企业合规

企业个人信息保护合规指引

王吉成

执业律师

企业如何做好个人信息保护合规?有哪些注意事项?本文详解企业个人信息保护合规指引。

引言

“企业收集使用个人信息,如何合规?”

个人信息保护是企业合规的重要内容。随着《个人信息保护法》的实施,企业对个人信息的处理活动受到更严格的监管。了解企业个人信息保护合规的要求,有助于企业防范法律风险。

一、个人信息的基本概念

(一)个人信息的定义

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。

个人信息不包括匿名化处理后的信息。

匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。

(二)个人信息的类型

个人信息包括以下类型。

生物识别信息。如人脸、指纹、虹膜等。

宗教信仰、特定身份信息。

医疗健康信息。

金融账户、行踪轨迹等信息。

其他个人信息。如姓名、住址、电话号码等。

(三)敏感个人信息

敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。

敏感个人信息包括以下类型。

生物识别信息。

宗教信仰、特定身份信息。

医疗健康信息。

金融账户、行踪轨迹等信息。

不满十四周岁未成年人的个人信息。

二、个人信息处理的原则

企业处理个人信息,应当遵循以下原则。

(一)合法、正当、必要原则

企业处理个人信息,应当具有明确、合理的目的,并与处理目的直接相关。

企业处理个人信息,应当采取对个人权益影响最小的方式。

企业处理个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。

(二)公开、透明原则

企业处理个人信息,应当公开个人信息处理规则,明示处理的目的、方式、范围。

(三)信息质量原则

企业处理个人信息,应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。

(四)安全保障原则

企业处理个人信息,应当采取必要措施保障个人信息安全。

三、个人信息处理的规则

(一)告知同意规则

企业处理个人信息,应当告知个人信息处理规则,取得个人的同意。

告知应当包括以下内容。

企业的名称、联系方式。

处理个人信息的目的、方式、种类。

处理个人信息的保存期限。

个人行使权利的方式和程序。

其他应当告知的事项。

取得同意应当是自愿、明确、具体的同意。

(二)共同处理规则

两个以上的企业共同处理个人信息的,应当约定各自的权利和义务。

约定不明确的,承担连带责任。

(三)委托处理规则

企业委托他人处理个人信息的,应当与受托人约定委托处理的目的、期限、方式、个人信息的种类、保护措施等。

受托人应当按照约定处理个人信息,不得超出约定的处理目的、方式等处理个人信息。

(四)个人信息转移规则

企业向其他组织、个人提供个人信息的,应当向个人告知接收方的名称、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。

(五)公开个人信息处理规则

企业应当公开个人信息处理规则,明确个人信息处理的目的、方式、范围。

四、个人信息跨境提供的规则

(一)安全评估

企业向境外提供个人信息,应当通过国家网信部门组织的安全评估。

(二)专业机构认证

企业向境外提供个人信息,可以经专业机构进行个人信息保护认证。

(三)标准合同

企业向境外提供个人信息,可以与境外接收方订立标准合同,约定双方的权利和义务。

(四)其他条件

企业向境外提供个人信息,应当符合法律、行政法规和国家网信部门规定的其他条件。

五、个人信息的存储

(一)存储期限

企业存储个人信息,不得超过实现处理目的所必要的期限。

(二)存储地点

企业存储个人信息,应当在境内存储。确需向境外提供的,应当符合国家有关规定。

(三)存储安全

企业存储个人信息,应当采取必要措施保障个人信息安全。

六、个人信息的安全保护

(一)安全技术措施

企业应当采取以下安全技术措施。

加密。对个人信息进行加密,防止信息泄露、篡改。

访问控制。对个人信息的访问进行控制,防止未授权访问。

安全审计。对个人信息的处理活动进行安全审计,及时发现安全问题。

(二)安全管理制度

企业应当建立以下安全管理制度。

个人信息安全管理制度。明确个人信息保护的责任、流程、措施。

个人信息安全培训制度。定期对员工进行个人信息保护培训。

个人信息安全事件应急制度。建立个人信息安全事件应急预案。

七、个人信息主体的权利

个人享有以下权利。

(一)查阅、复制权

个人有权查阅、复制其个人信息。

(二)更正、补充权

个人有权请求企业更正、补充其个人信息。

(三)删除权

在下列情形下,个人有权请求企业删除其个人信息。

企业处理目的已实现、无法实现或者为实现处理目的不再必要。

企业停止提供产品或者服务,或者保存期限已届满。

个人撤回同意。

企业处理个人信息违反法律、行政法规或者违反约定。

(四)撤回同意权

个人有权撤回对个人信息处理的同意。

(五)注销账号权

个人有权请求企业注销其账号。

八、个人信息保护的合规建议

(一)建立个人信息保护制度

企业应当建立完善的个人信息保护制度,明确个人信息保护的责任、流程、措施。

(二)开展个人信息影响评估

企业处理个人信息前,应当开展个人信息影响评估,评估个人信息处理可能对个人权益的影响。

(三)指定个人信息保护负责人

企业处理个人信息达到一定数量,应当指定个人信息保护负责人,负责个人信息保护工作。

(四)加强员工培训

企业应当加强员工个人信息保护培训,提高员工的个人信息保护意识。

(五)建立个人信息安全事件应急机制

企业应当建立个人信息安全事件应急机制,一旦发生个人信息安全事件,能够及时应对。

九、律师提示

企业个人信息保护合规涉及复杂的法律问题,建议咨询专业律师。

律师可以帮助企业建立健全个人信息保护制度,评估个人信息保护风险,应对个人信息保护检查,维护企业的合法权益。

如有企业个人信息保护合规相关问题,欢迎随时咨询。

本文仅供参考,不构成法律意见。具体案件请咨询专业律师。

分享本文:
返回文章列表

有法律问题需要咨询?

如果您对本文内容有任何疑问,或需要专业法律服务,欢迎随时联系。

电话咨询 了解王律师

相关文章

企业合规

企业合规与刑事风险防范:企业家必知的法律底线

在当前经济形势下,企业面临的法律风险日益复杂。本文从刑事辩护律师的视角,解析企业经营中的常见刑事风险点,探讨如何建立有效的合规体系,帮助企业家远离法律红线。

企业合规

企业劳动用工合规:从招聘到离职的全流程风险防范

劳动争议是企业面临的高发法律风险之一。本文从企业合规角度,解析招聘、合同签订、薪酬社保、员工管理、解除劳动合同等各环节的法律风险,帮助企业建立完善的用工合规体系。

企业合规

公司治理与股东权利:中小股东权益保护

公司治理关系到公司和股东的利益。本文详解公司治理结构、股东权利以及中小股东权益保护。