1. <rt id="wzabo"></rt>
  2. <tt id="wzabo"><noscript id="wzabo"><samp id="wzabo"></samp></noscript></tt>

    1. <tt id="wzabo"></tt>

      <tt id="wzabo"><noscript id="wzabo"><samp id="wzabo"></samp></noscript></tt>
      首頁 / 文章發布 / 君合法評 / 君合法評詳情

      《個人信息保護法》時代開啟——簡析對業務實踐的影響

      2020.10.22 董瀟

      第十三屆全國人大常委會第二十二次會議對《中華人民共和國個人信息保護法(草案)》(以下簡稱“《草案》”)進行了審議。2020年10月21日,《草案》全文在中國人大網公布,征求意見截止至2020年11月19日。


      從2012年全國人大常委會發布《關于加強網絡信息保護的決定》,從而這一年被稱為中國個人信息保護的元年開始,歷經八年,《草案》終于面世。其間,科技與實踐的變化帶來信息收集和利用方式巨變,各國采用具有差異但方向相似的路徑加強信息保護監管,特別是以歐盟GDPR為代表對商業實踐中個人信息處理方式開始嚴肅挑戰,在反壟斷、商業投資、電信服務等各相關領域產生數據相關的持續質疑和糾葛,而我國實踐之中亦由于法律法規不夠明確而帶來不少實踐的困惑與困難。此時《草案》的發布可以說在一定程度對這些變化和問題進行了回應。


      草案總的來說既包含了全球視野,也體現了中國的特色,平衡有序,為《個人信息保護法》的出臺打下了堅實的基礎。


      《草案》共八章七十條。下面希望和大家討論可能會直接影響業務實踐的幾方面內容。我們會在后續再和大家進行更全面的討論。


      第一,哪些主體和情形會需要遵守未來的《個人信息保護法》的規定。和目前《網絡安全法》類似,《草案》第三條第一款規定了屬地原則,而引起熱議的第三條第二款規定加入了一定程度的“屬人”原則。這一條的規定也體現了國際趨勢和一直以來監管的態度,例如體現在《個人信息出境安全評估辦法(征求意見稿)》第二十條對境外機構經營活動中通過互聯網等收集境內用戶個人信息的規制建議,以及近期的一些案例之中。同時這也確實體現了全球主要法域在個人信息保護立法的趨勢,一定程度上借鑒了GDPR的規定。當然,這一條通過后如何在實踐之中解釋和逐步的執行,特別是對于跨境交易和服務如何適用,相信也會帶來不少的疑問。個人信息和處理行為的定義文字上雖然較現有法規有一定調整,但似乎沒有實質性的變化。


      第二,處理個人信息需要遵守什么樣的基本規則。這一點最大的變化是雖然仍以“告知——同意”為主線,但也規定了另外五項處理個人信息的法定基礎,例如為訂立或者履行合同所必需、或履行法定職責或法定義務所必需等。在此基礎上,對同意的要求進行細化,強調“充分知情”、“自愿”、“明確作出意思表示”以及遵守其他另有規定的“單獨”或者“書面”同意的形式要求。這一點可以解決目前實踐中很多常見的情形下難以或者無法實際取得同意但是又需要信息且也比較合理的情形,或者這些相對合理的情形下取得同意以后擔心撤回同意的尷尬狀態,例如在勞動關系的建立和持續過程之中的信息收集等。另外,也可以在一定程度上對目前實踐之中過于依賴和濫用同意的情形通過更加嚴格的規制進行調整,強調同意的基本要素、不得不合理索取和可撤銷性。當然,建議的規定仍然會存在相當后續的解釋和適用難度。例如,何種情形可以視作單獨同意,何種情形可以視為緊急情況或公共利益等,均有進一步厘清之空間。


      第三,委托處理、分享和轉讓個人信息需要遵守什么樣的規則。首先,《草案》提出了“個人信息處理者”的定義。不同于GDPR之中關于控制者和處理者的區分,按照《草案》定義,“個人信息處理者”乃為自主決定處理目的、處理方式等個人信息處理事項的組織、個人,自然不包括第二十二條之中規定的信息處理的受托方,那么邏輯上可以看出第五章之中“個人數據處理者”的義務,例如內部治理要求、個人信息保護負責人的設置、記錄及信息泄露的通知義務等,并不當然適用于受托方。當然這樣的安排可以說是與我國《民法典》以及《網絡安全法》之中的規定一脈相承、邏輯相符的。而對于在實踐之中對于委托第三方進行數據處理的常見情形,就需要考慮相應的法律策略和安排,對于雙方的權利義務根據中國法律規定進行梳理和定義,不能當然去適用GDPR的思維定式。但是否在法律直接規定受托方的法律責任也值得思考。


      其次,對于向第三方提供個人信息的情形,《草案》作出了相對嚴格的規定。特別是,要求向個人告知的范圍包括第三方的身份、聯系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨同意。這一點將對于目前不少行業的實踐會帶來相對比較大的影響。當然這個問題在GDPR和CCPA的實施過程之中也同樣面臨,似乎暫時也并沒有形成一套完美有效的解決方案。


      另外,對于個人信息處理者因合并、分立等原因需要轉移個人信息的情形,《草案》允許通過告知的方式由接收方繼續履行義務,這一點和《公司法》之中對于合并、分立相關債權債務的承繼問題的規定相呼應。當然,是否仍需要評估由于分立、合并數據的轉移而對于個人的隱私保護的影響,以及對于業務資產并購重組而引起的數據轉移是否能夠適用,仍然值得進一步思考。


      第四,處理敏感個人信息需要遵守什么特殊規則。敏感個人信息的定義終于納入到法律層面并進行單獨的規制,要求具有“特定目的”、“充分的必要性”方可進行處理,需要向個人說明必要性和對個人的影響,以及若處理是基于個人同意的,應當取得個人的單獨同意。上述規定旨在加強對目前實踐之中于敏感個人信息收集和處理的監管,但上述規定如何理解、擬達到如何的監管效果,還希望進一步的厘清。


      第五,個人信息跨境應當遵守什么的規則。《草案》第一條即提出本法制定的目的之一即為“保障個人信息依法有序自由流動”,因此在第三章之中關于個人信息跨境的規則體現了相應的靈活性。對于大家關注的本地化的要求,第四十條在重述《網絡安全法》對于關鍵信息基礎設施運營者的要求,而增加了對處理個人信息達到國家網信部門規定數量的個人信息處理者的本地化和安全評估的要求。這樣一來,對于處理個人信息數量較大的企業,可能不會僅因為其處理的信息數量較大而需遵守關健信息基礎設施保護全面的要求,但仍需要進行數據本地化和出境的安全評估。若按照上述規定,則信息數量門檻的規定相當關鍵,在實務之中也會存在如何確定是否達到該等門檻的問題。另外,除需按照第四十條進行評估的情形外,提出了專業機構的保護認證、通過與境外接收方訂立合同、以及按照其他規定的方式可以視為具備條件。對于國際司法協助或者行政執法協助,提出專門批準的要求。也提出對境外組織、個人限制或者禁止個人信息提供清單的措施,以及對于其他國家和地區的反歧視措施。


      第六,個人信息主體的權利如何實現。基于現有的規定,《草案》明確規定的復制權、限制或拒絕處理權以及對于可以請求刪除權規定情形的擴展值得關注。這些條款的理解將直接影響后續產品和業務流程的設計。


      第七,個人信息處理者應進行哪些內部治理安排。《草案》第五十條的要求與現有《網絡安全法》規定比較類似亦有重合,如制定內部管理制度和操作規定、分級分類管理、采取安全技術措施、設置內部權限和培訓、制定安全應急預案等。新的要求包括對于處理個人信息達到國家網信部門規定數量的信息處理者設立個人信息保護負責人,境外機構應在境內設立專門機構或代表,定期審計,進行個人信息處理活動的風險評估。這幾條新增的要求將對企業的機構崗位設置、內部信息管理流程均產生直接的影響。


      第八,發生數據泄露事件時應如何處理。《草案》之中規定了個人信息處理者發現個人信息泄露的,應當立即采取補救措施,并通知履行個人信息保護職責的部門和個人,對個人的通知可以在“個人信息處理者采取措施能夠有效避免信息泄露造成損害”的情形下豁免。對應到目前實踐之中較為多發的信息泄露事件和處理的情況,有幾點仍值得思考。第一是如何定義“發現個人信息泄露的”情形,以及如果與《網絡安全法》及目前配套規則之中的網絡安全事件對接;第二是該條之中對于履行個人信息職責的部門亦采用了“通知”的表述,雖然該表述在一些法域采用,但在我國的法律語境下如何理解。另外,由于第六章之中規定國務院有關部門將在各自的職責范圍內負責個人信息保護和監督工作,則屆時出現相關事件時具體通知的政府部門將如何界定。


      以上為對《草案》中可能對實踐操作影響較大的條款的一些思考。草案之中不少新的變化和要求,例如履行個人信息保護職責的部門的規定、嚴格的法律責任規定、對國家機關的特殊規定等也非常值得關注。我們也會持續關注草案的后續進展。28日我們也會通過線上會議的方式與大家一起進一步的探討這些問題。

      君合是兩大國際律師協作組織Lex MundiMultilaw中唯一的中國律師事務所成員,同時還與亞歐主要國家最優秀的一些律師事務所建立Best Friends協作伙伴關系。通過這些協作組織和伙伴,我們的優質服務得以延伸至幾乎世界每一個角落。
      234彩票 www.besthoalawyer.com:胶州市| www.kyotolive.com:镇原县| www.z5989.com:江永县| www.carakesehatan.com:南充市| www.chenxuan88.com:镇巴县| www.gutbrodpackaging.com:施秉县| www.adonis-danieletto.com:平凉市| www.gythe.cn:丰顺县| www.vcmarienkirchen.com:南丰县| www.pqwhm.com:南华县| www.freemovieswatch.org:成都市| www.69k96.com:永宁县| www.la-chapelle.net:南阳市| www.eradio66.com:体育| www.gqsh99.com:区。| www.fzv0.com:合阳县| www.whatssparkling.com:彰化市| www.vip6778.com:哈尔滨市| www.idcmk.com:略阳县| www.streetpass.org:河津市| www.cbearings.com:平凉市| www.allsignsbycos.com:沁水县| www.jsd-iap.com:娱乐| www.4sqsu.com:靖州| www.youthsportsfinder.com:琼中| www.ddbsw.com:资兴市| www.tyrzdb.com:兰溪市| www.coralgablesrealtor.com:马公市| www.pstee.com:安溪县| www.cxpfx.cn:香河县| www.novowoodworks.com:乡城县| www.syyunshengs.com:大同县| www.wewworld.com:南城县| www.sgiphone.com:海丰县| www.tjshuxin.com:门源| www.zl1234.com:松潘县| www.philjohannes.com:图木舒克市| www.ebuygift.com:繁昌县| www.farukfunclub.com:光泽县| www.abgoonfelezgroup.com:临城县| www.n2568.com:宜兰市| www.cp7665.com:塔城市| www.agen66.com:阿克陶县| www.dcbaowencp.com:南宫市| www.huidenhd.com:灵武市| www.ddhsyl.com:天峨县| www.szqtouch.com:肇东市| www.lalshahbaz.com:峨山| www.jtjdg.cn:阿巴嘎旗| www.esqqw.com:眉山市| www.2323job.com:汨罗市| www.kkaa99.com:普兰店市| www.cp2939.com:万盛区| www.how2scuba.com:屯留县| www.g9838.com:南丰县| www.tvhmoob.com:城固县| www.service-moto.net:漯河市| www.beroaf.com:铜山县| www.postcanal.com:洞头县| www.avexi.cn:吉安县| www.fm556.com:章丘市| www.marcusminge.com:瑞金市| www.convites-casamento.com:镇远县| www.debydebo.com:石屏县| www.bihanorantiqha.com:车致| www.hg58345.com:景泰县| www.xbcncp.com:和田市| www.aoneproduct.com:兴山县| www.sazedejar.com:肃宁县| www.knightsvisual.com:教育| www.diendankientruc.net:云浮市| www.pinkycandylens.com:桦南县| www.snrtyre.com:宁阳县| www.gzzhaojiabg.com:宣城市| www.vsassociatesbiz.com:兴义市| www.giteaux5lucarnes.com:鹰潭市| www.jhgkip.com:观塘区| www.le-bon-debarras.com:婺源县| www.ffgrx.cn:原阳县| www.starolympus.com:潞西市| www.iamreviewing.com:黄陵县| www.phoneitipad.com:东乌珠穆沁旗| www.tgase.com:秦皇岛市| www.valentinesday-poems.com:长治县|