君合法律評論 
鐺煮山川,粟藏世界,有明月清風(fēng)知此音。呵呵笑,笑釀成白酒,散盡黃金。
作者:楊錦文高健李圓圓
來源:君合法律評論(ID:JUNHE_LegalUpdates)
《個人信息保護法》(以下簡稱“《個保法》”)已經(jīng)于2021年8月20日經(jīng)全國人大常委第三次審議通過,并將于2021年11月1日開始實施,中國即將進入以《個保法》為基本法的個人信息保護新時代。
《個保法》由八章七十四條構(gòu)成(主要內(nèi)容及章節(jié)見下表),在充分吸收《民法典》、《消費者權(quán)益保護法》、《網(wǎng)絡(luò)安全法》關(guān)于個人信息定義及處理規(guī)則、處理流程、個人信息處理者的網(wǎng)絡(luò)安全保護義務(wù)等的基礎(chǔ)上,對禁止利用自動化決策“大數(shù)據(jù)殺熟”、加重大型互聯(lián)網(wǎng)平臺信息義務(wù)、嚴(yán)格個人信息跨境提供要求等方面做出了創(chuàng)新規(guī)定。企業(yè)作為典型的個人信息處理者,應(yīng)高度重視各方面的規(guī)制要求。
主要內(nèi)容 | 章 節(jié) | |
適用范圍及個人信息處理的基本原則 | 第一章 總則 | |
個人信息處理的具體規(guī)則、跨境提供規(guī)則 | 第二章 個人信息處理規(guī)則 第三章 個人信息跨境提供的規(guī)則 | |
個人、企業(yè)、監(jiān)管部門等參與主體的權(quán)責(zé) | 第四章 個人在個人信息處理活動中的權(quán)利 第五章 個人信息處理者的義務(wù) 第六章 履行個人信息保護職責(zé)的部門 | |
法律責(zé)任等 | 第七章 法律責(zé)任 第八章 附則 | |
特別需要注意的是,在對個人信息違法行為的處罰措施上,《個保法》祭出了前所未有的重罰規(guī)定:對違法處理個人信息的App等應(yīng)用程序進行暫停或者終止服務(wù);對個人信息的嚴(yán)重違法行為,立法者參考《反壟斷法》等按照營業(yè)額的百分比進行處罰的路徑,規(guī)定最高處以上一年度營業(yè)額百分之五的處罰(或者5000萬元以下)。
繼2021年5月中央網(wǎng)信辦與工信部、公安部、市場監(jiān)管總局等四部門聯(lián)合對攝像頭偷拍人臉進行集中整治行動之后,2021年7月某知名出行App被下架整改并面臨網(wǎng)絡(luò)安全審查,預(yù)計《個保法》的正式實施將開啟個人信息全面監(jiān)管的新局面。企業(yè)應(yīng)充分利用《個保法》2021年11月1日實施前的兩個月窗口期,及時對現(xiàn)有App、網(wǎng)頁、線下業(yè)務(wù)中的個人信息收集處理規(guī)則進行自查整改,防止成為適用《個保法》的第一案。我們制作了以下個人信息合規(guī)自查清單,供各企業(yè)自查整改之時作為路線圖參考。
一、公司規(guī)章制度 | ||
1. 是否建立了公司內(nèi)部個人信息保護制度和操作規(guī)程 | · 是 · 否 | |
2. 是否制定了公司網(wǎng)站等刊載的隱私保護政策 | · 是 · 否 | |
3. 是否制定了并組織實施個人信息安全事件應(yīng)急制度 | · 是 · 否 | |
4. 是否制定了個人信息安全事件應(yīng)急預(yù)案并定期進行演練 | · 是 · 否 | |
5. 是否確定了個人信息處理的操作權(quán)限,并定期對從業(yè)人員進行安全教育和培訓(xùn) | · 是 · 否 | |
6. 是否定期對公司處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計 | · 是 · 否 | |
二、個人信息處理全流程管理 | ||
各處理環(huán)節(jié)通用規(guī)則(兼收集) | ||
7. 處理個人信息前,是否已經(jīng)取得個人的同意 | · 是 · 否 | |
8. 收集、處理員工信息是否超出履行勞動合同、實施人力資源管理所必需的范圍 | · 是 · 否 | |
9. 如果未取得個人的同意,是否存在以下任一情形: (1) 為訂立、履行個人作為一方當(dāng)事人的合同所必需 (2) 按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需 (3) 依法合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息 (4) 其他 | · 是 · 否 | |
10. 處理個人信息前,是否以顯著方式、清晰易懂的語言真實、準(zhǔn)確、完整地向個人告知下列事項: (1) 個人信息處理者的名稱或者姓名和聯(lián)系方式; (2) 個人信息的處理目的、處理方式,處理的個人信息種類、保存期限; (3) 個人行使本法規(guī)定權(quán)利的方式和程序。 | · 是 · 否 | |
11. 是否存在以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產(chǎn)品或者服務(wù) | · 是 · 否 | |
12. 是否存在采取誤導(dǎo)、欺騙、脅迫方式取得個人同意的情形 | · 是 · 否 | |
個人信息使用 | ||
13. 個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更時,是否重新取得了個人同意 | · 是 · 否 | |
14. 共同處理:與其他個人信息處理者共同決定個人信息的處理目的和處理方式時,是否通過協(xié)議方式明確約定各自的權(quán)利和義務(wù) | · 是 · 否 | |
15. 委托處理1:委托處理個人信息時,是否通過書面協(xié)議與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權(quán)利和義務(wù)等 | · 是 · 否 | |
16. 委托處理2:委托處理個人信息時,是否在委托合同履行過程中對受托人的個人信息處理活動進行監(jiān)督,使得受托人不得超出約定的處理目的、處理方式等處理個人信息 | · 是 · 否 | |
17. 委托處理個人信息之前,是否事先進行個人信息保護影響評估,并對處理情況進行記錄 | · 是 · 否 | |
18. 是否制作了個人信息保護影響評估報告和處理情況記錄并至少保存三年 | · 是 · 否 | |
個人信息保存及公開 | ||
19. 是否超過為實現(xiàn)處理目的所必要的最短時間保存?zhèn)€人信息 | · 是 · 否 | |
20. 公開其處理的個人信息時,是否取得了個人的單獨同意 | · 是 · 否 | |
21. 公開個人信息之前,是否事先進行個人信息保護影響評估,并對處理情況進行記錄 | · 是 · 否 | |
22. 是否制作了個人信息保護影響評估報告和處理情況記錄并至少保存三年 | · 是 · 否 | |
個人信息提供 | ||
23. 企業(yè)為提供方時:向其他個人信息處理者提供其處理的個人信息時,是否向個人告知了接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類,并已取得個人的單獨同意 | · 是 · 否 | |
24. 企業(yè)為接收方時:(1)從其他個人信息處理者接受其處理的個人信息時,是否約定對該個人信息的處理目的、處理方式和個人信息的種類 | · 是 · 否 | |
25. 企業(yè)為接收方時:(2)處理個人信息時,是否按照約定的處理目的、處理方式和個人信息的種類等范圍內(nèi)處理個人信息 | · 是 · 否 | |
26. 變更原先的處理目的、處理方式時,是否依照個人信息保護法的規(guī)定重新取得個人同意(是指向個人重新告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類,并重新取得個人的單獨同意) | · 是 · 否 | |
27. 向其他個人信息處理者提供個人信息之前,是否事先進行個人信息保護影響評估,并對處理情況進行記錄 | · 是 · 否 | |
28. 是否制作了個人信息保護影響評估報告和處理情況記錄并至少保存三年 | · 是 · 否 | |
自動化決策 | ||
29. 利用個人信息進行自動化決策之前,是否事先進行個人信息保護影響評估,并對處理情況進行記錄 | · 是 · 否 | |
30. 是否制作了個人信息保護影響評估報告和處理情況記錄并至少保存三年 | · 是 · 否 | |
31. 利用個人信息進行自動化決策時,是否對個人在交易價格等交易條件上實行不合理的差別待遇 | · 是 · 否 | |
32. 通過自動化決策方式向個人進行信息推送、商業(yè)營銷,是否提供了不針對其個人特征的選項或者向個人提供便捷的拒絕方式 | · 是 · 否 | |
33. 通過自動化決策方式作出對個人權(quán)益有重大影響的決定時,是否根據(jù)個人的要求予以說明 | · 是 · 否 | |
個人信息權(quán)利主體的權(quán)利保障 | ||
34. 基于個人同意處理個人信息的,個人信息處理者是否提供便捷的撤回同意的方式 | · 是 · 否 | |
35. 是否在企業(yè)內(nèi)部設(shè)置個人權(quán)利申請受理和處理機制以及時處理個人主體關(guān)于查閱、復(fù)制、更改、補充或者刪除個人信息的權(quán)利請求 | · 是 · 否 | |
36. 個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者,是否符合國家網(wǎng)信部門規(guī)定條件 | · 是 · 否 | |
37. 前項如果符合,是否為個人提供轉(zhuǎn)移的途徑 | · 是 · 否 | |
38. 存在以下情形之一時,是否主動刪除個人信息: (1) 個人信息的處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要; (2) 個人信息處理者停止提供產(chǎn)品或者服務(wù),或者保存期限已屆滿; (3) 個人撤回同意。 | · 是 · 否 | |
三、特殊情形 | ||
個人信息出境 | ||
39. 境外接收方是否被國家網(wǎng)信部門列入限制或者禁止個人信息提供清單 | · 是 · 否 | |
40. 向境外提供個人信息之前,是否事先進行個人信息保護影響評估,并對處理情況進行記錄 | · 是 · 否 | |
41. 是否制作了個人信息保護影響評估報告和處理情況記錄并至少保存三年 | · 是 · 否 | |
42. 是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者 | · 是 · 否 | |
43. 如果是,是否就其向境外提供個人信息辦理了網(wǎng)信部門組織的安全評估 | · 是 · 否 | |
44. 是否屬于經(jīng)國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行了個人信息保護認(rèn)證即可出境的情形 | · 是 · 否 | |
45. 如果是,是否按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行了個人信息保護認(rèn)證 | · 是 · 否 | |
46. 是否屬于按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同即可出境的情形 | · 是 · 否 | |
47. 如果是,是否按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同,約定雙方的權(quán)利和義務(wù) | · 是 · 否 | |
48. 是否向個人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項 | · 是 · 否 | |
49. 是否取得了個人的單獨同意 | · 是 · 否 | |
50. 是否采取了必要措施,以保障境外接收方處理個人信息的活動達到中國個人信息保護法規(guī)定的個人信息保護標(biāo)準(zhǔn) | · 是 · 否 | |
51. 是否被外國司法或執(zhí)法機構(gòu)要求提供存儲在中國境內(nèi)的個人信息 | · 是 · 否 | |
52. 是否就前述事項取得了主管機關(guān)的批準(zhǔn) | · 是 · 否 | |
敏感個人信息特殊保護 | ||
53. 是否存在處理敏感個人信息(包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息)的情形 | · 是 · 否 | |
54. 處理敏感個人信息是否具有特定的目的和充分的必要性 | · 是 · 否 | |
55.處理敏感個人信息是否采取了嚴(yán)格的保護措施 | · 是 · 否 | |
56. 是否就處理敏感個人信息取得了個人的單獨同意 | · 是 · 否 | |
57. 如果法律要求取得書面同意的,是否就處理敏感個人信息取得了個人的單獨同意 | · 是 · 否 | |
58. 處理敏感信息之前是否事先進行個人信息保護影響評估,并對處理情況進行記錄 | · 是 · 否 | |
59. 是否制作了個人信息保護影響評估報告和處理情況記錄并至少保存三年 | · 是 · 否 | |
60. 是否向個人告知了個人信息處理者的名稱或者姓名和聯(lián)系方式、處理敏感個人信息的必要性以及對個人權(quán)益的影響 | · 是 · 否 | |
61. 是否存在處理不滿十四周歲未成年人個人信息的情形 | · 是 · 否 | |
62. 如果存在處理不滿十四周歲未成年人個人信息的,是否取得未成年人的父母或者其他監(jiān)護人的同意 | · 是 · 否 | |
63. 如果存在處理不滿十四周歲未成年人個人信息的,是否制定了專門的個人信息處理規(guī)則 | · 是 · 否 | |
大量個人信息處理者 | ||
64. 是否屬于國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者 | · 是 · 否 | |
65. 如果屬于國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者,是否指定了個人信息保護負(fù)責(zé)人 | · 是 · 否 | |
66. 是否公開了個人信息保護負(fù)責(zé)人的聯(lián)系方式 | · 是 · 否 | |
67. 是否將個人信息保護負(fù)責(zé)人的姓名、聯(lián)系方式等報送履行個人信息保護職責(zé)的部門 | · 是 · 否 | |
重要互聯(lián)網(wǎng)平臺 | ||
68. 是否按照國家規(guī)定建立了健全個人信息保護合規(guī)制度體系 | · 是 · 否 | |
69. 是否成立了主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督 | · 是 · 否 | |
70. 是否遵循公開、公平、公正的原則,制定平臺規(guī)則,明確平臺內(nèi)產(chǎn)品或者服務(wù)提供者處理個人信息的規(guī)范和保護個人信息的義務(wù) | · 是 · 否 | |
71. 是否對嚴(yán)重違反法律、行政法規(guī)處理個人信息的平臺內(nèi)的產(chǎn)品或者服務(wù)提供者,停止提供服務(wù) | · 是 · 否 | |
72. 是否定期發(fā)布個人信息保護社會責(zé)任報告 | · 是 · 否 | |
中國境外的個人信息處理者 | ||
73. 是否有在中國境外以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的處理中國境內(nèi)自然人個人信息的情形 | · 是 · 否 | |
74. 是否有在中國境外分析、評估境內(nèi)自然人的行為而處理中國境內(nèi)自然人個人信息的情形 | · 是 · 否 | |
75. 滿足前兩項任一情形的,中國境外的個人信息處理者,是否在中國境內(nèi)設(shè)立專門機構(gòu)或者指定代表,負(fù)責(zé)處理個人信息保護相關(guān)事務(wù) | · 是 · 否 | |
76. 是否將有關(guān)機構(gòu)的名稱或者代表的姓名、聯(lián)系方式等報送履行個人信息保護職責(zé)的部門 | · 是 · 否 | |
App合規(guī)管理(要點) | ||
77. 是否根據(jù)《個人信息保護法》修改目前的隱私保護政策 | · 是 · 否 | |
78. 是否根據(jù)《個人信息保護法》修改目前的用戶協(xié)議 | · 是 · 否 | |
79. 是否根據(jù)《個人信息保護法》調(diào)整個人信息處理規(guī)則 | · 是 · 否 | |
80. 是否根據(jù)《個人信息保護法》保障個人信息權(quán)利主體的權(quán)利 | · 是 · 否 | |
注:文章為作者獨立觀點,不代表資產(chǎn)界立場。
題圖來自 Pexels,基于 CC0 協(xié)議
本文由“君合法律評論”投稿資產(chǎn)界,并經(jīng)資產(chǎn)界編輯發(fā)布。版權(quán)歸原作者所有,未經(jīng)授權(quán),請勿轉(zhuǎn)載,謝謝!
原標(biāo)題: 君合法評丨《個人信息保護法》下的企業(yè)合規(guī)自查80條
