中国个人信息保护法的最新动向
中国全国人民代表大会常务委员会于10月21日发布了《中华人民共和国个人信息保护法》的草案(以下简称“本法草案”),虽然还只是草案,但对于日系企业高度关注的个人信息保护话题来说,本法草案的内容仍然十分值得分析和解读,本次对其中的重要内容进行解说。
◇ 个人信息保护是日系企业面临的重要课题
中国现地的日系企业A社从事消费品制造和销售。为了深入了解中国消费者的喜好,并且加大自社产品的宣传力度,A社计划在微信平台上开设会员服务功能。由于已了解到个人信息被非法买卖、使用的状况在中国国内十分常见(A社社员也有被害情况),A社经营层认识到强化社内个人信息保护的重要性,但中国法律中并没有明确的规定能够予以参考,因此A社先导入了日本本社的个人信息保护体制,不过对于本社的保护体制是否能够在中国有效发挥作用,总是感觉到有相当的不确定性,希望中国的专门法律能够尽早出台,以作为A社制定对策的依据。
◇ 本法草案中值得关注的重要内容
相比于民法典的原则性规定,本法将设定较为详细的规则体系,重要内容如下。
1、适用范围
●受规制的行为包括个人信息的收集、存储、使用、加工、传输、提供、公开等多种形式(统称为“个人信息的处理”,行为主体简称“处理者”)。
●地域方面,除了规制在中国境内的处理行为外,以下在中国境外实施的处理中国境内自然人个人信息的行为,也属于本法的规制对象:
・以向境内自然人提供产品或者服务为目的;
・为分析、评估中国境内自然人的行为。
2、个人信息分为一般信息和敏感信息2类
(1)一般信息,需要遵守的处理规则要点是:
●应当具有明确、合理的目的,并应当遵守“最小限度原则”。
●应当提前取得个人的同意,并以清晰、明确地向个人告知处理者的身份和联系方式,处理目的、处理方式,信息种类、保存期限等事项。
→ 本法在这方面的要求较为细致,今后将成为企业对应的重点之一。
●委托处理个人信息的, 处理者应当与受托方约定委托事项范围及处理方法,并对受托方的个人信息处理活动进行监督。
●处理者向第三方提供个人信息的,应当向个人告知,并取得其单独同意。
(2)敏感信息
●敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。
●对于敏感信息的处理,除了需要遵守一般信息的处理规则外,还需要符合以下要求:
・处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。
・应当向个人告知必要性以及对个人的影响。
3、个人信息的跨境提供
只有在具备业务处理必要性的前提,并至少具备下列一项条件,境内的处理者才能向中国境外提供个人信息:
① 通过中国政府组织的安全评估;
② 按照中国政府的规定经专业机构进行认证;
③ 与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准。
→ 对于企业而言,方式③将是作为简便、高效的方式,值得作为对应的方向。
◇ 日系企业的对应建议
个人信息保护法正式公布后,日系企业将马上面临根据新法律的规定完善社内个人信息保护体制的课题。根据本法草案中体现出的重要内容进行提早的检讨和准备,将是具有现实意义的。
作成日:2020年11月20日