最新个人信息保护法草案
10月21日,全国人大将十三届全国人大常委会第二十二次会议审议的《个人信息保护法(草案)》(以下简称《草案》)在中国人大网公布,公开征求社会公众意见。《草案》共8章70条,其中不乏各日企及驻在员关注的问题,本次敝所对草案内容作简要介绍,供各日企参考。
1、与日企相关的的要点
(1)赋予《草案》域外适用效力,境外机构处理境内自然人个人信息的,受《草案》管辖,且须在中国境内设立专门机构或指定代表。
对符合下列条件之一的境外企业、机构或个人,均受《草案》的管辖。
①以向中国境内自然人提供产品或服务为目的;②分析、评估境内自然人的行为;③法律、行政法规规定的其他情形。
对于上述外国企业、机构,必须在中国境内设立专门机构或指定代表,负责个人信息保护相关事务。至于具体的操作方式,还需相关部门制定实施条例等配套法规予以明确。
(2)境内外企业在处理个人信息时,应事前充分告知并取得个人同意,并采取必要措施防止个人信息泄漏或被窃取、篡改等。
①充分告知+同意。对于境内外处理自然人个人信息的企业,在处理个人信息时应事前充分告知并取得个人同意。个人可以撤回同意,原则上企业不能以个人不同意为由不提供服务或货物。
②企业采取的必要措施。比如,企业需采取制订内部管理制度、操作规程,区分一般个人信息、敏感个人信息(医疗健康、金融账户、个人行踪等)分类管理,利用相应的加密、去标识化等安全技术措施,以及定期对公司进行审计等必要措施保护个人信息。
对于境外企业或机构来说,除了采取上述措施外,还必须在中国境内设立专业机构或代表,并将机构名称或代表姓名、联系方式等向个人信息保护部门进行报送。
(3)明确向境外提供个人信息的规则和限制
对于向境外提供个人信息的,比如现地日企向日本总社提供境内自然人(包括客户、交易对手、员工等)的个人信息的,应当是出于业务需要,且至少满足以下条件之一;
①经过国家网信部门的安全评估;②经过专业机构的个人信息保护认证;③与境外接收方签署合同,监督境外机构处理个人信息活动达到了《草案》规定的个人信息保护标准。
除了上述要求,境内企业还需向个人信息主体明确告知并经其单独同意,开展个人信息安全影响评估方可向境外提供个人信息。
(4)加大了对侵犯个人权益的惩罚力度,最高可处营业额的5%或者5000万元罚款。
《草案》明确规定了,对于违法处理个人信息或者未采取必要安全保护措施的企业处以100万以下的罚款。情节严重的,处以5000万元以下或者上一年度营业额的5%的罚款,严重的吊销企业的营业执照。
2、对日企的建议
《草案》提交审议意味着国家从立法层面对个人信息被随意收集、过度使用等现实问题进行了细化规制和保护。建议各日企对此高度关注,尽早了解相关规定,根据自身情况自行或委托律师制定内部管理制度和操作规程,采取相应的安全技术措施进行个人信息处理。尤其是对处理敏感个人信息、向境外提供个人信息等高风险处理活动,事前委托律师进行风险评估和规划。防止个人信息泄漏或未采取必要安全措施导致企业受处罚,信用受损。
作成日:2020年11月11日