个人信息保护法企业合规启示报告 h t i g 政策 b u m o c . 5 上篇 个人信息处理新变局 前言 近年来,伴随着数字经济发展,对个人信息的采集和 利用成为一种“刚需”。个人信息保护不断涌现出新问题, 随意收集、违法获取、过度使用、非法买卖个人信息等情况 “野火烧不尽”。信息数据的挖掘利用与个人保护之间张 力 扩 大 ,急 需 专 门 法 律 对 个 人 信 息 处 理 活 动 提 供 规 范 样 m o c . 5 本。 放眼全球,个人信息保护立法在如火如荼地展开,目 前已经有 128 个国家通过立法保护个人信息和隐私。欧 b u 盟《通用数据保护条例》、美国加利福尼亚州隐私保护法的 出台,在国际上颇具影响力。 h t i g 《个人信息保护法》在此背景下被纳入立法进程,并在 各方推动下不断提速,千呼万唤始出来。2021 年 8 月 20 日, 《中华人民共和国个人信息保护法》由第十三届全国人 民代表大会常务委员会第三十次会议通过,自 2021 年 11 月 1 日起施行。 《个人信息保护法》共 8 章 74 条。在有关法律的基础 上,该法进一步细化、完善个人信息保护应遵循的原则和 个人信息处理规则,明确个人信息处理活动中的权利义务 边界,健全个人信息保护工作体制机制。该法成为我国迈 入数字化社会,彰显“以人为本”的法律制度里程碑,也是 我国为全球数字治理贡献的中国方案。 南方财经全媒体集团合规科技研究院长期关注个人 个人信息保护法企业合规启示报告 信息保护议题,持续跟踪报道立法进程、监管动态、公众呼 声。借《个人信息保护法》落地之际推出解读报告,分析当 前“ 大 数 据 杀 熟 ”、强 制 同 意、人 脸 识 别、超 大 型 平 台 义 务 等多项热点。 报告分为上下两篇,上篇《个人信息处理新变局》梳理 m o c . 5 立法路径与模式,聚焦个人信息处理逻辑的转变,下篇《企 业风险研判》则将目光放到企业合规的重点与难点,以及 新的信息处理机制在数字经济发展中面临的新挑战。 b u 本篇将展现近 20 年来个人信息保护的不断完善与发 展 ;厘清个人信息相关概念 ;拆解“告知—同意”为核心原 h t i g 则的个人信息处理规范,解读围绕这一核心规则给企业带 来的信息处理模式变革。 版权声明 本报告版权为南方财经全媒体集团合规科技研究院所有,并受法律保护。 其他媒体、网站或个人以转载、摘编或其他方式使用本报告内容的,必须注明“来 源:南方财经全媒体集团合规科技研究院”字样,否则不得进行商业性的原版原 式转载,也不得歪曲和篡改本报告所发布的内容。违反上述声明者,我们将依法 追究其相关法律责任。 contents 上篇 个人信息处理新变局 目录 P01 / 一、背景 P01 / (一)个人信息保护的立法时间表(2009-2021) P04 / (二)关于个人信息处理的其他立法 P05 / (三)相关概念厘清 P05 / 1. 个人信息、隐私与敏感个人信息 P06 / 2. 去标识化、匿名化 P07 / P07 / (一) “告知-同意”处理规则 P08 / 1. 现实困境 P09 / 2. 信息处理模式转变 P09 / 3. 合规要点 P13 / (二)自动化决策 P13 / P14 / P16 / P17 / P18 / m o c . 5 二、企业处理个人信息模式的变革 h t i g b u 1. 确立算法自动化决策治理框架 2. 信息处理者责任增加 3. 合规要点 4. 落地难点 (三)撤回同意 P19 / 1. 对信息处理者要求更严格 P19 / 2. 合规要点 P20 / (四)删除权 P20 / 1. 课以信息处理者更重义务 P22 / 2. 合规要点 P23 / (五) “告知-同意”之外情形 P23 / 1. 同意的例外情形 P25 / 2. 告知的例外情形 P33 / 学术指导 P33 / 致谢 个人信息保护法企业合规启示报告 一、背景 纵观《个人信息保护法》立法路程,走过近二十年。这期间,互联 网高速发展,大数据时代来到。伴随着高频、高速、高密度的数据交流 传输,作为原材料的个人信息的滥用问题相伴而至。这些年,对个人 信息保护的立法呼声越来越高,急需一部专门法律定分止争。 《个人信 息保护法》应运而生。 m o c . 5 (一)个人信息保护的立法时间表(2009-2021) 我国《个人信息保护法》的立法时间跨度长。2003 年,彼时的国 b u 务院信息化办公室部署立法研究工作,2005 年,相关学者完成《个人 信 息 保 护 法(专 家 建 议 稿)》,但 受 多 重 因 素 的 影 响 , 《个 人 信 息 保 护 法》一度陷入停滞。 h t i g 2009 年至 2018 年,关于个人信息保护的规定零星散落于多部法 律中。2017 年,受全国人大法工委和中央网信办委托,中国社会科学 院法学研究所副所长、研究员周汉华起草了《个人信息保护法(专家建 议稿)》。 2018 年, 《个人信息保护法》被纳入十三届全国人大常委会立法 规划,正式拉开立法序幕;2020 年 10 月,第十三届全国人大常委会第 二十二次会议对《个人信息保护法(草案)》进行首次审议,至 2021 年 8 月 17 日, 《个人信息保护法(草案)》进入三审。同年 8 月 20 日,十三 届 全 国 人 大 常 委 会 第 三 十 次 会 议 表 决 通 过《个 人 信 息 保 护 法》,自 2021 年 11 月 1 日起施行。 1 上篇 个人信息处理新变局 h t i g 2 b u m o c . 5 个人信息保护法企业合规启示报告 (续上表) h t i g 3 b u m o c . 5 上篇 个人信息处理新变局 (续上表) h t i g m o c . 5 b u (二)关于个人信息处理的其他立法 过去,我国已有多部法律文件涉及个人信息处理,这些规范比较 分散,呈现出碎片化的特征。 4 个人信息保护法企业合规启示报告 如《宪法》 《民法典》分别规定了“公民的通信自由和通信秘密” “自 然人的个人信息”受法律保护, 《刑法》确定了侵犯个人信息的相关罪 名, 《数据安全法》 《网络安全法》等也有对个人信息保护大篇幅的规 定,详细法律法规条款参见报告附录。 h t i g m o c . 5 b u (三)相关概念厘清 1. 个人信息、隐私与敏感个人信息 《民法典》将隐私定义为:自然人的私人生活安宁和不愿为他人知 晓的私密空间、私密活动、私密信息。在第 1034 条第 3 款个人信息的 定义下,区分了私密信息和非私密信息, “ 个人信息中的私密信息,适 用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。” 个 人 隐 私 与 个 人 信 息 呈 交 叉 关 系 ,即 有 的 个 人 隐 私 属 于 个 人 信 息,而有的个人隐私则不属于个人信息 ;有的个人信息特别是涉及个 5 上篇 个人信息处理新变局 人私生活的敏感信息属于个人隐私,但也有一些个人信息因高度公开 而不属于隐私 ①。 《个人信息保护法》第二十八条将敏感个人信息定义为一旦泄露或 者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全 受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、 金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。 敏 感 信 息 与 个 人 信 息 的 区 别 在 于 ,前 者 是“ 一 旦 泄 露 或 非 法 使 m o c . 5 用”,就容易造成个人名誉、身心健康受到损害或歧视性待遇等,因此 立法对其的保护标准更为严格。 2. 去标识化、匿名化 b u 匿名化的三个要件:一是个人信息必须经过处理,二是处理后的 数据无法识别特定自然人,三是数据不能复原 ②。 h t i g 这一概念在《个人信息保护法》中得到明确: “ 匿名化是指个人信 息经过处理无法识别特定自然人且不能复原的过程”。 根 据《信 息 安 全 技 术 个 人 信 息 去 标 识 化 指 南》 (GB/T 379642019),去标识化的定义为通过对个人信息的技术处理,使其在不借 助额外信息的情况下,无法识别个人信息主体的过程。 《个人信息保护 法》保留了该定义,表述为“个人信息经过处理,使其在不借助额外信 息的情况下无法识别特定自然人的过程。” 去标识化和匿名化都是个人隐私安全的技术防护手段,二者的主 要区别在于,去标识化后的信息也属于个人信息,如果与其他额外信息 结合,可以识别个人信息主体,通常也称为重标识;而匿名化处理之后, 个人信息控制者不能直接或间接地再次识别个人信息,匿名化后的信 息不属于个人信息,且无法与额外信息结合识别出个人信息主体。 6 个人信息保护法企业合规启示报告 二、企业处理个人信息模式的变革 理 解 个 人 信 息 保 护 ,必 须 先 理 解 个 人 信 息 权 在 中 国 语 境 下 的 含 义。个人信息权具有控制自己信息的积极权利面向。个人具有知情、 同意、删除等权利,有权控制信息处理者、运营者如何使用自己的信 息 ③。 m o c . 5 《个人信息保护法》立法贯穿“信息自决”主线,体现在赋予个人同 意撤回、决定权、查阅权、复制权、更正权、删除权等方面 ④ 。最终新增 的“数据可携带权”也给予了个人自主权,个人在面对信息处理者的不 平等地位差距时,拥有了与其抗衡的“武器”。这也给企业的个人信息 处理逻辑带来变化。 h t i g b u (一) “告知-同意”处理规则 “告知-同意”原则,指信息处理者在收集个人信息时,应当对信息 主体就有关个人信息被收集、处理和利用的情况进行充分告知,并征 得信息主体明确同意的原则 ⑤。 早在 2012 年, 《全国人民代表大会常务委员会关于加强网络信息 保护的决定》首次在法律文件中确定了个人信息收集的“用户同意原 7 上篇 个人信息处理新变局 则 ”⑥ 。 近 年 来 ,随 着《网 络 安 全 法》和《民 法 典》等 法 律 法 规 的 出 台 , “告知-同意”原则已发展成为我国目前个人信息保护最主要的合法性 基础。 《个人信息保护法》也将“告知-同意”确立为个人信息处理规则的 核心。但是, “ 告知-同意”这项基础原则在实操场景中会遇到各类现 实问题,有时甚至无法实现。 m o c . 5 1. 现实困境 1.1“ 隐私政策”无人读、不可读、读不懂 ⑦ 国外有研究成

pdf文档 南方财经 个人信息保护法企业合规启示报告(上篇)

文档预览
中文文档 38 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共38页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
南方财经 个人信息保护法企业合规启示报告(上篇) 第 1 页 南方财经 个人信息保护法企业合规启示报告(上篇) 第 2 页 南方财经 个人信息保护法企业合规启示报告(上篇) 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲2022-06-17 03:26:02上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言
热门文档