“个人信息保护监管要求”比标分析报告.pdf_报告吧baogao8.com-

资源描述

1 环球律师事务所 2020 年 10 月 “个人信息保护监管要求 ” 比标分析报告 - 截至个保法草案出台 2020 年 V 1.0 版 2 “个人信息保护监管要求”比标分析报告 -2020 年 V1.0 版 “个人信息保护监管要求”比标分析报告 -2020 年 V1.0 版 01“个人信息保护监管要求”比标分析报告 -2020 年 V1.0 版 15项个人信息保护监管要求综合分析通过欧盟通用数据保护条例和中国个人信息保护相关法律法规及国家标准之间的比标，进行差异分析并提出合规思路。 5项具体个人信息保护要求深入分析根据本次中华人民共和国个人信息保护法（草案）的规定，我们对企业实践过程中认为非常重要的五项基本合规项进行详细分析与深入探讨，旨在引发读者更多思考及各方共同交流。关于个人敏感信息（人脸信息）的合规治理各国对个人敏感信息、特殊类型的数据、生物识别信息的规定上既有相同又有差异，特别对人脸信息的合规治理是当务之急。关于告知与同意的合规要求对于个人信息被企业收集后全生命周期的处理，各国在合法性要求思路上稍有不同，但基本上均有符合告知与同意的要求。关于个人信息控制者与处理者合规要求当发生对外提供个人信息时，发生 “共享 ”和 “委托处理 ”的情况，由此产生个人信息控制者与处理者合规要求，但称谓可能不同。关于个人信息出境的合规治理当发生个人信息向境外传输时，各国数据跨境的尺度与要求各有不同，具体分为 “禁止跨境 ”、 “有条件跨境 ”和 “自由跨境 ”。关于个人信息保护工作机构及负责人当满足特定条件时，企业需要确定个人信息保护负责人 /工作机构，对内负责组织实施个人信息保护工作，对外负责处理投诉等问题。 15项个人信息保护监管要求综合分析通过欧盟通用数据保护条例和中国个人信息保护相关法律法规及国家标准之间的比标，进行差异分析并提出合规思路。 5项具体个人信息保护要求深入分析根据本次中华人民共和国个人信息保护法（草案）的规定，我们对企业实践过程中认为非常重要的五项基本合规项进行详细分析与深入探讨，旨在引发读者更多思考及各方共同交流。关于个人敏感信息（人脸信息）的合规治理各国对个人敏感信息、特殊类型的数据、生物识别信息的规定上既有相同又有差异，特别对人脸信息的合规治理是当务之急。关于告知与同意的合规要求对于个人信息被企业收集后全生命周期的处理，各国在合法性要求版权：环球律师事务所保留对报告的所有权利。未经环球律师事务所书面许可，任何人不得以任何形式或者通过任何方式复制或转载本报告任何受版权保护的内容。免责：本报告不代表环球律师事务所对有关问题的法律意见，任何仅依照本报告全部或者部分内容而做出的作为和不作为决定及因此造成的后果由行为人自行负责。如您需要法律意见或其他专家意见，应该与具有相关资格的专业人士或我们联系。版权：环球律师事务所保留对报告的所有权利。未经环球律师事务所书面许可，任何人不得以任何形式或者通过任何方式复制或转载本报告任何受版权保护的内容。免责：本报告不代表环球律师事务所对有关问题的法律意见，任何仅依照本报告全部或者部分内容而做出的作为和不作为决定及因此造成的后果由行为人自行负责。如您需要法律意见或其他专家意见，应该与具有相关资格的专业人士或我们联系。 Specific Analysis and Deep Dive of Hot Topics regarding Personal Information Protection. Specific Analysis and Deep Dive of Hot Topics regarding Personal Information Protection. 作者： Specific Analysis and Deep Dive of Hot Topics regarding Personal Information 孟洁、殷坤、王程、徐晨、张淑怡、陈子谦、 D.C 联系方式：孟洁律师团队每篇作者详见报告联系方式： 15项个人信息保护监管要求 01 01 Co mp reh ens ive An aly sis of Per son al Inf or ma tio n Pr ote 作者：作者：孟洁律师团队作者：作者：孟洁、殷坤、王程、徐晨、张淑怡、陈子谦、 D.C 联系方式： mengjieg 02 02 Sp ecif ic An aly sis an d De ep Div e of0 2 Comprehensive Analysis of Personal Information Protection Laws 处理个人信息属于提供产品或者服务所必需的除外。 “个人信息保护监管要求”比标分析报告（ V1.0 版） 19 （ 6）经法律授权或具备合理事由公开披露时，应向个人信息主体告知公开披露个人信息的目的、类型，并事先征得个人信息主体明示同意。 7.2 合规提示 GDPR 下数据主体的同意：数据主体通过书面声明或经由一个清楚确定的动作，表示同意对其个人数据进行处理。该意愿表达应是自由给出的（ freely given）、特定的（ specific）、显示出数据主体对前因后果清楚的（ informed）、清晰明确的（ unambiguous）数据主体的权利。对数据处理的要求应当与其他事项明确、明显地区别开，同时使用清晰、直白的语言，以可理解的、易于接触（ accessible）的形式呈现。如果声明包含了与该规定不符的内容，则不符部分无效。数据主体有权在事后撤回其同意，但撤回同意不影响同意撤回前数据处理的合法性。在表达同意前，数据主体应被告知其有权随时撤回同意，并且，撤回同意应与表达同意同样方便。根据网络安全法第四十一条和民法典第一千零三十五条，处理个人信息的法律依据以个人信息主体同意为原则，其他法律法规规定为例外。国标则以同意为原则，并列举了处理个人信息不必征得个人信息主体同意的情形，包括履行合同所必需、履行法定义务等。国标中的同意，虽然没有 GDPR 要求的这么细致，但是也是要求通过肯定性动作做出明确授权，包括了 explicit+ unambiguous 两方面要素，也说明用户只能选择同意（ Opt-in） , 不能选择退出（ Opt-out）。国标不但将需要用户明示同意的情形做了明确规定（如上表），而且对基本业务功能与附加业务功能中的敏感信息告知同意方式进行了细分。比如基本业务功能的，个人信息主体告知基本业务功能所必要收集的个人信息类型，以及个人信息主体拒绝提供或拒绝同意收集将造成的影响，并通过个人信息主体对信息收集主动作出肯定性动作（如勾选、点击 “同意 ”或 “下一步 ”等）征得其明示同意；应允许个人信息主体选择拒绝提供其个人信息。对于产品或服务如提供扩展业务功能的，在扩展业务功能首次使用前，应通过交互界面或设计（如弹窗、文字说明、填写 “个人信息保护监管要求”比标分析报告（ V1.0 版） 20 框、提示条、提示音等形式），向个人信息主体逐一告知所提供扩展业务功能及所必要收集的个人信息，并允许个人信息主体对扩展业务功能逐项选择同意。当个人信息主体拒绝时，个人信息主体不同意收集扩展业务功能所必要收集的个人信息的，个人信息控制者不应反复征求个人信息主体的同意（ 48 小时内不得重复）。实际上，国标对同意机制的设置是相对较精细的，个保法草案第十七条实则也做了回应， “个人信息处理者不得以个人不同意处理其个人信息或者撤回其个人信息处理的同意为由，拒绝提供产品或者服务，但处理个人信息属于提供产品或者服务所必需（核心业务功能）的除外 ”。但是，笔者也担心个保法草案的修改可能对企业原本以同意为机制的产品设计逻辑产生重大影响，是否意味着未来企业需要为不同的处理活动确定不同的法律依据，以及企业是否可以在论证和选择法律依据的问题上有一定的空间，可能有待未来个保法正式稿或者细则进一步解答。此外，个保法草案规定了个人信息主体作出同意的构成要件，即应当由个人在充分知情的前提下，自愿、明确地作出意思表示。同时个保法草案还提出了 “单独同意 ”和 “书面同意 ”的概念，其中需要单独同意的场景包括：（ 1）个人信息处理者向第三方提供其处理的个人信息的，应当向个人告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。（个保法草案第二十四条）（ 2）基于个人同意处理敏感个人信息的，个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。（个保法草案第三十条）（ 3）个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式等事项，并取得个人的单独同意。（个保法草案第三十九条）（ 4）取得个人单独同意或者法律、行政法规另有规定的，个人信息处理者方可公开其处理的个人信息。（个保法草案第二十六条）（ 5）取得个人单独同意或者法律、行政法规另有规定的，所收集的个人图像、个人身份特征信息方可公开或者向他人提供。（个保法草案第二十七条） “个人信息保护监管要求”比标分析报告（ V1.0 版） 21 从以上需获得单独同意的情形观察，总体上处理行为具有更高的风险，也可能涉及个人敏感信息，需要通过强提示，让个人信息主体充分知悉风险，经过审慎地思考并通过主动勾选或者签署等肯定性的动作，作出自己充分的意思表达，而不得通过概括授权的方式代替而日后主张不知情或者未尊重用户选择。但是，具体如何分别满足 “单独同意 ”或 “书面同意 ”的要求，以及这两者是否就一定是等效的，也有待未来正式稿进一步解答。对于儿童个人信息的年龄线，中欧规定稍有差别。 GDPR 规定的儿童年龄为 16 岁以下，但不得低于 13 岁；国标及个保法草案规定的儿童为未满 14 周岁的自然人。收集儿童的个人信息，均需要取得其法定代理人（或监护人）的授权或同意。根据不完全考证，我国将儿童的年龄定为 14 周岁的法规可能是 2013 年国务院关于修改全国年节及纪念日放假办法的决定，规定不满 14 周岁的少年儿童可以在 6 月 1 日儿童节当天放假 1 天； 14 周岁以上的青年在 5 月 4 日青年节当天放假半天。目前，无论是数据安全管理办法（征求意见稿）还是儿童个人信息网络保护规定，我国均将儿童的年龄定格在 14 周岁以下。处理儿童个人信息的，应当征得儿童监护人的同意。本次个保法草案还对儿童的界定采用了推定知情的方式，则个人信息处理者知道或者应当知道其处理的个人信息为不满十四周岁未成年个人信息的，一定程度上要求企业不得开脱自身的责任，比如游戏类公司，在注册时需要采取实名制认证的，那么该企业就不得借口自己不知道使用者为儿童而逃避征得监护人同意的义务。应当知道，也表示如果游戏企业未采取实名制认证的，也是没有达到法律的要求。 8 个人信息主体的权利实现 8.1 查询权 GDPR 网络安全法国标个保法草案数据主体有权从控制者处获得关于其个人数据是否被处理的确认回复，如确定个人数据正被处理，则数据主体有权获得如下信息： / 个人信息控制者应向个人信息主体提供访问下列信息的方法：其所持有的关于该主体的个人信息或类型；第四十五条：个人有权向个人信息处理者查阅其个人信息，但有个保法草案第十九条第一款规定的情形（法律、行政法规规定应当 “个人信息保护监管要求”比标分析报告（ V1.0 版） 22 处理的目的；涉及个人信息的类别；个人数据的（包括将来可能的）接收者、接收者的类别，特别是位于第三国的接收者或国际组织；数据将会存储的期限，如无法明确，则列出决定存储期限的标准；数据主体的各项权利，如修正或删除个人数据的权利、限制个人数据处理的权利、反对处理的权利；向监管部门申诉的权利；如数据并非从数据主体处收集而得，则关于数据来源的信息；告知数据主体是否采用了第 22 条（ 1）和（ 4）规定的自动化决策机制，包括数字画像，并提供关于自动化决策机制有意义的信息，以及根据设想对数据主体将造成的影响。上述个人信息的来源、所用于的目的；已经获得上述个人信息的第三方身份或类型。注：个人信息主体提出访问非其主动提供的个人信息时，个人信息控制者可在综合考虑不响应请求可能对个人信息主体合法权益带来的风险和损害，以及技术可行性、实现请求的成本等因素后，做出是否响应的决定，并给出解释说明。保密或者不需要告知的情形）除外。个人请求查阅其个人信息的，个人信息处理者应当及时提供。 8.2 更正权 GDPR 网络安全法国标个保法草案数据主体应当有权要求数据控制者无不当迟延的更个人发现网络运营者收集、存储的其个人信息主体发现个人信息控制者所持有的该主体第四十六条：个人发现其个人信息不准确或者 “个人信息保护监管要求”比标分析报告（ V1.0 版） 23 正与该数据主体相关的不准确个人数据。考虑到处理的目的，数据主体有权完善其尚不完整的个人数据，包括以提供补充说明的方式。个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以更正。的个人信息有错误或不完整的，个人信息控制者应为其提供请求更正或补充信息的方法。不完整的，有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的，个人信息处理者应当对其个人信息予以核实，并及时更正、补充。 8.3 删除权 GDPR 网络安全法国标个保法草案符合以下情形的，个人信息主体要求删除的，应及时删除个人信息：对收集或以其他方式处理个人数据所服务于的目的来说，该个人的数据不再是必需的；对数据处理是基于同意时，且不基于其他法律基础时，数据控制者撤回其同意的；数据主体反对根据正当利益开展的处理，同时数据控制者没有其他高于数据主体利益的、正当的理由继续数据处理，或数据主体反对直接市场营销时；个人数据被非法处理；根据欧盟、成员国法律要求，需要删除个人数据的；个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息。网络运营者应当采取措施予以删除。符合以下情形的，个人信息主体要求删除的，应及时删除个人信息：个人信息控制者违反法律法规规定，收集、使用个人信息的；个人信息控制者违反了与个人信息主体的约定，收集、使用个人信息的。个人信息控制者违反法律法规规定或违反与个人信息主体的约定向第三方共享、转让个人信息，且个人信息主体要求删除的，个人信息控制者应立即停止共享、转让的行为，并通知第三方及时删除 ; 个人信息控制者违反法律法规规定或违反与个人信息主体的约定，公开披露个人信息，且个第四十七条：有下列情形之一的，个人信息处理者应当主动或者根据个人的请求，删除个人信息：约定的保存期限已届满或者处理目的已实现；个人信息处理者停止提供产品或者服务；个人撤回同意；个人信息处理者违反法律、行政法规或者违反约定处理个人信息；法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的， “个人信息保护监管要求”比标分析报告（ V1.0 版） 24 出于对未成年人保护的；在以下情形中，删除权将不予适用：涉及到言论自由和信息自由的；根据欧盟、成员国法律规定要求处理的个人数据，或为追求公共利益，或履行数据控制者负有的公共管理任务，需要处理个人数据的；为追求公共卫生领域的公共利益的；出于公共利益、科学或历史研究、统计目的等需处理个人数据的；关于法律诉求的建立、行使和保护。人信息主体要求删除的，个人信息控制者应立即停止公开披露的行为，并发布通知要求相关接收方删除相应的信息。个人信息处理者应当停止处理个人信息。 8.4 可携带权 GDPR 网络安全法国标个保法草案存在以下情形的，数据主体有权从数据控制者获得关于其个人数据（仅限其向数据控制者提供的）的副本；副本应以结构化、普遍使用、可机读的形式；数据主体有权要求数据控制者将其个人数据向其他数据控制者提供： / 根据个人信息主体的请求，个人信息控制者应为个人信息主体提供获取以下类型个人信息副本的方法，或在技术可行的前提下直接将以下个人信息的副本传输给第三方：个人基本资料、个人身份信息；第四十五条：个人有权向个人信息处理者复制其个人信息，但有法律、行政法规规定应当保密或者不需要告知的情形的除外。个人请求复制其个人信息的，个人信息处理者应当及时提供。 “个人信息保护监管要求”比标分析报告（ V1.0 版） 25 数据处理是基于同意，或基于第 6 条第一款 b）项所指涉的合同数据处理以自动化的形式进行。如技术上可行的话，数据主体有权要求数据控制者将其个人数据直接传输给另一数据控制者。行使该权利不应对他人的权利和自由造成不利影响。个人健康生理信息、个人教育工作信息。 8.5 自动化决策 GDPR 网络安全法国标个保法草案当决定能对数据主体产生法律效果，或对其有显著影响时，数据主体有权不受仅仅根据自动化数据处理而作出的决定，包括数字画像。（类似于 opt- out）当有以下情形时，上述权利不适用：数据处理是数据主体和控制者签署、执行合同所必需的；欧盟、成员国法律许可、且明确了保护数字主体权利、自由、正当利益的措施的；基于数据主体明确的同意。 / 当仅依据信息系统的自动决策而做出显著影响个人信息主体权益的决定时（例如基于用户画像决定个人信用及贷款额度，或将用户画像用于面试筛选），个人信息控制者应向个人信息主体提供申针对自动决策结果的投诉渠道，并支持对自动决策的人工复核。第二十五条：利用个人信息进行自动化决策，应当保证决策的透明度和处理结果的公平合理。个人认为自动化决策对其权益造成重大影响的，有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。通过自动化决策方式进行商业营销、信息推送 ,应当同时提供不针对其个人特征的选项。 “个人信息保护监管要求”比标分析报告（ V1.0 版） 26 对本条第二款 a）和 c） , 数据控制者应采用合适的措施，保护数字主体权利、自由、正当利益；措施至少包括数据主体有权要求控制者人工干预自动化处理，以及表达个人意见、对决定提出抗辩的权利。对第 9 条 1）款列出的特别类别的个人数据，自动化决定不应根据上述数据而作出；例外情况是第 9 条第 2 款的 (a) 或 (g) 。 8.6 其他权利 GDPR 网络安全法国标个保法草案限制数据处理（相当于冻结）数据主体对数据的准确性提出异议时；数据处理为非法，而数据主体反对清除其数据而是要求限制对数据的使用的；数据控制者出于特定目的不再需要数据主体的个人数据，但数据主体需要这些数据以建立、行使和保护自己的法律诉求的；数据主体反对根据正当利益的数据处理，但尚不清楚数据控制者是否有高 / 个人信息主体撤回同意应向个人信息主体提供方法撤回收集、使用其个人信息的授权同意的方法。撤回同意后，个人信息控制者后续不得再处理相应的个人信息；应保障个人信息主体拒绝接收基于其个人信息推送的商业广告的权利。对外共享、转让、公开披露个人信息，应向个人信息主体提供撤回同意的方法。注：撤回同意不影响撤回前基于同意的个人信息处理。第十六条：撤回同意基于个人同意而进行的个人信息处理活动 ,个人有权撤回其同意。第四十四条：知情权、决定权个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外。第四十八、四十九条：响应信息主体的请求 “个人信息保护监管要求”比标分析报告（ V1.0 版） 27 于数据主体利益的正当事由。反对数据处理（相当于对控制者的判断提出反对意见）基于其特定的情况，数据主体有权在任何时候反对基于正当利益的个人数据处理，数据控制者应停止处理，除非数据控制者能表明其有显著的正当事由，该正当事由大于数据主体的利益、权利、自由，或大于法律诉求的建立、行使和保护。【反对后，可限制，符合条件要求删除】当数据处理是基于直接的市场营销目的。【反对后可直接要求删除】当数据处理是出于科学或历史研究、数据统计时，数据主体根据其特殊情况，有权反对处理其个人数据，除非处理是为公共利益所必须。个人信息主体注销账户通过注册账户提供服务的个人信息控制者，应向个人信息主体提供注销账户的方法，且该方法应简便易操作；受理注销账户请求后，需要人工处理的，应在承诺时限内（不超过 15 个工作日）完成核查和处理；注销过程如需进行身份核验，要求个人信息主体再次提供的个人信息类型不应多于注册、使用等服务环节收集的个人信息类型 ;d) 注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务，如注销单个账户视同注销多个产品或服务，要求个人信息主体填写精确的历史操作记录作为注销的必要条件等 ; 注销账户的过程需收集个人敏感信息核验身份时，应明确对收集个人敏感信息后的处理措施，如达成目的后立即删除或匿名化处理等 ; 个人信息主体注销账户后，应及时删除其个人信息或匿名化处理。因法律规规定需要留存个人信息的，不能再次将其用于日常业务活动中。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。个人信息处理者应当建立个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。 “个人信息保护监管要求”比标分析报告（ V1.0 版） 28 响应个人信息主体的请求在验证个人信息主体身份后，应及时响应个人信息主体基于 8.1-8.6 提出的请求，应在三十天内或法律法规规定的期限内作出答复及合理解释，并告知个人信息主体外部纠纷解决途径 ; 采用交互式页面 (如网站、移动互联网应用程序、客户端软件等 )提供产品或服务的，宜直接设置便捷的交互式页面提供功能或选项，便于个人信息主体在线行使其访问、更正、删除、撤回授权同意、注销账户等权利 ; c)对合理的请求原则上不收取费用，但对一定时期内多次重复的请求，可视情收取一定成本费用 ; 直接实现个人信息主体的请求需要付出高额成本或存在其他显著困难的，个人信息控制者应向个人信息主体提供替代方法，以保障个人信息主体的合法权益。 8.7 权利的例外 GDPR 网络安全法国标个保法草案欧盟、成员国法律可对数据主体第 12 条至 22 条、第 34 条赋予的权利作出限 / 与个人信息控制者履行法律法规规定的义务相关的； / “个人信息保护监管要求”比标分析报告（ V1.0 版） 29 制，当限制尊重基本权利和自由的实质，同时又是下列目标所必须的、成比例的：国家安全国防公共安全预防犯罪、刑事侦查和起诉、处罚执行其他公共利益的重要目标，特别是欧盟或成员国的重要经济、金融利益，包括财政、预算、税收、公共卫生、社保保护司法独立和庭审程序对受管制的行业，调查、起诉违背职业道德实现上述目标时所需的监测、检查、规制保护数据主体，或其他人的权利和自由执行民事诉求与国家安全、国防安全直接相关的；与公共安全、公共卫生、重大公共利益直接相关的；与刑事侦查、起诉、审判和执行判决等直接相关的；个人信息控制者有充分证据表明个人信息主体存在主观恶意或滥用权利的；出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的；响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的；涉及商业秘密的。 8.8 合规提示在用户权利方面，国内外法规的要求基本上是类似的，都赋予了个人信息主体行使其查询、更正、删除、可携等权利。只是 GDPR 对权利实现方面说明地更加详细些，僻如，对查询的范围作出细致的规定；对于删除权， GDPR 要求控制者无条件满足，除非个别特殊情况除外（如为了公共利益、言论自由、科学研究等目的），在不存在数据处理目的或者数据主体撤回同意、拒绝处理时，需要将数据完全删除；在可携权方面，不仅包括数据控制者应当提供正在处理的个人数据副本，还包括了一方数据控制者有可能会被要求将数据传输给另一方数据控制者；对用户 “个人信息保护监管要求”比标分析报告（ V1.0 版） 30 画像、自动化决策机制作出了严格限制；同是，还全面考虑了用户权利的例外情形。国标在个别权利（如被删除权、可携带权以及用户画像）上稍有差别，没有规定被遗忘权、限制数据处理权，但规定了撤回同意和注销账户的权利，除此以外，基本上规定地比较类似。网络安全法没有对用户权利进行规定，民法典第一千零三十七条的规定也是较为简略的。本次个保法草案与 GDPR 和国标的规制思路基本也是一致的，只是在用词上较为简练，权利层次上偏原则性一些，也没有新设内容。但有三点值得提出：首先，对于行使删除权的前提条件，国标要求存在违法违约情形，个保法草案则在此基础上新增约定的保存期限届满或者处理目的已实现、个人信息处理者停止提供产品或者服务，以及个人撤回同意时的情形。虽然这几点在国标的个人信息存储、停止运营以及撤回同意章节也有相关要求，但个保法草案进行了完整的归类，让企业更加明确地了解需要删除数据的各类场景。其次，在可携权章节没有写入需向另一方传输数据，这可能更加符合当前国内大部分企业在制度和技术上尚未达到该要求的水平，如果一味按照 GDPR 的可携权标准，有可能将法律规定架空，实际履行变得困难，还不如在时机成熟时再提出。其三，个保法草案第四十四条提出了个人信息主体除了知情权与决定权以外的限制处理个人信息和拒绝个人信息处理的权利，以及根据第四十八条有权要求企业进行解释说明的权利。 GDPR 中，拒绝权属于一类机制平衡的条款（ GDPR 第 21 条及引言 69 条），更多地用于平衡企业在遇到正当利益或者为了公益而处理个人数据时，个人是否仍然可以有权拒绝处理其个人数据，这里需要进行评估以及举证证明。限制处理权也需要控制者有一系列的措施来保证既符合规范又确保运营稳定。目前个保法草案提出的用意是好的，但是在没有细则指引的情况下，在运用的维度上可能也会五花八门，导致企业与个人信息主体各执一词。关于要求企业进行解释的权利，是否可用书面 Q 组织制定个人信息保护工作计划并督促落实 ; o 制定、签发、实施、定期更新个人信息保护政策和相关规程等。第二，制定内部规章以确保各类数据保护措施能够得到有效实施。建议企业制定数据安全管理政策等文件以确保数据安全保护措施能够得到有效的实施。第三，对个人信息实行分级分类管理。信息分级分类并实施特别保护措施建议企业根据所收集的个人信息具体情况区分个人敏感信息、儿童个人信息、金融数据等，并根据不同信息的要求实施特别保护措施：个人敏感信息的特别保护措施可参考国标等；儿童个人信息特别保护措施可参考儿童网络个人信息保护规定等；履行等级保护要求建议企业应当依法开展网络定级备案、安全建设整改、等级测评和自查等工作，采取管理和技术措施，保障网络基础设施安全、网络运行安全、数据安全和信息安全，有效应对网络安全事件，防范网络违法犯罪活动。第四，采取相应的加密、去标识化等安全技术措施。建议企业应根据有关国家网络安全标准的要求，如有需要实时更新必要的管理和技术措施，防止个人信息的泄漏、损毁、丢失。加密、去标识化等 “个人信息保护监管要求”比标分析报告（ V1.0 版） 35 技术要求可参考相关的国家标准，包括信息安全技术保护轮廓和安全目标的产生指南（ GB/Z 20283-2006）、信息安全技术网络安全等级保护安全管理中心技术要求（ GB/T36958-2018）等。第五，合理确定个人信息处理操作权限，定期对从业人员进行安全教育和培训建立个人信息的访问控制措施 o 建议公司对被授权访问个人信息的研发部门和运营部门的人员建立最小授权的访问控制策略，使其只能访问职责所需的最少够用的个人信息，且仅具备完成职责所需的最少的数据操作权限；若确因工作需要，需要超出权限处理个人信息的，应经公司个人信息保护责任人或个人信息保护工作机构进行审批，并记录在册。 o 建议公司对个人信息的批量修改、拷贝、下载等重要操作设置内部审批流程。 o 建议公司对个人敏感信息的访问、修改等操作行为，宜在对角色权限控制的基础上，按照业务流程的需求触发操作授权。例如，当收到客户投诉，投诉处理人员才可访问。建立相应文件及制度确保员工遵循数据安全保护的义务与责任 o 建议公司在必要时，如个人信息涉密等级高时签订额外的保密协议。在工作人员离岗时，签署调离后个人信息保密义务的承诺书，防范内部员工、管理员因工作原因非法持有、披露和使用个人信息。 o 建议公司在录用对个人信息处理岗位的相关人员设定特殊的要求或程序，对大量接触个人敏感信息的人员进行背景审查。此外，建议公司设立专人负责定期对接触个人信息数据工作的工作人员进行全面、严格的安全审查、意识考核和技能考核。 o 建议公司明确内部涉及个人信息处理不同岗位的安全职责，建立发生安全事件的处罚机制。定期对于员工进行数据安全培训建议公司制定培训计划并定期（至少每年一次）按计划对各岗位员工进行基本的安全意识教育培训和岗位技能培训；制定安全教育和培训计划文档，明确培训方式、培训对象、培训内容、培训时间和地点等，培训内容包含信息安全基础知识、岗位操作规程等，并形成培训、教育记录。 “个人信息保护监管要求”比标分析报告（ V1.0 版） 36 第六，制定并组织实施个人信息安全事件应急预案安全事件应急预案及提前准备 o 应制定个人信息安全事件应急预案，并根据法律法规要求变化及时更新元 ; o 应定期 (至少每年一次 )组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程 ; 安全事件处置 o 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行处置，包括记录事件内容、评估影响、采取必要措施、按照国家网络安全事件应急预案等有关规定及时上报等。 o 如事件会对个人信息主体合法权益造成严重危害的，应按照要求向个人信息主体告知；若难以告知，应采取合理有效方式向公众发布警示信息。第七，定期进行数据安全审计：应对个人信息保护政策、相关规程和安全措施的有效性进行审计 ; 应建立自动化审计系统，监测记录个人信息处理活动 ; 审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑 ; 应防止非授权访问、篡改或删除审计记录 ; 应及时处理审计过程中发现的个人信息违规使用、滥用等情况 ; 审计记录和留存时间应符合法律法规的要求。 10 个人信息控制者 /个人信息处理者的义务 10.1 法规比标 GDPR 网络安全法国标个保法草案考虑到处理行为的性质、范围、环境、目的以及可能对自然人的权利和自由带来的建立健全用户信息保护制度；明确责任部门与人员；个人信息安全工程；第五十条：制定内部管理制度和操作规程；第五十条：对个人信息实行分级分类管理； “个人信息保护监管要求”比标分析报告（ V1.0 版） 37 风险和损害，数据控制者应当采取适当的技术和组织措施以确保并证明处理行为是按照本法的规定进行的。这些措施应当在必要的情况下进行评估和更新。不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息（经过处理无法识别特定个人且不能复原的除外）；不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息；其他网络运营者应当履行的义务（例如网络安全等级保护等）。个人信息处理活动记录；开展个人信息安全影响评估；具备数据安全能力；要对企业人员进行管理与培训；进行安全审计。第五十条：采取相应的加密、去标识化等安全技术措施；第五十条：合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；第五十条：制定并组织实施个人信息安全事件应急预案；第五十一条：（如适用）指定个人信息保护负责人；第五十二条：（如适用）设立境内专门机构或指定代表；第五十三条：进行安全审计；第五十四条：进行风险评估。第五十六条：发生个人信息泄露时的补救措施和通知报告义务。 10.2 合规提示国标上只有个人信息控制者这个概念，而 GDPR 中既有数据控制者又有数据处理者的概念。原来业界一直呼吁我国也可以像 GDPR 一样在控制者概念外，增加处理者的概念，以达到国际统一的表达方法和话语体系。但此次个保法草案却将原本国标中个人信息控制者的概念重新定义为了 “个人信息处理者 ”，实则会给企业带来一些额外的困惑和解释成本，特别是那些本来就只履行处理者义务的企业（比如说云服务企业），其面对个保法草案第五章（个人信息处理者的义务）时究竟是不是需要全部或者部分履行这些义务呢就会非常不清晰。虽然国标只提出了控制者没有处理者的概念，但是对两者的义务还是比较清晰的，并且从国标实施前后企业也做了一定的实践工作，特别是控制者与处理者签署的 DPA（数据处理协议），一旦个保法草案将称谓替换后，不但会要求承担如修 “个人信息保护监管要求”比标分析报告（ V1.0 版） 38 订所有合同等大量工作，同时合同中双方义务可能由于名称的变化而发生混淆。关于个人信息控制者与处理者的实践指引，笔者将放于第二部分详细论述。 11 需要进行个人信息安全影响评估（ PIA）的场景和义务 11.1 法规比标 GDPR 网络安全法国标个保法草案当一种数据处理方式，尤其是采用新技术的，数据控制者应于处理前针对该处理对个人数据保护的影响进行评估。单一评估也可针对一系列呈现相似高风险操作进行评估实施数据保护影响评估时，应寻求数据保护官意见。特别适用情形如下：自然人系统性的及深入的个人特质评估，而该评估是基于自动处理（包括画像），且该评估的决定将对该自然人产生法律影响或其他类似重大影响。大规模处理特殊类型的个人数据或刑事定罪和违法犯罪的个人数据； / 建立个人信息安全影响评估制度，评估并处置个人信息处理活动存在的安全风险。个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况，以及个人信息处理活动对个人信息主体合法

展开阅读全文