中國信通院:個人信息保護(hù)合規(guī)的必要性及其指引

發(fā)布時間:2021-10-26 18:06:32  |  來源:通信世界全媒體  

(CWW)《個人信息保護(hù)法》將于2021年11月1日施行,作為個人信息保護(hù)領(lǐng)域的基本法,其全面規(guī)定了企業(yè)等個人信息處理者的義務(wù)及責(zé)任,并在三處明確提出合規(guī)要求。隨著《個人信息保護(hù)法》的出臺與實(shí)施,其與《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《刑法》中相關(guān)條款共同形成公法視角下的個人信息保護(hù)法律體系。一方面,面對強(qiáng)制合規(guī)義務(wù)及責(zé)任,企業(yè)應(yīng)當(dāng)建立合規(guī)管理體系,以踐行處理個人信息的法定義務(wù),避免因違法處理個人信息而受到處罰。另一方面,與強(qiáng)制合規(guī)并存的合規(guī)激勵機(jī)制,如合規(guī)爭取寬大行政或刑事處理,則使企業(yè)主動建立健全個人信息保護(hù)合規(guī)體系。

一、法律責(zé)任

應(yīng)然狀態(tài)下的法律責(zé)任是企業(yè)個人信息保護(hù)不完善時可能面臨的合規(guī)風(fēng)險,而不是企業(yè)承擔(dān)責(zé)任的實(shí)然狀態(tài)。行政和解制度、企業(yè)合規(guī)改革等合規(guī)激勵機(jī)制,賦予企業(yè)以合規(guī)爭取寬大行政處理及刑事處理的可能性,以此來減輕企業(yè)本應(yīng)承擔(dān)的責(zé)任,將較重的應(yīng)然責(zé)任轉(zhuǎn)為輕微的實(shí)然責(zé)任。

(一)應(yīng)然狀態(tài)下的法律責(zé)任

1、行政處罰

根據(jù)《個人信息保護(hù)法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》 ,企業(yè)在處理個人信息時若違反禁止性規(guī)范或未嚴(yán)格落實(shí)義務(wù)性規(guī)范,可能面臨履行個人信息保護(hù)職責(zé)的部門吊銷營業(yè)執(zhí)照等合規(guī)風(fēng)險,具體如下。

(1)申戒罰。企業(yè)違反法律規(guī)定處理個人信息,或者處理個人信息未履行法律規(guī)定的個人信息保護(hù)義務(wù)的,由履行個人信息保護(hù)職責(zé)的部門給予警告。

(2)財產(chǎn)罰。企業(yè)違法處理個人信息拒不改正的,由履行個人信息保護(hù)職責(zé)的部門對企業(yè)及責(zé)任人員處以罰款,并沒收企業(yè)違法所得。

(3)行為罰。一是限制開展經(jīng)營活動。對違法處理個人信息的應(yīng)用程序,責(zé)令暫停或者終止提供服務(wù)。二是吊銷許可證件。違法處理個人信息情節(jié)嚴(yán)重的,吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照。三是限制從業(yè)。禁止相關(guān)責(zé)任人員在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護(hù)負(fù)責(zé)人。

2、刑事責(zé)任

根據(jù)我國《刑法》規(guī)定,企業(yè)若違反法律規(guī)定處理個人信息,或未盡到個人信息保護(hù)的義務(wù),可觸犯作為犯“侵犯公民個人信息罪”及不作為犯“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”。

(1)作為犯罪?!缎谭ā返诙傥迨龡l之一為“侵犯公民個人信息罪”,根據(jù)此條規(guī)定,違反國家有關(guān)規(guī)定,向他人出售或者提供公民個人信息情節(jié)嚴(yán)重的,竊取或者以其他方法非法獲取公民個人信息的,處有期徒刑或者拘役,并處或者單處罰金。

(2)不作為犯罪?!缎谭ā返诙侔耸鶙l之一為“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”,根據(jù)此條規(guī)定,網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù),經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正,致使用戶信息泄露造成嚴(yán)重后果的,或有其他嚴(yán)重情節(jié)的,處有期徒刑、拘役或者管制,并處或者單處罰金。

(二)實(shí)然狀態(tài)下的法律責(zé)任

1、寬大行政處理

在證券期貨監(jiān)管及反不正當(dāng)競爭等領(lǐng)域,我國在行政監(jiān)管環(huán)節(jié)已經(jīng)開始了以合規(guī)換取寬大處理的制度和實(shí)踐。具體到個人信息保護(hù)領(lǐng)域,可在兩個方面做好個人信息保護(hù)合規(guī)管理,以爭取寬大行政處理。

積極的作為義務(wù)方面,一是面向用戶遵守個人信息處理的規(guī)則。如采集個人信息應(yīng)當(dāng)具有合法性基礎(chǔ),允許用戶撤回同意,為用戶行使刪除、更正的權(quán)利提供便利,告知用戶必要事項(xiàng),通知安全事件等。二是企業(yè)內(nèi)部承擔(dān)安全管理的義務(wù)。如個人信息分類管理,采取加密等技術(shù)措施,建立應(yīng)急機(jī)制,設(shè)立組織機(jī)構(gòu),進(jìn)行影響評估及合規(guī)審計等。

消極的不作為方面,《個人信息保護(hù)法》等相關(guān)條款是企業(yè)處理個人信息時的禁止性規(guī)范,包括不得竊取或者以其他非法方式收集數(shù)據(jù),不得過度收集個人信息,不得公開處理的個人信息等。據(jù)此,若企業(yè)未從事上述違法行為,僅員工因個人行為遭受行政調(diào)查時,企業(yè)可以提出盡到了培訓(xùn)、懲戒等方面的合規(guī)管理義務(wù),從而將單位責(zé)任與員工的個人責(zé)任進(jìn)行切割。

特別的,無論是積極的作為義務(wù)還是消極的不作為義務(wù),若企業(yè)因“未盡強(qiáng)制性的義務(wù)”或“從事了禁止性的行為”而受到行政調(diào)查時,企業(yè)可以通過合規(guī)承諾,說服履行個人信息保護(hù)的職責(zé)部門免除或減輕企業(yè)的行政法律責(zé)任。

2、寬大刑事處理

我國當(dāng)前正在進(jìn)行企業(yè)合規(guī)改革試點(diǎn)。根據(jù)最高檢《關(guān)于開展企業(yè)合規(guī)改革試點(diǎn)工作方案》,開展企業(yè)合規(guī)改革試點(diǎn)工作,是指檢察機(jī)關(guān)對于辦理的涉企刑事案件,在依法做出“能不捕的不捕、能不訴的不訴、能不判實(shí)刑的提出適用緩刑”的量刑建議的同時,針對企業(yè)涉嫌具體犯罪,結(jié)合辦案實(shí)際,督促涉案企業(yè)作出合規(guī)承諾并積極整改落實(shí),促進(jìn)企業(yè)合規(guī)守法經(jīng)營,減少和預(yù)防企業(yè)犯罪的改革舉措。

具體到個人信息保護(hù)領(lǐng)域,同樣可以在兩個方面做好個人信息保護(hù)合規(guī)管理,以爭取寬大刑事處理。積極的作為義務(wù)方面即履行信息網(wǎng)絡(luò)安全管理義務(wù)。消極的不作為義務(wù)方面即不允許員工在產(chǎn)品和服務(wù)中出售、提供、竊取、非法獲取個人信息。

三、合規(guī)指引

為貫徹落實(shí)相關(guān)要求,規(guī)范相關(guān)行為,提高相關(guān)企業(yè)合規(guī)意識和水平,相關(guān)部門在企業(yè)境外經(jīng)營、金融、反壟斷等領(lǐng)域編制了相關(guān)管理指引,如國家發(fā)改委等七部委印發(fā)《企業(yè)境外經(jīng)營合規(guī)管理指引》,為企業(yè)在具體領(lǐng)域的合規(guī)工作提供指引和參考。借鑒這些領(lǐng)域合規(guī)實(shí)踐,根據(jù)《個人信息保護(hù)法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》及《刑法》,制定“個人信息保護(hù)合規(guī)指引”,具體內(nèi)容包括以下八個方面。

(一)擬定規(guī)章制度

根據(jù)個人信息保護(hù)的法律法規(guī)變化和監(jiān)管動態(tài),建立健全并不斷更新個人信息保護(hù)合規(guī)管理制度,闡明個人信息保護(hù)合規(guī)目的與內(nèi)涵,明確處理個人信息的行為規(guī)范及違規(guī)后果,將外部有關(guān)合規(guī)要求轉(zhuǎn)化為內(nèi)部規(guī)章制度。一是形成個人信息安全管理基礎(chǔ)性制度。二是在個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除等各個處理環(huán)節(jié)踐行個人信息保護(hù)的義務(wù)。三是明確違規(guī)行為的內(nèi)部處理流程和責(zé)任承擔(dān)方式,簽署承諾性書面聲明,企業(yè)員工違規(guī)按既定方式處理。

(二)建立組織機(jī)構(gòu)

設(shè)立個人信息保護(hù)內(nèi)部合規(guī)機(jī)制的組織機(jī)構(gòu),明確個人信息保護(hù)合規(guī)主管部門、負(fù)責(zé)人及職責(zé)。合規(guī)部門負(fù)責(zé)具體起草本企業(yè)個人信息保護(hù)合規(guī)管理計劃和管理制度;組織開展或者參與個人信息保護(hù)合規(guī)審計、檢查與考核等相關(guān)工作,及時發(fā)現(xiàn)薄弱環(huán)節(jié),督促違規(guī)整改和持續(xù)改進(jìn);落實(shí)本企業(yè)個人信息保護(hù)合規(guī)宣傳計劃,定期和不定期組織或協(xié)助人事部門、業(yè)務(wù)部門開展合規(guī)培訓(xùn)、宣傳等工作;指導(dǎo)各業(yè)務(wù)單位做好個人信息保護(hù)合規(guī)、為各業(yè)務(wù)單位提供合規(guī)咨詢和支持;就個人信息保護(hù)合規(guī)舉報進(jìn)行登記和受理并對舉報進(jìn)行調(diào)查和審核,判斷是否存在違規(guī)行為,并提出處理建議。

(三)開展教育培訓(xùn)

組織開展個人信息安全教育培訓(xùn),定期對從業(yè)人員進(jìn)行教育和培訓(xùn)。一是培訓(xùn)內(nèi)容。明確個人信息保護(hù)的概念與重要意義,本企業(yè)合規(guī)政策和相關(guān)管理辦法,員工自身的個人信息保護(hù)合規(guī)職責(zé),違規(guī)相關(guān)風(fēng)險等。二是培訓(xùn)實(shí)效。通過不定期抽查或現(xiàn)場考試等形式加大培訓(xùn)督查力度,并納入員工年度考核內(nèi)容,保留培訓(xùn)及考核記錄。

(四)建設(shè)合規(guī)文化

建設(shè)個人信息保護(hù)合規(guī)文化,將合規(guī)文化融入企業(yè)生產(chǎn)經(jīng)營活動,形成全員認(rèn)可的合規(guī)文化理念。對內(nèi)暢通溝通渠道,員工可就合規(guī)問題進(jìn)行咨詢或發(fā)表意見,并形成反饋機(jī)制;對外宣傳合規(guī)文化,展示企業(yè)合規(guī)形象,為企業(yè)發(fā)展?fàn)I造良好的合規(guī)輿論及監(jiān)管環(huán)境。

(五)進(jìn)行影響評估

在處理敏感個人信息,利用個人信息進(jìn)行自動化決策,委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息,向境外提供個人信息等四種情形時,進(jìn)行個人信息影響評估。評估內(nèi)容包括個人信息處理目的、處理方式等是否合法、正當(dāng)、必要,對個人權(quán)益的影響及安全風(fēng)險,所采取的保護(hù)措施是否合法、有效并與風(fēng)險程度相適應(yīng)。評估基本方法有訪談、檢查、測試等。評估報告和處理情況記錄應(yīng)當(dāng)至少保存三年。

(六)加強(qiáng)風(fēng)險監(jiān)測

從人員、流程、技術(shù)等安全要素出發(fā),加強(qiáng)風(fēng)險監(jiān)測。人員方面,組建一支專業(yè)的協(xié)同團(tuán)隊(duì),消除安全風(fēng)險避免安全事件;流程方面,形成良好的管理流程,確保人員發(fā)揮作用、監(jiān)測措施能夠落地;技術(shù)方面,完善監(jiān)測技術(shù)體系,不斷優(yōu)化升級新型技術(shù)工具。

(七)制定應(yīng)急措施

制定并組織實(shí)施個人信息安全事件應(yīng)急機(jī)制。一是采取補(bǔ)救措施。評估事件帶來的影響和損害,抑制事件的影響進(jìn)一步擴(kuò)大,并恢復(fù)數(shù)據(jù)與服務(wù)。二是通知相關(guān)部門和個人。通知應(yīng)當(dāng)包括個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害,采取的補(bǔ)救措施和個人可以采取的減輕危害的措施,個人信息處理者的聯(lián)系方式。

(八)定期合規(guī)審計

對個人信息保護(hù)合規(guī)機(jī)制的合理性、可行性、有效性等進(jìn)行審計,評估具體流程合規(guī)操作的規(guī)范性。由企業(yè)自發(fā)進(jìn)行的定期審計,可以由企業(yè)內(nèi)部專人進(jìn)行,也可以聘請外部第三方機(jī)構(gòu)進(jìn)行;由個人信息保護(hù)職責(zé)部門要求進(jìn)行的外部審計,適用于企業(yè)在處理個人信息時面臨較大風(fēng)險或者發(fā)生個人信息安全事件。審計完成后形成審計報告,總結(jié)內(nèi)部合規(guī)機(jī)制運(yùn)行狀況以及提出整改方向。


關(guān)鍵詞: 資訊 通信世界網(wǎng) 《個人信息保護(hù)法》 個人信息保護(hù)

 

網(wǎng)站介紹  |  版權(quán)說明  |  聯(lián)系我們  |  網(wǎng)站地圖 

星際派備案號:京ICP備2022016840號-16 營業(yè)執(zhí)照公示信息版權(quán)所有 郵箱聯(lián)系:920 891 263@qq.com