< 返回文章列表

《个人信息保护法》出台后对数据安全的十大影响

  作者:王艺 陈文昊

  来源:北京植德律师事务所

  引言

  2020年10月21日,《中华人民共和国个人信息保护法(草案)》正式公开,向全社会公开征求意见。2021年4月26日,第十三届全国人大常委会第二十八次会议对《中华人民共和国个人信息保护法(草案二次审议稿)》进行了审议。2021年8月20日,第十三届全国人大常委会第三十次会议审议通过《中华人民共和国个人信息保护法》(简称《个保法》),并将于2021年11月1日起施行。

  作为与《网络安全法》、《数据安全法》并行的三大数据法顶梁柱之一的《个人信息保护法》,千呼万唤终于出台。数据泄露是损害个人信息的重大事件,该法出台后,对所有拥有大量数据的企业,以及从事数据安全的企业,我们认为影响至少有十个方面,我们逐一阐述。

  第一:立法目的彰显数据安全的重要性

  根据《个保法》第一条规定,“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”其中保护个人信息权益作为首要立法目的,可见数据安全的重要性。而《个保法》全文,都彰显了对个人信息权利的明确、个人信息多场景下的保护以及对于个人信息处理者处理数据的要求、义务和责任。

  第二:数据安全保护的管辖范畴广阔,不限于境内

  根据《个保法》第三条、第四十二条的规定,可以看出,个人信息作为数据安全的重要保护对象,我国法律不仅保护在境内处理的个人信息,而且在境外处理我国境内个人信息,以及在境外侵犯我国公民个人信息权益,均受《个保法》的管辖。这一点和我国《数据安全法》保持了一致。《数据安全法》第二条规定,“在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。”

  第三:个人信息处理者应履行必要措施的数据安全保障义务以及其他基本法定义务

  根据《个保法》第九条、第二十七条的规定,履行必要措施的数据安全保障义务,不管是数据处理者,还是个人信息处理者,均为法定义务。只是这里的必要措施如何理解,成为未来个人信息处理者避免行政处罚、降低自身民事赔偿责任,甚至避免刑事责任的关键之一。建议从个人信息处理者所在行业、相关处理个人信息的环节以及配套的安全保障措施、技术措施,而非一刀切或者固化的理解这里的“必要措施”。数据安全保障义务也可以理解为个人信息处理者基于自身的定位、商业模式,按照法律法规和国标、行标的要求,做到勤勉尽责,履行一定程度的注意义务。

  除此之外,《个保法》第五十一条,也明确了其他个人信息处理者的基本法定义务:1、制定内部管理制度和操作规程;2、对个人信息实行分类管理;3、采取相应的加密、去标识化等安全技术措施;4、合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;5、制定并组织实施个人信息安全事件应急预案。

  第四:因为数据泄露或者数据安全事故,个人信息处理者面临多种民事诉讼风险,举证责任加重

  1. 多个个人信息处理者可能面临共同承担民事赔偿责任的风险,需要明确各方法律主体地位和数据安全义务

  因为个人信息处理的链条可能很长,多个个人信息处理者彼此传输个人信息、共享个人信息比较常见,如果因为一方泄露数据或者双方处理不当,导致数据泄露,按照《个保法》第二十条的规定,个人信息处理者共同处理个人信息时侵害个人信息权益的,应当向个人信息主体承担连带责任。所谓连带责任,一般是指,在共同处理个人信息的情形下,个人信息主体可以向任何一个个人信息处理者主张赔偿责任,而该个人信息处理者如果承担了所有个人信息处理者的责任,可以向其他个人信息处理者追偿。这也就是变相提高了个人信息处理者在数据安全方面的注意义务,一方面要加强对合作的个人信息处理者的数据安全能力评估与合规尽职调查,一方面还要做好协议的约定,明确各方的权利义务。当然最重要的是明确各方的法律地位和法律主体性质,到底是共同处理,还是委托处理,将存在本质的差别。从该条来看,“共同处理”的含义应该是共同决定作为前提,即双方都可以共同决定个人信息的处理目的和方式,如是委托处理,对于受托者来说,其并不能决定个人信息的处理目的和方式。为此,实务中,未来委托处理协议可能会比个人信息处理协议更为常见,这也是明确各方主体地位,避免受托者在不对等的前提下,不必要的提高自身数据安全责任。

  2. 个人信息处理者需要提前做好数据安全保护的证据保存工作

  根据《个保法》第六十九条的规定可以看出,个人信息主体不需要证明个人信息处理者存在过错,而是推定个人信息处理者有过错。如果个人信息处理者意图免责,就需要举证自己没有过错。而证据来自于本解读提到的多个方面,如相关法定义务履行、安全评估、个人信息安全影响评估、合规审计与尽职调查等等。这一要求,需要个人信息处理者注意自身证据符合诉讼法上的三性,即真实性、合法性和关联性。其中真实性较难证明,为此最好寻求第三方认证,否则面临存在篡改证据,证据效力不被司法认可的风险。

  3. 公益诉讼未来将是弥补个人信息主体怠于起诉或者证据不足前提下的补充手段

  根据《个保法》第七十条的规定,“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”而由最高检察院发布并于2021年7月1日实施的《公益诉讼办案规则》,也进一步确保了该条款的落实。未来,如人民检察院发出公告后,无适格主体起诉个人信息处理者,或者虽然起诉,但是无法保护公共利益的,则人民检察院将启动公益诉讼的程序。个人信息处理者面临个人信息主体、人民检察院的多重追责风险。

  第五:敏感个人信息的保护,被提高到新的高度

  敏感个人信息作为数据安全中最重要的数据类型之一,在《个保法》中明确将不满十四周岁未成年人的个人信息纳入其中。根据《个保法》第二十八条的规定,对于敏感个人信息的保护,需要遵从如下原则和措施:

  ①

  处理目的需要特定;所谓特定,就是非常具体和指向性非常明确的用途;

  ②

  处理的必要性,要非常充分;此处强调充分,就是如果不处理,就无法运作无法运行,无法实现基本的商业目标;

  ③

  需要采取严格保护措施;这是处理个人敏感信息的前提。纵观《个保法》只有在该条款中强调了“严格”二字;

  ④

  获得单独同意。所谓单独,一般是需要弹框或者获得专门的同意,与此相对的是概括同意或者一揽子同意;

  ⑤

  《个保法》第十七条第一款告知内容外,还需要告知处理敏感个人信息的必要性和对个人权益的影响;

  ⑥

  其他规定。

  敏感个人信息的数据安全,需要确保做到上述原则和措施,否则面临法律风险和责任。

  第六:三大安全机制是确保数据安全的重要手段,也是在重大场景下处理数据的前置安排、甚至是法定义务险

  (一)安全评估机制

  根据《个保法》第三十六条、第三十八条、以及第四十条的规定,《个保法》全文在这三个条款处提到了安全评估。场景有三:

  ①

  国家机关处理的个人信息向境外提供的场景;

  ②

  个人信息处理者因业务等需要,需要向境外提供个人信息;

  ③

  关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,将境内收集和产生的个人信息向境外提供的。

  上述三大场景中,只有场景一是刚需,法定义务,不可替代。而场景二和场景三,均存在例外和替代情形。不过结合个人信息本身的性质类型,可能也存在行业监管主管部门要求必须经过批准才可以出境的情形。例如《人类遗传资源管理暂行办法》中提到的人类遗传资源(指含有人体基因组、基因及其产物的器官、组织、细胞、血液、制备物、重组脱氧核糖核酸(DNA)构建体等遗传材料及相关的信息资料。)至于具体安全评估的主体、评估的内容,从现有《个保法》并未有具体要求。但是我们理解既可以处理数据的主体自身进行安全评估,也可以委托第三方开展。评估内容,可以参考相关国标、行标的要求。

  (二)个人信息保护影响评估机制

  而个人信息保护影响评估,根据《个保法》第五十五条是个人信息处理者事前完成的必备动作,场景有五:1、处理敏感个人信息;2、利用个人信息进行自动化决策;3、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;4、向境外提供个人信息;5、其他对个人权益有重大影响的个人信息处理活动。这五类中,第四类和安全评估重叠。

  相比安全评估内容的模糊,个人信息保护影响评估的内容更加明确,具体见《个保法》第五十六条,即:1、个人信息的处理目的、处理方式等是否合法、正当、必要;2、对个人权益的影响及安全风险;3、所采取的保护措施是否合法、有效并与风险程度相适应。

  (三)合规审计机制

  合规审计则出现在《个保法》第五十四条,规定较为简单,具体要结合其他配套规则完成,一般上市公司每年都要完成对应的合规审计工作。

  第七:为了配合履行数据安全的义务,需要优化和完善升级自身组织架构,尤其是大型互联网公司

  根据《个保法》第五十二条以及第五十八条的规定,可以看出,拥有大量个人信息的企业,应指定专门的个人信息保护负责人。《网络安全法》、《数据安全法》都有类似要求,而至于网络安全负责人、数据安全负责人、个人信息保护负责人三个职位分别如何设置、是否可以兼任,目前法规尚未明确规定,未来还有待监管机关给出具体的指导性意见。无论如何,企业都应结合自身组织架构以及业务与产品,专门任命相应职位。而对于一些重要互联网平台,则需要建立独立机构履行对自身个人信息保护的监督义务。该独立机制,要由外部成员组成,不可以是公司内部人士。具体还有待配套规则进行明确。

  第八:个人信息处理者要履行数据泄露后的法定义务

  根据《个保法》第五十七条的规定,“ 发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;(三)个人信息处理者的联系方式。个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。”

  这一条和数据安全密切相关。实务中,企业如发生了个人信息的泄露、丢失,需要履行两大法定义务:第一是采取补救措施;第二是向监管部门和个人信息主体进行通知。如果措施得当,没有造成对个人信息主体的危害,可以不通知个人,但是一定要通知监管部门。

  第九:数据安全行政执法,以及配套的行政处罚措施,体现监管对数据安全的重视程度和促进数字经济,遏制非法买卖个人信息现象的决心

  根据《个保法》第六十三条的规定、第六十四条的规定,以及第六十六条的规定,“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,…有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款…”     从上述规定,可以看出,我国针对数据安全,未来可以采取的行政执法措施中,比较有威慑力的是现场检查、对相关设备进行查封或者扣押。而在处罚上,5000万元或者上一年暗度营业额百分之五以下罚款,是本法最有威慑力的行政处罚措施。值得所有企业关注和重视。情节严重的标准虽然并不清楚,但是未来相关执法措施、自由裁量标准会越来越明确。为此针对大量个人信息泄露,纳入情节严重范畴,应没有太大问题。

  第十:数据安全的工作会逐步优化、细化,配套措施会逐步完善

  根据《个保法》第六十二条的规定,“国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:(一)制定个人信息保护具体规则、标准;(二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;(三)支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;(四)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;(五)完善个人信息保护投诉、举报工作机制。”从上述规定可知,未来我国监管部门在数据安全保护方面,会有更多的配套规则出台,相关基础设施会更加坚强,相关评估认证服务也会跟上。

  综上,我们从上述十个方面,阐述了我国《个保法》对企业数据安全的影响,因为《个保法》2021年11月1日实施,距离实施日期时间很近。在此之前,《数据安全法》将于2021年9月1日实施,对于企业来说,提高数据安全的保护认识,做好数据合规,刻不容缓。建议企业从以下几个大的方面着手准备:

  ①

  启动数据安全整改领导层会议,任命整改负责人、数据安全管理负责人,建立数据安全监督委员会,明确其职责范围,包括但不限于负责牵头定制数据安全管理制度,指导数据安全管理责任部门、协调个相关部门开展数据保护工作,监督管理制度和措施的执行落实情况,提升内部数据安全治理能力;

  ②

  落实后续个人信息和数据整改工作的时间表;

  ③

  做好差距分析。建立个人信息保护和数据安全保护对照清单,进行自查,并做好差距分析;

  ④

  建立数据安全审计制度,明确数据安全审计工作牵头部门和相关执行部门,审计目的、审计对象、审计内容(异常操作的定义)、审计操作规程、审计频度、审计结果规范、审计问题整改跟踪等内容;

  ⑤

  完善内控。在数据安全义务清单建立的基础上,完善自身制度清单和建立数据安全保护指引;建立企业内部分类分级管理制度、数据访问权限管理制度、数据生命周期管理制度、数据合作方管理制度、数据安全响应制度等相关安全管理制度;

  ⑥

  应针对企业整体数据安全保护水平,每年开展数据安全合规性评估,评估内容包括但不限于数据安全风险情况、使用情况、保障措施配备情况与完善程度、合作方数据安全保护水平;

  ⑦

  结合自身业务流和数据流,并对外部合作第三方展开数据合规尽职调查,完善相关协议文本,明确各方权利义务;建立合作方数据安全管理制度,明确合作方数据安全管理的监督部门和执行配合部门,明确不同合作类型的数据安全保护方式和责任落实要求;

  ⑧

  建立数据安全教育培训制度,针对数据安全管理相关岗位定制相应的培训计划,并对培训计划定期审核和更新。每年至少展开一次数据安全管理培训,覆盖数据安全岗位人员名单的全体人员;

  ⑨

  制定数据安全事件应急响应预案,充分考虑企业涉及的给类数据安全事件业务场景,包括但不限于数据泄露(丢失)、数据滥用、数据被篡改、数据被损毁、数据违规使用等;

  ⑩

  提供面向用户服务的组织机构,应建立用户举报投诉处理机制,明确举报投诉处理的部门和人员、数据安全投诉类型和相关处理流程、要求等。

  (声明:本文系作者授权新浪财经转载,文章仅代表作者观点,不代表新浪财经立场。)

< 返回文章列表 关键词: 个人信息保护法 数据安全

媒体伙伴