严规重罚 —— 个人信息保护法施行后,企业如何应对?
数字化的浪潮之下,个人信息无疑是数字化时代企业最为核心的资产,对个人信息的合理使用和处理可以让个人享受到数字进步所带来的便捷和智能。但紧随着数据时代而来的阵痛,是个人信息的滥用和无边界的收集。针对个人信息的保护,历经多次调整,《个人信息保护法》终应运而生,并已于2021年11月1日正式施行。作为我国首部针对个人信息保护的专门性立法,《个保法》以保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用为立法目的,该法填补了个人信息保护领域高位阶且具有强制约束力的法律的空白,并将与《民法典》、《网络安全法》、《数据安全法》等法律法规共同构筑我国个人信息与数据保护的法律规范体系。身处数据浪潮中的企业,应以法为尺度平衡个人信息保护与合理使用,构建企业个人信息保护合规体系,避免违法违规从而产生法律责任,而《个人信息保护法》(“个保法”),正为企业提供了兼具原则性与可操作性的规范指引。如企业违反《个保法》侵害了个人的信息权益,则个人有权向法院起诉,要求企业承担侵权责任并进行赔偿。值得注意的是,在一般的侵权民事诉讼中,需由当事人对自己的主张提供相关的证据予以证明,即通俗意义上的“谁主张谁举证”,但是《个保法》第六十九条却规定了在侵害个人信息纠纷中的“过错推定责任规则”,即当个人信息权益受到侵害,需由企业作为信息处理者自证其没有过错,在立法技术上,该条通过举证责任的转移的途径实现对个人信息的保护目的。那么对于企业而言,如遇该等民事诉讼,只有通过建立个人信息保护的合规体系并作为证据在法庭上开示才可以证明自己的无责。违反《个保法》而构成犯罪的,将被依法追究刑事责任。根据《中华人民共和国刑法》第二百五十三条的规定,违反国家有关规定,向他人出售或者提供公民个人信息情节严重的,以及窃取或者以其他方法非法获取公民个人信息的,构成侵犯公民个人信息罪。根据最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第二条的规定“违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的'违反国家有关规定’”。因此,《个保法》属于刑法第二百五十三条之的“国家有关规定”。司法实践中,如企业构成犯罪,除了对企业判处罚金,还要一并对其直接负责的主管人员(如法定代表人)和其他直接责任人员(如部门经理)进行刑事处罚。《个保法》的罚则,借鉴了GDPR中“两者取其高”的严罚路径(违反GDPR的企业将最高面临其全球年收入4%或2,000万欧元的巨额罚款),规定了对于企业而言,违反《个保法》后严厉的处罚势必将影响企业的利益。现实中,尽管某些侵犯个人信息权益的行为影响甚广,但是精确到个体身上,考虑到诉讼的各项金钱、时间成本却又望而却步。面对这一情况,《个保法》第70条规定了公益诉讼的制度:“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”这一规定赋予了人民检察院、法律规定的消费者组织和由国家网信部门确定的组织向法院提起公益诉讼的权力,以解决个人信息侵权案件波及范围广、个体举证难、个体诉讼成本高等问题。面对公益诉讼的新趋势,企业如未做好合规建设,将面临较大的诉讼风险。“在中华人民共和国境内处理自然人个人信息的活动,适用本法。在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:根据第三条的规定,《个保法》的适用有“属人原则”和“属地原则”两个维度:第一是以处理行为“发生地”为标准(属地原则),即无论处理者是否在境内设立,或者处理的是否为境内自然人信息,只要企业对个人信息的处理行为发生在境内,即受制约;第二个是以“保护对象”为标准(属人原则)即只要企业符合以“向境内自然人提供产品或者服务为目的”、“分析、评估境内自然人的行为”及其他所规定的情形,也受该法制约。对于个人信息的定义,《个保法》延续了《个人信息保护法(草案)》中的泛式的定义方式,即以“可识别”为定义的基础,还以“可关联”作为个人信息的外延,即“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”“可识别”指的是因为信息的高度特殊性,从而可以直接链接到个人身份的信息,包括个人的名字、电话号码、身份证号等等。而“可关联”即指从已识别出的特定自然人,由该特定自然人在其活动中产生的信息,在企业的实际经营场景下“可关联”的信息则可能包括消费记录、浏览信息、搜索记录、IP地址、手机识别码、地理位置等。《个保法》的此种规定方式扩大了个人信息的范围,此种变化将直接增加企业的合规压力,因为可识别以及可关联到个人的信息都将被纳入保护的范围,尤其随着新技术的发展,个人信息的范围存在外延不断扩大的可能。事先告知,是个人同意处理个人信息的前提。处理个人信息前,向信息主体的告知应该符合如下要求:其一,外观上具有显著性;其二,表述上需要清晰易懂;其二,实质上需要真实、准确、完整;其三,内容上包括个人信息处理者的名称或者姓名和联系方式;个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;个人行使本法规定权利的方式和程序;法律、行政法规规定应当告知的其他事项。就显著性而言,实践中,相较于采用用户协议和隐私政策的方式,弹窗方式更具备显著性,但是由于弹窗小,在弹窗中放入大量信息,将增加用户阅读难度。《个保法》允许企业在用户协议和隐私政策之外,另行制定个人信息处理规则,以此方式进行事先告知。《个保法》与国际上有关信息保护的基本立法逻辑一致,将个人在被告知后的同意,作为处理个人信息的合法理由之一。告知不准确、充分的,同意可能无效,处理个人信息仍属违法。处理个人信息的其他合法理由包括合同必需、人力资源管理必需、履行法定责任、紧急情况、合理处理已公开信息、基于公共利益的报道与监督等六种情况。在这六种情况下,无需取得个人同意,即可处理个人信息。这六种例外情况规定在《个保法》第13条。《个保法》第15条规定了用户撤回同意的规则,要求个人信息处理者为用户提供便捷的撤回途径:“基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。”通常认为,“撤回同意”的难度,不应大于“同意”的难度。因此,“撤回”按钮应该位于页面的醒目处,或者与个人信息保护政策处于同样醒目的位置。一般而言,我们会在个人信息保护政策中单独列出一条来说明撤回的方式以及联系人,来给予用户一个清晰而明确的撤回路径。《个保法》的语境下,“敏感信息”是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。信息处理的前提是具有特定目的和充分必要性,并已采取严格保护措施;
除基于个人的单独同意外,(法律法规规定处理敏感个人信息应当取得书面同意的,从其规定),不存在其他合法事由;
征得同意的告知事项中,需增加告知处理敏感个人信息的必要性以及对个人权益的影响(依照本法规定可以不向其告知的除外);
处理不满十四周岁的未成年人个人信息的,应当取得其父母或者监护人同意,并应当制定专门的个人信息处理规则
针对目前发展迅猛的大数据处理技术,《个保法》设置了一系列限制性的措施以避免大数据杀熟现象的发生。具体而言,在自动化决策中应:《个保法》第55条规定了个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录的几种情况:因此,在企业面对这些特殊的处理方式时,建议提前组织专家力量进行评估,并将评估的报告妥善留存以应对之后的合规自证。鉴于《个保法》细致的信息保护规定,以及违反后严苛的法律后果。建议企业,尤其是业务中涉及到网站、APP、客户/供应商客户数据等的企业及时更新公司内部的数据合规流程,并由专业人士为企业进行制度建设(事前)、合规体检(事中)及内部调查(事后),更新企业的各项文本(包括隐私协议、用户协议、个人数据处理规则等),确保企业符合《个保法》的各项规定。当然,企业的数据处理流程归根到底还是由企业的员工施行,因此在建章立制的基础上做好员工的培训,以提高企业整体对于数据保护的认知程度,更是企业在“《个保法》时代”的基本动作。
本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请
点击举报。
