《个人信息保护法》下的企业合规义务

1、个人信息保护法下的个人信息保护法下的企业合规义务企业合规义务汇报人：汇报人：XXXXXX目录目录一一个人信息的处理规则个人信息的处理规则二二个人信息出境限制个人信息出境限制三三个人在信息处理中的权利个人在信息处理中的权利四四个人信息保护措施个人信息保护措施 个人信息保护法个人信息保护法（个保法）于（个保法）于20212021年年8 8月月2121日日颁布，并颁布，并于于20212021年年1111月月1 1日日起正式生效。起正式生效。个人信息保护法与网络安全法个人信息保护法与网络安全法和数据安全法和数据安全法成为构建我国成为构建我国数据主权数据主权、数据安全数据安全、网络安全网络安全和和个人信息保护个人信息保护法律框架的三个重要支柱，并对我国数字经济发展、个法律框架的三个重要支柱，并对我国数字经济发展、个人信息保护、企业数据合规实践等产生重大且深远影响。个保法人信息保护、企业数据合规实践等产生重大且深远影响。个保法的颁布也标志着我国个人信息保护进入新时代。的颁布也标志着我国个人信息保护进入新时代。引引 言言一一个人信息的处理规则个人信息的处理规则（一）（一）什么是什么是“个人信息个人信

2、息”？什么是？什么是“个人信息处理个人信息处理”？个保法规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”一、个人信息的处理规则一、个人信息的处理规则个保法对于“个人信息”和“个人信息的处理”的定义与网络安全法、民法典和个人信息安全规范（“规范”）中的定义类似，尽管略有区别，但总体上个保法对于个人信息依然采取了较为宽泛的定义方式，强调在识别性的基础上，与特定自然人有关的信息均可构成个人信息。一、个人信息的处理规则一、个人信息的处理规则（二）（二）如何处理个人信息？（从个人信息全生命周期角度讨论）如何处理个人信息？（从个人信息全生命周期角度讨论）个保法对于个人信息的处理规则以专章形式进行介绍，包括一般规定、敏感信息的处理规则和国家机关处理个人信息的特别规定。本文仅讨论其中与企业合规相关的内容。一、个人信息的处理规则一、个人信息的处理规则1.1.处理的合法性基础处理的合法性基础个保法规定了个人信息处理活动的合法性基础，包括：取得个人的同意；为订立、履行

3、个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；为履行法定职责或者法定义务所必需；一、个人信息的处理规则一、个人信息的处理规则为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；法律、行政法规规定的其他情形。一、个人信息的处理规则一、个人信息的处理规则个人信息处理者需至少满足以上合法性基础中的任意一项才可进行个人信息处理活动。除非另有特殊情形，上述第一项的“告知+同意”原则仍是企业处理个人信息的核心合法性基础。需要注意的是，根据上述规定，用人单位可以按照“依法制定的劳动规章制度和依法签订的集体合同”、为“实施人力资源管理”目的而处理劳动者的信息而无需其同意。一、个人信息的处理规则一、个人信息的处理规则该条虽然承认了雇佣场景下用人单位处理劳动者个人信息的正当性，但也不宜将其绝对化。我们认为，如果用人单位超出日常人力资源管理的合理范围处理个人信息、或存在某些特殊处理行

4、为时（例如处理劳动者的敏感个人信息、员工信息出境、向他人提供员工个人信息等），仍应审慎判断并设置告知-同意机制，从而满足个保法下的要求。一、个人信息的处理规则一、个人信息的处理规则2.2.个人信息处理者的告知义务个人信息处理者的告知义务(1)(1)告知的内容与要求告知的内容与要求告知的内容：告知的内容：个保法规定了个人信息处理者处理个人信息和敏感个人信息前应当告知的内容，包括：个人信息处理者的名称或者姓名和联系方式；一、个人信息的处理规则一、个人信息的处理规则个人信息处理目的、处理方式，处理的个人信息种类、保存期限；个人行使本法规定权利的方式和程序；处理敏感信息的必要性（如有）；处理敏感信息对个人权益的影响（如有）；处理不满十四周岁未成年人个人信息的专门的个人信息处理规则；法律、行政法规规定应当告知的其他事项。一、个人信息的处理规则一、个人信息的处理规则根据个保法，“敏感个人信息敏感个人信息”指的是“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的

5、个人信息”。一、个人信息的处理规则一、个人信息的处理规则告知的要求告知的要求：此外，根据个保法，个人信息处理者应当以显著方式、清晰易懂的语言真实、准确、完整地进行告知。如果告知事项发生变更的，应当将变更部分告知个人。如果通过制定个人信息处理规则的方式进行告知的，还应当公开处理规则，便于查阅和保存。一、个人信息的处理规则一、个人信息的处理规则(2)(2)无需告知的情形无需告知的情形个保法规定，企业的告知义务在一定情形下可以予以免除或延迟，包括：“法律、行政法规规定应当保密或者不需要告知的情形”，此时告知可以予以免除；或者“紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的”，此时告知可以延迟至紧急情况消除后再及时告知。一、个人信息的处理规则一、个人信息的处理规则3.3.对个人信息处理行为的同意对个人信息处理行为的同意(1)(1)同意的要求同意的要求同意的内涵同意的内涵：个保法规定了同意的要求，即需以个人充分知情为前提，进而自愿、明确地作出。这也意味着，如果个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。一、个人信息的处理规则一、个人信息的处理

6、规则单独同意单独同意/书面同意书面同意：值得注意的是，个保法提出，法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，应当从其规定。一、个人信息的处理规则一、个人信息的处理规则个保法一共规定了5处需要个人单独同意的情形，包括：个人信息处理者向其他个人信息处理者提供其处理的个人信息；个人信息处理者公开其处理的个人信息；在公共场所安装图像采集、个人身份识别设备，将所收集的个人图像、身份识别信息用于维护公共安全以外的目的；基于个人同意处理敏感个人信息；个人信息处理者向境外提供个人信息。一、个人信息的处理规则一、个人信息的处理规则“单独同意单独同意”的外在表现形式仍有待进一步明确。如按语义理解，“单独”应与“共同”相对，因此“单独同意”应理解为该同意仅针对一个单独事项，而不能针对多个事项。此要求对企业可能影响较大，例如，App可能需要设置多个用户同意界面、或在同一用户同意界面设置多个勾选项，由用户逐一勾选同意。由于每一用户的选择不同，如何管理多个乃至海量用户的同意范围、并据此精细化管理收集的用户个人信息，对企业也是较大的挑战。一、个人信息的处理规则一、个人信息的处理规则需要注意的

7、是，根据个保法上下文理解，“单独同意”并不完全等于书面同意，书面同意只是实现单独同意的方式之一。我们倾向于认为，如个人信息处理者能够充分保证个人信息主体对上述特殊处理行为的知情权和选择权，在某些特定场景下，个人信息主体的主动行为也可推定为实现了“单独同意”。一、个人信息的处理规则一、个人信息的处理规则(2)(2)未成年人同意未成年人同意个保法将不满十四周岁未成年人的个人信息也划定为敏感个人信息的一种，规定：个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。且个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。一、个人信息的处理规则一、个人信息的处理规则(3)(3)同意的撤回同意的撤回对于以“告知+同意”为合法性基础的个人信息处理活动而言，个保法规定，个人有权撤回同意且个人信息处理者应当提供便捷的撤回同意的方式。同时在个人撤回同意的情况下，个人信息处理者不得以个人撤回同意为由拒绝提供产品或服务；除非处理个人信息属于个人信息处理者提供产品或服务所必需。一、个人信息的处理规则一、个人信息的处理规则4.4.保存（个人信息

8、存储保存（个人信息存储/销毁环节）销毁环节）个保法对个人信息保存期限的规定与规范等规定中一致，即除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。一、个人信息的处理规则一、个人信息的处理规则由于各类个人信息处理行为的目的不同，很难划定全社会统一的保存期限，个保法也未对个人信息的保存期限提出进一步要求。企业需根据行业监管部门的特殊规定（如有）和具体处理行为的目的，设定个人信息的保存期限。一、个人信息的处理规则一、个人信息的处理规则5.5.第三方处理个人信息（共同处理、委托处理、转移、其他个人信息第三方处理个人信息（共同处理、委托处理、转移、其他个人信息处理者提供）处理者提供）对于个人信息处理活动中涉及由第三方处理个人信息的情况，个保法区分为4种情况：1.共同处理、2.委托处理、3.因合并、分立、解散、被宣告破产等转移个人信息，和4.向其他个人信息处理者提供。个人信息处理者及此类第三方的具体义务如下：一、个人信息的处理规则一、个人信息的处理规则一、个人信息的处理规则一、个人信息的处理规则个人信息处理者义务个人信息处理者义务第三方义务第三方义务共同处理共同处理

9、1.约定各自的权利和义务；2.每一方都应响应个人向其提出的行使本法规定的权利的要求；3.如共同处理行为侵害个人信息权益造成损害，承担连带责任。一、个人信息的处理规则一、个人信息的处理规则个人信息处理者义务个人信息处理者义务第三方义务第三方义务委托处理委托处理1.与第三方（受托人）约定委托处理的目的、期限、处理的方式、个人信息的种类、保护措施以及双方的权利义务等；2.对第三方（受托人）的个人信息处理活动进行监督。1按照约定处理个人信息，不得超出约定范围；2委托合同不生效、无效、被撤销或者终止后，向个人信息处理者（委托人）返还个人信息或删除个人信息，不得保留；3未经个人信息处理者同意，不得转委托；4采取必要措施保障所处理的个人信息的安全，并协助个人信息处理者履行本法规定的义务。一、个人信息的处理规则一、个人信息的处理规则个人信息处理者义务个人信息处理者义务第三方义务第三方义务合并、分立、合并、分立、解散、被宣告解散、被宣告破产等破产等向个人告知第三方（接收方）的名称或姓名、联系方式。1.接收方应继续履行个人信息处理者的义务；2.接收方如变更原来的处理目的、处理方式，应按规定重新取得个人同意

10、。一、个人信息的处理规则一、个人信息的处理规则个人信息处理者义务个人信息处理者义务第三方义务第三方义务向其他个向其他个人信息处人信息处理者提供理者提供1.向个人告知第三方（接收方）的名称或姓名、联系方式、处理目的、处理方式和个人信息的种类2.取得个人的单独同意。1.在个人信息处理者告知个人的范围内处理个人信息；2.如变更原先的处理目的、处理方式，按规定重新取得个人同意。6.6.公开（公开披露）公开（公开披露）原则上不得公开：原则上不得公开：个保法规定，个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。一、个人信息的处理规则一、个人信息的处理规则公开的个人信息的使用：公开的个人信息的使用：对于已经公开的个人信息，个保法规定，个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。一、个人信息的处理规则一、个人信息的处理规则上述规定确认了个人信息处理者可在合理的情况下、无需个人同意而处理个人已公开的个人信息，但如果该处理行为对个人权益会产生重大

《《个人信息保护法》下的企业合规义务》由会员zxd****56分享，可在线阅读，更多相关《《个人信息保护法》下的企业合规义务》请在金锄头文库上搜索。