1、 全球数据合规法律服务 1/86 垦丁 W&W 国际法律团队 中国个人信息保护法与海外多国中国个人信息保护法与海外多国/地区地区数据合规数据合规法律企业合规要点比较法律企业合规要点比较报告报告 �������Comparison Of PRCs Personal Information Protection Law And The Compliance Points Of Enterprises In Overseas Countries/Regions Data Compliance Laws 2 202021 1 年年 1 11 1 月月 垦丁律师事务所垦丁律师事务所 KindingKinding Pa
2、rtnersPartners 中国个人信息保�������护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 1/86 垦丁 W&W 国际法律团队 中国个人信息保护法与海外多国中国个人信息保护法与海外多国/地区数据合规法律地区数据合规法律 企业合规要点比较企业合规要点比较报告报告 版权版权所有所有:本报告作者本报告作者保留对本报告的所有权利。未经保留对本报告的所有权利。未经本报告作者的本报告作者的书面许可,任何人不得以任书面许可,任何人不得以任何形式或者通过任何方式复制或转载本报告任何受版权保护的内容。何形式或者通过任何方式复制或转载本报告任何受版权保护的内容。免责:免责:本报告本报
3、告仅代表作者个人观点,仅代表作者个人观点,不代表对有关问题的法律意见,任何仅依照本报告全部不代表对有关问题的法律意见,任何仅依照本报告全部或者部分内容而做出的决定及因此造成的后果由行为人自行负责。或者部分内容而做出的决定及因此造成的后果由行为人自行负责。同时,鉴于数据保同时,鉴于数据保护法律法规变化迅速,本报告所有内容可能会因法律法规修改而变更,司法实践中依护法律法规变化迅速,本报告所有内容可能会因法律法规修改而变更,司法实践中依个案实际情况来处理。个案实际情况来处理。如您需要法律意见或其他专家意见,应该与具有相关资格的专如您需要法律意见或其他专家意见,应该与具有相关资格的专业人����士或业人士或与
4、与我们联系。我们联系。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 2/86 垦丁 �������W&W 国际法律团队 作者作者 王捷 垦丁律师事务所 扫码加入全球数据合规讨论研讨群 欢迎关注我们的公众号欢迎关注我们的公众号 出海互联网法律观察出海互联网法律观察 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 3/86 垦丁 W&W 国际法律团队 目录目录 第一部分:法律适用范围与域外适用效力第一部分:法律适用范围与域外适用效力.7 一、我国个人信息保护法法律适用范围与域外适用效力解读一、����我国个人信息保护法法律适用范围与域
5、外适用效力解读:.7(一)我国个人信息保护法对地域范围的规定.7(二)个人信息保护法与欧盟 GDPR 地域适用范围的差异.8 二、海外主要个人信息保护法律法律适用范围与域外适用效力对比二、海外主要个人信息保护法律法律适用范围与域外适用效力对比:.10 第二部分:个人信息处理规则与特别注意事项第二部分:个人信息处理规则与特别注意事项.13 一、我国个人信息保护法个一、我国个人信息保护法个人信息处理规则与特别注意事项解读人信息处理规则与特别������注意事项解读:.13(一)个人信息保护的原则.13(二)“告知-同意”是核心规则.15(三)“单独同意”是特别规则.16(四)豁免告知作为例外规则.17(五)共
6����、同处理承担连带责任规则.18(六)自动化决策应确保透明公平公正,并有权进行拒绝的规则.18 二、海外主要个人信息保护法律敏感个人信息的概念与处理规则对比:二、海外主要个人信息保护法律敏感个人信息的概念与处理规则对比:.20 第三部分:数据本地化存储要求第三部分:数据本地化存储要求.24 一、我国个人信息保护法数据本地化存储一、我国个人信息保护法数据本地化存储要求解读要求解读.24(一)明确了个人信息以境内存储为原则.24(二)企业合规扼要建议.25 二、海外主要个人信息保护法律数据本地化存二、海外主要个人信息保护法律数据本地化存储�������要求对比储要求对比.27 第四部分:数据跨境传输规则与要求第四部
7、分:数据跨境传输规则与要求.30 一、我国个人信息保护法数据跨境传一、我国个人信息保护法数据跨境传输规则与要求解读输规则与要求解读.30(一)跨境提供个人信息的前置条件:.30(二)跨境提供个人信息的基础要求.31(三)跨境提供个人信息的对等要求.31(四)跨境提供个人信息的特殊要求.32 二、海外主要个人信息保护法律数据跨境传输规则与要求对比二、海外主要个人信息保护法律数据跨境传输规则与要求对比.34 第五部分:数第五部分:数据主体在个人信息处理活动中的权利据主体在个人信息处理活动中的权利.37 一、我国个人信息保护法数据主体权利解读一、我国个人信息保护法数据主体权利解读.�����37 中国个人��信息
8、保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 4/86 垦丁 W&W 国际法律团队 (一)知情权.37(二)决定权.38(三)限制权.38(四)拒绝权.38(五)查询、复制权.38(六)更正、补充权.39(七)删除权.39(八)解释说明权.40(九)关于逝者个人信息的近亲属继承权.40(十)行使个人权利的途径.41 二、二、海外主要个人信息保护法律数据主体权利对比海外主要个人信息保护法律数据主体权利对比.42 第���六部分:数据影响评估(第六部分:数据�������影响评估(DPIA/PIADPIA/PIA)要求)要求.44 一、我国个人信息保护一、我国个人信息保护法个人信息安全
9、影响评估要求解读法个人信息安全影响评估要求解读.44(一)应当进行个人信息安全影响评估的情形.45(二)个人信息安����全影响评估应当包括的内容.45 二、海外主要个人信息保护法律数据影响评估(二、海外主要个人信息保护法律数据影响评估(DPIA/PIADPIA/PIA)对比)对比.47 第七部分:关于发生安全事件时数据泄露通知的要求第七部分:关于发生安全事件时数据泄露通知的要求.50 一、我国个人信息保护一、我国个人信息保护法数据泄露通知要求解读法数据泄露通知要求解读.50(一)明确了需要执行数����据泄露通知义务的情况:.50(二)明确了履行数据泄露通知义务的主体:.51(三)明确了数据泄露需要通知的对
10、象:.51(四)明确数据泄露通知中应该包含的内容:.52(五)通知时间的限制要求:.52 二、海外主要个人信息保护法律数据泄露二、海外主要个人信息保护法律数据泄露通知要求对比通知要求对比.53 第八部分:数据保护官(第八部分:数据保护官(DPO/个人信息保护负责人)任命要求个人信息保护负责人)任命要求.56 一、我国一、我国个人信息保护法个人信息保护负责人要求解读个人信息保护法个人信息保护负责人��������要求解读.56(一)需要设立个人信息保护负责人的情况.56(二)个人信息保����护负责人的主要职责.57(三)关于个人信息保护负责人的资质和角色定位要求.59 中国个人信息保护法与海外多国/地区数据合规法律企
11、业合规要点比较报告 全球数据合规法律服务 5/86 垦丁 W&W 国际法律团队 二、海外主要个人信息保护法律数据保护官要求对比二、海外主要个人信息保护法律数据保护官要求对比.61 第九部分:个人信息处理者的主要义务第九部分:个人信息处理者的主要义务.64 一、我国个人信息保护法个人信息处一、我国个人信息保护法个人信息处理者的主�������要义务解读理者的主要义务解读.64(一)制定企业内部的管理制度和操作规程.64(二)建立个人信息分级、分类的管理制度.64(三)建立数据安全制度并采取安全技术措施.65(四)建立个人信息权限管理制度,安全教育与培训制度.65(五)制定并落实个人信息安全事件应急机制.66(
12、六)任命个人信息保护负责人.67(七)定期进行合规审计.67(八)进行事前风险评估与建立数据影响评估制度.67(九)关于“守门人规则”.67(十)法律、行政法规规定的其他措施.68 二、海外主要个人信息保�������护法律个人信息处理者的基础义务扼要对比二、海外主要个人信息保护法律个人信息处理者的基础义务扼要对比.69 第十第十部分:数据保护监管机构与违反数据保护法的处罚规定部分:数据保护监管机构与违反数据保护法的处罚规定.73 一、我国个人信息保护法数据保护监管机构和处罚规定解读一、我国个人信息保护法数据保护监管机构和处罚规定解读.73(一)数据保护监管机构.73(二)违反数据保护的处罚规定.77 二、
13、海外主要个人信息保护法律数据保护监管机构和处罚规定对比二、海外主要个人信息保护法律数据保护监管机构和处罚规定对比.81 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法�������律服务 6/86 垦丁 W&W 国际法律团队 前前言:言:中华人民共和国个人信息保护法(以下简称个保法)已于 2021 年 8 月 20 日横空出世,并将于 11 月 1 日正式生效。作为中国第一部法典化的个人信息保护法中国第一部法典化的个人信息保护法,个保法不仅从内容上借鉴和吸收了先进海外地区的立法经验,以及包括民法典、个人信息安全规范、网络安全法、电子商务法,数据安全法等在内的涉及个人信息保
14、护方面的有益内容,也从个人信息处理规则、个人信息跨境提供规则、个人信息主体权利、个人信息处理者的义务、以及个人信息保护和合规义务等具体方面,为个人信息主体的权益提供了全面的保障。总体上来说,个保法的出台,正式宣告网络安全与数据合规三驾马车(网络安全法、数据安全法、个人信息保护法)的诞生,并确立了我国个人信息保护的法治架构与体系,体现出我国高度重视个人信息保护与治理的决心与态度。笔者专注于互联网法律服务与合规工作,特别是全球数据与个人信息合规保护领域,一直特别关注海外数据隐私保护立法的动态与发展。本文旨在通过将我国个保法与海外九大主要地区的个人信息保护法案,从十个维度进行横向对比,以帮助�������出海互联
15、网企业及大量接触个人信息的相关岗位人员更好地了解各国/地区在数据保护方面的异同点,以����及主要合规要点。鉴于篇幅��有限,笔者仅将主要比对维度按版块以要点的方式进行扼要列示,并期待个人信息保护同行专家朋友们的宝贵建议与指导。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 7/86 垦丁 W&W 国际法律团队 第一部第一部分:法律适用范围与域外适用效力分:法律适用范围与域外适用效力 法律适用范围,主要是指某一法律所具有或者赋予的约束力,以及其所适用的范围广度与深度,一般包括时间适用效力(开始生效和终止生效时间)、空间效力(生效的地域范围)、以及对人的效力(对哪些
16、人员生效)。而对于个人信息保护法律而言,一般会关注地域适用范围、个人适用范围以及个人信息资料本身的适用范围。一一、我国我国个人信息保护法个人信息保护法法律适用范围与域外适用效力法律适用范围与域外适用效力解读解读:个保法在第一章“������总��������则”中就本法的适用范围进行了明确的规定。首先,其明确规定过了“在中华人民共和国境内处理境内处理自然人个人信息的活动,适用本法”。可见,我国个保法采取了“属地原则”,明确了其适用范围之一针对的是“处理中国境内自然人信息的活动处理中国境内自然人信息的活动”,本法适用的个人信息主体,是指在中国境本法适用的个人信息主体,是指在中国境内的自然人个人,而无论该自然人是中国人还是外
17、国人。内的自然人个人,而无论该自然人是�����中国人还是外国人。换言之,即便是外国人主体,当其是在中国境内产生了个人数据,且被中国境内的组织、个人进行了个人信息的处理行为,则将会落入我国个保法的管辖和保护范围内。(一一)我国个人信息保护法对地域范围的规定我国个人信息保护法对地域范围的规定 举例说明,一款主要为境内用户提供购物服务的国内电商类 App,在其服务过程中,收集了某位身处中国境内的外国人主体的个人信息时,则该电商类 App在中国境内处理该等外国个人主体的个人信息时,需要遵守我国个保法的规定。而至于该电商类 App 对外国人主体个人信息的处理行为,是否还会落入该外国人所属国家或其他第三方国家/地
18、区的个人信息保护法的适用范围,或海外地区的法律是否对本场景下的个人信息处理活动享有管辖������权,则还需结合该海外地区结合该海外地区的数据保护法案的适用范围进行分析的数据保护法案的适用范围进行分析(我们将在下文的图表对比中提供判断思路)。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 8/86 垦丁 W&W 国际法律团队 其次,我国个保法明确了它也是具有域外适用效力的,体现在第三条第二款的规定:“在中华人民共和国境外处理境外处理中华人民共和�������国境内自然人境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务向境内自然人提供产
19、品或者服务为目的;(二)分析、评估境内自然人分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。”可见,我国个保法借鉴了欧盟 GDPR,明确了其具有必要的域外适用效力,具有必要的域外适用效力,规定了当向境内自然人提供产品或服务,或分析、评估境内自然人的行为亦适用规定了当向境内自然人提供产品或服务,或分析、评估境内自然人的行为亦适用个保法的规定。个保法的规定。回到刚才的例子,假如该电商类 App 在新加坡部署了数据中心,并在新加坡(中国境外)处理该外国人的数据,鉴于该 App 是以向中国境内自然人提供服务的,且该外国人亦身处中国境内,因此仍然落入我国个保法的�����适用范围,需要遵守我国数据
20、保护法律法规的相关要求。特别需要注意的是,对于境外的个人信��������息处理者,我国个保法明确要求了应当在中国境内设立专门机构或者指定代表设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构或者代表的信息报送报送履行个人信息保护职责的部门。(二二)个人信息保护法与欧盟个人信息保护法与欧盟 GDPR 地域适用范围的差异地域适用范围的差异 但对比于欧盟但对比于欧盟 GDPR 的地域适用范围,我国个保法的规定还是有细微的区的地域适用范围,我国个保法的规定还是有细微的区别。别。欧盟 GDPR 是由“稳定的安排/组织设立机构(establishment)”,以及“服务目标/开展业务过程中(in th
21、e context of the activities)”两个标准共同确立的,而我国个保法的地域适用范围则是由“处理行为发生地”和“服务目标”确定的。这里这里的异同体������现在的异同体现在“稳定的安排稳定的安排/组织设立机构(组织设立机构(establishment)”与与“在境内进行处理在境内进行处理”,是不一样的。是不一样的。根据我国个保法的要求,只要处理自然人个人信息的活动发生在我 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 9/86 垦丁 W&W 国际法律团队 国境内,或者以向我国境内自然人提供产品或者服务为目的,就会被纳入个保法的管辖,而不管是
22、否需要在我国境内具有稳定的安排或设有机构(establishment)。当然,我国个保法亦明确了其不适用的情形,包括:(1)自然人因个人或者家庭事务而处理个人信息的,不适用本������法。(2)法律对各级人民政府及其有关部门组织实施的统计、档案管理活������动中的个人信息处理有规定的,适用其规定。”中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 10/86 垦丁 W&W 国际法律团队 二二、海外主要个人信息保护法律海外主要个人信息保护法律法律适用范围与域外适用效力法律适用范围与域外适用效力对比对比:中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球
23、数据合规法律服务 11/86 垦丁 W&W 国际法律团队 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 12/86 垦丁 W&W 国����际法律团队 总体来说总体来说 个保法 在适用范围上借鉴了欧盟 GDPR 的相关规定,纵观上表其他国家/地区的数据保护法律的管辖范围,不难看出,在全球范围内扩大本国在全球范围内扩大本国/本地区的本地区的数据保护法律的域外效力已成为立法趋势。数据保护法律的域外效力已成为立法趋势。企业在出海业务发展过程中,特别是当企业涉及处理海外主体的个人信息时,应特别关注是其个人信息处理行为,是否会落入该国或地区的个人信息保护法案管辖范围,
24、以进一步确认是否遵守以及该如何遵守该国或地区的数据保护法律及与此相关的法律规定。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规������法律服务 13/86 垦丁 W&W 国际法律团队 第二部分:个人信息处理规则与特别注意事项第二部分:个人信息处理规则与特别注意事项 个人信息处理原则�������以及个人信息处理的具体规则,是每个国家数据保护法案中最为关键和核心内容,通过在法案中明确处理个人信息的合法性基础,以及对应的具体规则,以帮助企业和个人在处理个人信息时候厘清权利义务的边界,企业、组织在处理个人信息活动时应当特别留意和关注关于个人信息处理的具体规则要求。一一、我国我国个人信息保
25、护法个人信息保护法个人信息处理规则与特别注意事项个人信息处理规则与特别注意事项解读解读:经过三审会议的我国个保法,在关于个人信息处理原则和处理规则上有了更进一步细化和完善,为企业、组织在处理个人信息时候划定了更清晰的红线。(一一)个人信息保护的原则个人信息保护的原则 我国个保法第五条到第十一条确立了个人信息处理应遵循的原则,强调处理个人信息应当遵循合法、正当、必要和诚信原�����则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等。归纳来看,可以理解为主要的七大原则:1.合法、
26、正当、必要和诚信原则合法、正当、必要和诚信原则 是指处理个人信息时,一方面,应当具有合法性的基础合法性的基础(在下文分析)、具有具有正当的理由、并应满足必要性的要求正当的理由、并应满足必要性的要求(对个人信息的处理应当限定在为了实现处理目的所必要的范围内),另一方面,要遵守诚信原则,不得不得通过误导、欺诈、误导、欺诈、胁迫胁迫等方式处理个人信息。中国个人������信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 14/86 垦丁 W&W 国际法律团队 2.目的明确、合理原则目的明确、合理原则 相比于二审稿,个保法新增了“采取对个人权益影响最小的方式”新增了“采取对个人权益
27、影响最小的方式”,即将个人权益的影响程度作������为是否明确、合理的判断标准,再次特别强调了,信息的信息的收集范围与处理目的应当直接�����关联,并应该限制在实现目的的最小范围内收集范围与处理目的应当直接关联,并应该限制在实现目的的最小范围内(最小必要原则,不得过度收集个人信息)。3.公开、透明原则公开、透明原则 是指,处理个人信息,一方面应该对企业、组织是如何处理用户的个人信息进行公开;另一方面,还应通过这些公开的政策、规则来明确展示企业、组织在处理个人信息方面的具体目的、处理方式和处理范围。4.质量原则质量原则 相比于二审稿,个保法新增了“保证个人信息的质量”新增了“保证个人信息的质量”的要求,其具体内涵
28、是指,为实现个人信息的处理目的,企业、组织应当对其所处理的个人信息保证准确,并在有变化时候进行及时的更新。5.安全安全保护原则保护原则 没有数据安全的保障,就没有对数据的有力保������护,安全是保护的关键前提,企业、组织应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。6.禁止非法处理原则禁止非法处理原则 个保法明确列举了 8 大“禁止性行为”,给企业、个人划定了清晰的红线:任何组织、个人不得非����法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。7.共同治理原则共同治理原则 中国个人信息保护法与海外多国/
29、地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 15/86 垦丁 W&W 国际法律团队 个人信息保护是一项需要个人、企业、行业组织、监管部门等各方面共同协作、参与的事项,一方面,国家通过建立、健全个人信息保护制度,对侵害个人信息权益的行为进行预防和惩治;另一方面,也需要通过加强个人信息保护宣传教育工作,推动形成政府、企业、相������关行业组织、社会公众共同参与个人信息保护的良好环境。(二二)“告知“告知-同意”是核心规则同意”是核心规则 我国个保法明确了以“告知“告知同意”为我国个人信息保护的核心规则同意”为我国个人信息保护的核心规则(核心核心的合法性基础的合法性基础),一方面,为个人对其
30、个人信息处理的知情权和决定权提供了重要的保障;另一方面,以“同意”作为合法理由处理个人信息,必须赋予用户撤撤回同意回同意的权利。这与 GDPR 的规则设置是非常类似的。对于如何进行告知,个保法明确了,企业不仅要真实、准确、完整地向个人“充分告知”“充分告知”与处理个人信息的各类事������项(包括处理者身份、联系方式、处理目的、处理方式、信息种类、保存期限、个人行使权力的方式和程序等等),还需要以显著方式、清晰易懂的方式进行显著方式、清晰易懂的方式进行,并且在重要事项发生变更时,还应重新取得个人的同意,而不能“一次了事”。对于如何获得同意,则要求个人需要在“充分知情”“充分知情”的前提下,作出����自愿的、自
31、愿的、明确的同意明确的同意,而不能是被强迫的、不平等的,也不能是含糊的、不清晰的情况下作出。值得一提的是,本次个保法在处理个人信息的合法理由中,新增了“实施人新增了“实施人力资源管理所必需”作为处理个人信息的合法理由之一,力资源管理所必需”作为处理个人信息的合法理由之一,但在使用这一合法理由时,应特别注意这是附条件的,只有是满足了“依法制定的劳动规章制度”和“依法签订的集体合同”才可以,而何为“依法制定”和“依法签订”,就为作为用人单位的企业����在处理员工的个人信息时留下了非常值得研究的实操空间以及合规空间,也对企业在处理员工个人信息时,提出了更进一步的合规要求。中国个人�������信息保护法与海外多国/地区
32、数据合规法律企业合规要点比较报告 全球数据合规法律服务 16/86 垦丁 W&W 国际法律团队 (三三)“单独同意”是特别规则“单独同意”是特别规则 与此同时,我国个保法还针对“法律、行政法规等专门规定的特殊情况”,特,特别设置了特殊的单独同意规则。别设置了特殊的单独同意规则。1.处理敏感个人信息情形:处理敏感个人信息情形:例如,企业������在处理个人敏感信息时,除了在隐私政策中,向用户告知处理敏处理敏感个人信息的具体种类、处理的必要性、对个人的影响,采取严格的保护措施感个人信息的具体种类、处理的必要性、对个人的影响,采取严格的保护措施外,还需要在该特定场景触发时,通过如单独单独弹窗、单独页面展示等方
33、式向个人告知告知,并获得个人的单独的、明示有效的同意单独的、明示有效的同意,而不能是“概括同意”,“一揽子同意/捆绑授权”,更不能是“默认同意”。2.处理儿童个人信息情形:处理儿童个人信息情形:例如,在企业收集不满 14 周岁的未成年人个人信息的场景下,企业还应当还应当取得未成年人的父母或者其他监护人的同意取得未成年人的父母或者其他监������护人的同意。3.向其他个人信息处理者提供个人信息情形:向其他个人信息处理者提供个人信息情形:例如,在企业向其他第三方合作伙伴(其他个人信息处理者)提供、转移提供������、转移个人信息的场景下,除了需要向个人履行告知义务(个保法规定了告知内容的法定要求),进行事前的风险评估
34、外,还应当取得个人的单独同意������。还应当取得个人的单独同意。而对于前述情况下作为数据接收方的第三方合作伙伴,除了应该在传输方告知个人的范围内处理个人信息,还应该在接收方企业变更原先的处理目的和方式时,重新取得个人的同意。重新取得个人的同意。4.在在公共场所安装图像采集、个人身份识别设备公共场所安装图像采集、个人身份识别设备的情形:的情形:这是本次个保法新增的内容,与目前大量企业滥用摄像头收集个人信息、特别是人脸识别信�����息等情况有关,也与今年 8 月 1 日出台的最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定 起到遥相呼应的效果。中国个人信息保护法与海外多国/地区数
35、据合规法律企业合规要�����点比较报告 全球数据合规法律服务 17/86 垦丁 W&W 国际法律团队 与此相关的企业应特别关注和留意,在安装图像采集、个人身份识别设备时,应当:(1)是为了维护公共安全所必需维护公共安全所必需限制收集目的限制收集目的(2)在遵守国家有关规定的同时,还应设置显著的提示标识显著的提示标识明确告知方明确告知方式式(3)特别需要注意的是,企业因此而收集的个人图像、身份识别信息,只能只能用于维护公共安全的目的用于维护公共安全的目的,不得用于其他目的;但取得个人单独同意的但取得个人单独同意的除外除外限制处理用途限制处理用途 5.公开个人信息的情形公开个人信息的情形:个保法明确规定了
36、,原则上不得公开,但取得个人单独同意的除外。原则上不得公开,但取得个人单独同意的除外。值得注意的是,在使用公开个人信息方面,我国个保法参考海外数据保护法规,也提供了“选择退出”的规定:也提供了“选择退出”的规定:(1)对于个人自行公开或者其他已经合法公开的个人信息,除非个人明确拒绝,个人信息处理者可以在合理范围内处理;(2)对于处理已公开的个人信息,而对个人权益有重大影响的,个人信息处理者应当取得个人同意。(四四)豁免告������知作为例外规则豁免告知作为例外规则 本次个保法不仅在告知的内容要求上和告知的形式上作出了进一步的细化要求,还确立了两种个人信息处理者可以进行豁免的告知情形:(1�������)基于保密义务的
37、豁免:当有法律、行政法规规定应当保密或者不需要告知的情况下,可以不向个人告知个人信息处理者的名称或者姓名和联系方式。(2)基于紧急情况的豁免:为保护自然人的生命健康和财产安全而无法及时向个人告知的情况下,可以在紧急情况发生之时不进行告知,但是应当在紧急情况消除后及时告知。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 ��全球数据合��������规法律服务 18/86 垦丁 W&W 国际法律团队 (五五)共同处理承担连带责任规则共同处理承担连带责任规则 本次个保法正式确定了共同处理者的概念(共同决定个人信息的处理目的和本次个保法正式确定了共同处理者的概念(共同决定个人信息的处理目的和处理方式
38、的),也是新增内容之一处理方式的),也是新增内容之一。与欧盟 GDPR 以及先前出台的个人信息规范不同的是,个保法在概念上没有区分个人信息控制者和处理者,������而是通过明确规定“在共同处理个人信息时,在侵害个人信息权益造成损害的情况,应当一起依法承担连带责任”的方式,确立了由共同处理者一起面向个人数据主体去承担连带责任一起面向个人数据主体去承担连带责任。提����醒企业注意的是,提醒企业注意的是,在发生共同处理的情况下,应该通过合同的方式与第三方明确约定双方的权利与义务,明确各自需要承担的责任,要求第三方共同满足个人信息安全的要求,同时亦需要向个人数据主体进行有效的告知。(六六)自动化决策应确保透明公平公正
39、,并有权进行拒绝的规则自动化决策应确保透明公平公正,并有权进行拒绝的规则 这可能是本次个保法最为关注也受到最大热议的亮点之一,明确了广大用户关注的自动化决策的规制,即应“保证决策的透明度和结果公平公正透明度和结果公平公正”且“不得对个人在交易价格等交易条件上实行不合理的差别待遇�������”。要求企业在自动化决策最为普遍的应用场景“信息推送、商业营销信息推送、商业营销”中,应当向个人提供“不针对其个人特征的选项不针对其个人特征的选项”,或者“向个人提供便捷的拒绝方式便捷的拒绝方式”。特别是,对于对用户的个人权益造成重大影响的情况,法律明确为个人主提供了要求解释清楚的权利以及进行明确拒绝的权利要求������解释清楚的
40、权利以及进行明确拒绝的权利。本条的出现,在实务中,引起了非常多与个性化推荐有关的企业的关注,特别是精准广告的行业企业,在接下来的实际应用中,相信会有更多的实务难题出现。但从最基本的合规注意事项而言,企业可以关注以下基本的合规逻辑:(�����1)以充分、全面、清晰告知用户,以及取得用户的个人同意为合法性基础,中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 19/86 垦丁 W&W 国际法律团队 其����确保该同意是自愿、明确的;(2)对企业所进行的自动化决策的透明和公平性进行解释与说明;(3)当自动化决策是用于为了信息推送,或商业广告推广时,应为用户提供可以退出的途径
41、,以及不进行个人特征推送的选项;(4)仅通过自动化决策作出对个人权益有重大影响的决定的,在用户要求解析说明,或用户明确提出拒绝时,应保障其权利机制的实现,并考虑增加人工决策的方式。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 20/86 垦丁 W&W 国际法律团队 二二、海外主要个人信息保护法律海外主要个人信息保护法律敏感个人信息�����的概念与处理规则敏感个人信息的概念与处理规则对比:对比:鉴于个人信息处理的规则是一个比较复杂的分析类事项,一方面,不同国家的数据保护法律会有不同的规定,不仅对于特殊类型个人信息有不同的概念不仅对于特殊类型个人信息有不同的概念
42、与分类,而且也会对不同特殊类型的个人信息有特别的规则与分类,而且也会对不同特殊类型的个人信息有特别的规则,另一方面,在大量的实务操作过程中,还需要结合具体的业务场景、前提和多方面的维度进行综合考虑。鉴于篇幅有限,以下表格,我们仅就个人敏感信息的定义以及处理我们仅就个人敏感信息的定义以及处理要求和一些特殊点进行扼要对比。要求和一些特殊点进行扼要对比。如有不完善之处,还请同行们多多指正。中国个人信息保护法与海外多国/地区�����数据合规法律企业合规要点比较报告 全球数据合规法律服务 21/86 垦丁 W&W 国际法律团队 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律
43、服务 22/86 垦丁 W&������W 国际法律团队 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 23/86 垦丁 W&W 国际法律团队 总体来说总体来说 个人信息的处理的具体规则,是每个国家数据保护法案中非常值得关注的内容,大部分国家的数据保护法律法规中都会对特殊类型的数据提出了特殊的大部分国家的数据保护法律法规中都会对特殊类型的数据提出了特殊的处理规则处理规则������(例如会分别对一般个人信息、敏感个人信息、健康信息、生物特征信息进行概念上的分类,以及规定不同的处理规则),以更好地保护个人数据主体的权益,同时也成为企业、组织和个人在处理个人信息时候的指南针和区
44、分合规红线的判断基础。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 24/86 垦丁 W&W 国际法律团队 第第三三部分:部分:数据本地化存储要求数据本地化存储要求 数据本地化存储,是指某一主权国家/地区,通过制定法律或规则来限制本国数据向境外流动,是对数据出境进行限制的做法之一。数据又被誉为当今的“石油”,在全球互联网信��������息时代中显得尤为重要。因此,有些主权国/地区会对个人信息进行不同维度的分类,并根据不同的类型的个人信息提出了本地存储与跨境流动限制的要求。一一、我国我国个人信息保护法个人信息保护法数据本地化存储要求数据本地化存储要求解读解读 (一一
45、)明确了个人信息以境内存储为原则明确了个人信息以境内存储为原则 我国个保法明确规定了个人信息的存储地点应当以境内存储为原则,应当存储在境内的具体情形包括:(1)国家机关处理处理的个人信息;(2)关键信息基础设施运营者关键信息基础设施运营者(CIIOCIIO)在�������境内在境内收集和产生的个人信息;(3)即使不构成即使不构成 CIIOCIIO,如果,如果个人信息处理者个人信息处理者在境内在境内收集和产生的个人信息的数量达到国家网信部门规定的数量达到国家网信部门规定的数量的的,也应当存储在境内。个保法特别强调了关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在境内收集
46、和产生的个人信息存储在境应当将在境内收集和产生的个人信息存储在境内,不得向境外传输。内,不得向境外传输。如果的确需要如果的确需要向境外提供个人信息的,应当通过国家网信向境外提供个人信息的,应当通过国家网信部门组织的安全评估。部门组织的安全评估。换言之,对于关键信息基础设施等重要数据的储存、利用、控制和管辖,我国提出了明确的本地化存储的要求明确的本����地化存储的要求,�������其基本逻辑是,任何中国公司或者外国公司在我国境内采集和存储与个人信息和关键领域相关数据时,必须使用我国境内的服务器。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 25/86 垦丁 W&W 国际
47、法律团队 这是我国作为主权国家行使“数据������主权”的重要体现之一,也与我国网络安全法基于保障网络数据安全的考量,明确要求在境内存储“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据”的要求一脉相承。(二二)企业合规扼要建议企业合规扼要建议 从前面分析可知,我国个保法并非像某些主权国家(例如俄罗斯)一�����样对本地化存储进行了非常严格的要求,而是对特定的主体特定的主体提出了本地化存储的要求以及安全评估的义务。企业以及特别是涉及国际业务的企业,在处理个人信息的时候,需要关注是否受到本地化存储的要求限制:StepStep 1 1:判断是否落入必须进行本地化存储的主体范围。:判断
48、是否落入必须进行本地化存储的主体范围。如果是,则需要进行数据本地化存储,即企业应当将在中国境内收集和产生的个人信息存储在境内。StepStep 2 ������2:判断是否有的确有需要向境外提供的必要。:判断是否有的确有需要向境外提供的必要。即企业需要结合业务的实际情况与业务运作安排等维度,综合考虑与确认该等数据出境的必要性。StepStep 3 3:判断是否已经通过国家网信部门组织的安全评估:判断是否已经通过国家网信部门组织的安全评估。我国的数据本地化要求并没有一刀切地完全禁止将个人信息传输至中国境外,对于确实需要向境外提供的,则需要在通过国家网信部门组织的安全评估后再进行传输。根据网信办 2019 年
49、个人信息出境安全评估办法(征求意见稿)的要求,企业在进行安全评估时����候,并非完成了内部的自我评估就结束,而是应当向所在地的省级网信部门进行个人信息出境安全评估的申报动作。安全评估的重点包括:(1)评估个人信息跨境传输是否符合法律法规及政策规定;(2)传输方与接收方所签署的合同是否能够充分保障个人信息主体合法权益;中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 26/86 垦丁���� W&W 国际法律团队 (3)合同是否得到有效执行;(4)传输方与接收方是否发生过有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件;(5)传输方获得个人信息是否合法、正当
50、。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 27/86 垦丁 W&W 国际法律团队 二二、海外主要个人信息保护法律海外主要个人信息保护法律数据本地化存储要求数据本地化存储要求对比对比 中�������国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 28/86 垦丁 W&W 国际法律团队 从上述各国或地区要求本地化的数据类型从上述各国或地区要求本地化的数据类型来看来看,大致可以分为三种类型:,大致可以分为三种类型:(1)数据保护法律中没有明确要求进行本地化存储的,但可能在进行跨境传输时候提供了严格的限制。例�������如欧盟 GDPR
���51、、新加坡地区等;(2)对数据类型进行划分,针对不同的数据类型����提出不同的本地化存储要求。例如印度,划分为关键个人数据、敏感个人数据和一般个人数据,关键的个人数据必须存储在印度境内,但也提供了例外条件;对于敏感的个人数据,必须存储在印度境内,但其副本可以按照跨境转移的要求进行传输到印度境外。(3)对收集数据的主体进行了划分,并针对不同的特定主体提出了不同的本地化存储要求。例如印尼要求只有公共电子系统运营商才必须将其电子系统和数据放置在印度尼西亚本地。总体来说总体来说 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 29/86 垦丁 W&W 国际法律团队 随
5���2、着各国监管机构认识到某些类型的数据需要在本地境内存储,并需要更严格控制跨境数据传输,数据存储本地化正日益成为一项全球性挑战。对于涉及海外业务的企业,应特别需要关注出海目标国家的数据本地化存储的要求,结合业务的整体发展规划与业务运营成本,综合考虑服务器部署的位置与方案,以更好地在符合目标国际的数据合规要求同时,也提高企业的内部运作效率。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 30/86 垦丁 W&W 国际法律团队 第第四四部分:部分:数据跨境传输规则与要求数据跨境传输规则与要求 在数字经济时代,数据是各国竞相争夺的基础性战略资源,各国不断出台数据
53、跨境传输规则与政策,强�����化本国对数据资源的掌控能力,以便在全球数�����字经济发展格局中占据有利地位。与此同时,数据只有流动才能产生经济红利,如何平衡跨境数据流动为跨国合作带来极大促进作用的同时,也能更好地维护主权国家在个人隐私权、企业商业利益和国家安全的问题上,提出了法律规制上的全新挑战。一一、我国我国个人信息保护法个人信息保护法数据跨境传输规则与要求数据跨境传输规则与要求解读解读 (一一)跨境提供个人信息的前置条件:跨境提供个人信息的前置条件:我国个保法正式确立了我国个人信息跨境流动的规则体系,规定个人信息以在境内存储为原则,并确定了需要在满足法律规定的条件下可以向境外提供个人信息的规则。可见,我国
54、基于个人信息的跨境流动将会影响到个人隐私安全、企业利益甚至国家安全,以及������数据的跨境流动具有不可逆的特性,采取了对个人信息跨采取了对个人信息跨境传输活动进行事前监管的方式。境传输活动进行事前监管的方式。个保法第三十八条明确规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当至少具备下列一项至少具备下列一项条件:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估国家网信部门组织的安全评估;(二)按照国家网信部门的规定国家网信部门的规定经专业机构进行个人信息保护认认证;(三)按照国家网信部门制定的标准国家网信部门制定的标准合同与境外接收方订立合同合同与境外接收方订立
55、合同������,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。我国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的,可以按照其规定执行。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 31/86 垦丁 W&W 国际法律团队 首先,从法条本义解析出发,至少满足其中一项条件即可,但实践中,如果能同时满足其他条件,亦为更佳。其次,需要注意的是,安全评估或个人信息保护认证,并非企业自我评估或自我认证就可以,而是两者都需要由国家网信部门的安排与组织下进行。根据 2019 网信办发布的个人信息出境安全评估办法(征求意见稿),与安全
56、评估的相关规则还处在征求意见阶段,暂未见其他进一步的强制规定与政策指南。所以,尽管目前还没有具体的由国家网信部门指定的标准合同,但相比前两者来说,目前跨国企业在进行个人信息跨境传输时较为可行的方式,是采取“与境外接收方订立合同”的方式,通过要求提供方与接收方公司签订合同以约定双方在个人信息处理和保护的权利和义务。(二二)跨境提供个人信息的基础要求跨境提供个人信息的基础要求 跨境传输是个人信息处理活动的一种,因此,在满足“前置条件”的情况下,企业在向境外提供个人信息的时候,仍需要继续按照我国个保法的基础要求进行,主要包括:(1)向数据主体告知告知境外接收方的身�������份和联系方式,个人信息的处理目的、处
57、理方式,个人信息的种类、数据主体对应权利,以及保存期限(且应当为实现处理目的所必要的最短时间等);(2)获得数据主体的单独同意单独同意;(3)进行事先的个人信息保护影响评估个人信息保护影响评估(DPIA 或 PIA)(4)采取必要措施,保障境外接收方处理个人信息的活动达到达到个保法要求的个人信息保护标准个人信息保护标准;(5)确保境外接收方没有落入国家网信部门的黑名单没有落�������入国家网信部门的黑名单(列入限制或者禁止提供个人信息的公告清单)。(三三)跨境提供个人信息的对等要求跨境提供个人信息的对等要求 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 32/
58、86 垦丁 W&W 国际法律团队 我国个保法确立了信息跨境传输的“对等原则”,即,如果信息接收国家和地区在个人信息保护方面对我国采取歧视性的禁止、�����限制或者其他类似措施,作为我国可以根据实际情况对该国家或者地区采取对等的禁止、限制或其他类我国可以根据实际情况对该国家或者地区采取对等的禁止、限制或其他类似的措施似的措施。在这样的情况下,当个人信息是向该等国家或地区提供的时候,则会受到相应的限制,需要视情况而具体分析。(四四)跨境提供个人信息的特殊要求跨境提供个人信息的特殊要求 A A.在向境外提供个人信息时候,还需要特别关注被传输的个人信息的性质,在向境外提供个人信息时候,还需要特别关注被传输的个
59、人信息的性质,以及数量问题。以及数量问题。对于关键信息基础设施运营者,以及处理个人信息达到国家网信部门规定数量的个人信息处理者,应当:将在境内收集和产生的个人信息存储在境内存储在境内;确需向境外提供的,应当通过国家网信部门组织的安全评估安全评估;但法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。关于“关键信息基础设施”的认定,关于“关键信息基础设施”的认定,在刚刚生效的关键信息基础设施安全保护条例中有所体现,主要是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、������国
60、计民生、公共利益的重要网络设施、信息系统等。关于“关于“个人信息达到个人信息达到国家网信部门规定数量”的界定,国家网信部门规定数量”的界������定,可参考本年 7 月份网信办发布的网络安全审查办法(修订草案征求意见稿),以及 2017 年网信办发布的个人信息和重要数据出境安全评估办法(征求意见稿)中的规定。�������B B.在协助境外司法执行方面的规定在协助境外司法执行方面的规定 我国个保法在这方面设置了非常高的门槛,明确规定了,对于存储在我国境内的个人信息,如果没有经过我国主管机关的批准如果没有经过我国主管机关的批准,不得向外国司法或者执不得向外国司法或者执法机构进行提供。法机构进行提供。可见,我国对此情形下
61、亦强调并采取了事前监管原则,即便进行了各种安全评估、获得数据主体同意、进行个人信息保护认证等方式也不 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 33/86 垦丁 W&W 国际法律团队 能成为可以向境外司法或执法机构提供的前置条件,而唯有获得中国主管机关的明确批准,才能流出境外。中国个人信息保护法与海外�������多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 34/86 垦丁 W&W 国际法律团队 二二、海外主要个人信息保护法律海外主要个人信息保护法律数据跨境传输规则与要求数据跨境传输规则与要求对比对比 中国个人信息保护法与海外多国���/地区数
62、据合规法律企业合规要点比较报告 全球数据合规法律服务 35/86 垦丁 W&W 国际法律团队 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 36/86 垦丁 W&W 国际法律团队 总体来说总体来说 在数据跨境流动方面,主要是以美国和欧盟为首的主要管理思路。美国在数据流入方面主张“数据自由流动”,强调通过美国科技和数据资源上的优势,推动数字经济的发展;在数据流出方面,则通过出口管制手段来限制高科技、军民两用技术的数据出境。欧盟则选择����“欧盟境内松,欧盟境外紧”的数据跨境管理模式。在欧盟境内通过非个人数据自由流动框架条例促进欧盟内部数据的自由流动,同时通过
63、通用数据保护条例(GDPR),确定欧盟数据保护的法律框架,增强了数据向境外流出的管控,并通过长臂管辖方式加大了对欧盟个人数据的保护力度。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 37/86 垦丁 ����W&W 国际法律团队 第第五五部分:部分:数据主体在个人信息处理活动中的权利数据主体在个人信息处理活动中的权利 每个人都有权保护与他或她有关的个人信息或数据,对个人信息主体进行数据处理的,必须出于特定目的并在相关人员同意或法律规定等其他的合法基础的基础上进行,且数据处理的过程需要是公平的、平等的、自愿的。这样的这样的权利会分为不同的类型,有包括维护数据主
�����64、体尊严的权利权利会分为不同的类型,有包括维护数据主体尊严的权利,例如每个人都有权访问已收集的有关他或她的数据(知情权、访问权知情权、访问权),并有权对其进行纠正(更正权更正权);有包括进行消极的控制数据使用的权利,例如删除权删除权/被遗忘权被遗忘权、限制处理权限制处理权/拒绝权拒绝权等权利;也有包括对数据进行积极处理与控制的权利,例如数据转移权数据转移权/可携带权可携带权等。通过法律赋予数据主体在个人信息处理活动中的权利,是非常重要与关键的,这不仅意味着每个人都有权保护他们的个人信息,更体现了企业、个人在更体现了企业、个人在使用这些数据主体的个人信息时,更应以公平、合法、合规的方式进行处理和使
65、用这些数据主体的个人信息时,更应以公平、合法、合规的方式进行处理和使用,并尊重每个人的个人信息权利。使用,并尊重每个人的个人信息权利。一一、我国我国个人信息保护法个人信息保护法数据主体数据主体权利权利解读解读 我国个保法在借鉴海外优秀数据法律的同时,也结合了自己的特色,从八大个方面赋予了个人信息主体所享有的主体权利,并特别就数据主体行使个人权利的�����可触达途径,以及逝者在个人信息主体权利方面做了进一步的完善,使到我国个人信息保护的整体架构更为丰满:(一一)知情权知情权 个人信息主体对于自己的个人信息是如何被收集、使用、处理的进行个人信息主体对于自己的个人信息是如何被收集、使用、处理的进行充分的知悉
66、和了解充分的知悉和了解,是最为基础的权利,也与我国个保法要求企业、个人等信息处理者需要履行告知义务,获得用户的自愿明确的同意相辅相成。企业在处理个人信息时,应通过明示个人信息保护政策让个人信息主企业在处理个人信息时,应通过明示个人信息保护政策让个人信息主体清晰地了解到有关个人信息处理的各项内容与规则体清晰地了解到有关个人信息处理的各项内容与规则,包括但不限于企业的主体身份、联系方式等基本情况、所收集��������的个人信息的具体类型与范 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 38/86 垦丁 W&W 国际法律团队 围、个人信息的收集方式、存储期限、数据出境
67、的处理规则、个人信息处理和使用的目的、使用方式与范围等等。(二二)决定权决定权 个人信息主体对自己的个人信息权利享有自主决定的权利是保护数据主体个人信息主体对自己的个人信息权利享有自主决定的权利是�������保护数据主体权利的核心内容权利的核心内容,有权决定是否接受个人信息处理者对其个人信息的收集、使用和处理。企业在处理个人信息时应该对个人信息主体的决定权提供充分的保障,例如通过主动勾选同意协议、通过区分必要与附加业务功能来为个人信息例如通过主动勾选同意协议、通过区分必要与附加业务功能来为个人信息主体提供是否选择接受服务功能等方式进行。主体提供是否选择接受服务功能等方式进行。(三三)限制权限制权 个人信息
68、主体的限制权是决定权的延伸体现个人信息主体的限制权是决定权的延伸体现,例如个人信息主体有权要求企业、组织在收集个人信息的时候应当限于实现处理目的的最小范围,不得过度收集个人信息;有权要������求企业、组织在处理个人信息的时候仅在已经告知和获得同意的限定范围内进行使用,如果超出已约定的范围或者超出合理合法的范围的,则需要另外再行告知与获得同意。(四四)拒绝权拒绝权 个人信息主体的拒绝权也可以���理解为决定权的延伸体现个人信息主体的拒绝权也可以理解为决定权的延伸体现,例如,对于不是非必需提供个人信息才能使用的某些业务功能,个人信息主体可以拒绝提供。我国四部门在 2021 年 3 月联合发布的常见类型移动互联网
69、应用程序必要个人常见类型移动互联网应用程序必要个人信息范围规定信息范围规定进行了明确要求与呼应,明确规定了移动互联网应用程序明确规定了移动互联网应用程序(AppApp)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用 AppApp基本功能服务。基本功能服务。我国个保法也在个人信息处����理规������则中,通过要求个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务(但处理个人信息属于提供产品或者服务所必需的除外)来进一步保障了个人信息主体实现拒绝权的可能性。(五五)查询、复制权查询、复制权 中国个人信息保护法与海
70、外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 39������/86 垦丁 W&W 国际法律团队 个人信息主体有权对自己被收集和处理的个人信息进行查看、访问与复个人信息主体有权对自己被收集和处理的个人信息进行查看、访问与复制制,但是也给出了豁免条�������款,例如企业、组织在处理个人信息时候被法律所要求应当进行保密或者不需要进行告知的情形。本次个保法还特别新增了数据可携权,这个权利在此前的一审、二审稿中本次个保法还特别新增了数据可携权,这个权利在此前的一审、二审稿中都没有体现过。都没有体现过。该权利明确要求了当个人信息主体在请求将其个人信息转移到其指定的其他个人信息处理者的时候,如果也符合了网
������71、信办规定的条件的,则个人信息处理者应当为该个人主体提供转移的途径。关于数据可携权在实操方面亦带来了很大的问题与争议,我们将可能在另外的文章中进行讨论,暂不在此展开。(六六)更正、补充权更正、补充权 个人信息也会有一个动态的变化,赋予个人信息主体的修正、更改的权利非常重要,因为不准确、不完整的个人信息,不仅会对个人在生活、工作中造成影响,也会为企业在处理个人信息时候带来其他风险(特别是涉及征信、金融、医疗等敏感特殊领域与情况)。因此,在个人信息主体提出要求对自己的个在个人信息主体提出要求对自己的个人信息进行更正、补充或其他异议的时候,企业、组织等个人信息处理者应该人信息进行更正、补充或其他异议的
72、时候,企业、组织等个人信息处理者应该及时进行回复、处理,核实个人信息��������的准确性,并对错误、不完整的信息进行及时进行回复、处理,核实个人信息的准确性,并对错误、不完整的信息进行及时的纠正与补充。及时的纠正与补充。(七七)删除权删除权 个人信息主体的删除权是数据主体权利保护方面的重要体现,在其他国家或地区可能也有不同的称呼,例如镲除权、被遗忘权(会有具体细微的区别)。对比之前的草案,个保法在删除理由中新增了对比之前的草案,个保法在删除理由中新增了“处理目的无法实现处理目的无法实现”,同时还就个人信息处������理者提供了关于删除权的救济保障的规定,即在个人信息主体要求行使删除权的时候,而实际上其他法律法规要求
73、的保存期限尚未届满,或技术上存在很大困难的,则个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理,以作为对数据主体行使删除权而企业或组织等信息处理者又无法满足时候的救济。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 �����40/86 垦丁 W&W 国际法律团队 同时,需要特别注意的是,原则上,在一些特别的情形下,个人信息处理原则上,在一些特别的情形下,个人信息处理者应当主动删除个人信息。者应当主动删除个人信息。如果个人信息处理者没有主动删除的,则我国个保法赋予了个人有权请求个人信息处理者进行删除。因此,作为企业,在处理用户个人信息时候,应特别注
74、意这些情形:(1)处������理目的已实现、无法实现或者为实现处理目的不再必要;(2)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(3)个人撤回同意;(4)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(5)法律、行政法规规定的其他情形。(八八)解释说明权解释说明权 如前所述,企业应当向用户明确告知个人信息的处理规则以及相关的各项内容,这是对个人信息主体的各项权利的有效保障,因此,个保法赋予了个人个人信息主体有权请求企业对其个人信息处理规则进行解释说明的权利信息主体有权请求企业对其个人信息处理规则进行解释说明的权利,当个人提起该要求时,作为个人信息处理者的企业、组织应该进行及时的
75、反馈与答复。(九九)关于逝者个人信息的近亲属继承权关于逝者个人信息的近亲属继承权 这也是本次个保法新增的亮点内容之一。这也是本次个保法新增的亮点内容之一。从全球角度来看,法律对于逝者的个人信息保护与隐私权保护,很多国家还在不断探索中,有部分国家有明确的立法规定,例如美国 HIPPA 对逝者在医疗方面的隐私保护。我国个保法也为逝者的个人信息保护提供了一定程度的保护,在自然人死亡情况下,当该逝者的近亲属是为了自身的合法、正当利益的,其近亲属可以对逝者的相关个人信息行������使包括个保法规定的查阅、复制权、更正权、删除权等相关权利,但如果逝者在生前通过协议、约定等方式另有安排的除外。但如果逝者在生前通过协议
76、、约定等方式另有安排的除外。可见,逝者近亲属行使的逝者数据主体权利的法定基础是明确的,包括合逝者近亲属行使的逝者数据主体权利的法定基础是明确的,包括合法、正当、或遵从逝者生前的安排等。法、正当、或遵从逝者生前的安排等。同时,对于可以行使的权利类型也给出了较为���明确的规定,包括查阅权、复制权、更正权和删除权等可以由近亲属等继承人实现的权利。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 41/86 垦丁 W&W 国际法律团队 (十十)行使个人权利的途径行使个人权利的途径 如果���没有个人权利有效的实现途径,上述个人信息主体的权利将会仅是纸上谈兵。因此我国个保法
77、,特别在本章的最后,增�������加并明确要求企业、组织等个人因此我国个保法,特别在本章的最后,增加并明确要求企业、组织等个人信息处理者应当建立便捷的、可真正触达的、方便用户(个人信息主体)行使信息处理者应当建立便捷的、可真正触达的、方便用户(个人信息主体)行使数据主体权利的途径,包括申请受理途径和具体可落地的处理机制。数据主体权利的途径,包括申请受理途径和具体可落地的处理机制。同时,明确要求企业、组织等个人信息处理者在拒绝个人行使权利的请求在拒绝个人行使权利的请求的,应当明确说明其具体的理由。的,应当明确说明其具体的理由。在遭受个人信息处理者拒绝行使数据主体权利请求的的时候,用户个人有权向法院提起诉讼,
78、以获得有效的司法救济。用户个人有权向法院提起诉讼,以获得有效的司法救济。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 42/86 垦丁 W&W 国际法律团队 二二、海外主要个人信息保护法律海外主要个人信息保护法律数据主体权利数据主体权利对比对比 中国个人信息保护法与海外多国/地����区数据合规法律企业合规要点比较报告 全球数据合规法律服务 43/86 垦丁 W&W 国际法律团队 总体来说总体来说 各国数据保护法律在个人信息主体权利方面的保护还是比较充分的,特别是在知情权、访问权、更正权、删除权等最为核心基础权利的保障上。随着数据保护法律的不断迭代更新与发展
79、,个人信息主体的权利将会得到更为有效、完善的法律保障。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 44/86 垦丁 W&W 国际法律团队 第六部分:数据影响���评估(第六部分:数据影响评估(DPIA/PIADPIA/PIA)要求)要求 “数据保护影响评估”是引用自 GDPR 的规定,要求数据控制者需要对“可能会对自然人的权利和自由造成高风险”的操作进行数据保护影响评估,英文为 Data Protection Impact As������sessment,简称 DPIA,有些国家或地区也称为“隐私影响评估”(Privacy Impact Assessment,简称
80、 PIA),主要是指在开始数据处理活动之前和在部分特定的情况下,数据控制者有义务对数据处理的行为进行不同维度的影响评估,对个人信息主体合法权益是否可能会造成损害的不同风险进行评估,以帮助企业对数据处理过程中可能涉及的风险进行识别与系统分析。鉴于篇幅有限,本文仅就需要进行 DPIA/PIA 的情况进行基础对比,暂不就如何开展 DPIA/PIA 进行论述,我们或会通过其他文章就怎样进行数据影响评估进行分析。一一、我国个人信息保护法我国个人信息保护法个人信息安全影响评估个人信息安全影响评估要求要求解读解读 在我������国个保法出台前,我国已经有相关的法律以及国家标准指南等文件对“个人信息安全影响评�������估”作出了
81、规定,例如网络安全法要求“关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”;又例如,数据安全法对“重要数据的处理者”作出了“应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评�������估报告”的要求;以及国家市场监督管理总局、国家标�����准化管理委员会也通过正式发布信息安全技术 个人信息安全影响评估指南(GB/T39335-2020 国家标准),来对如何进行个人信息保护影响评估提出了具体的评估规则和参考内容,以便为企业提供更有效的实务参考工具和标准。中国个人信
82、息保护法与海外多国/地区数据合规法律企业合规����要点比较报告 全球数据合规法律服务 45/86 垦丁 W&W 国际法律团队 (一一)应当进行应当进行个人信息安全影响评估个人信息安全影响评估的情形的情形 虽然个保法出台前已经有前述关于“个人信息安全影响评估”的规定内容,但对于大部分非 CIIO 亦非重要数据处理者的企业来说,由于进行数据影响评估属于非强制性要求,因此较多企业可能还没将需要进行数据影响评估作为内部合规机制之一。而本次个保法则明确将数据影响评估的要求作为强制性法而本次个保法则明确将数据影响评估的要求作为强制性法律要求列入,对企业内部合规制度的建设提出了更为严格的要求。律要求列入,对企业内
83、部合规制度的建设提出了更为严格的要求�������。本次个保法没有就笼统性的场景对需要进行数据影响评估作出规定,而是针对具体的处理活动作为判断是否需要进行 DPIA/PIA 的基准点,个人信息处理个人信息处理者应当在数据处理活动之前进行数据影响评估的情况(事前风险评估)包括:者应当在数据处理活动之前进行数据影响评估的情况(事前风险评估)包括:1.处理敏感个人信息 2.利用个人信息进行自动化决策 3.委托处理个人信息 4.向其他个人信息处理者提供个人信息 5.公开个人信息 6.向境外提供个人信息 7.以及其他对个人权益有重大影响的个人信息处理活动 不管是否是 CIIO,还是重要的数据处理者,只要是落入我国个保
84、法立法语境下“个人信息处理者”的范畴,就可以根据上述法定的情况来判断是否需要执行 DPIA/PIA。(二二)个人信息安全影响评估个�����人信息安全影响评估应当包括的内容应当包括的内容 同时,个保法还对 DPIA/PIA 应当包括的内容应当包括的内容作出了明确的规定:1.个人信息的处理目的、处理方式等是否合法、正当、必要;2.对个人权益的影响及安全风险;����3.所采取的保护措施是否合法、有效并与风险程度相适应。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 46/86 垦丁 W&W 国际法律团队 另外,在企业档案保管制度要求方面,个保法亦通过明确的法律规定对企业提
85、出了具体的保存期限要求,即,个人信息处理者应当对个人信息保护影响应当对个人信息保护影响报告和处理情况的记录至少保存三年。报告和处理情况的记录至少保存三年。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 47/86 垦丁 W&W 国际法律团队 二二、海外主要个人信息保护法律海外主要个人信息保护法律数据影响评估(数据影响评估(DPIA/PIADPIA/PIA)对比对比 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 48/86 垦丁 W&W 国际法律团队 总总体来说体来说 中国个人信息保护法������与海外多国/地区数据合规
86、法律企业合规要点比较报告 全球数据合规法律服务 49/86 垦丁 W&W 国际法律团队 笔者认为,当企业涉及处理敏感的、重要的的数据时候,将进行数据影响评估作为必备的内部合规制度,还是非常必要的。即便通过 DPIA/PIA 并不能为企业消除所有的数据合规风险,但却能在较大程度上帮助企业最小化与数据合规相关的风险,以及可以帮助企业判断对应的数据�����风险等级,并作出是否接受该等风险的判断。从 GDPR 角度而言,DPIA 是履行 GDPR 问责制义务的关键体现之一;从我国个保法来看,是企业在部分法定情形下应当进行事前风险评估的强制性要求。总体而言,企业通过实施并较好地完成数����据影响评估,不仅能降低各类数
87、据潜在风险的发生,而且能帮助企业自我证明其在业务运营�������过程中遵守了属地国/地区的数据保护法律的规定和要求,企业亦能根据数据影响评估的结果采取有效的合规策略与保障措施。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 50/86 垦丁 W&W 国际法律团队 第第七七部分:部分:关于发生安全事件时数据泄露通知的要求关于发生安全事件时数据泄露通知的要求 数据泄露无小事,它总是不可避免地发生在日常业务运营的过程中,一旦出现数据泄露等不同类型的安��������全事件时,将会对个人信息主体造成不同程度的危害和影响。造成数据泄露的原因纷繁复杂,例如网络运营者自身的系统漏洞、没有及时更
88、新技术措施、黑客的故意攻击、内部管理人员的不法操作或故意泄露等等,难以进行完全的消除与遏制。因此,不同地区和国家的数据保护法律通过在立法中确定“数据泄露通知制度”以加强对数据泄露的管理,通过及时采取有效措施和控制损害范围的扩大,来有效保障数据主体权益。而数据泄露通知则是指当发生个人数据泄露安全事件时候,个人信息的控制者与处理者需要就泄露事件向不同的主体发出通知和报告的义务。一、一、我国个人信息保护法我国个人信息保护法数据泄露通知要求数据泄露通知要求解读解读 GDPR 第������ 33 �������和 34 条规定了在发生个人数据泄露的情形时,数据控制者通知监管机构和受影响数据主体的要求,强制要求数据控制者应当在发
89、现数据泄露的 72 小时内将个人数据泄露的情况报告监管机构,除非个人数据泄露不太可能会对自然人的权利和自由造成风险。如果数据泄露可能对自然人的权利和自由产生较高风险,数据控制者还应当立即将个人数据泄露的情况通知数据主体。我国个保法在参考和借鉴海外数据保护立法的基础上,亦通过明确的法律规定,对数据泄露通知作出具���������体的要求:(一一)明确了需要执行数据泄露通知义务的情况:明确了需要执行数据泄露通知义务的情况:个保法要求,个人信息处理者在发生或者可能发生(1)个人信息泄露;(2)个人信息被篡改;以及(3)个人信息丢失的情况下,需要履行数据泄露通知的义务。从目前的规定来看,触发数据泄露通知的情形主要在两大
90、点:中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 51/86 垦丁 W&W 国际法律团队 一是,只要是个人信息遭受了泄露等情形的,不管该等个人信息是否是敏感类型的个人信息、还是一般的个人信息,都可能需要启动到数据泄露通知制度;二是,明确了触发通知的具体场景,包括遭遇泄露、被篡改以及丢失的情况。个保法没有就具体遭遇泄露的个人信息的数量进行规定,可以看出,其不以“数量的多少”来判定是否需要启动数据泄露通知制度,而是以��������是否确实“发生了泄露、篡改和丢失”的实质情况,以及是否“对数据主体造成危害的”定性上作为启动数据泄露通知制度的主要判定基准。(二二)明确了履
91、行数据泄露通知义务的主体:明确了履行数据泄露通知义务的主体:与 GDPR 类似,在我国个保法的立法语境下,要求“个人信息处理者”承担数据泄露通知�����的义务,即,有权并能自主决定个人数据处理的目的、方式的企业、组织和个人都会成为履行数据泄露通知的义务主体。(三三)明确了数据泄露需要通知的对象:明确了数据泄露需要通知的对象:参考海外数据立法经验,我国个保法也对被通知的对象分为两类主体:(1)数据监管部门:履行个人信息保护职责的部门(2)数据主体本身:个人用户。但是,我国个保法没有像部分海外数据法律的规定一样,以数据泄露事件的数量与规模作为是否通知数据监管部门的判断基础,而是明确规定了,只要发生或可能发
92、生个人信息泄露、篡改、丢失的情况下,个人信息处理者都应当通知履行个人信息保护职责的监管部门。鉴于我�������国目前在个人信息监管方面仍处于多头监管的状态,在通知�����数据监管部门的要求及范围等方面,仍期待接下来的司法解释、政策指南给出更多的指导规定。关于是否需要通知到“个人信息主体”,我国个保法也提供了一定的豁免情形。如果个人信息处理者能够及时立即地采取措施,并能够有效避免信息泄露、篡改、丢失所造成的危害的话,则发生了数据泄露事件的个人信息处理者 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 52/86 垦丁 W&W 国际法律团队 可以不通知到个人信息主体。但请注意
93、,个保法对于“选择不通知”的豁免是规定了比较严格的条件的,既要求个人信息处理者������需要“立即”采取措施,也要求该等措施是能够“有效避免”对个人信息主体的危害的。同时,还对“选择不通知”的豁免给出了限制条件,即当履行个人信息保护职责的部门认为数据泄露事件可能造成危害的,则对应的数据监管部门有权要求个人信息处理者通知到个人。(四四)明确数据泄露通知中应该包含的内容:明确数据泄露通知中应该包含的内容:确认了是否启动数据泄露通知后,关于通知中应当包含哪些具体的内容,也是通知制度中的关键部分。我国个保法对此也作出了明确的规定,通知应当包括:(1)发生或者可能发生个人信息泄露、篡改、丢失的信息种类;(2)发生
94、的原因;(3)本事件可能造成的危害;(4)个人信息处理者采取的补救措施;�����(5)个人可以采取的减轻危害的措施;(6)个人信息处理者的联系方式 (五五)通知时间的限制要求:通知时间的限制要求:海外部分较发达地区的数据保护法律对数据泄露通知的形式、时间以及通知程序作出明确的规定。目前,我国个保法中,在通知的时间要求上并没有例如“72 小时”或者“两个工作日”的规定,而是采取“立即采取补救措施”+“及时通知”的要求。企业在发生数据泄露事件后,在执行通知的形式、时间和流程上的具体要求,也需要接下来进一步的司法解释、指南和标准来进行阐明,为企业提供更加具体的实操指示。中国个人信息保护法与海外多国/地区数据
95、合规法律企业合规要点比较报告 全球数据合规法律服务 53/86 垦丁 W&W 国际法律团队 二、二、海外主要个人信息保护法律海外主要个人信息保护������法律数据泄露通知要求数据泄露通知要求对比对比 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 54/86 垦丁 W&W 国际法律团队 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 55/86 垦丁 W&W 国际法律团队 总�������的来说总的来说 数据泄露也是网络安全最主要的威胁之一,有必要在数据泄露的情况下规定一套有效的管理通知制度与补救措施采取义务。各国在数据泄露通知制度方
96、面也逐渐通过立法来进行明确,包括在触发通知的情形、通知主体、通知对象、通知的内容、通知的形式和流程、通知的时间要求以及违反数据泄露通知义务的处罚制度上都有了比较具体和细化的规定。企业应当对如何执行和落实数据泄露通知制度进行较高程度的关注,避免因没有执行数据泄露通知或落实不到位而造成更为严重的危害结果。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 56/86 垦丁 W&W �������国际法律团队 第第八八部分:部分:数据保护官(数据保护官(DPO/个人信息保护负责个人信息保护负责人)任命要求人)任命要求 数据保护官,Data Protection Officer
97、(DPO),作为一个 GDPR 明确要求承担企业数据合规保护职责的职能角色,主要是指在适用的情况下所指定的帮助遵守 GDPR 规定的专业人员。GDPR 规定了必须指定数据保护官的情况和条件。与此相关的另一个角色是欧盟代表,它主要是指欧盟地区以外的客户在适用的情况下所指定的代表,负责处理 GDPR 规定的义务。两者定位与角色不一样,需要注意区分。对内,数据保护官作为组织治理架构中重要的角色,负责着各类与个人信息相关的合规工作;对外,数据合规官需要协助处理各种与个人信息保������护相关的事项,是数据保护责任框架中的利益相关人。一、一、我国个人信息保护法我国个人信息保护法个人信息保护负责人要求个人信息保护负
98、责人要求解读解读 在我国个保法的语境下,������个人信息保护负责人,是指全面统筹与实施企业关于个人信息保护的工作,并对个人信息安全负直接责任的专业人员,个人信息保护负责人是一个需要负责对个人信息处理活动以及采取的保护措施等行为进行监督的角色。本次个保法通过立法的形式,明确规定了应当指定个人信息保护负责人的具体情况。结合 2020 年 10 月 1 日生效的信息安全技术 个人信息安全规范(简称“35273-2020 规�������范”)中关于个人信息保护负责人的规定,我们进行扼要分析如下:(一一)需要设立个人信息保护负责人的情况需要设立个人信息保护负责人的情况 根据个保法的规定,当处理个人信息达到达到国家网信部门国
99、家网信部门规定数量规定数量的个人信息 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 57/86 垦丁 W&W 国际法律团队 处理者,应当指定应当指定个人信息保护负责人。而关于何谓达到“国家网信部门规定数量的个人信息处理者”,如前所述,可以������参考 2021 年 7 月份网信办发布的网络安全审查办法(修订草案征求意见稿),以及 2017 年网信办发布的个人信息和重要数据出境安全评估办法(征求意见稿)中的规定。而在 352732020 规范中,也有关于应对设立个人信息保护负责人的具体规定。根据该规范中的要求,当企业满足以下条件之一,则应设置专职的个人信息当企
100、业满足以下条件之一,则应设置专职的个人信息保护负责人和个人信息保护工作机构:保护负责人和个人信息保护工作机构:(1)主要业务涉及涉及个人信息处理,且��������从业人员规模大于大于 200 人;(2)或处理超过超过 100 万人的个人信息,或预计在 12 个月内处理超过 100 万人的个人信息;(3)或处理超过超过 10 万人的个人敏感信息敏感信息的;(二二)个人信息保护负责人的主要职责个人信息保护负责人的主要职责 我国个保法在关于个人信息保护负责人的主要职责方面以比较宏观的方式进行了表述,即其需要“负责对个人信息处理活动以及采取的保护措施等进行监督”,体现出的是,以期希望通过个人信息保护负责人的动态合规
101�����、动作,来推动体现出的是,以期希望通过个人信息保护负责人的动态合规动作,来推动静态的个人信息保护制度的执行与落实,并进行持续性的监督。静态的个人信息保护制度的执行与落实,并进行持续性的监督。同时,对于个人信息保护负责人的身份有明确的法律要求,即:(1)(1)公开身份;公开身份;明确要求了个人信息处理者应当将个人信������息保护负责人的联系方式进行公公开开(常见的通过隐私政策、隐私声明条款、公司官网等方式进行);以及 (2)(2)报送监管部门报送监管部门 明确要求个人信息处理者应将该负责个人信息保护的负责人员的姓名、联系方式等向履行个人信息保护职责的部门进行报送。中国个人信息保护法与海外多国/地区数据合规
102、法律企业合规要点比较报告 全球数据合规法律服务 58/86 垦丁 W&W 国际法律团队 而在 352732020 规范中,除了监督的职责外,我们还看到关于个人信息保护负责人更为具体的职责����内容要求,并采取了“包括但不限于”的宽泛性表达,以期更能满足后续不断发展的个人信息保护立法与执法的变化。对于个人信息保护负责人和个人信息保护工作机构的主要职责,我们主要归纳为:(1)统筹:全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;(2)计划的制定与落实:组织制定个人信息保护工作计划并督促落实;(3)政策+制度的创建与维护:制定、签发、实施、定期更新个人信息保护政策和相关规程;(4)权限管
103、理:建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;(5)DPIA:开展个人信息安全影响评估,提出个人信息保护的对策建议,督促整改安全隐患;(6)培训:组织开展个人信息安全培训;(7)事前检测:在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;(8)处理投诉:公布投诉、举报方式等信息并及时受理投诉举报;(9)合规审计:进行安全审计;������(10)监督与沟通:与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 59/86
104、 垦丁 W&W 国际法律团队 (三三)关于个人信息保护负责人的资质和角色定位要求关于个人信息保护负责人的资质和角色定位要求 个保法中暂未见对个人信息保护负责人在资质要求上的特殊规定,但从实践中来看,也只有具备熟悉个人信息保护法律法规、具备法律专业背景的,以及能真正理解和处理与个人信息保护、数据安全的专业人士才能够胜任。�������而在 352732020 规范中,则对个人信息保护负责人和个人信息保护工作机构提出了在资质和角色定位上的要求:(1)专业背景要求:由具有相关管理工作经历和个人信息保护专业知识的人员担任;(2)向管理层直接汇报 参与有关个人信息处理活动的重要决策直接向组织主要负责人汇报工作。(3)
105、保障独立履行职责 为其提供必要的资源,保障其独立履行职责。需要提醒注意的是,与欧盟 GDPR 中提及的“欧盟代表”类似,个保法中也有相似的规定,需要注意与“个人信息保护负责人”的角色进行区别。根据我国个保法中,对于适用中国个人信息保护的境外个人信息处理者,应当在境内设立专门的机构或通过指定境内代表,来负责处理个人信息保护相关的事务。同时,要求该等境外的个人信息处理者向履行个人信息����保护职责的部门报送关于境内的专门机构或境内指定代表的姓名及联系方式。对于可能落入我国个保法管辖范围的境外个人信息处理者,应注意做好设立中国境内机构或指定代表的准备及对应的报送工作。可见,指定和任命个人信息保护负责人,是
106、企业做好个人信息合规保护工作的有力保障,也是企业将一系列的数据保护制度进行有效落地的不可或缺的关键一环。从企业个人信息合规的角度来看,一方面,需要任命合格的个人信息负责人,来帮助企业更好地遵守个人信息保护法规的要求;另一方面,通过设立个人信息 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 60/86 垦丁 W&W 国际法律团队�������� 保护工作部门,来提高企业在个人信息风险上的抵御能力,例如通过设立数据保护委员会以协调各部门在个人信息保护与数据安全保护方面�������的工作开展,并在发生安全事件时可以进行及时快速的反馈与响应处理;同时,还在注意通过制度来确保个人信息保护
107、负责人的独立性和独立地位,以确保其可以独立地、专�������业地履行个人信息保护的职�������责,作出全面、准确且合理的决策。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 61/86 垦丁 W&W 国际法律团队 二、二、海外主要个人信息保护法律海外主要个人信息保护法律数据保护官要求数据保护官要求对比对比 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 62/86 垦丁 W&W 国际法律团队 总的来说总的来说 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 63/86 垦丁 W&W 国际法律
108、团队 除欧盟外,越来越多的国家和地区也不断通过立法要求其管辖下的公司企业必须设立数据保护官,虽然名称、职能、适用情况�������和条件等各有不同,但其都是通过设立专职的人员或专门的部门,来帮助和保证企业遵守属地国的数据保护法律的规定和要求来处理个人信息和相关的数据。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较����报告 全球数据合规法律服务 64/86 垦丁 W&W 国际法律团队 第第九九部分:部分:个人信息处理者的主要义务个人信息处理者的主要义务 个人信息处理者的主要义务,从企业的角度来看,可以扼要理解为,组织在处理个人信息时候,需要根据适用的数据保护法律的要求,提供和制定各项内部与外部的个
109、人信息保护与管理制度,以及安全技术保障措施,以便更好地遵守数据保护法律的规定,这也是各个企业在数据合规工作中特别重要的部分。一、一、我国个人信息保护法我国个人信息保护法个人信息处理者的主要义务个人信息处理者的主要义务解读解读 (一一)制定企业内部的管理制度和操作规程制定企业内部的管理制度和操作规程 �����我国个保法要求企业应当制定属于企业内部的个人信息保护与管理制度与操作规程。关于个人信息的合规制度体系的搭建,可以庞大而复杂,也可以麻雀虽小但五脏俱全。因此,企业应当结合自身的业务发展情况,特别是业务开展过程中所涉及到的个����人信息处理活动的具体情况,将个人信息保护的基本要求嵌入到业务流程中去,以制定出一
110、套适合公司特有业务场景的内部管理制度,并通过执行性强的操作程序,进一步清晰地明确和落实个人信息全生命周期中的各个合规细节和要求,以实现通过������制度和管理达到有效保障个人信息安全的目的。(二二)建立个人信息分级、分类的管理制度建立个人信息分级、分类的管理制度 从确保个人信息的安全角度考虑,我国个保法要求企业对个人信息进行分级、分类的管理,这是企业进行个人信息安全风险防范与管理的技术方案之一。我国网络安全法要求网络运营者应当采取数据分类、重要数据备份和加密等措施;数据安全法也以立法的形式确认了国家通过建立数据分类分级制 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法
111、律服务 65/86 垦丁 W&W 国际法律团队 度来实现对数据的保护。因此,企业应当结合不同的业务场景和数据本身的属性,就所收集到的个人信息制定个人信息的分级分类目录、技术标准����,并采取对应的安全管理措施。(三三)建立数据安全制度并采取安全技术措施建立数据安全制度并采取安全技术措施 同样也是从技术安全的角度着手,我国个保法要求企业采取相应的加密、去标识化等安全技术措施。在 35273-2020 规范中,也要求企业在传输和存储个人敏感信��������息时,应采用加密等安全措施的要求;以及提出了要求企业在收集个人信息后,应立即进行去标识化处理的建议。因此,一方面,企业需要根据其所处理的个人信息的属性、种类、敏感程
112、度等特征,采���取不同级别的加密措施,特别是涉及敏感信息的处理时候,应采用符合国家标准的密码管理技术;另一方面,在涉及需要通过界面进行个人信息展示的时候,或其他需要进行对外转让、披露的情况下,企业应该根据个人信息的性质,采取去标识化处理、匿名化处理的技术措施�����,以达到可以有效降低个人信息泄露风险的目的。与此同时,企业应当注意将不同类别的敏感信息进行分开存储,例如,企业需要将可用于恢复识别个人的信息,与去标识化后的信息进行分开存储;将个人生物识别信息应与个人身份信息分开存储等。(四四)建立个人信息权限管理制度,安全教育与培训制度建立个人信息权限管理制度,安全教育与培训制度 企业在进行个人信息保护工作的
113、过程中,如何对内部人员进行有效的管理,特别是对大量处理和接触用户个人信息的人员,是合规工作中非常重要的一环。我国个保法要求企业通过设立权限管理制度,合理确定内部人员对个人信息处理的操作权限,并定期对从业人员进行安全教育和个人信息合规培训。因此,企业应当对个人信息,特别是个人敏感信息的控制(如个人信息的访 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 66/86 垦丁 W&W 国际法律团队 问、查看、修改、删除、复制、销毁等操作行为),建立合理、有效的个人信息权限管理制度。例如:(1)按照业务流程的需求作为授权操作的触发条件;(2)对被授权访问个人信����息
114、的人员,建立最小授权的访问控制策略(使其只能访问职责所需的最小必要的个人信息);(3)对个人信息的重要操作设置内部审批流程;(4)对大量接触个人敏感信息的从业人员进行背景审查,签署保密协议;(5)对企业内部员工进行定期进行安全教育和个人信息合规培训,帮助员工,特别是从事个人信息处理岗位的相关人员熟悉,个人信息保护工作的处理原则和合法、合规地处理用户个人信息的方式。(五五)制定并落实个人信息安全事件应急机制制定并落实个人信息安全事件应急机制 我国个保法规����定,企业应当制定、并组织实施个人信息安全事件的应急预案�������,在安全事件发生后,企业应当根据应急预案采取如下措施,包括:(1)对个人信息安全事件进行记
115、录;(2)对个人信息安全事件可能造成的影响进行评估;(3)采取及时、必要、有效的措施对个人信息安全事件可能造成的影响进行有效的控制、及时止损;(4)根据国家网络安全事件应急预案等相关规定,对个人信息安全事件及时上报给监管部门等。在日常的企业经营中,企业也应注意对个人信息安全事件和应急预案进行演练,以保证在发生类似事件时候可以及时进行响应和处理。另外,关于个保法规定,当发生个人信息泄露事件后,企业应当履行个人信息泄露的通知和补救义务。关于此点,具体请见本������系列文章的第七部分:十国/地区数据保护法十大合规要点对比|#7 发生安全事件时数据泄露通知的要求 中国个人信息保�������护法与海外多国/地区数据合规法律
116、企业合规要点比较报告 全球����数据合规法律服务 67/86 垦丁 W&W 国际法律团队 (六六)任命个人信息保护负责人任命个人信息保护负责人 关于此点,具体请见本系列文章的第八部分:|#8 数据保护官(DPO/个人信息保护负责人)任命要求 (七七)定期定期进行合规审计进行合规审计 我国个保法对个人信息的处理活动和合规保护工作提出了定期开展合规审计的要求。因此,为了保证个人信息处理活动的持续合规性,企业应当建立定期的合规审计制度,并重点对个人信息����处理活动、个人信息保护政策、个人信息保护的管理制度与操作规程、技术安全措施等部分,进行有效的合规审计。(八八)进行事前风险评估与建立数据影响评估制度进行事前
117、风险评估与建立数据影响评估制度 关于此点,具体请见本系列文章的第六部分:十国/地区数据保护法十大合规要点对比|#6 数据影响评估(DPIA/PIA)要求。(九九)关于“守门人规则”关于“守门人规则”我国个保法就“提供基础型互联网平台服务、用户量�����巨大、业务复杂的重要互联网企业”提出了特殊的合规义务。这主要是因为平台型企业涉及到多种类型的个人信息处理者主体,且涉及了大量的用户个人信息的处理,因此,个保法对此类重要的互联网平台企业,赋予了要求其对平台内的产品或服�����务提供者进行管理的法律义务,俗称“守门人规则”。因此,对于涉及大量用户个人信息处理的头部互联网平台企业,应特别注意:(1)建立健全个人信息保
118、护合规制度体系,成立独立机构对个人信息保护情况进行监督,且该独立机构需要由例如独立董事、外部咨询机构、独立律所专业人员、外聘专家等外部独立人士组成。(2)遵循公开、公平、公正的原则,制定����合理的平台规则,对平台内的产品或服务提供者关于“处理个人信息的规范”和“保护个人信息的义务”进行明确。例如,要求平台内的服务提供者配备独立的隐私政策、提供足够的安全技术保护措施等。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 68/86 垦丁 W&W 国际法律团队 (3)发现平台内的产品或服务提供者出现严重违反法律、法规去处理个人信息的情况时,应对其采取必要的处罚措施
119、、并停止为其提供服务��������。(4)定期发布个人信息保护社会责任报告,接受社会监督。(十十)法律、行政法规规定的其他措施法律、行政法规规定的其他措施 最后,个保法采取了兜底条款,以向企业明确,企业还需要遵守除个保法以外的其他相关法律、行政法规的规定,以应对未来个人信息合规法律体系构建过程����中可能出现的各类新情况、新要求。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 69/86 垦丁 W&W 国际法律团队 二、二、海外主要个人信息保护法律海外主要个人信息保护法律个人信息处理者的基础义务扼要个人信息处理者的基础义务扼要对比对比 鉴于,在不同国家和地区的数据保护法律
120、中,个人信息处理者需要遵守的法律义务均有非常具体、细致的规定,对于特殊的情况或场景也可能会有特别的规定,且一些国家和地区的数据保护法律中,会对个人信息控制者与处理者(controller)的角色、责任和义务进行区分,考虑到本问题的复杂性及本文的篇幅问题,我们在下面的表格中,仅就企业在个人信息处理活动中,需要注意的部分基础义务进行扼要列示。中国个人信息保护法与海外多国������/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 70/86 垦丁 W&W 国际法律团队 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数������据合规法律服务 71/86 垦丁 W&W 国际法律团队
121、总的来说总的来说 大部分国家和地区的数据保护法律中,都会对个人信息处理者的基础法律义 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 72/86 垦丁 W&W 国际法律团队 务进行比较充分、全面的规定,并根据其自身的的特殊国情,提供对应的特别规定。对于出海企�������业而言,充分了解和认识适用国家的个人信息保护法律中关于个人信息处理者的基础义务和责任,是企业在个人信息处理活动中掌握合规要点的关键。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 73/86 垦丁 W&W 国际法律团队 第第十��������十部分:部分:数据保护监管机构与
122、违反数据保护法的处数据保护监管机构与违反数据保护法的处罚规定罚规定 数据保护监管机构,是指负责统筹数据保护工作、履行数据保护职责、对与个人信息与数据安全等有关事项进行监督、管理的负责部门。它有权对违反个人信息保护法律规定的数据处理活动进行调查、监督、采取措施、处理投诉/举报、对违法个人信息处理活动进行处罚等行为。一、一、我国个人信息保护法我国个人信息保护法数据保护监管机构和处罚规定数据保护监管机构和处罚规定解读解读 (一一)数据保护监管机构数据保护监管机构 1.1.明确了履行������数据保护职责的具体部门明确了履行数据保护职责的具体部门 首先,在本次个保法中,对履行我国个人信息保护职责的具体监管部门进
123、行了明确,主要包括:(1 1)中央层面:国家网信部门中央层面:国家网信部门 我国个保法明确了国家网信部门是负责统筹协调个人信息保护工作和相关监督管理工作的。可见,通过明确了中央网信办、国家网信办等国家网信部门的职能,更便于我国从统一的高度,建立一套集中、高效的个人信息保护监管体系。(2 2)中央层面�����:国务院有关部门中央层面:国务院有关部门 同时,明确了工业和信息化部、司法部、公安部、工商总局、中国人民银行等不同的国务院部门,在各自职权范围内,负责个人信息保护和监管工作,从而更好地照顾了不同行业、不同领域、不同部门在个人信息保护方面��������的差异性。(3 3)地方层面:县级以上地方人民政府有关部门地方层
124、面:县级以上地方人民政府有关部门 我国个保法,还从地方层面,明确了由县级以上地方人民政������府有关部 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 74/86 垦丁 W&W 国际法律团队 门,按照国家有关规定确定,履行个人信息保护和监督管理职责;从而更好地确保了个人信息保护工作������在地方层面得到更为有效的落实和保障。2.2.明确了明确了数据保护监管部门的具体职责数据保护监管部门的具体职责 我国个保法明确了履行个人信息保护职责的部门的基本职责,归纳而言,包括以下职务与责任:(1)教育:教育:开展个人信息保护的宣传教育;(2)指导:指导:对个人信息保护工作进行指导
125、;(3)监督:监督:就个���人信息保护工作进行监督;(4)接受投诉:接受投诉:接受与个人信息保护相关的投诉、举报;(5)处理举报:处理举报:对与个人信息保护相关的投诉、举报进行处理;(6)调查:调查:对违法的个人信息处理活动进行调查;(7)处理:处理:发现违法的个人信息处理活动必须按法律规定进行严格处理;(8)其他职责:法律、行政法规规定的其他职务与责任。3.3.将评估标准与认证体系纳入到个人信息保护的服务体系建设中将评估标准与认证体系纳入到个人信息保护的服务体系建设中 我国个保法通过专门条款,明确了中央层面的数据保护部门的�������特殊职责,即,从了前述规定的基本职责外,国家网信部门和国务院有关部门,还应
126、当:(1 1)制定个人信息保护的规则和标准:制定个人信息保护的规则和标准:中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 75/86 垦丁 W&W 国际法律团队 不仅需要制定个人信息保护的具体规则、标准;还需要针对新技术、新应用,制定专门的个人信息保护规则、标准(例如小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等);(2 2)支持认证技术:支持认证技术:对研究、开发和推������广应用安全、方便的电子身份认证技术进行支持,并推进网络身份认证公共服务的建设;(������3 3)支持个人信息保护评估、认证服务:支持个人信息保护评估、认证服务:推进个人信息保护社会
127、化服务体系的建设,并对有关机构开展个人信息保护评估、认证服务的工作给予支持;(4 4)完成投诉、举报机制完成投诉、举报机制 这一点需要结合我国个保法第六十一条来看,通过明确了个人信息保护投诉、举报工作机�����制来进一步完善与个人信息保护有关的检举机制。从投诉、举报主体来看,任何组织和个人都可以进行投诉、举报,而不管该主体是否与被投诉、举报的个人信息处理活动有关,这更有利于推动“个人信息保护,人人有责”的社会共同治理的氛围搭建。从接受投诉、举报处理的部门来看,则只要是收到投诉、举报的部门,不管是中央层面的、还是地方层面的,只要是履行个人信息保护职责的部门都必须进行受理。因此,对应的数据保护监管部门不仅
128、应当“公开接受投诉、举报的联系方式”“公开接受投诉、举报的联系方式”,还应当依法进行“及时“及时的处理的处理”,并将处理结果“告知”“告知”投诉人、举报人。4.4.明确数据保护部门可以采取的措施明确数据保护部�������门可以采取的措施 我国个保法明确了履行个人信息保护职责的部门在执法的过程中可以采取的措施,这些具体的措施包括:(1 1)询问:询问:有权对个人信息处理活动有关的当事人进行询问,例如负责公司 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 76/86 垦丁 W&W 国际法律团队 数据保护工作的负责人、高层管理人员、实施了侵犯个人信息行为的有关人员等;
129、(2 2)调查:调查:有权对与个人信息处理活动有关的情况展开具体的调查;(3 3)查阅:查阅:有权对当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料进行查阅;(4 4)复制:复制:有权对第(3)点提及的有关资料进行复制;(5 5)实施现场检查:实施现场检查:有权对涉嫌违法个人信息处理活动进行现场的检查与调查;这可能意味着可能会对企业整个个人信息全生命周期的各节点进行具体的调查;(6 6)检查设备、物品:检查设备、物品:有权检查与个人信息处理活动有关的设备、�������物品;(7 7)查封设备、物品:查封设备、物品:对有证据证明是违法个人信息处理活动的设备、物品,有权进行查封;(8 8)扣押设
130、备、物品:扣押设备、物品:对有证据证明是违法个人信息处理活动的设备、物品,有权进行扣押。我国个保法通�����过法律明确了履行个人信息保护的部门可以采取的具体措施,不仅为该等数据保护监管部门的执法行为提供了法律依据,明确了相关部门的职责范围,而且也帮助了被采取措施的行政相对人更好地了解数据保护监管部门的履责范围,在对有关部门进行有效监督的同时,亦应当予以协助、配合,������不得拒绝、阻挠。5.5.明确了个人信息保护的约谈制度明确了个人信息保护的约谈制度 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 77/86 垦丁 W&W 国际法律团队 我国个保法将“个人信息保护的约
131、谈制度”进行了法定化,关于“约谈”的主要触发条件包括:(1)发现个人信息处理活动存在较大风险;或(2)发生个人信息安全事件的;则,此时数据保护监管部门可以按照规定的权限和程序,对该个人信息处理者的法定代表人或者主要负责人进行约谈法定代表人或者主要负责人进行约谈。如果不进行约谈的,则也可以要求个���人信息处理者委托专业机构对其个人信息处理活动进行合规审计。而在完成约谈或完成合规审计后,该个人信息处理者应当按照要求采取采取对应的有效措施有效措施,对存在风险的个人信息处理活动或安全事件进行整改进行整改,从而达到有效消除个人信息隐患有效消除个人信息隐患的目的。如果过程中,还发现该等违法的个人信息处理活动是
132、涉嫌犯罪的,则数据保护监管部门应当及时移送公安机关进行依法处理。(二二)违反数据保护的处罚规定违反数据保护的处罚规定 1.1.明确了违反个人信息保护规定的法律责任明确了违反个人信息保护规定的法律责任 (1 1)行政责任行政责任������� 我国个保法借鉴了欧盟 GDPR 中 2000 万欧元或者是上一年度全球营收的 4%(两者取其高)的高额罚款规定,也对违反个保法规定处理个人信息,或者处理个人信息未履行个保法规定的个人信息保护义务的行为,设置了高额处罚规定,具体而言,处罚措施包括:处罚措施包括:(a a)责令改正责令改正 (b b)给予警告给予警告 (c c)没收违法所得没收违法所得 (d)对违法处理个人
133、信息的应用程序,责令暂停或者终止提供服务责令暂停或者终止提供服务;(e e)处以罚款:处以罚款:在拒不改正的情况下,可以处以罚款,就罚款金额来说,区分一般情 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 78/86 垦丁 W&W 国际法律团队 节和严重情节,具体而言,包括:维度维度 单位最高罚款单位最高罚款 直接负责的主管人员和其他直接负责的主管人员和其他直接责任人员最高罚款直接责任人员最高罚款 一般情节 100 万以下 1 万以上,10 万以下 严重情节严���重情节 罚款罚款 5 5000000 万以下或者上一年万以下或者上一年度营业额度营业额 5%5
134、%以下罚款以下罚款 10 万以上,100 万以下 附加责任附加责任 责令暂停暂停相关业务 禁止其在一定期限内担任禁止其在一定期限内担任相关企业的:董事、监事、高级管理人员和个人信息保护负责人 停业停业整顿 通报有关主管部门吊销吊销相关业务许可或者吊销营业执照 (2 2)民事责任民事责任 -明确了个人信息违法的过错推定������原则明确了个人信息违法的过错推定原则 这可能是作为个人信息处理者的企业、组织最值得关注的规定之一。我国个保法明确了个人信息民事侵权赔偿适用的是“过错推定原则”,这意味着“由于处理个人信息而侵害了个人信息权益并造成损害的,推定行为人有过错,如果行如果行为人为人不能证明自己没有过错的不
135、能证明自己没有过������错的,则则应当承担应当承担损害赔偿的损害赔偿的侵权责任侵权责任”。因此,对于作为个人信息处理者的企业、组织来说,过错推定原则的适用要求企业、组织在处理个人信息时候,需要高度、时刻注意如何证明自己是已经(a a)“严格制定了”“严格制定了”企业内部的个人信息保护制度;(b b)并并“严格地遵守和履行了”“严格地遵守和履行了”该等个人信息保护制度;(c c)并对该等个人信息的整体合规程进行了有效的“记录和留存“记录和留存证明证明”从而更好地完成了“自证合规+合规留痕”的整套合规动作。而对于损害赔偿损失的确定,则以“可证明损失或�����获益的,以具体损失或获“可证明损失或获益的,以具体损失或
136、获益承担赔偿责任;难�����以计算损失或获益的,根据实际情况确定”益承担赔偿责任;难以计算损失或获益的,根据实际情况确定”作为计算赔偿额的原则。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 79/86 垦丁 W&W 国际法律团队 (3 3)治安管理处罚责任与刑事责任治安管理处罚责任与刑事责任 我国个保法通过“违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任”的规定,明确就个人信息违法行为可能引发的治安管理处罚责任与刑事责任进行了明确的划分。(4 4)信用惩戒责任信用惩戒责任 本次个保法还特别规定了“对违反个人信息保护规
137、定的主体施以信信用惩戒制度”,明确了会将作为个人信息处理者的企业、组织的违反个人信息保护规定的违法行为,记入信用档案,并予以公示,以达到提高了个人信息违法成本,起到社会警示作用的目的。2.2.明确了国家机关不履行个人信息保护义务的法律责任明确了国家机关不履行个人信息保护义务的法律责任 国家机关不履行个保法关于个人信息保护义务的规定,需要承担对应的法律责任,包括:(1)由其上级机关或者履行个人信息保护职责的部门责令改正;(2)对直接负责的主管人员和其他直接责任人员依法给予�����处分;(3)履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。3.3.明确了个人
138、信息的公益诉讼制度明确了个人信息的������公益诉讼制度 公益诉讼制度,一般在侵害众多消费者合法权利等损害社会公共利益的情况下发生并提起。而本次个保法特别明确了与“侵犯个人信息”相关的公益诉讼制度。(1 1)触发条件:触发条件:可以提起个人信息公益诉讼的触发条件是:“违反个保法的规定”“违反个保法的规定”+“侵害“侵害众多个人的权益的行为”众多个人的权益的行为”,该等行为被认为是民事诉讼法中规定的“损害社会公共利益的行为”,因此可以提起个人信息公益诉讼。(2 2)起诉主体:起诉主体:中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 80/86 垦丁 W&W 国际法
139、律团队 (a)人民检察院;(b)法律规定的消费者组织;(c)由国家网信部门确定的组织。司法实践中,人民检察院和消费者保护协会为保护大多数消费者主体的公共利益,也经常作为公益诉讼的起诉主体,在接下来的个人信息保护中,也将可以作为公益起诉主体以更好地维护了大多数公众的个人信息主体权益。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 81/86 垦丁 W&W 国际法律团队 二、二、海外主要个人信息保护法律海外主要个人信息保护法律数据保�����护监管机构和处罚规定数据保护监管机构和处罚规定对比对比 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全
140、球数据合规法律服务 82/86 垦丁 W&W 国际法律团队 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 83/86 垦丁 W&W 国际法律团队 总的来说总的来�������说 已有较多国家成立了独立的数据保护执法机构,在各国的数据保护工作中,数据保护监管机构承担着非常重要的责任,是一国数据保护立法是否可以得到有效的推动、落实与执行的关键环节,在设有独立的数据保护监管机构的国家中,数据保护监管机构不仅可以围绕数据保护工作进行制度、政策、指南等规定;也可以对数据保护工作进行指导、监督;更可以对违法个人信息处理活动进行检查������、调查、采取措施、作出处罚,以从统一、集中的高
141、度构建一套有效的国家层面的 中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 84/86 垦丁 W&W 国际法律团队 个人信息保护的治理体系,从而更好地推动个人信息������保护的系统建设,保障每个公民的个人信息权利与权益。中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告 全球数据合规法律服务 85/86 垦丁 W&W 国际法律团队 本文作者:本文作者:王捷王捷 垦丁垦丁垦丁律所国际业务部负责人垦丁律所国际业务部负责人&创始人创始人,执业律师,联合国世界丝路论坛国际法律合作委员会专家,广东省法学会信息通讯法学研究会理事,白鲸出海法律硏究中心执行主
142、任,荷兰RuG 国际经济法与商法硕士,曾任职阿里巴巴大文娱集团,深耕海内外多条业务线,业务领深耕海内外多条业务线,业务领�����域覆盖国际浏览器、国际信息流、海外品牌营销、广告联盟、短视频、音乐互娱、应用分发、域覆盖国际浏览器、国际信息流、海外品牌营销、广告联盟、短视频、音乐互娱、应用分发、及各类创新与孵化业务与项目型法律工作及各类创新与孵化业务与项目型法律工作;专业能力模块包括产品风险管����控、业务流程搭产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理公司治理、投资项目管理等。近十年的科技型公司实务经验与中外律所从业背景,能更准确理解客户核心需求,快速响应并提供基础到战略的有效支持,并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。同时为出海互联网法律观察公众号主理人,合著互联网全球数据合规法律观察报告,并输出多篇专业互联网与数据合规文章,部分文章刊登于威科先行专业数据库中。
sgpjbg002
工作日 8:30 - 17:30
报告分类
