《中华人民共和国个人信息保护法》
(以下简称“《个保法》”)
中国首部专门规范个人信息保护的法律
“千呼万唤”正式诞生。
数字化社会的重要法律版块终补全,
对公民的个人信息权益保护
与各组织的数据隐私合规
都将产生直接和深远的影响。
近年来,个人信息保护立法在世界范围内如火如荼地展开,目前全球已经有超过128个国家通过立法保护公民的个人信息和隐私。其中,以欧盟《通用数据保护条例》(GDPR),美国加利福尼亚州隐私保护法(CCPA&CPRA),以及中国刚刚出台的《个人信息保护法》为最具有影响力的法律文本。
《个保法》的发布和实施,从个人隐私信息保护层面,不论是对个人还是企业,甚至于各种类型的组织都有非常重大的影响和深远的意义。Intertek澳门精准20码数据安全保护领域、信息安全管理领域的技术专家们将陆续解读《个保法》。此为专题系列首篇,关注法规重点内容及企业合规应对。
重点关注
《个保法》将开启,我国个人信息保护新篇章,以下内容需重点关注:
1. 管辖范围
《个保法》第三条规定:
在中华人民共和国境内处理自然人个人信息的活动,适用本法。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。
Intertek解读
《个保法》确定了境内处理个人信息的活动和在境外但向境内自然人提供产品或服务、或分析评估境内自然人或法律行政法规规定的情形都在《个保法》的管辖范围之内。这里需要注意的是同GDPR一样,不仅仅只能关注境内处理数据的活动,还需要关注境外处理个人信息的活动。
2. 个人信息的定义
《个保法》第四条:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
Intertek解读
此处《个保法》并没有举例说明或更加进一步明确个人信息,意味着只要是已识别或者可识别自然人的相关信息均为个人信息,例如,姓名、住址、身份证号甚至宗教信仰、血型、人脸信息等,范围覆盖非常广泛。
3. 处理活动
《个保法》明确了个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
Intertek解读
数据处理活动到底是什么活动?此处注意“删除”活动,此活动往往被自然人所忽视或被信息处理者(或委托者)所利用。在《个保法》的第47条,明确了个人有权请求删除的情形,例如当我们删除一个手机APP应用的时候,该APP提供商则需要在其服务器上删除我们的个人信息,并不得保留,个人也有权请求删除。
4. 角色
《个保法》中涉及个人信息的三种角色分别为个人信息处理者、委托者和自然人,类似于GDPR中的数据控制者、数据处理者和数据主体。
Intertek解读
《个保法》中涉及个人信息的三种角色分别为个人信息处理者、委托者和自然人,类似于GDPR中的数据控制者、数据处理者和数据主体。
5. 立法目标
《个保法》立法目标是:保护个人信息权益,规范个人信息处理活动,促进个人新消息合理利用。
6. 由国家网信部门 履行个人信息保护职责的部门
《个保法》第60条规定:国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
7. 法律责任
应对
新法即将正式实施,组织在业务运营和商务活动中,如何合规规范使用个人信息数据?
《个保法》从法律条款、要求层面约束了企业,而非指导企业如何去做。因此企业在考虑合规和合理使用个人信息数据时,可以参考相关的行业标准、国际标准,例如ISO于2019年发布的隐私信息管理体系(ISO/IEC 27701:2019)。
该体系在著名的ISO/IEC 27001信息安全管理体系基础上进行扩展,特别强调如何进行个人信息隐私保护的管理。组织可参考此类体系标准,形成自有的企业运行制度、作业指导文件,以符合法律法规的要求。
Intertek将持续关注《个保法》出台后的执法趋势,并进行相应解读,为企业合规提供更加有效的帮助。《个保法》专题系列,后续将带你深入了解个保法的框架、个保法与GDPR的比较、从隐私信息管理体系规划实现个保法合规等,敬请关注。
想继续了解和学习企业IT管理标准化
扫描二维码订阅天祥信息安全相关资讯,即可加入Intertek信息安全社区平台,国内外标准一手掌握。更有不定期信息安全资料包更新,免费研讨会门票、培训优惠等信息。