律谈|《个人信息保护法》获通过,这些规定值得外企关注!
观点/研究- 原创
- 广东盈隆律师事务所
- 刊載日
- 2021-08-30
一、 个人信息的跨境传输
二、 人力资源管理中的个人信息处理
三、 利用个人信息进行自动化决策(大数据杀熟与个性化营销)
四、 小型个人信息处理者
五、 法律责任
目录
一
个人信息的跨境传输
对于跨国公司将其从中国境内收集到的消费者、员工等个人信息传往境外总部等场景,《个人信息保护法》对个人信息的跨境传输作出了明确规定:
1、以向中国境内自然人提供产品或者服务为目的,或者分析、评估中国境内自然人的行为等,在中国境外处理中国境内自然人个人信息的活动适用《个人信息保护法》。
2、要求符合上述情形的境外个人信息处理者在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并报送给中国的行政机关。
3、向中国境外提供个人信息的途径包括:①通过中国国家网信部门组织的安全评估;②经指定的专业机构进行个人信息保护认证;③与境外方签订标准合同;④按照中国缔结或参加的国际条约和协定等传输。
4、个人信息处理者应采取必要措施保障境外接收方的处理活动达到《个人信息保护法》规定的保护标准。
5、对跨境提供个人信息的“告知-同意”作出更为严格的要求。
二
人力资源管理中的个人信息处理
《个人信息保护法》规定,处理个人信息应当取得个人同意外,有6种情形可不需取得个人同意,其中包括“为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”这一情形。
如果企业依照《劳动合同法》第4条的民主程序建立或修改的劳动规章制度,规章制度中包含了企业可以因人力资源管理的需求而收集必要的员工信息的相关条款,那么企业收集员工的必要的个人信息不需取得员工的同意。但是,企业仍需要向员工履行告知义务。告知的事项包括:个人信息的处理目的、处理方式,处理的个人信息种类、保存期限,个人行使法律规定权利的方式和程序等。
对于员工入职前的背景调查,严格来说不属于前述为订立劳动合同所必须的行为。如企业针对特殊岗位需要对员工进行背景调查,建议在招聘环节取得劳动者的书面同意,并结合员工手册等相关规章制度自行审查拟调查的内容是否满足招聘员工的目的。
为了防止过度收集个人信息,企业仍需采取相应的措施符合该规定的要求,包括设置公司内部管理制度和操作规程,对员工个人信息实施分类管理,采取安全技术措施,对处理员工个人信息的人员(如人力资源管理部门的人员等)进行培训,明确相关人员的操作权限,并制定及组织实施应急预案等。
此外,《个人信息保护法》第50条规定:“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。”
因此,企业还应为员工建立对于个人信息处理的投诉处理渠道,如果员工提出行使对公司处理其个人信息的知情权、查阅权、删除权、更正权等被公司拒绝的,员工可能向法院起诉。《个人信息保护法》第50条规定的公司拒绝员工行使个人信息相关权利的请求的情形,将可能成为劳资纠纷中的新问题。
三
利用个人信息进行自动化决策(大数据杀熟与个性化营销)
《个人信息保护法》规定自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。《个人信息保护法》第24条对中国社会热议的商家大数据杀熟与个性化营销等自动化决策作出了限制:
“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”
另根据《个人信息保护法》第55条,利用个人信息进行自动化决策,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录。
因此,企业如果存在自动决策的(场景包括:自动向不同客户报价,向不同客户发布不同的广告,自动决定个人征信及贷款额度,或用于面试人员的自动化筛选等),建议企业按照《个人信息保护法》并结合推荐性国家标准《信息安全技术 个人信息安全规范》(GB/T 35273-2020),在规划设计阶段或首次使用前开展个人信息安全影响评估,在使用过程中定期(至少每年一次)开展个人信息保护影响评估,向个人信息主体提供针对自动决策结果的投诉渠道,并支持对自动决策结果的人工复核。此外,由于《个人信息保护法》第55条要求处理者应对处理情况进行记录,因而企业从规划设计阶段开始就应建立“证据意识”,在评估中做好对于数据、程序、方案等的详细书面记录,以应对行政执法检查与司法诉讼。
四
小型个人信息处理者
五
法律责任
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”
上述法律责任条款中规定的罚款金额上限高达五千万元或者上一年度营业额百分之五,比欧盟、美国加州等地规定的惩处力度更高,体现了国家严惩违法处理个人信息行为的决心。本法将在2021年11月1日起施行,企业应重视经营过程中对个人信息的保护,积极履行作为信息处理者的义务,包括尽早完成相关内部管理规程制度的制定、修订,个人信息管理组织架构的设置等建设。
盈隆律师事务所TMT业务团队
盈隆律师事务所TMT(Technology Media Telecom,科技媒体通讯)业务团队紧跟粤港澳大湾区与海南自由贸易港的发展大势,深耕科技、媒体、通讯以及医药健康领域,由多名项目经验丰富的合伙人律师与资深律师集结而成。
团队致力于整合企业合规与风控、涉外法律事务、境内外投资、医疗健康产业以及“一带一路”等业务优势与项目经验,为境内外客户提供包括网络数据安全与运营合规、个人信息与隐私保护、行政审批与检查应对、跨境数据传输、智能医疗、知识产权、以及合规培训等多层次的法律服务。
盈隆律师事务所已为国内政府部门、大型企事业单位、跨国企业集团、初创科技企业等大量客户提供法律服务。团队具有丰富的法律实务经验,包括为国内省级某中外合作超级计算中心的设立与运营提供全程法律服务、承办国内某数据科技公司不正当竞争纠纷案件、为日本某物联网(IoT)行业的公司在中国的数据合规提供法律服务等。
