點(diǎn)贊(0)

點(diǎn)贊(0)

《個(gè)人信息保護(hù)法》下的企業(yè)合規(guī)自查80條

君合法律評(píng)論

2021-08-24 11:27 5255 0 0

【盛會(huì)邀請(qǐng)】2024大連·特殊資產(chǎn)管理高峰論壇報(bào)名開啟(11.15-11.16)

《個(gè)人信息保護(hù)法》已經(jīng)于2021年8月20日經(jīng)全國人大常委第三次審議通過，并將于2021年11月1日開始實(shí)施，中國即將進(jìn)入以《個(gè)保法》為基本法的個(gè)人信息保護(hù)新時(shí)代。

作者：楊錦文高健李圓圓

來源：君合法律評(píng)論（ID：JUNHE_LegalUpdates）

《個(gè)人信息保護(hù)法》（以下簡稱“《個(gè)保法》”）已經(jīng)于2021年8月20日經(jīng)全國人大常委第三次審議通過，并將于2021年11月1日開始實(shí)施，中國即將進(jìn)入以《個(gè)保法》為基本法的個(gè)人信息保護(hù)新時(shí)代。

《個(gè)保法》由八章七十四條構(gòu)成（主要內(nèi)容及章節(jié)見下表），在充分吸收《民法典》、《消費(fèi)者權(quán)益保護(hù)法》、《網(wǎng)絡(luò)安全法》關(guān)于個(gè)人信息定義及處理規(guī)則、處理流程、個(gè)人信息處理者的網(wǎng)絡(luò)安全保護(hù)義務(wù)等的基礎(chǔ)上，對(duì)禁止利用自動(dòng)化決策“大數(shù)據(jù)殺熟”、加重大型互聯(lián)網(wǎng)平臺(tái)信息義務(wù)、嚴(yán)格個(gè)人信息跨境提供要求等方面做出了創(chuàng)新規(guī)定。企業(yè)作為典型的個(gè)人信息處理者，應(yīng)高度重視各方面的規(guī)制要求。

主要內(nèi)容		章節(jié)
適用范圍及個(gè)人信息處理的基本原則		第一章總則
個(gè)人信息處理的具體規(guī)則、跨境提供規(guī)則		第二章個(gè)人信息處理規(guī)則第三章個(gè)人信息跨境提供的規(guī)則
個(gè)人、企業(yè)、監(jiān)管部門等參與主體的權(quán)責(zé)		第四章個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利第五章個(gè)人信息處理者的義務(wù) 第六章履行個(gè)人信息保護(hù)職責(zé)的部門
法律責(zé)任等		第七章法律責(zé)任第八章附則

特別需要注意的是，在對(duì)個(gè)人信息違法行為的處罰措施上，《個(gè)保法》祭出了前所未有的重罰規(guī)定：對(duì)違法處理個(gè)人信息的App等應(yīng)用程序進(jìn)行暫停或者終止服務(wù)；對(duì)個(gè)人信息的嚴(yán)重違法行為，立法者參考《反壟斷法》等按照營業(yè)額的百分比進(jìn)行處罰的路徑，規(guī)定最高處以上一年度營業(yè)額百分之五的處罰（或者5000萬元以下）。

繼2021年5月中央網(wǎng)信辦與工信部、公安部、市場監(jiān)管總局等四部門聯(lián)合對(duì)攝像頭偷拍人臉進(jìn)行集中整治行動(dòng)之后，2021年7月某知名出行App被下架整改并面臨網(wǎng)絡(luò)安全審查，預(yù)計(jì)《個(gè)保法》的正式實(shí)施將開啟個(gè)人信息全面監(jiān)管的新局面。企業(yè)應(yīng)充分利用《個(gè)保法》2021年11月1日實(shí)施前的兩個(gè)月窗口期，及時(shí)對(duì)現(xiàn)有App、網(wǎng)頁、線下業(yè)務(wù)中的個(gè)人信息收集處理規(guī)則進(jìn)行自查整改，防止成為適用《個(gè)保法》的第一案。我們制作了以下個(gè)人信息合規(guī)自查清單，供各企業(yè)自查整改之時(shí)作為路線圖參考。

一、公司規(guī)章制度
1. 是否建立了公司內(nèi)部個(gè)人信息保護(hù)制度和操作規(guī)程		· 是 · 否
2. 是否制定了公司網(wǎng)站等刊載的隱私保護(hù)政策		· 是 · 否
3. 是否制定了并組織實(shí)施個(gè)人信息安全事件應(yīng)急制度		· 是 · 否
4. 是否制定了個(gè)人信息安全事件應(yīng)急預(yù)案并定期進(jìn)行演練		· 是 · 否
5. 是否確定了個(gè)人信息處理的操作權(quán)限，并定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn)		· 是 · 否
6. 是否定期對(duì)公司處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)		· 是 · 否

二、個(gè)人信息處理全流程管理
各處理環(huán)節(jié)通用規(guī)則（兼收集）
7. 處理個(gè)人信息前，是否已經(jīng)取得個(gè)人的同意		· 是 · 否
8. 收集、處理員工信息是否超出履行勞動(dòng)合同、實(shí)施人力資源管理所必需的范圍		· 是 · 否
9. 如果未取得個(gè)人的同意，是否存在以下任一情形： (1) 為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需 (2) 按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需 (3) 依法合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息 (4) 其他		· 是 · 否
10. 處理個(gè)人信息前，是否以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知下列事項(xiàng)： (1) 個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式； (2) 個(gè)人信息的處理目的、處理方式，處理的個(gè)人信息種類、保存期限； (3) 個(gè)人行使本法規(guī)定權(quán)利的方式和程序。		· 是 · 否
11. 是否存在以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)		· 是 · 否
12. 是否存在采取誤導(dǎo)、欺騙、脅迫方式取得個(gè)人同意的情形		· 是 · 否

個(gè)人信息使用
13. 個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更時(shí)，是否重新取得了個(gè)人同意		· 是 · 否
14. 共同處理：與其他個(gè)人信息處理者共同決定個(gè)人信息的處理目的和處理方式時(shí)，是否通過協(xié)議方式明確約定各自的權(quán)利和義務(wù)		· 是 · 否
15. 委托處理1：委托處理個(gè)人信息時(shí)，是否通過書面協(xié)議與受托人約定委托處理的目的、期限、處理方式、個(gè)人信息的種類、保護(hù)措施以及雙方的權(quán)利和義務(wù)等		· 是 · 否
16. 委托處理2：委托處理個(gè)人信息時(shí)，是否在委托合同履行過程中對(duì)受托人的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督，使得受托人不得超出約定的處理目的、處理方式等處理個(gè)人信息		· 是 · 否
17. 委托處理個(gè)人信息之前，是否事先進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄		· 是 · 否
18. 是否制作了個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄并至少保存三年		· 是 · 否

個(gè)人信息保存及公開
19. 是否超過為實(shí)現(xiàn)處理目的所必要的最短時(shí)間保存?zhèn)€人信息		· 是 · 否
20. 公開其處理的個(gè)人信息時(shí)，是否取得了個(gè)人的單獨(dú)同意		· 是 · 否
21. 公開個(gè)人信息之前，是否事先進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄		· 是 · 否
22. 是否制作了個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄并至少保存三年		· 是 · 否

個(gè)人信息提供
23. 企業(yè)為提供方時(shí)：向其他個(gè)人信息處理者提供其處理的個(gè)人信息時(shí)，是否向個(gè)人告知了接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類，并已取得個(gè)人的單獨(dú)同意		· 是 · 否
24. 企業(yè)為接收方時(shí):（1）從其他個(gè)人信息處理者接受其處理的個(gè)人信息時(shí)，是否約定對(duì)該個(gè)人信息的處理目的、處理方式和個(gè)人信息的種類		· 是 · 否
25. 企業(yè)為接收方時(shí)：（2）處理個(gè)人信息時(shí)，是否按照約定的處理目的、處理方式和個(gè)人信息的種類等范圍內(nèi)處理個(gè)人信息		· 是 · 否
26. 變更原先的處理目的、處理方式時(shí)，是否依照個(gè)人信息保護(hù)法的規(guī)定重新取得個(gè)人同意（是指向個(gè)人重新告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類，并重新取得個(gè)人的單獨(dú)同意）		· 是 · 否
27. 向其他個(gè)人信息處理者提供個(gè)人信息之前，是否事先進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄		· 是 · 否
28. 是否制作了個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄并至少保存三年		· 是 · 否

自動(dòng)化決策
29. 利用個(gè)人信息進(jìn)行自動(dòng)化決策之前，是否事先進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄		· 是 · 否
30. 是否制作了個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄并至少保存三年		· 是 · 否
31. 利用個(gè)人信息進(jìn)行自動(dòng)化決策時(shí)，是否對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇		· 是 · 否
32. 通過自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營銷，是否提供了不針對(duì)其個(gè)人特征的選項(xiàng)或者向個(gè)人提供便捷的拒絕方式		· 是 · 否
33. 通過自動(dòng)化決策方式作出對(duì)個(gè)人權(quán)益有重大影響的決定時(shí)，是否根據(jù)個(gè)人的要求予以說明		· 是 · 否

個(gè)人信息權(quán)利主體的權(quán)利保障
34. 基于個(gè)人同意處理個(gè)人信息的，個(gè)人信息處理者是否提供便捷的撤回同意的方式		· 是 · 否
35. 是否在企業(yè)內(nèi)部設(shè)置個(gè)人權(quán)利申請(qǐng)受理和處理機(jī)制以及時(shí)處理個(gè)人主體關(guān)于查閱、復(fù)制、更改、補(bǔ)充或者刪除個(gè)人信息的權(quán)利請(qǐng)求		· 是 · 否
36. 個(gè)人請(qǐng)求將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者，是否符合國家網(wǎng)信部門規(guī)定條件		· 是 · 否
37. 前項(xiàng)如果符合，是否為個(gè)人提供轉(zhuǎn)移的途徑		· 是 · 否
38. 存在以下情形之一時(shí)，是否主動(dòng)刪除個(gè)人信息： (1) 個(gè)人信息的處理目的已實(shí)現(xiàn)、無法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要； (2) 個(gè)人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿； (3) 個(gè)人撤回同意。		· 是 · 否

三、特殊情形
個(gè)人信息出境
39. 境外接收方是否被國家網(wǎng)信部門列入限制或者禁止個(gè)人信息提供清單		· 是 · 否
40. 向境外提供個(gè)人信息之前，是否事先進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄		· 是 · 否
41. 是否制作了個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄并至少保存三年		· 是 · 否
42. 是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者		· 是 · 否
43. 如果是，是否就其向境外提供個(gè)人信息辦理了網(wǎng)信部門組織的安全評(píng)估		· 是 · 否
44. 是否屬于經(jīng)國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行了個(gè)人信息保護(hù)認(rèn)證即可出境的情形		· 是 · 否
45. 如果是，是否按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行了個(gè)人信息保護(hù)認(rèn)證		· 是 · 否
46. 是否屬于按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同即可出境的情形		· 是 · 否
47. 如果是，是否按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)		· 是 · 否
48. 是否向個(gè)人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項(xiàng)		· 是 · 否
49. 是否取得了個(gè)人的單獨(dú)同意		· 是 · 否
50. 是否采取了必要措施，以保障境外接收方處理個(gè)人信息的活動(dòng)達(dá)到中國個(gè)人信息保護(hù)法規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)		· 是 · 否
51. 是否被外國司法或執(zhí)法機(jī)構(gòu)要求提供存儲(chǔ)在中國境內(nèi)的個(gè)人信息		· 是 · 否
52. 是否就前述事項(xiàng)取得了主管機(jī)關(guān)的批準(zhǔn)		· 是 · 否

敏感個(gè)人信息特殊保護(hù)
53. 是否存在處理敏感個(gè)人信息（包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息）的情形		· 是 · 否
54. 處理敏感個(gè)人信息是否具有特定的目的和充分的必要性		· 是 · 否
55.處理敏感個(gè)人信息是否采取了嚴(yán)格的保護(hù)措施		· 是 · 否
56. 是否就處理敏感個(gè)人信息取得了個(gè)人的單獨(dú)同意		· 是 · 否
57. 如果法律要求取得書面同意的，是否就處理敏感個(gè)人信息取得了個(gè)人的單獨(dú)同意		· 是 · 否
58. 處理敏感信息之前是否事先進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄		· 是 · 否

59. 是否制作了個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄并至少保存三年		· 是 · 否
60. 是否向個(gè)人告知了個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式、處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響		· 是 · 否
61. 是否存在處理不滿十四周歲未成年人個(gè)人信息的情形		· 是 · 否
62. 如果存在處理不滿十四周歲未成年人個(gè)人信息的，是否取得未成年人的父母或者其他監(jiān)護(hù)人的同意		· 是 · 否
63. 如果存在處理不滿十四周歲未成年人個(gè)人信息的，是否制定了專門的個(gè)人信息處理規(guī)則		· 是 · 否

大量個(gè)人信息處理者
64. 是否屬于國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者		· 是 · 否
65. 如果屬于國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者，是否指定了個(gè)人信息保護(hù)負(fù)責(zé)人		· 是 · 否
66. 是否公開了個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式		· 是 · 否
67. 是否將個(gè)人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門		· 是 · 否

重要互聯(lián)網(wǎng)平臺(tái)
68. 是否按照國家規(guī)定建立了健全個(gè)人信息保護(hù)合規(guī)制度體系		· 是 · 否
69. 是否成立了主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督		· 是 · 否
70. 是否遵循公開、公平、公正的原則，制定平臺(tái)規(guī)則，明確平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù)		· 是 · 否
71. 是否對(duì)嚴(yán)重違反法律、行政法規(guī)處理個(gè)人信息的平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者，停止提供服務(wù)		· 是 · 否
72. 是否定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告		· 是 · 否

中國境外的個(gè)人信息處理者
73. 是否有在中國境外以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的處理中國境內(nèi)自然人個(gè)人信息的情形		· 是 · 否
74. 是否有在中國境外分析、評(píng)估境內(nèi)自然人的行為而處理中國境內(nèi)自然人個(gè)人信息的情形		· 是 · 否
75. 滿足前兩項(xiàng)任一情形的，中國境外的個(gè)人信息處理者，是否在中國境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表，負(fù)責(zé)處理個(gè)人信息保護(hù)相關(guān)事務(wù)		· 是 · 否
76. 是否將有關(guān)機(jī)構(gòu)的名稱或者代表的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門		· 是 · 否

App合規(guī)管理（要點(diǎn)）
77. 是否根據(jù)《個(gè)人信息保護(hù)法》修改目前的隱私保護(hù)政策		· 是 · 否
78. 是否根據(jù)《個(gè)人信息保護(hù)法》修改目前的用戶協(xié)議		· 是 · 否
79. 是否根據(jù)《個(gè)人信息保護(hù)法》調(diào)整個(gè)人信息處理規(guī)則		· 是 · 否
80. 是否根據(jù)《個(gè)人信息保護(hù)法》保障個(gè)人信息權(quán)利主體的權(quán)利		· 是 · 否