个人信息遭受「裸奔」?《个人信息保护法(草案)》来了!
盖雅工场WFM2020年10月27日

在21世纪的第3个10年,信息化、数字化已成为主旋律,人们在享受数字时代带来的便利的同时,也遭受了个人信息「裸奔」的隐痛,全国各界不断广泛呼吁我国出台专门的个人信息保护法。

在此背景下,第十三届全国人大常委会第二十二次会议对《中华人民共和国个人信息保护法(草案)(以下简称「草案」)进行了审议,并向社会公开征求意见,草案共八章七十条内容,以下为草案全文:


那么该法的总体特征如何?对企业有何影响?企业将如何开展数据合规工作?盖雅工场又是如何保障客户信息及隐私数据安全的呢?赶紧来瞧瞧~


《个人信息保护法》总体特征


以「告知-同意」为核心,强调个人信息处理的可控性与透明性

与个人信息处理相关的主体包括个人、企业、国家。该法明确规定上述主体的告知-同意权利/义务。此种模式符合国际惯例,与欧盟《通用数据保护条例》(GDPR),美国加州《消费者隐私权法案》(CCPA)相同。


建立企业内部个人信息管理制度,要求指定相关负责人

《个保法》第五章规定了个人信息处理者的义务,主要包括设立事前风险评估制度;指定个人信息保护负责人;实施分级分类管理;应用加密、去标识化技术措施;建立事后补救措施与通知义务等。


分别规定企业与政府权责,有助于划分彼此责任

该法分别规定企业与政府需对个人信息保护承担的义务,包括企业对个人信息全生命周期的管理以及内部安全管理;政府(国家机关)在履行职责过程中同样需依据该法保护个人信息,例如遵守(告知同意)规则等。


注重分类监管,对个人信息跨境实施分类安全评估

该法对数据跨境实施按主体分类评估的办法,要求关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,需要个人信息跨境时,应通过国家网信部门组织的安全评估;对于其他主体的个人信息跨境,规定了经专业机构认证的途径。


明确追责机制,规定民事赔偿与行政处罚制度

《个保法》第65条、第66条规定了个人信息侵权的民事赔偿制度,包括:归责原则、损害计算以及支持起诉。同时,该法第62条规定行政机关对违法处理个人信息行为的行政处罚措施,明确了行政处罚的依据,有利于行政机关对违规处理个人信息的监管。


《个人信息保护法》对企业的影响

有利于企业开展个人信息的合规工作

该法对企业需履行的个人信息保护义务进行了基础的规定。包括企业处理个人信息全生命周期的相关要求,以及企业内部管理个人信息安全的相关规定,使得企业开展个人信息的合规工作规则明确、有法可依。

虽然这在一定程度上会增加企业的管理成本,但是从长远发展来看,通过法律确定相关规则,有助于企业规范对个人信息的管理,有助于维护个人、社会、甚至国家的安全,有助于促进数字经济的有序发展,有助于企业长远利益的保护。


有利于划分政企共享中个人信息的权责

该法的第二章第三节专门规定了国家机关处理个人信息的规定,明确要求国家机关为履行法定职责处理个人信息,应当向个人告知并同意,并强调国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序。

这意味着,当政府要求获取企业数据时,一是要符合法律、行政法规的规定,二是要向个人告知并获得同意(存在例外情况),构建了政企共享个人信息的基本规则。


企业或将面临支持起诉

由于个人信息侵权存在难以确定侵权主体、举证责任不明确、损害后果难以计算等问题,使得个人很难起诉企业侵权。《个保法》对上述问题进行了规定,并通过人民检察院、相关部门支持起诉的方式,解决了个人提起民事诉讼缺乏实操性的问题。一旦发生个人信息安全事件,企业或将面临个人起诉的风险。


企业或将面对严格的行政处罚

该法第62条规定,对违反本法规定处理个人信息的行为,可以并处五千万以下或者上一年度营业额百分之五以下的罚款,可以并处责令暂停相关业务,停业整顿,吊销相关业务许可证或营业执照;对直接主管人员处十万元以上一百万元以下的罚款。并且新增了记入信用档案,并予以公示的惩罚措施。


企业落实《个人信息保护法》的合规建议


对内建立个人信息安全管理制度

企业在落实《个保法》的相关规定时,需要注重两方面的合规。

  • 落实并强化个人信息在收集、使用、向第三方提供、跨境时的告知同意义务。例如采取显著方式、清晰易懂的语言向个人告知;告知的事项包括个人信息处理者的身份、处理目的、处理方式、接收个人信息第三方的身份等;当变更处理目的、处理方式时需重新告知。目的是达到个人对其个人信息处理情况的知情与可控。
  • 要建立个人信息内部安全管理制度。包括事前的安全风险评估、指定负责人、事中审计、接触人员台帐管理、分级分类存储、事后救济与通知制度等。


对外预防个人信息流通的风险

对于企业间的个人信息共享情况。

  • 需要保证个人信息提供方其信息来源的合法性,即经过告知并获得同意。值得注意的是此告知同意需要包括接收方的身份、联系方式、处理目的、处理方式和个人信息的种类,并获得个人的单独同意。
  • 若接收方变更原先的处理目的、处理方式,应重新向个人告知并获得同意。
  • ‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍在共享合同中明确约定彼此对个人信息的安全责任。例如个人信息的接口授权、传输加密等,以便发生个人信息泄漏事件后进行追责。



盖雅工场保障客户信息及隐私数据安全

作为一家拥有提供全球化劳动力管理云服务的中国厂商,盖雅工场每天为全球24个国家与地区,1,500余家大中型企业,500余万员工提供服务,大中型企业客户对于商业机密和信息安全天然具有更高需求。

盖雅工场已经建立了严密的数据安全管控体系,目前盖雅工场是国内第一家通过SOC2 Type II 和SOC3审计的劳动力管理云服务商,包括安全性、可用性、保密性以及隐私性四大范畴。


SOC鉴证报告以要求严苛、通过难度高著称,在短时间内持续获得Type I 和Type II 报告证明了盖雅工场稳定可用的服务水准,以及高度保障盖雅客户数据安全性的能力。此外,盖雅工场信息安全部成立了专门的GDPR专项项目组,表明我们对贯彻《通用数据保护条例》和责任制的承诺。盖雅自GDPR生效以来,一直与国内外客户合作,与专业机构持续沟通,不断改进和优化组织措施和合规政策,以遵守GDPR对于隐私保护的合规要求。


劳动力管理,盖雅搞得定。



👆👆👆

咨询方案

请添加我们的客服


内容来源:腾讯安全战略研究盖雅工场是一家提供全球劳动力管理云服务的中国企业。每天,分布在全球24个国家与地区的1500余家客户,500余万员工在使用盖雅劳动力管理云服务来控制劳动力成本、快速提升劳动力效率、预先规避合规化风险并切实提高员工满意度。盖雅工场成立于2009年,总部位于苏州,投资方包括老虎环球基金、华平投资、元生资本和经纬中国等。劳动力管理,盖雅搞得定。

下一篇 文章
重磅!社保入税正式落地,多省市集体官宣!
盖雅工场
劳动力管理系统
我们始终关注劳动力管理领域,时刻为您创造劳动力管理价值
体验DEMO演示

相关产品推荐