还剩16页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
学习2篇《个人信息保护法》心得体会《个人信息保护法》11月1日起正式施行本法共八章七十四条,明确了个人信息和敏感个人信息的处理规则,完善个人信息保护投诉、举报工作机制,从严惩治违法行为,全方位保护你的信息安全任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;个人信息处理者利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇;提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务
一、以知情同意为核心构建自然人权利体系之所以说个保法具有里程碑意义,是因为个保法首次以法律形式明确了个人在信息数据领域的权利总的来看,个保法吸收了GDPR的立法经验,以知情权和控制权为核心构建了我国的个人权利体系自第44条到第50条,分别规定了知情权和决定权、复制和可携带权、更正修改权、个人信息的存储期限、部分权利的可继承性以及投诉和起诉权这些权利内容整体上未超出GDPR的立法成果相关内容多散见于国内部分低位阶法律文件,本次属于对这些内容的系统整理和法律确认唯独需要注意的是,这次个保法在规定可携带权时明确提出“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”这里的“提供转移的途径在实践中应如何落地,需要后续行政监管机关与行业企业共同进行探索
二、敏感个人信息和数据跨境流转制度进一步明确个保法在《个人信息保护规范》的基础上对敏感个人信息做了进一步的凝练,并且明确将不满十四周岁未成年人的个人信息定性为敏感个人信息由于敏感信息的特殊性和更重的法律责任,企业对于采集和处理十四岁以下未成年人的数据将不得不采取更加谨慎的态度但与此同时,在企业责任和数据采集之间便产生了一个矛盾企业为了识别未成年人,需要采集一部分信息,但如果分析发现是未成年人则会导致之前的采集授权可能不够充分要解决这一矛盾可能需要进一步推广普及青少年模式和家长控制功能,从未成年人接触某个互联网产品伊始便要求其主动披露未成年人身份,从而方便企业准确的选择授权、采集和数据处理模式滴滴事件后,数据的跨境流转成为众多企业,特别是拟境外上市企业关注的焦点此次个保法拿出专章对这方面做出了规定根据第38条规定,在向境外提供个人信息之前,企业至少需要通过国家王新部门组织的安全评估、专业机构的个人信息保护认证、与境外接收方订立相关合同境外接收方处理个人信息的活动应当达到不低于个保法的标准此外,向境外提供个人信息需要整的用户的单独同意在一般企业基础上,关键信息基础设施运营者则一般不得向境外传输个人信息确有必要的,则需要接受网信部门组织的安全评估比较有意思的是,在中美深度竞争和美国频繁动用长臂管辖的大背景下,个保法用
41、
42、43三条的篇幅规定了个人信息领域应对境外司法协助、制裁和长臂管辖的要求要知道,敏感个人信息的相关规定也不过5条而已可见,国家对于个人信息出境采取的是一种极端审慎的态度
三、个人信息处理者的法定义务得到系统梳理此前,由于缺乏专门性法规,个人信息处理者的法定义务散见于《网络安全法》《数据安全法》《电子商务法》《反不正当竞争法》甚至《民法典》等法律法规中,其内涵和外延始终存在争议本次出台的个保法用第五章一个章节全面阐述了个人信息处理者法定义务的内涵个人信息处理者的法定义务以维护数据安全为核心要义第51条规定了6种应当采取的安全管理措施,包括制定内部管理制度和操作规程、对个人信息实行分类管理、采取相应的加密、去标识化等安全技术措施、合理确定个人信息处理的操作权限并定期对从业人员进行安全教育和培训、制定并组织实施个人信息安全事件应急预案、法律和行政法规规定的其他措施等第
52、53条要求境内外个人信息处理者都要在中国境内设立个保负责人第54到57条规定了个人信息处理者为了实现个保目的必须采取的常规动作,包括事前评估、评估的内容、事中审计以及一旦发生泄露事故应当采取的措施根据第55条规定,必须开展评估的情形有5种,分别是
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动评估的内容包括
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应个人信息保护影响评估报告和处理情况记录应当至少保存三年第57条规定,发生或者可能发生个人信息安全事故的,应当通知行政管理机关和被波及到的个人但同时又规定,个人信息处理者采取措施能够有效避免造成危害的,可以不通知个人数据泄露无疑会影响用户信任感和满意度,对资本市场也会产生显著的不利影响各家企业无疑需要加强对数据泄露事件的追查、调查能力,尽可能快速破案,追回数据唯有如此,才有可能将损失降到最低对于大型、平台型互联网企业而言,第58条的规定比较关键该条要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者成立主要由外部成员组成的独立机构对个人信息保护情况进行监督这就从企业内部治理角度规定了较重的义务,现有的企业内部数据安全委员会等组织形式将不得不改变同时,第58条还要求大企业对在其平台上开展活动的经营者承担一定的监督管理责任,对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务App渠道商、小程序或因此受到更加严格的平台监管
四、违法处罚力度大幅提升在加大处罚力度方面,最显而易见的便是处罚金额的设置个保法第66条规定,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款同时,直接负责人和其他直接责任人还会被处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人自GDPR开创以营业额计算隐私数据违法罚金后,世界多国家纷纷出台了类似的法律法规这一方面体现了隐私保护的重要性,另一方面也说明大企业通过个人数据可以获得巨额利润除了加大惩罚力度,个保法也为执法机关装上了“牙齿”个保法第63条规定,履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施
(一)询问有关当事人,调查与个人信息处理活动有关的情况;
(二)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;
(三)实施现场检查,对涉嫌违法的个人信息处理活动进行调查;
(四)检查与个人信息处理活动有关的设备、物品;对有证据证明是用于违法个人信息处理活动的设备、物品,向本部门主要负责人书面报告并经批准,可以查封或者扣押履行个人信息保护职责的部门依法履行职责,当事人应当予以协助、配合,不得拒绝、阻挠通过询问有关人员和对设备、记录的检查,网信、网安等部门足以从事实出发了解企业对个人信息数据进行处理的情况,并作出相应的裁决这种对执法方式的明确标志着我国对个人信息保护的执法正在从形式检查向实质审查迈进个保法在事后追责领域最突出的规定是明确将个保作为检察院公益诉讼的案由第70条规定,个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼8月21日,最高人民检察院下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》《通知》明确,根据个人信息保护法有关规定,各级检察机关在履行公益诉讼检察职责时应当疗健康、金融账号、行踪轨迹等敏感个人信息应当严格保护;儿童、妇女、残疾人、老年人、军人等特殊群体的个人信息需要特别保护;教育、医疗、就业、养老、消费等重点领域处理的个人信息,以及处理100万人以上的大规模个人信息应当重点保护;对因时间、空间等联结形成的特定对象的个人信息加强精准保护检察机关要用足用好《人民检察院公益诉讼办案规则》中关于调查核实权的有关规定,充分运用科技手段,借助公安、工信等部门的专业技术力量,完善检察技术人员参加公益诉讼办案机制上述规定进一步明确检察机关在侦办个保公益诉讼案件时可以借助公安、工信等部门的技术手段,这极大的增加了企业的法律风险,有可能因公益诉讼上升至刑事案件因此,涉及隐私数据处理的公司首先应当尽可能避免被检察院在个保方面提起公益诉讼一旦涉诉,在应对公益诉讼过程中应当调低姿态应以和解作为最终目标,防止过度对抗引发深入侦查学习《个人信息保护法》心得体会《个人信息保护法》11月1日起正式施行本法共八章七十四条,明确了个人信息和敏感个人信息的处理规则,完善个人信息保护投诉、举报工作机制,从严惩治违法行为,全方位保护你的信息安全任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;个人信息处理者利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇;提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一《个人信息保护法》坚持和贯彻以人民为中心的法治理念,牢牢把握保护人民群众个人信息权益的立法定位,聚焦个人信息保护领域的突出问题和人民群众的重大关切《个人信息保护法》明确了法律适用范围,聚焦目前个人信息保护的突出问题,在有关法律的基础上,该法进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则,明确个人信息处理活动中的权利义务边界,健全个人信息保护工作机制确立以“告知一同意”为核心的个人信息处理规则,落实国家机关保护责任,加大对违法行为的惩处力度《个人信息保护法》明确不得过度收集个人信息、大数据杀熟,对人脸信息等敏感个人信息的处理作出规制,完善个人信息保护投诉、举报工作机制等,充分回应了社会关切,为破解个人信息保护中的热点难点问题提供了强有力的法律保障个人信息保护法共8章74条,在有关法律的基础上,进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则中国电子信息产业发展研究院网络安全所所长刘权对《经济参考报》记者表示,个人信息保护法为个人权益的保护构建了基本法律框架,也为相关个人信息处理者提供了具体的合规指引,标志着我国个人信息保护迈出了具有里程碑意义的一步,进一步完善了我国在数据领域的立法体系针对App过度收集个人信息、公共场所安装摄像头和人脸识别设备等个人信息保护中的热点难点问题,个人信息保护法给出回应,包括处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式;在公共场所安装图像采集、个人身份识别设备,应设置显著的提示标识;所收集的个人图像、身份识别信息只能用于维护公共安全的目的针对越来越多的企业利用大数据分析、评估消费者个人特征用于商业营销的“大数据杀熟”问题,个人信息保护法给予明确禁止,规定个人信息处理者利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇个人信息保护法将促进信息数据依法合理有效利用,为数字经济健康发展提供法律保障中南财经政法大学数字经济研究院执行院长盘和林表示,个人信息保护法明确了个人信息的权属权益,未来互联网平台利用个人信息需要从用户获取授权,也将在使用、存储过程中承担更多信息保护的责任个人信息保护法十大亮点亮点一确立个人信息保护原则个人信息保护的原则是收集、使用个人信息的基本遵循,是构建个人信息保护具体规则的制度基础个人信息保护法借鉴国际经验并立足我国实际,确立了个人信息处理应遵循的原则,强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等这些原则应当贯穿于个人信息处理的全过程、各环节亮点二规范处理活动保障权益个人信息保护法紧紧围绕规范个人信息处理活动、保障个人信息权益,构建了以“告知-同意为核心的个人信息处理规则“告知-同意”是法律确立的个人信息保护核心规则,是保障个人对其个人信息处理知情权和决定权的重要手段个人信息保护法要求,处理个人信息应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意同时,针对现实生活中社会反映强烈的一揽子授权、强制同意等问题,个人信息保护法特别要求,个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意,明确个人信息处理者不得过度收集个人信息,不得以个人不同意为由拒绝提供产品或者服务,并赋予个人撤回同意的权利,在个人撤回同意后,个人信息处理者应当停止处理或及时删除其个人信息此外,考虑到经济社会生活的复杂性,个人信息处理的场景日益多样,个人信息保护法从维护公共利益和保障社会正常生产生活的角度,还对取得个人同意以外可以合法处理个人信息的特定情形作了规定此外,个人信息保护法还分别对共同处理、委托处理等实践中较为常见的处理情形作出有针对性规定亮点三禁止“大数据杀熟”规范自动化决策当前,越来越多的企业利用大数据分析、评估消费者的个人特征用于商业营销有一些企业通过掌握消费者的经济状况、消费习惯、对价格的敏感程度等信息,对消费者在交易价格等方面实行歧视性的差别待遇,误导、欺诈消费者其中,最典型的就是社会反映突出的“大数据杀熟”“大数据杀熟”行为违反了诚实信用原则,侵犯了消费者权益保护法规定的消费者享有公平交易条件的权利,应当在法律上予以禁止对此,个人信息保护法明确规定个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇亮点四严格保护敏感个人信息值得关注的是,个人信息保护法将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息个人信息保护法要求,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息,同时应当事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响这主要是考虑到此类信息一旦泄露或者被非法使用,极易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,因此,对处理敏感个人信息的活动应当作出更加严格的限制值得关注的是,为保护未成年人的个人信息权益和身心健康,个人信息保护法特别将不满十四周岁未成年人的个人信息确定为敏感个人信息予以严格保护同时,与未成年人保护法有关规定相衔接,要求处理不满十四周岁未成年人个人信息应当取得未成年人的父母或者其他监护人的同意,并应当对此制定专门的个人信息处理规则亮点五规范国家机关处理活动为履行维护国家安全、惩治犯罪、管理经济社会事务等职责,国家机关需要处理大量个人信息保护个人信息权益、保障个人信息安全是国家机关应尽的义务和责任但近年来,一些个人信息泄露事件也反映出有些国家机关存在个人信息保护意识不强、处理流程不规范、安全保护措施不到位等问题对此,个人信息保护法对国家机关处理个人信息的活动作出专门规定,特别强调国家机关处理个人信息的活动适用本法,并且处理个人信息应当依照法律、行政法规规定的权限和程序进行,不得超出履行法定职责所必需的范围和限度亮点六赋予个人充分权利个人信息保护法将个人在个人信息处理活动中的各项权利,包括知悉个人信息处理规则和处理事项、同意和撤回同意,以及个人信息的查询、复制、更正、删除等总结提升为知情权、决定权,明确个人有权限制个人信息的处理同时,为了适应互联网应用和服务多样化的实际,满足日益增长的跨平台转移个人信息的需求,个人信息保护法对个人信息可携带权作了原则规定,要求在符合国家网信部门规定条件的情形下,个人信息处理者应当为个人提供转移其个人信息的途径此外,个人信息保护法还对死者个人信息的保护作了专门规定明确在尊重死者生前安排的前提下,其近亲属为自身合法、正当利益可以对死者个人信息行使查阅、复制、更正、删除等权利亮点七强化个人信息处理者义务个人信息处理者是个人信息保护的第一责任人据此,个人信息保护法强调,个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全在此基础上,个人信息保护法设专章明确了个人信息处理者的合规管理和保障个人信息安全等义务,要求个人信息处理者按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,指定负责人对其个人信息处理活动进行监督,定期对其个人信息活动进行合规审计,对处理敏感个人信息、利用个人进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估,履行个人信息泄露通知和补救义务等亮点八赋予大型网络平台特别义务互联网平台服务是数字经济区别于传统经济的显著特征互联网平台为商品和服务的交易提供技术支持、交易场所、信息发布和交易撮合等服务在个人信息处理方面,互联网平台为平台内经营者处理个人信息提供基础技术服务、设定基本处理规则,是个人信息保护的关键环节提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者对平台内的交易和个人信息处理活动具有强大的控制力和支配力,因此在个人信息保护方面应当承担更多的法律义务据此,个人信息保护法对这些大型互联网平台设定了特别的个人信息保护义务,包括按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;遵循公开、公平、公正的原则,制定平台规则;对严重违法处理个人信息的平台内产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督个人信息保护法的上述规定是为了提高大型互联网平台经营业务的透明度,完善平台治理强化外部监督,形成全社会共同参与的个人信息保护机制亮点九规范个人信息跨境流动随着经济全球化、数字化的不断推进以及我国对外开放的不断扩大,个人信息的跨境流动日益频繁,但由于遥远的地理距离以及不同国家法律制度、保护水平之间的差异,个人信息跨境流动风险更加难以控制个人信息保护法构建了一套清晰、系统的个人信息跨境流动规则以满足保障个人信息权益和安全的客观要求,适应国际经贸往来的现实需要一是明确以向境内自然人提供产品或者服务为目的,或者分析、评估境内自然人的行为等,在我国境外处理境内自然人个人信息的活动适用本法,并要求符合上述情形的境外个人信息处理者在我国境内设立专门机构或者指定代表,负责个人信息保护相关事务;二是明确向境外提供个人信息的途径,包括通过国家网信部门组织的安全评估、经专业机构认证、订立标准合同、按照我国缔结或参加的国际条约和协定等;三是要求个人信息处理者采取必要措施保障境外接收方的处理活动达到本法规定的保护标准;四是对跨境提供个人信息的“告知-同意”作出更严格的要求,切实保障个人的知情权、决定权等权利;五是为维护国家主权、安全和发展利益,对跨境提供个人信息的安全评估、向境外司法或执法机构提供个人信息、限制跨境提供个人信息的措施、对外国歧视性措施的反制等作了规定亮点十健全个人信息保护工作机制个人信息保护涉及的领域广,相关制度措施的落实有赖于完善的监管执法机制根据个人信息保护工作实际,个人信息保护法明确,国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作,同时,对个人信息保护和监管职责作出规定,包括开展个人信息保护宣传教育、指导监督个人信息保护工作、接受处理相关投诉举报、组织对应用程序等进行测评、调查处理违法个人信息处理活动等此外,为了加强个人信息保护监管执法的协同配合,个人信息保护法还进一步明确了国家网信部门在个人信息保护监管方面的统筹协调作用,并对其统筹协调职责作出具体规定。