違規(guī)后果,將外部有關(guān)合規(guī)要求轉(zhuǎn)化為內(nèi)部規(guī)章制度。一是形成個(gè)人信息安全管理基礎(chǔ)性制度。二是在個(gè)人信息收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等各個(gè)處理環(huán)節(jié)踐行個(gè)人信息保護(hù)的義務(wù)。三是明確違規(guī)行為的內(nèi)部處理流程和責(zé)任承擔(dān)方式,簽署承諾性書(shū)面聲明,企業(yè)員工違規(guī)按既定方式處理。

(二)建立組織機(jī)構(gòu)

設(shè)立個(gè)人信息保護(hù)內(nèi)部合規(guī)機(jī)制的組織機(jī)構(gòu),明確個(gè)人信息保護(hù)合規(guī)主管部門(mén)、負(fù)責(zé)人及職責(zé)。合規(guī)部門(mén)負(fù)責(zé)具體起草本企業(yè)個(gè)人信息保護(hù)合規(guī)管理計(jì)劃和管理制度;組織開(kāi)展或者參與個(gè)人信息保護(hù)合規(guī)審計(jì)、檢查與考核等相關(guān)工作,及時(shí)發(fā)現(xiàn)薄弱環(huán)節(jié),督促違規(guī)整改和持續(xù)改進(jìn);落實(shí)本企業(yè)個(gè)人信息保護(hù)合規(guī)宣傳計(jì)劃,定期和不定期組織或協(xié)助人事部門(mén)、業(yè)務(wù)部門(mén)開(kāi)展合規(guī)培訓(xùn)、宣傳等工作;指導(dǎo)各業(yè)務(wù)單位做好個(gè)人信息保護(hù)合規(guī)、為各業(yè)務(wù)單位提供合規(guī)咨詢(xún)和支持;就個(gè)人信息保護(hù)合規(guī)舉報(bào)進(jìn)行登記和受理并對(duì)舉報(bào)進(jìn)行調(diào)查和審核,判斷是否存在違規(guī)行為,并提出處理建議。

(三)開(kāi)展教育培訓(xùn)

組織開(kāi)展個(gè)人信息安全教育培訓(xùn),定期對(duì)從業(yè)人員進(jìn)行教育和培訓(xùn)。一是培訓(xùn)內(nèi)容。明確個(gè)人信息保護(hù)的概念與重要意義,本企業(yè)合規(guī)政策和相關(guān)管理辦法,員工自身的個(gè)人信息保護(hù)合規(guī)職責(zé),違規(guī)相關(guān)風(fēng)險(xiǎn)等。二是培訓(xùn)實(shí)效。通過(guò)不定期抽查或現(xiàn)場(chǎng)考試等形式加大培訓(xùn)督查力度,并納入員工年度考核內(nèi)容,保留培訓(xùn)及考核記錄。

(四)建設(shè)合規(guī)文化

建設(shè)個(gè)人信息保護(hù)合規(guī)文化,將合規(guī)文化融入企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng),形成全員認(rèn)可的合規(guī)文化理念。對(duì)內(nèi)暢通溝通渠道,員工可就合規(guī)問(wèn)題進(jìn)行咨詢(xún)或發(fā)表意見(jiàn),并形成反饋機(jī)制;對(duì)外宣傳合規(guī)文化,展示企業(yè)合規(guī)形象,為企業(yè)發(fā)展?fàn)I造良好的合規(guī)輿論及監(jiān)管環(huán)境。

(五)進(jìn)行影響評(píng)估

在處理敏感個(gè)人信息,利用個(gè)人信息進(jìn)行自動(dòng)化決策,委托處理個(gè)人信息、向其他個(gè)人信息處理者提供個(gè)人信息、公開(kāi)個(gè)人信息,向境外提供個(gè)人信息等四種情形時(shí),進(jìn)行個(gè)人信息影響評(píng)估。評(píng)估內(nèi)容包括個(gè)人信息處理目的、處理方式等是否合法、正當(dāng)、必要,對(duì)個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn),所采取的保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)。評(píng)估基本方法有訪(fǎng)談、檢查、測(cè)試等。評(píng)估報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存三年。

(六)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)

從人員、流程、技術(shù)等安全要素出發(fā),加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)。人員方面,組建一支專(zhuān)業(yè)的協(xié)同團(tuán)隊(duì),消除安全風(fēng)險(xiǎn)避免安全事件;流程方面,形成良好的管理流程,確保人員發(fā)揮作用、監(jiān)測(cè)措施能夠落地;技術(shù)方面,完善監(jiān)測(cè)技術(shù)體系,不斷優(yōu)化升級(jí)新型技術(shù)工具。

(七)制定應(yīng)急措施

制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急機(jī)制。一是采取補(bǔ)救措施。評(píng)估事件帶來(lái)的影響和損害,抑制事件的影響進(jìn)一步擴(kuò)大,并恢復(fù)數(shù)據(jù)與服務(wù)。二是通知相關(guān)部門(mén)和個(gè)人。通知應(yīng)當(dāng)包括個(gè)人信息泄露、篡改、丟失的信息種類(lèi)、原因和可能造成的危害,采取的補(bǔ)救措施和個(gè)人可以采取的減輕危害的措施,個(gè)人信息處理者的聯(lián)系方式。

(八)定期合規(guī)審計(jì)

對(duì)個(gè)人信息保護(hù)合規(guī)機(jī)制的合理性、可行性、有效性等進(jìn)行審計(jì),評(píng)估具體流程合規(guī)操作的規(guī)范性。由企業(yè)自發(fā)進(jìn)行的定期審計(jì),可以由企業(yè)內(nèi)部專(zhuān)人進(jìn)行,也可以聘請(qǐng)外部第三方機(jī)構(gòu)進(jìn)行;由個(gè)人信息保護(hù)職責(zé)部門(mén)要求進(jìn)行的外部審計(jì),適用于企業(yè)在處理個(gè)人信息時(shí)面臨較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件。審計(jì)完成后形成審計(jì)報(bào)告,總結(jié)內(nèi)部合規(guī)機(jī)制運(yùn)行狀況以及提出整改方向。

頻道精選

首頁(yè) | 城市快報(bào) | 國(guó)內(nèi)新聞 | 教育播報(bào) | 在線(xiàn)訪(fǎng)談 | 本網(wǎng)原創(chuàng) | 娛樂(lè)看點(diǎn)

Copyright @2008-2018 經(jīng)貿(mào)網(wǎng) 版權(quán)所有 豫ICP備18004326號(hào)-5
本站點(diǎn)信息未經(jīng)允許不得復(fù)制或鏡像 聯(lián)系郵箱:52 86 831 89@qq.com