《学习《个人信息保护法》心得体会四.docx》由会员分享,可在线阅读,更多相关《学习《个人信息保护法》心得体会四.docx(6页珍藏版)》请在第一文库网上搜索。
1、学习个人信息保护法心得体会个人信息保护法11月1日起正式施行。本法共八章七十四条,明确了个人信息和敏感个人信息的处理规则,完善个人信息保护投诉、举报工作机制,从严惩治违法行为,全方位保护你的信息安全。任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;个人信息处理者利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇;提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。一、以知情同意为核心构建自
2、然人权利体系之所以说个保法具有里程碑意义,是因为个保法首次以法律形式明确了个人在信息数据领域的权利。总的来看,个保法吸收了GDPR的立法经验,以知情权和控制权为核心构建了我国的个人权利体系。自第44条到第50条,分别规定了知情权和决定权、复制和可携带权、更正修改权、个人信息的存储期限、部分权利的可继承性以及投诉和起诉权。这些权利内容整体上未超出GDPR的立法成果。相关内容多散见于国内部分低位阶法律文件,本次属于对这些内容的系统整理和法律确认。唯独需要注意的是,这次个保法在规定可携带权时明确提出“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转
3、移的途径。”这里的“提供转移的途径”在实践中应如何落地,需要后续行政监管机关与行业企业共同进行探索。二、敏感个人信息和数据跨境流转制度进一步明确个保法在个人信息保护规范的基础上对敏感个人信息做了进一步的凝练,并且明确将不满十四周岁未成年人的个人信息定性为敏感个人信息。由于敏感信息的特殊性和更重的法律责任,企业对于采集和处理十四岁以下未成年人的数据将不得不采取更加谨慎的态度。但与此同时,在企业责任和数据采集之间便产生了一个矛盾。企业为了识别未成年人,需要采集一部分信息,但如果分析发现是未成年人,则会导致之前的采集授权可能不够充分。要解决这一矛盾可能需要进一步推广普及青少年模式和家长控制功能,从未
4、成年人接触某个互联网产品伊始便要求其主动披露未成年人身份,从而方便企业准确的选择授权、采集和数据处理模式。滴滴事件后,数据的跨境流转成为众多企业,特别是拟境外上市企业关注的焦点。此次个保法拿出专章对这方面做出了规定。根据第38条规定,在向境外提供个人信息之前,企业至少需要通过国家王新部门组织的安全评估、专业机构的个人信息保护认证、与境外接收方订立相关合同。境外接收方处理个人信息的活动应当达到不低于个保法的标准。此外,向境外提供个人信息需要整的用户的单独同意。在一般企业基础上,关键信息基础设施运营者则一般不得向境外传输个人信息。确有必要的,则需要接受网信部门组织的安全评估。比较有意思的是,在中美
5、深度竞争和美国频繁动用长臂管辖的大背景下,个保法用41、42、43三条的篇幅规定了个人信息领域应对境外司法协助、制裁和长臂管辖的要求。要知道,敏感个人信息的相关规定也不过5条而已。可见,国家对于个人信息出境采取的是一种极端审慎的态度。三、个人信息处理者的法定义务得到系统梳理此前,由于缺乏专门性法规,个人信息处理者的法定义务散见于网络安全法数据安全法电子商务法反不正当竞争法甚至民法典等法律法规中,其内涵和外延始终存在争议。本次出台的个保法用第五章一个章节全面阐述了个人信息处理者法定义务的内涵。个人信息处理者的法定义务以维护数据安全为核心要义。第51条规定了6种应当采取的安全管理措施,包括制定内部
6、管理制度和操作规程、对个人信息实行分类管理、采取相应的加密、去标识化等安全技术措施、合理确定个人信息处理的操作权限并定期对从业人员进行安全教育和培训I、制定并组织实施个人信息安全事件应急预案、法律和行政法规规定的其他措施等。第52、53条要求境内外个人信息处理者都要在中国境内设立个保负责人。第54到57条规定了个人信息处理者为了实现个保目的必须采取的常规动作,包括事前评估、评估的内容、事中审计以及一旦发生泄露事故应当采取的措施。根据第55条规定,必须开展评估的情形有5种,分别是(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公
7、开个人信息;(四)向境外提供个人信息;(五)其他对个人权益有重大影响的个人信息处理活动。评估的内容包括(一)个人信息的处理目的、处理方式等是否合法、正当、必要;(二)对个人权益的影响及安全风险;(三)所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。第57条规定,发生或者可能发生个人信息安全事故的,应当通知行政管理机关和被波及到的个人。但同时又规定,个人信息处理者采取措施能够有效避免造成危害的,可以不通知个人。数据泄露无疑会影响用户信任感和满意度,对资本市场也会产生显著的不利影响。各家企业无疑需要加强对数据泄露事件的追查、调查能力,尽可能
8、快速破案,追回数据。唯有如此,才有可能将损失降到最低。对于大型、平台型互联网企业而言,第58条的规定比较关键。该条要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。这就从企业内部治理角度规定了较重的义务,现有的企业内部数据安全委员会等组织形式将不得不改变。同时,第58条还要求大企业对在其平台上开展活动的经营者承担一定的监督管理责任,对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务。App渠道商、小程序或因此受到更加严格的平台监管。四、违法处罚力度大幅提升在加大处罚力度方面,最显而易见的
9、便是处罚金额的设置。个保法第66条规定,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款。同时,直接负责人和其他直接责任人还会被处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。自GDPR开创以营业额计算隐私数据违法罚金后,世界多国家纷纷出台了类似的法律法规。这一方面体现了隐私保护的重要性,另一方面也说明大企业通过个人数据可以获得巨额利润。除了加大惩罚力度,个保法也为执法机关装上
10、了“牙齿”。个保法第63条规定,履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:(一)询问有关当事人,调查与个人信息处理活动有关的情况;(二)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;(三)实施现场检查,对涉嫌违法的个人信息处理活动进行调查;(四)检查与个人信息处理活动有关的设备、物品;对有证据证明是用于违法个人信息处理活动的设备、物品,向本部门主要负责人书面报告并经批准,可以查封或者扣押。履行个人信息保护职责的部门依法履行职责,当事人应当予以协助、配合,不得拒绝、阻挠。通过询问有关人员和对设备、记录的检查,网信、网安等部门足以从事实出发了解企
11、业对个人信息数据进行处理的情况,并作出相应的裁决。这种对执法方式的明确标志着我国对个人信息保护的执法正在从形式检查向实质审查迈进。个保法在事后追责领域最突出的规定是明确将个保作为检察院公益诉讼的案由。第70条规定,个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。8月21日,最高人民检察院下发关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知。通知明确,根据个人信息保护法有关规定,各级检察机关在履行公益诉讼检察职责时应当突出重点、从严把握以下方面:生物识别、宗教信仰、特殊身份、医疗健
12、康、金融账号、行踪轨迹等敏感个人信息应当严格保护;儿童、妇女、残疾人、老年人、军人等特殊群体的个人信息需要特别保护;教育、医疗、就业、养老、消费等重点领域处理的个人信息,以及处理100万人以上的大规模个人信息应当重点保护;对因时间、空间等联结形成的特定对象的个人信息加强精准保护。检察机关要用足用好人民检察院公益诉讼办案规则中关于调查核实权的有关规定,充分运用科技手段,借助公安、工信等部门的专业技术力量,完善检察技术人员参加公益诉讼办案机制。上述规定进一步明确检察机关在侦办个保公益诉讼案件时可以借助公安、工信等部门的技术手段,这极大的增加了企业的法律风险,有可能因公益诉讼上升至刑事案件。因此,涉及隐私数据处理的公司首先应当尽可能避免被检察院在个保方面提起公益诉讼。一旦涉诉,在应对公益诉讼过程中应当调低姿态,应以和解作为最终目标,防止过度对抗引发深入侦查。
免费区 
