核心提示 11月1日,《中华人民共和国个人信息保护法》正式施行,明确了个人信息和敏感个人信息的处理规则,完善个人信息保护投诉、举报工作机制,从严惩治违法行为,全方位保护个人信息安全。电网企业在为千家万户提供服务的过程中,需要处理大量个人信息。应从内外两方面着手落实个人信息保护法相关要求,对内深化个人信息保护的组织、机制和流程建设;对外明确并落实个人信息的处理规则,规范个人信息处理者的数据处理行为。
这是我国首部针对个人信息保护的专门法律
《中华人民共和国个人信息保护法》(以下简称个人信息保护法)于今年8月经十三届全国人大常委会第三十次会议表决通过,11月1日生效实施。个人信息保护法共8章74条,是我国首部针对个人信息保护的专门法律。
个人信息保护法聚焦随意收集、违法获取、过度使用、非法买卖个人信息等突出问题和人民群众的重大关切,通过立法建立权责明确、保护有效、利用规范的制度规则,旨在解决利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全的问题,在保障个人信息权益的基础上,促进信息数据依法合理有效利用,推动数字经济持续健康发展。
个人信息保护法主要有哪些内容
●进一步明确个人信息处理的合法性基础
个人信息保护法确立了“告知-同意”这一个人信息处理的核心规则——除非法律法规另有规定,取得个人同意方可处理个人信息。告知是同意的前提,个人信息处理者在处理个人信息前,应当告知个人信息的处理目的和处理方式、处理的个人信息种类、个人行使权利的方式和程序等事项。
个人信息保护法延续民法典的规定,扩展了“同意”以外个人信息处理的合法性基础,将订立或履行合同所必需、保护自然人的重大利益以及公共利益等纳入个人信息处理合法基础的范围。
●进一步增强对个人信息主体权益的保护
个人信息保护法第四章规定了个人在个人信息处理中的权利,包括享有知情权、决定权、查阅权、复制权,在个人信息不准确和不完整情况下的更正权和补充权,以及符合特定条件的删除权。
个人信息保护法其他章节也体现了对个人信息主体权益的保护,包括撤回同意的权利、自动化决策下个人信息主体的权利,以及死者的个人信息权益。基于个人同意处理个人信息的,个人有权撤回其同意。通过自动化决策方式作出对个人权益有重大影响的决定时,个人信息主体有权要求个人信息处理者予以说明,并且有权拒绝仅通过自动化决策方式作出的决定。同时,个人信息处理者还应当同时提供不针对其个人特征的选项,或者向个人提供拒绝自动化决策的方式。本法规定了死者的个人信息权益,在自然人死亡后,其个人信息权利由其近亲属行使。
●明确个人信息的出境规则
个人信息保护法明确一般情况和特殊情况下的个人信息出境规则。个人信息处理者因业务等需要,确实需要向境外提供个人信息的,要进行个人信息保护认证,与境外接收方订立合同,或符合法律、行政法规、国家网信部门规定的其他条件方可出境。特殊情况,即关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估。
本法通过出口管制和对等反制措施进行个人信息出境管理,并严格禁止未经批准向外国司法或者执法机构提供个人信息。
●细化个人信息处理者企业内部管理义务
个人信息保护法要求个人信息处理者采取措施确保个人信息处理活动符合法律、行政法规的规定,防止未经授权的访问以及个人信息的泄露,包括制定内部管理制度和操作规程,对个人信息实行分类管理,采取相应的加密、去标识化等安全技术措施,合理确定个人信息处理的操作权限并定期对从业人员进行安全教育和培训等。针对用户数量巨大、业务类型复杂的基础性互联网平台,本法提出了新的义务要求,包括成立由外部成员组成的独立机构,监督个人信息处理活动等。
个人信息保护法规定,个人信息处理者应当按要求设置个人信息保护负责人,公开负责人的联系方式并向个人信息保护部门报送;应定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。同时,个人信息处理者应在开展处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、提供个人信息、公开个人信息以及向境外提供个人信息等对个人权益有重大影响的个人信息处理活动前,进行个人信息保护影响评估。
应从内外两方面着手,规范处理个人信息
国家电网有限公司作为关系国家能源安全、国民经济命脉的国有重点骨干企业,为千家万户提供服务的过程中要处理大量个人信息。应从内外两方面着手落实个人信息保护法相关要求,对内强化内功,深化公司个人信息保护的组织、机制和流程建设;对外明确并落实个人信息的处理规则,规范个人信息处理者的数据处理行为。
●深化企业内部的个人信息保护组织、机制、流程建设
一是细化完善个人信息内部安全管理制度。建立内部管理制度和操作规程,至少覆盖个人信息收集、存储、使用、加工、传输、提供、公开等个人信息处理全生命周期流程;参照《电信和互联网服务用户个人信息保护分级指南》等规定对个人信息进行分类管理。根据个人信息分类的结果,采取不同的安全技术措施,对敏感程度较高的个人信息采取更严格的安全技术措施,以降低可能面临的风险;内部操作权限配置应符合最小授权的访问控制策略,使被授权访问个人信息的人员只能访问职责所需的最小必要的个人信息,且仅具备完成职责所需的最少的数据操作权限;定期开展从业人员安全教育和培训,同时按要求设置个人信息保护负责人。
二是制定并组织实施个人信息安全事件应急预案。个人信息保护法明确将“制定并组织实施个人信息安全事件应急预案”上升为个人信息处理者的义务。除制定并组织实施应急预案外,应参照《信息安全技术个人信息安全规范》第10条的要求,定期组织内部人员开展相关应急响应培训和应急演练,促使相关人员更好地掌握应急处置时的岗位职责和应急处置策略、规程。
三是针对对个人权益有重大影响的个人信息处理活动开展个人信息保护影响评估,并定期对其处理个人信息遵守法律、行政法规的情况开展合规审计。个人信息保护影响评估报告和处理情况记录应至少保存三年。
四是做好证据留痕以防范“过错推定”责任。个人信息保护法规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。应对个人信息处理活动以及履行个人信息保护相关工作做好工作记录及存档,防范因不能举证而承担相关责任。
●明确个人信息的处理规则,规范个人信息处理者的数据处理活动
应落实个人信息处理活动的合法基础,强化告知同意义务,确保各项处理个人信息的场景均具备合法基础。除法律、行政法规另有规定的,处理个人信息应获得个人的同意,并采取显著方式、清晰易懂的语言向个人告知个人信息处理规则。在必要的情况下,处理个人信息要获得个人单独或书面的同意。
应规范收集、存储、删除等各环节的个人信息处理活动。除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。应结合业务目的确定个人信息的保存期限,按法律法规期限进行存储。
谨慎对待个人信息出境。关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当坚持个人信息存储在中国境内的原则。确需向境外提供个人信息时,仅“通过国家网信部门组织的安全评估”进行信息出境。
(作者单位:国家电网有限公司大数据中心)
评论