亚洲AV无码一区二区二三区软件,青草青草久热精品视频在线百度云,久久精品午夜一区二区福利,国产V亚洲V天堂无码久久久

首頁 新聞 國內 聚焦 財經 教育 關注 熱點 要聞 民生1+1

您的位置:首頁>新聞 > 國內 >

中國信通院張夕夜等:《個人信息保護法》正式實施,企業應注意什么?

來源:北京日報    發布時間:2021-11-02 16:30:09

《個人信息保護法》于11月1日施行,作為個人信息保護領域的基本法,其全面規定了企業等個人信息處理者的義務及責任,并在三處明確提出合規要求。隨著《個人信息保護法》的出臺與實施,其與《數據安全法》《網絡安全法》《刑法》中相關條款共同形成公法視角下的個人信息保護法律體系。一方面,面對強制合規義務及責任,企業應當建立合規管理體系,以踐行處理個人信息的法定義務,避免因違法處理個人信息而受到處罰。另一方面,與強制合規并存的合規激勵機制,如合規爭取寬大行政或刑事處理,則使企業主動建立健全個人信息保護合規體系。

一、法律責任

應然狀態下的法律責任是企業個人信息保護不完善時可能面臨的合規風險,而不是企業承擔責任的實然狀態。行政和解制度、企業合規改革等合規激勵機制,賦予企業以合規爭取寬大行政處理及刑事處理的可能性,以此來減輕企業本應承擔的責任,將較重的應然責任轉為輕微的實然責任。

(一)應然狀態下的法律責任

1、行政處罰

根據《個人信息保護法》《數據安全法》《網絡安全法》 ,企業在處理個人信息時若違反禁止性規范或未嚴格落實義務性規范,可能面臨履行個人信息保護職責的部門吊銷營業執照等合規風險,具體如下。

(1)申戒罰。企業違反法律規定處理個人信息,或者處理個人信息未履行法律規定的個人信息保護義務的,由履行個人信息保護職責的部門給予警告。

(2)財產罰。企業違法處理個人信息拒不改正的,由履行個人信息保護職責的部門對企業及責任人員處以罰款,并沒收企業違法所得。

(3)行為罰。一是限制開展經營活動。對違法處理個人信息的應用程序,責令暫停或者終止提供服務。二是吊銷許可證件。違法處理個人信息情節嚴重的,吊銷相關業務許可或者吊銷營業執照。三是限制從業。禁止相關責任人員在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。

2、刑事責任

根據我國《刑法》規定,企業若違反法律規定處理個人信息,或未盡到個人信息保護的義務,可觸犯作為犯“侵犯公民個人信息罪”及不作為犯“拒不履行信息網絡安全管理義務罪”。

(1)作為犯罪。《刑法》第二百五十三條之一為“侵犯公民個人信息罪”,根據此條規定,違反國家有關規定,向他人出售或者提供公民個人信息情節嚴重的,竊取或者以其他方法非法獲取公民個人信息的,處有期徒刑或者拘役,并處或者單處罰金。

(2)不作為犯罪。《刑法》第二百八十六條之一為“拒不履行信息網絡安全管理義務罪”,根據此條規定,網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務,經監管部門責令采取改正措施而拒不改正,致使用戶信息泄露造成嚴重后果的,或有其他嚴重情節的,處有期徒刑、拘役或者管制,并處或者單處罰金。

(二)實然狀態下的法律責任

1、寬大行政處理

在證券期貨監管及反不正當競爭等領域,我國在行政監管環節已經開始了以合規換取寬大處理的制度和實踐。具體到個人信息保護領域,可在兩個方面做好個人信息保護合規管理,以爭取寬大行政處理。

積極的作為義務方面,一是面向用戶遵守個人信息處理的規則。如采集個人信息應當具有合法性基礎,允許用戶撤回同意,為用戶行使刪除、更正的權利提供便利,告知用戶必要事項,通知安全事件等。二是企業內部承擔安全管理的義務。如個人信息分類管理,采取加密等技術措施,建立應急機制,設立組織機構,進行影響評估及合規審計等。

消極的不作為方面,《個人信息保護法》等相關條款是企業處理個人信息時的禁止性規范,包括不得竊取或者以其他非法方式收集數據,不得過度收集個人信息,不得公開處理的個人信息等。據此,若企業未從事上述違法行為,僅員工因個人行為遭受行政調查時,企業可以提出盡到了培訓、懲戒等方面的合規管理義務,從而將單位責任與員工的個人責任進行切割。

特別的,無論是積極的作為義務還是消極的不作為義務,若企業因“未盡強制性的義務”或“從事了禁止性的行為”而受到行政調查時,企業可以通過合規承諾,說服履行個人信息保護的職責部門免除或減輕企業的行政法律責任。

2、寬大刑事處理

我國當前正在進行企業合規改革試點。根據最高檢《關于開展企業合規改革試點工作方案》,開展企業合規改革試點工作,是指檢察機關對于辦理的涉企刑事案件,在依法做出“能不捕的不捕、能不訴的不訴、能不判實刑的提出適用緩刑”的量刑建議的同時,針對企業涉嫌具體犯罪,結合辦案實際,督促涉案企業作出合規承諾并積極整改落實,促進企業合規守法經營,減少和預防企業犯罪的改革舉措。

具體到個人信息保護領域,同樣可以在兩個方面做好個人信息保護合規管理,以爭取寬大刑事處理。積極的作為義務方面即履行信息網絡安全管理義務。消極的不作為義務方面即不允許員工在產品和服務中出售、提供、竊取、非法獲取個人信息。

三、合規建議

為貫徹落實相關要求,規范相關行為,提高相關企業合規意識和水平,相關部門在企業境外經營、金融、反壟斷等領域編制了相關管理指引,如國家發改委等七部委印發《企業境外經營合規管理指引》,為企業在具體領域的合規工作提供指引和參考。借鑒這些領域合規實踐,根據《個人信息保護法》《數據安全法》《網絡安全法》及《刑法》,提出個人信息保護合規建議,具體內容包括以下八個方面。

(一)擬定規章制度

根據個人信息保護的法律法規變化和監管動態,建立健全并不斷更新個人信息保護合規管理制度,闡明個人信息保護合規目的與內涵,明確處理個人信息的行為規范及違規后果,將外部有關合規要求轉化為內部規章制度。一是形成個人信息安全管理基礎性制度。二是在個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除等各個處理環節踐行個人信息保護的義務。三是明確違規行為的內部處理流程和責任承擔方式,簽署承諾性書面聲明,企業員工違規按既定方式處理。

(二)建立組織機構

設立個人信息保護內部合規機制的組織機構,明確個人信息保護合規主管部門、負責人及職責。合規部門負責具體起草本企業個人信息保護合規管理計劃和管理制度;組織開展或者參與個人信息保護合規審計、檢查與考核等相關工作,及時發現薄弱環節,督促違規整改和持續改進;落實本企業個人信息保護合規宣傳計劃,定期和不定期組織或協助人事部門、業務部門開展合規培訓、宣傳等工作;指導各業務單位做好個人信息保護合規、為各業務單位提供合規咨詢和支持;就個人信息保護合規舉報進行登記和受理并對舉報進行調查和審核,判斷是否存在違規行為,并提出處理建議。

(三)開展教育培訓

組織開展個人信息安全教育培訓,定期對從業人員進行教育和培訓。一是培訓內容。明確個人信息保護的概念與重要意義,本企業合規政策和相關管理辦法,員工自身的個人信息保護合規職責,違規相關風險等。二是培訓實效。通過不定期抽查或現場考試等形式加大培訓督查力度,并納入員工年度考核內容,保留培訓及考核記錄。

(四)建設合規文化

建設個人信息保護合規文化,將合規文化融入企業生產經營活動,形成全員認可的合規文化理念。對內暢通溝通渠道,員工可就合規問題進行咨詢或發表意見,并形成反饋機制;對外宣傳合規文化,展示企業合規形象,為企業發展營造良好的合規輿論及監管環境。

(五)進行影響評估

在處理敏感個人信息,利用個人信息進行自動化決策,委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息,向境外提供個人信息等四種情形時,進行個人信息影響評估。評估內容包括個人信息處理目的、處理方式等是否合法、正當、必要,對個人權益的影響及安全風險,所采取的保護措施是否合法、有效并與風險程度相適應。評估基本方法有訪談、檢查、測試等。評估報告和處理情況記錄應當至少保存三年。

(六)加強風險監測

從人員、流程、技術等安全要素出發,加強風險監測。人員方面,組建一支專業的協同團隊,消除安全風險避免安全事件;流程方面,形成良好的管理流程,確保人員發揮作用、監測措施能夠落地;技術方面,完善監測技術體系,不斷優化升級新型技術工具。

(七)制定應急措施

制定并組織實施個人信息安全事件應急機制。一是采取補救措施。評估事件帶來的影響和損害,抑制事件的影響進一步擴大,并恢復數據與服務。二是通知相關部門和個人。通知應當包括個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害,采取的補救措施和個人可以采取的減輕危害的措施,個人信息處理者的聯系方式。

(八)定期合規審計

對個人信息保護合規機制的合理性、可行性、有效性等進行審計,評估具體流程合規操作的規范性。由企業自發進行的定期審計,可以由企業內部專人進行,也可以聘請外部第三方機構進行;由個人信息保護職責部門要求進行的外部審計,適用于企業在處理個人信息時面臨較大風險或者發生個人信息安全事件。審計完成后形成審計報告,總結內部合規機制運行狀況以及提出整改方向。

頻道精選

首頁 | 城市快報 | 國內新聞 | 教育播報 | 在線訪談 | 本網原創 | 娛樂看點

Copyright @2008-2018 經貿網 版權所有 豫ICP備18004326號-5
本站點信息未經允許不得復制或鏡像 聯系郵箱:52 86 831 89@qq.com







 

国产精品久久精品国产| 白丝乳交内射一二三区| av免费网站无码| 日韩AV无码一区二区三区无码| 亚洲AV永久无码一区二区三区| 一区二区和激情视频|