《个人信息保护法(草案)》发布,该法旨在保护个人信息权益,规范个人信息处理活动,保障个人信息依法有序自由流动,促进个人信息合理使用。保护的权利和义务。个人信息保护法(草案)内容公布,那么该法对企业有何影响?企业应如何开展数据合规工作?本文将对上述问题进行详细阐述。1、个人信息保护法适用于全行业草案规定,个人信息处理者仅适用于个人信息在境内使用,跨境处理个人信息者需设立专门机构或指定代表。明确个人信息是指以电子或者其他方式记录的与已识别或者可识别自然人有关的各种信息,个人信息处理包括收集、存储、使用、处理、传输、提供、披露个人信息等活动。信息。在中华人民共和国境内处理自然人个人信息的组织和个人,应当在中华人民共和国境内为跨境处理个人信息的组织和个人设立专门机构或者指定代表。必要时在域外适用效力,充分保护我国境内个人的权益。具体参考:第三条、第四条、第五十二条、第六十八条2、草案重点关注个人信息的使用场景,规定个人信息处理者应当参与大数据分析、数据共享与分发、数据交叉-特定场景下的边境等相关规定。个人在利用个人信息进行自动化决策时,认为自动化决策对其权益产生重大影响的,有权要求个人信息处理者作出说明,并有权拒绝。在使用自动化决策进行商业营销和信息推送时,应提供不针对个人特征的选项。向境外提供个人信息的,至少要经过网信部门组织的安全评估,由专业机构按照网信部门规定进行个人信息保护认证,并与境外接收方签订合同冒充本法律法规规定的个人信息保护。法律法规规定的标准和其他标准只能执行其中一项。草案规定,个人信息共享和传播、境外传输活动前应当进行风险评估,包括:目的、处理方式、影响和风险等级、保护措施、风险等级等,评估报告应当留存至少三年。具体参考:第二十五条、第二十六条、第三十八条、第五十四条三、草案对处理个人信息的要求进行了强化,明确信息处理者处理个人信息需要征得本人同意,违者将受到严惩。它还定义了敏感的个人信息,包括:种族、民族、宗教信仰、个人生物识别、医疗健康、财务账户、个人行踪等。强调敏感个人信息只能为特定目的和充分必要性而处理,个人必须单独获得同意或书面同意,并且必须告知处理敏感个人信息的必要性和对个人的影响。对违反个人信息使用规定的,将严格按照有关法律、行政法规的规定进行处理。具体参考:第29条-第32条4.明确个人信息的个人权利和处理者的义务依据民法典第1034条至第1039条的规定制定。规定了处理者的义务。个人权利具体包括:知情权、决定权、查询权、更正权、删除权、解释权等。个人信息处理者拒绝个人行使权利的请求的,并说明理由。对于个人信息处理者,有义务采取必要措施,确保个人信息处理活动符合法律法规的规定。包括管理制度建设、个人信息分类分级管理、加密和去标识化措施等安全技术措施。并设立个人信息保护负责人进行监督。境外个人信息处理者需在中国境内设立专门机构或指定代表。个人信息保护者需要定期对个人信息进行审计和风险评估。发现个人信息泄露的,应当立即采取补救措施,并通知实施个人信息保护的部门和个人。具体参考:第四十四条至第五十五条五、加大对违法行为的处罚力度。百分之五罚款。对违反《个人信息保护法》规定处理个人信息或未采取必要保护措施的,将没收违法所得。拒不改正的,处100万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,处5000万元以下或者上一年营业额5%以下的罚款,可以责令停业、停业、停业。对企业进行整顿的,吊销营业执照证书或者吊销营业执照。具体参考:从GDPR看《个人信息保护法》第62条GDPR被认为是目前最全面、最严格的数据保护法。通过对比中国的《个人信息保护法(草案)》与GDPR的异同,可以更好地帮助企业应对全球数据流动的挑战,也可以让企业从其他国家的合规实践中为在中国部署数据合规措施提供参考:保护对象与GDPR管辖范围基本相同;保护对象为个人信息,与GDPR、CCPA等主要数据法规无实质区别;规定了查阅权、复制权、更正权、删除权、决定权、限制权和拒绝处理权、解释权等,更接近于国际主流数据保护法的权利配置。设置保护证明、签订合同等,与借鉴GDPR关于数据出境的规定,设置数据保护岗位负责人的前提要求不同。从比较的角度来看,一方面,个人信息保护法借鉴了国际上先进的个人信息保护规则,更好地与国际接轨;局部调整了保护要求。那么GDPR的实施情况如何:自GDPR实施以来,已经有近300起罚款,从最低90欧元到最高2.04亿欧元不等。2019年11月8日,一家匈牙利医院因违反GDPR被罚款90欧元。同年,英国航空公司因泄露50万名乘客的个人信息而被罚款近2.04亿欧元。超过三分之一的罚款是由于数据处理的法律依据不当,近三分之一是由于技术和管理措施不足以确保信息安全,例如数据泄露。从GDPR对个人隐私保护相关事件的处罚,我们可以窥见未来我国个人隐私保护法对数据安全事件的处罚尺度。国家对个人信息保护的监管趋势,正是由于近年来个人隐私泄露事件频发。个人信息保护已成为全社会的焦虑。加强个人信息保护领域执法经验积累,个人信息保护监管工作呈现以下特点:一是法律法规不断完善。近年来,我国关于数据安全的法律法规日趋完善。《信息安全技术 个人信息安全规范》《个人信息出境安全评估办法》《个人金融信息保护技术规范》和各行业数据安全分级指南的不断发布,使得企业在正常的业务发展过程中对数据安全的要求更加严格。二是多主体监管。目前,个人信息保护工作由网信部门统筹,会同公安部门、市场监管部门等行业主管部门进行监管。公安部门负责互联网领域APP治理,市场监管部门负责消费者权益保护,同时对线上线下进行多维度监管。随着《个人信息保护法》的正式实施,监管部门的执法权力将进一步加强,多部门联合执法将成为常态。三是逐步加大处罚力度。随着执法经验的不断积累,对于一些多次违法的企业,处罚力度肯定会进一步加大。处罚标准将逐步按照《个人信息保护法》的处罚规定执行。因此,确保个人信息在收集、存储、使用、处理、传输、提供、披露等活动中的安全,是避免巨额罚款、确保企业声誉安全的关键。链接。面对个人信息保护的监管要求,企业该如何应对?针对企业内部个人信息安全存在或可能存在的安全问题,为响应行业监管要求,提升个人信息整体安全保护效果,应从顶层建设入手,制定管理规范个人信息保护措施。冠安信息基于多年数据安全治理经验,建议企业从以下几个方面采取措施保护个人信息:(1)加强企业内部个人信息合规建设。落实、监管力度会越来越大,数据安全合规成为未来企业可持续发展的必然要求。法律法规是保障信息化建设的强制性措施。作为企业经营者,安全合规是企业可持续发展的首要条件。提前做好个人信息处理活动的相关合规工作,夯实基础,防患于未然。(二)《关于建立健全企业内部个人信息保护制度的草案》第五十条对此作出规定。综上所述,企业应当根据处理个人信息的目的、方式、类型、影响、可能存在的安全风险,在相关法律法规的规定下,制定内部管理制度和操作规程,对个人信息实施分级分类管理。个人信息,并采取相应的加密、去标识化等安全技术措施。对此,企业应建立健全内部个人信息管理制度,加强内部安全意识培训,加强对掌握公民个人信息的工作人员的保密教育和培训。(三)制定个人信息细粒度管控措施对个人信息进行细粒度管控,需要了解哪些个人信息需要保护。草案第29条描述了个人敏感信息,包括:种族、民族、宗教信仰、个人生物特征、医疗健康、财务账户、个人行踪等。接下来,企业将面临几个问题:(4)敏感个人信息在哪里分散式?我应该如何管理这些敏感的个人信息?首先,我们明确了什么是敏感信息。其次,我们需要找出敏感的个人信息分布在哪里。最后,对于个人敏感信息的保护,我们不能采取一刀切的方式,比如全部脱敏。这既浪费资源,也不利于敏感个人信息的有效管控。因此,对于静态存储的数据,您可以使用观知敏感数据发现系统,发现分布在企业内部各种数据资产中的个人敏感信息,并根据数据的来源、内容、用途,按照相关的分类,对数据进行分类。行业规范要求和行业范围的数据。数据根据其价值、内容敏感性、影响和分发范围进行分类。不同敏感级别的数据有不同的管控原则和数据开放要求,实现企业对不同类型、不同级别的个人敏感信息精细化运营管控的要求。(五)加强个人信息和数据泄露场景管理。经过多年的沉淀,企业业务系统积累了大量的个人隐私数据和企业信息。海量数据除了内部流通,还需要对外“共享”。如何在生成、交换、共享等场景下保障个人信息的安全可用性和数据使用价值?为了满足这种需求,数据共享需要数据脱敏技术和水印溯源技术。尤其是数据用于开发、测试、训练等环境时,使用真实数据会面临严重的数据泄露风险。(6)定期对个人信息等敏感数据进行风险评估企业采用安全产品治理后,需要定期对企业内部资产进行风险排查。借助冠安敏感数据发现工具,您可以通过分析敏感数据的分布情况,结合数据分级分类管控原则,检查敏感数据的安全保护情况,是否存在数据安全风险。敏感数据,不合规的数据及其所在位置。及时送交相应部门整改,落实数据资产脱敏或加密等安全整改工作。写在最后信息技术的飞速发展使得个人信息的获取变得越来越容易。《个人信息保护法》的颁布,将有助于震慑一些不法分子通过不正当手段获取个人信息,防止企业不当使用这些数据对个人造成的财产损失和精神损害。至于如何在个人隐私信息保护与企业经济发展之间取得一定的平衡,需要在法律法规的基础上结合企业自律,共同完善个人信息保护制度。
