您现在的位置:首页 > 协会动态

“个人信息保护”有法可依 宣介会专家权威解读

更新时间:2021-09-26 14:30:37

9月18日下午,由中国公共关系协会和中国外商投资企业协会共同主办的《中华人民共和国个人信息保护法》宣介会在京举行。国家网信办网络法治局局长华清,全国人大常委会法工委经济法室副主任杨合庆分别围绕《中华人民共和国个人信息保护法》的相关情况进行介绍和解读,并与现场企业代表进行交流互动。在华外商投资企业、国内外公关公司、新技术和互联网公司近200位代表分别以线下和线上形式参会。中国公共关系协会副会长张小影主持宣介会。

中国公共关系协会副会长张小影:

女士们、先生们、朋友们,大家下午好!欢迎大家参加由中国公共关系协会和中国外商投资企业协会共同举办的《中华人民共和国个人信息保护法》宣介会。

今年8月20日,十三届全国人大常委会第30次会议表决通过了《中华人民共和国个人信息保护法》,从今年11月1日开始施行。作为我国首部针对个人信息保护的专门性立法,该部法律既对进一步强化个人信息安全监管与保护具有重要的意义,同时对促进企业合规经营,完善行业标准,提高数字技术应用能力也具有重要的意义。为了便于大家更好的了解和贯彻实施这部法律,今天我们很高兴的邀请到了全国人大常委会法工委经济法室和国家网信办网络法治局负责人,来给我们大家介绍并且解读这部法律的相关情况。

下面,我介绍一下两位宣介嘉宾,他们是:国家网信办网络法治局局长华清先生;全国人大常委会法工委经济法室副主任杨合庆先生。

参加今天宣介会的主要有中国公共关系协会的单位会员,在华外商投资企业、公共关系企业的代表,还有新技术和互联网企业的负责人。同时,全国人大常委会法工委,国务院新闻办,国家网信办有关负责同志也到会指导我们的工作。

出席宣介会的主办方领导有:中国公共关系协会常务副会长兼秘书长王大平,副会长杨秀萍、董关鹏、潘庆中。

在此,对大家的光临和支持表示热烈欢迎和衷心感谢。

今天的宣介会采取线上和线下相结合的形式召开,主要有两个环节:第一,请两位嘉宾就这部法律进行介绍。第二,请与会各位围绕关心的问题与两位主讲人进行交流。

下面,请两位主讲人做宣介。首先请华清先生做介绍,大家欢迎。

国家网信办网络法治局局长华清:

各位朋友、女士们、先生们,大家下午好!非常欢迎大家前来参加《中华人民共和国个人信息保护法》宣介会,也感谢刚才主持人的介绍。2021年8月20日,《中华人民共和国个人信息保护法》经十三届全国人大常委会第30次会议通过并正式发布,将于2021年11月1日起施行。这是我国个人信息保护领域基础性、专门性法律,为我国个人信息保护各项工作提供了依据。借此机会我向大家简要介绍一下《个人信息保护法》的立法背景、意义及下一步工作考虑。

近年来,新一轮科技革命和产业变革蓬勃发展,数字化、网络化、智能化加速推进,个人信息处理活动十分普遍,处理场景多元、处理类型复杂。个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。社会各界对出台专门的个人信息保护立法呼声很高。党中央高度重视网络空间法治建设,对个人信息保护立法工作作出重要部署。习近平总书记多次强调,要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益,对加强个人信息保护工作提出明确要求。上世纪70年代开始,经济合作与发展组织、亚太经济合作组织和欧盟等先后出台了个人信息保护相关准则、指导原则和法规。进入21世纪以来,顺应数字化浪潮发展,全球个人信息保护的立法进程不断加速。截至目前,已有超过140多个国家和地区制定或正在制定个人信息保护方面的专门法律。为及时回应广大人民群众的呼声,贯彻落实党中央重要要求和部署,顺应全球个人信息保护立法形势,从2018年起。全国人大常委会法工委会同国家网信办起草个人信息保护法草案,经反复研究修改,历经三次审议,于今年8月20日发布《中华人民共和国个人信息保护法》。《中华人民共和国个人信息保护法》的出台意义重大深远。

第一,制定个人信息保护法是进一步加强个人信息保护制度保障的客观要求。党的十八大以来,尤其是党的十九大以来,全国人大及其常委会在制定关于加强网络信息保护的决定、网络安全法、电子商务法,修改消费者权益保护法、未成年人保护法等立法工作中,确立了个人信息保护的主要规则;在修改刑法中,完善了惩治侵害个人信息犯罪的法律制度;在民法典中,将个人信息受法律保护作为一项重要民事权利作出规定。我国个人信息保护法律制度逐步建立,但仍难以适应信息化快速发展的现实情况和人民日益增长的美好生活需要。因此,需要在现行法律基础上制定出台专门立法,增强法律规范的系统性、针对性和可操作性,在个人信息保护方面形成更加完备的制度、提供更加有力的法律保障。

第二,制定个人信息保护法是维护网络空间良好生态的现实需要。网络空间是亿万民众共同的家园,必须在法治轨道上健康运行。违法收集、使用个人信息等行为不仅损害人民群众的切身利益,而且危害交易安全,扰乱市场竞争,破坏网络空间秩序。因此,应当制定出台专门法律,规范个人信息处理活动,落实企业、机构等个人信息处理者的法律义务和责任,维护网络空间良好生态。

第三,制定个人信息保护法是促进数字经济健康发展的重要举措。当前,以数据为新生产要素的数字经济蓬勃发展,数据的竞争已成为国际竞争的重要领域,而个人信息是大数据的核心和基础。党的十九大报告提出了建设网络强国、数字中国、智慧社会的任务要求。按照这一要求,应当统筹个人信息保护与利用,通过立法建立权责明确、保护有效、利用规范的制度规则,在保障个人信息权益的基础上,促进个人信息依法合理有效利用,推动数字经济持续健康发展。

个人信息保护是一项综合性,系统性,全面性的工程,需要政府、社会、企业、公民等多元主体齐抓共管、协同治理、良性互动。《个人信息保护法》即将于2021年11月1日起实施,下一步还有很多工作要做,我想主要有以下几个方面:

一是积极发动社会各界力量,有效推动法律宣贯工作。统筹利用多种方式,加强个人信息保护相关法律知识的宣传普及,为《个人信息保护法》贯彻实施营造良好的社会氛围。第一,实现宣贯人群的广覆盖。通过开展普法进机关、进社区、进学校、进网站、进企业等方式,拓展《个人信息保护法》的普法阵地,引导社会各界关注《个人信息保护法》,推动形成全网全社会尊法学法守法用法的良好氛围。第二,实现宣贯方式的创新化。宣贯工作要适应社会信息化持续推进的新情况,以线上线下相结合的方式,调动各类媒体资源,特别是采用短视频、微电影、公众号等新媒体传播方式,加强普法宣传手段路径渠道的多样化。第三,实现宣贯机制的时效性。准确掌握各类群体的实际普法需求,开展精准普法,增强吸引力和感染力,以贴近生活、通俗易懂的方式进行普法宣贯,让群众和网民爱听爱看、产生共鸣。

二是充分发挥统筹协调职能,不断完善各项配套规定。国家网信办将统筹协调个人信息保护工作和相关监督管理工作,厘清职责,构建有统有分、协同配合、高效联动的监管机制。第一,制定个人信息保护具体规则、标准。针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则,标准;进一步明确个人信息跨境提供的配套规则,包括开展安全评估的具体事宜、研究制定有关专业机构对跨境个人信息进行个人信息保护认定的规定、标准合同的具体条款等;研究落实个人信息可携权以及公益诉讼制度的配套规定。第二,推进个人信息保护评估、认证。推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务。第三,完善个人信息保护投诉、举报工作机制。高度重视个人信息保护投诉举报工作,明确接受投诉举报的平台,推动举报投诉工作标准化、规范化,规定接报、流转、处理、跟踪、反馈、答复等各投诉举报环节的具体规则。

三是切实履行监督管理职责,加强违法行为惩处力度。履行个人信息保护职责的部门要坚持个人信息权益保护优先,妥善解决广大群众关切、社会关注的个人信息保护焦点难点问题,引导个人信息处理者在权衡商业利益和个人权益时做出正确的选择。同时,用好用足处罚措施,进一步深化对违法违规行为的依法打击力度,严肃处理违法违规企业。第一,主动发现相关问题,加强调查的主动性。将主动发现的个人信息保护重点问题、人民群众反映的感知深刻、社会关注度高的问题作为调查、处理违法违规个人信息处理活动的重点。在监管手段上,充分用好约谈、现场检查,询问调查等多种手段。第二,综合运用各种处罚手段,提升处罚水平。《个人信息保护法》设置了全面的行政处罚手段,对于违法行为视情节轻重,可以综合运用警告、没收违法所得、罚款、责令暂停相关业务或者停业整顿、吊销许可等多种手段。对于违法处理个人信息的应用程序,可以责令暂停或者终止提供服务。此外,还可以运用信用惩戒、对担任企业董事、监事、高级管理人员和个人信息保护负责人实施从业禁止等制度规定。第三,及时公布典型处罚案例,提高监管的震慑性。加大对违法行为惩戒曝光力度,以“案”为基础,建立典型处罚案例“素材库”,阐释执法要点、裁量理由、法律适用等内容,充分发挥反面案例的警示和教育作用。

四是全面压实主体责任,推动行业发展行稳致远。个人信息处理者作为个人信息保护的实践者与行动者,要认真贯彻落实法律规定,主动履行法律义务和社会责任,走向良性循环,满足人民的需要。一方面,强化个人信息保护意识。个人信息处理者要直面问题与挑战,把实现好、维护好,发展好广大人民群众的权益和赢得广大人民群众的信任作为立身之本。要强化自律意识,自觉履行社会责任,做到心有所畏、行有所止,对国家在个人信息保护方面的法律法规心存敬畏。另一方面,完善内部个人信息保护合规工作。个人信息处理者要对个人信息处理活动实现全流程管理,制定内部管理制度和操作规则,采取相应的安全技术措施,指定负责人对其个人信息处理活动进行监督,定期对其个人信息处理活动进行合规审计,对处理敏感个人信息、利用个人信息进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估,履行个人信息披露通知和补救义务等。对于大型网络平台,还应当主动承担《个人信息保护法》规定的个人信息保护特别义务。我就先介绍这些,谢谢大家。

张小影:

华清先生全面准确地介绍了这部法律的立法背景、意义和原则,以及监管的重点和手段,对我们非常有启发。

下面,请杨合庆先生做介绍,大家欢迎。

全国人大常委会法工委经济法室副主任杨合庆:

女士们、先生们,大家下午好,非常高兴有机会跟大家就《个人信息保护法》进行交流。刚才华清先生已经全面介绍了本法的制定背景和意义,以及在实施过程中需要注意的问题和下一步国家网信部门将要做的一些工作。我重点给大家介绍一下《中华人民共和国个人信息保护法》主要内容。

《个人信息保护法》把握个人信息权益保护的立法定位,聚焦个人信息保护领域的突出问题和人民群众的重大关切,在深入总结我国个人信息保护实践、充分借鉴国际经验的基础上,进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则,明确个人信息处理活动中的权利义务边界,健全个人信息保护工作体制机制,设置严格的法律责任,增强法律规范的系统性、权威性和针对性,在个人信息保护方面形成更加完备的制度、提供更加有力的法律保障。现就大家比较关注的几个问题做一些介绍。

一、确立个人信息保护的基本原则

网络安全法和民法典都对收集使用个人信息原则做了概括,处理个人信息应该遵循合法、正当、必要原则。在这个原则基础上个人信息保护法对这个原则进行了扩展和深化,强调处理个人信息应当具有明确、合理的目的并与处理目的直接相关;采取对个人信息权益影响最小的方式,并且强调限于实现处理目的的最小范围,存储应该限于实践处理范围最小时间,也就是最小化原则;要求处理个人信息应当公开处理规则,保证信息质量,同时强调个人信息处理者对个人信息的处理活动负责,并且要采取相应的安全保护措施,保障个人信息安全。这些原则贯穿于个人信息处理的全过程和各个环节。同时也是个人信息保护法的核心。

二、构建以“告知-同意”为核心的个人信息处理规则

“告知-同意”是法律确立的个人信息保护核心规则,是保障个人对其个人信息处理知情权和决定权的重要手段。《个人信息保护法》要求处理个人信息,应当在事先充分告知的前提下取得个人的同意,如果个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。个人同意后,个人还有权撤回同意,同时针对现实生活中社会反映强烈的一揽子授权、强制同意等问题,《个人信息保护法》特别要求个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意。

《个人信息保护法》特别强调,个人信息处理者不得以个人不同意或者撤回同意来拒绝产品和服务。考虑到经济社会生活复杂性,个人信息处理场景的多样性,个人信息保护法还对取得个人同意以外可以合法处理个人信息的情形做了规定,构建了以同意为基础,其他的合法性基础为补充的体系。

《个人信息保护法》还针对共同处理、委托处理、向他人提供、公开、自动化决策等实践中较为常见的个人信息处理情形作出有针对性的规定。

三、严格保护敏感个人信息

《个人信息保护法》将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满14周岁未成年人的个人信息列为敏感个人信息,主要考虑此类信息一旦泄露或者被非法使用,极易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,对处理敏感个人信息的活动应当作出更加严格的限制。对此,《个人信息保护法》要求只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息,同时应当事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响。

考虑到少年儿童在生理和心理上尚不成熟,认知能力和控制自己行为的能力都较弱,容易受到信息推送和商业营销的诱导,在面对违法处理行为侵害其合法权益时缺乏必要的分辨能力和充分的自我保护能力。因此《个人信息保护法》特别将不满14周岁未成年人的个人信息确定为敏感个人信息予以严格保护。同时,与未成年人保护法有关规定相衔接,个人信息保护法要求处理不满14周岁未成年人个人信息应当取得未成年人的父母或者其他监护人的同意,并要求个人信息处理者要制定专门的个人信息处理规则。

四、规范国家机关处理个人信息的活动

为履行维护国家安全、惩治犯罪、管理经济社会事务等职责,国家机关需要处理大量个人信息。与其他个人信息处理者一样,保护个人信息权益、保障个人信息安全是国家机关应尽的义务和责任。对此,《个人信息保护法》对国家机关处理个人信息活动作出专门规定,特别强调国家机关处理个人信息的活动适用本法,即:国家机关处理个人信息也应遵循本法规定的个人信息保护的基本原则、处理规则,为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限和程序进行,不得超出履行法定职责所必需的范围和限度。

五、赋予个人充分的权利

个人信息保护法将个人在个人信息处理活动中的各项权利,包括知悉个人信息处理规则和处理事项、同意和撤回同意,以及个人信息的查询、复制、可携带、更正、删除等各项权利,总结提升为知情权、决定权,明确个人有权限制或者拒绝对其个人信息的处理。另外,《个人信息保护法》还对死者个人信息的保护作了专门规定,明确在尊重死者生前安排情况下,其近亲属为自身合法、正当利益,可以对死者个人信息行使查阅、复制、更正、删除等权利。

六、强化个人信息处理者义务

《个人信息保护法》强调,个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。在此基础上,《个人信息保护法》设专章明确了个人信息处理者的合规管理和保障个人信息安全等义务,要求个人信息处理者按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,指定负责人对其个人信息处理活动进行监督,定期对其个人信息活动进行合规审计,对处理敏感个人信息、利用个人信息进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估,履行个人信息泄露通知和补救义务等。

另外,考虑到提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者对平台内的交易和个人信息处理活动具有强大的控制力和支配力,应当在个人信息保护方面承担更多责任。对此,《个人信息保护法》对这些大型互联网平台设定了特别的个人信息保护义务,包括:成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;制定关于个人信息保护的平台规则;对平台内严重违法违规处理个人信息的产品或服务提供者采取停止提供服务的措施;定期发布个人信息保护社会责任报告,接受社会监督等。

七、构建清晰、系统的个人信息跨境提供规则

随着经济全球化、数字化的不断推进以及中国对外开放的不断扩大,个人信息的跨境流动日益频繁。但由于遥远的地理距离以及不同国家法律制度、保护水平之间的差异,个人信息跨境流动风险更加难以控制。为此,《个人信息保护法》构建了一套清晰、系统的个人信息跨境流动规则,以满足保障个人信息权益和安全的客观要求,同时也适应国际经贸往来的现实需要。一是明确:以向境内自然人提供产品或者服务为目的,或者分析、评估境内自然人的行为等,在我国境外处理境内自然人个人信息的活动适用本法,并要求符合上述情形的境外个人信息处理者在我国境内设立专门机构或者指定代表,负责个人信息保护相关事务;二是明确向境外提供个人信息的途径,包括通过国家网信部门组织的安全评估、经专业机构认证、订立标准合同、按照我国缔结或参加的国际条约和协定等;三是要求个人信息处理者采取必要措施保障境外接收方的处理活动达到本法规定的保护标准;四是对跨境提供个人信息的“告知-同意”作出更严格的要求,切实保障个人的知情权、决定权等权利;五是对向境外司法或执法机构提供个人信息、限制跨境提供个人信息实体清单措施、对外国不公平措施的反制等作了规定。

八、设置严格的法律责任

《个人信息保护法》根据个人信息处理的不同情况,对违法处理个人信息的行为设置了不同梯次的行政处罚。对未造成严重后果的轻微或一般违法行为,可由执法部门责令改正、给予警告、没收违法所得,对拒不改正的最高可处以100万元罚款;对情节严重的违法行为,由省级以上履行个人信息保护职责的部门来进行处罚,处罚的最高限额是5000万元或上一年度营业额5%。在民事责任方面,《个人信息保护法》明确,处理个人信息侵害个人信息权益造成损害的,个人信息处理者如果不能证明自己没有过错,应当承担损害赔偿等侵权责任。同时,《个人信息保护法》还对侵害众多个人信息权益的民事公益诉讼作了规定。我就介绍这些,谢谢大家。

张小影:

杨合庆主任对这部法律的主要内容做了具体解读,对个人信息处置的基本原则,特别是核心原则,包括个人信息处置企业的法律义务和法律责任,做了非常精准的阐释,对我们深入理解这部法律很有帮助。

今天机会非常难得,两位主讲人情况熟悉,对法律研究透彻。在座的各位大多是互联网和新技术企业,或者是公共关系企业,经营范围与这部法律的关系非常密切。下面,把时间留给大家交流。

迪思传媒公司代表:

《个人信息保护法》的重点包括“大数据杀熟”和敏感个人信息被滥用,如何理解保护个人信息和发展数字经济之间关系?

华清:

保护个人信息和发展数字经济并不矛盾,在一定意义上是促进关系。“大数据杀熟”、滥用敏感个人数据信息等违法违规行为损害了广大人民群众个人信息权益,破坏了市场竞争秩序,阻碍了发展,必须加以遏制。《个人信息保护法》出台就是为了数字经济健康、有序、高质量发展。

杨合庆:

针对“大数据杀熟”,《个人信息保护法》要求个人信息处理者利用个人信息进行自动化决策时,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。这个条文不是新增加的,《消费者权益保护法》已规定消费者具有公平交易权利。因此,《个保法》条款不会给企业增加多大的负担。因为敏感个人信息被滥用会对个人权利包括隐私和其他财产性权利造成侵害,因此对敏感信息处理要采取更严格的保护措施,对处理的合法性、必要性、安全性进行充分的评估。这也是世界各国通行规则,《个人信息保护法》与之是一致的。

BOSS直聘公司代表:

《个人信息保护法》颁布后我们认真学习,尝试在生效前能率先按照法律要求让合规工作走在前面。那么,平台型企业怎么做好合规工作?最核心的是什么?

华清:

细看《个人信息保护法》第54条、58条,对合规问题都有非常明确具体的要求。当前,很多企业不光在学习这部法律,也开始加强合规的内部管理,这都很好。对企业要提醒一句,《个人信息保护法》11月1日要施行了,最关键还是要吃透立法原意,领会立法精髓,满足法律对平台企业的各项要求。主动比被动好。

杨合庆:

《个人信息保护法》的基本原则与《网络安全法》、《民法典》是一脉相承的。《个人信息保护法》将这些原则进一步系统化、具体化,对一些以前法律上模糊的地方进一步澄清。因此,不会给企业个人信息保护合规带来过多成本。即便如此,企业应该以《个人信息保护法》出台和实施为契机,对个人信息保护工作进行全面梳理,对隐私政策进行全面评估、对管理制度进行全面审核,进一步完善个人信息保护的体系。

约翰迪尔公司代表:

关于个人同意问题,我们有一些存量客户,他们跟我们的合同已经终止了,但我们还保存这些合同等数据。再去获得他们的同意有一定困难的情况下,如何做好合规?

华清:

切实履行保护数据安全的义务,防止个人信息被窃取泄露等是基本要求。《个人信息保护法》实施前,很多法律法规与个人信息保护相关。《网络安全法》《数据安全法》《电子商务法》《消费者权益保护法》《未成年人保护法》等都对个人信息保护做出了很多很有针对性的规定。目前,国家网信办等相关部门都在抓紧时间制定和出台《个人信息保护法》相关配套规章制度、各项标准、标准合同等。

杨合庆:

需要考察具体场景、具体情况,根据个人信息保护法规定,当处理目的已实现、无法实现或者为实现处理目的不再必要,个人信息处理者应当主动删除个人信息。如果法律、行政法规规定的保存期限未届满,除了存储和必要的安全保护措施之外,不能再进行任何处理。如仍需保存或者进行其他处理,应符合个人信息保护法第十三条规定的合法处理情形。另外,为平衡与其他利益之间的关系,《个人信息保护法》在之前法律规定的同意这一合法性基础之上,放宽了合法处理的条件,企业可以对照规定做好相关合规工作。

宝洁公司代表:

针对敏感个人信息处理的单独同意,在实务操作层面企业具体怎么实现?线上线下具体实施有没有进一步的指南或细则出台?针对如果有违法行为情节严重的会处以5000万元以下罚款或者上一年度营业额5%的罚款,上一年度营业额怎么界定基数?跨国公司上一年度的营业额是指在中国的营业额还是全球的营业额?

杨合庆:

国际通行规则要求,同意要在个人充分知情的情况下明确作出。《个人信息保护法》要求同意必须在个人充分知情前提下自愿、明确作出。实践中,在线交易一般通过公示公开隐私政策履行告知义务,通常都是以点击一揽子同意的形式获得同意,并未做到一事一同意。考虑到敏感个人信息对个人权利影响较大,可能会使敏感个人信息脱离原处理者控制,这就需要单独同意。因此,应区别于其他的信息,单独就敏感个人信息制定隐私政策,或者在隐私政策中设置单独部分,说明为了什么目的、要收集什么敏感个人信息、可能用在什么方面、对个人权益有什么影响,要突出显示,充分保障个人的知情权。    

第二个问题,我认为,应结合企业具体违法情况,根据违法处理个人信息的范围以及由此带来的非法收入情况、违法程度等,由相关行政和司法部门在执法、司法程序中确定。

强生公司代表:

第一,《个保法》第50条规定个人信息处理者拒绝权利请求,个人可以向法院起诉。从手段来说,投诉更加经济,向法院起诉会增加司法成本。在实施阶段会不会对法院立案设置一些必要的条件?第二,安全评估认证和标准合同的实施细则是否在《个人信息保护法》实施前出台?是否有过度性规则给企业一些指导?

华清:

首先,我不完全同意你的看法。这是一部很严肃的大法,立法是很严肃的,执法也是,而且执法要公正透明。我并不完全赞同找行政机关似乎解决问题更快。在全面依法治国形势下,无论是行政机关还是司法部门,都会积极、主动、认真执法。市场主体、公民个人的法律救济渠道是多种多样的,可以根据不同情况选择某一种途径,也可以选择多种途径。无论是行政部门、行业主管,还是司法部门,都会尽全力保护机构企业、公民个人的权益。

杨合庆:

我澄清一点,这个法律没有设立行政复议前置程序。

三星公司代表:

关于同意的例外,这个例外到什么范围?是否包括单独同意?我们是跨国公司,员工的敏感信息肯定涉及出境,还需要单独同意吗?

杨合庆:

《个保法》第13条核心是六项合法性基础。第一项是取得个人同意。人力资源管理非常复杂,要结合个人信息处理目,考虑合理性和必要性,并根据不同场景来判断。如果涉及到敏感信息要更加慎重,合法性依据要更充足。

三星公司代表:

出境呢?

杨合庆:

一样的。

华清:

杨主任已经介绍了这部法律的原则,就是处理个人信息应当遵循合法、正当、必要原则,要有明确、合理的目的,并且采取对个人权益影响最小的方式。企业的个人信息处理行为,包括人力资源管理等,都要遵守这些原则。

杨合庆:

如果你关注《个人信息保护法(草案)》二审稿会发现,人力资源管理相关规定是最后加上去的,考虑到了跨国企业跨境转移信息的需要。这是我们在调研过程中充分吸收的企业意见,也体现了开门立法的原则。

华清:

《个人信息保护法》我自己学习了很多遍,越学越觉得很精妙。精妙在什么地方呢?就是对法律实施后可能遇到的各种情况考虑很周全,很平衡,非常有利于正确实施。这得益于立法过程始终遵循了立法要求,做到了公开透明立法,科学民主立法。

现在有很多人解读《个人信息保护法》,挺好。我们欢迎专家学者,包括企业社会各种机构,社团开展宣介个保法。我体会,《个人信息保护法》很好地体现了互联网的发展让全体公民,包括我们的市场主体共享互联网发展带来的好处,获得感、幸福感、安全感都可以在该法里面得到实现。

杨合庆:

《个人信息保护法》通过后,社会各界对这个法特别关注,有很多专家学者,包括企业的法务和律所作了很多解读。我觉得《个人信息保护法》从一定意义上来讲是数字时代的基本法,可以提高到这个高度来认识。许多国家对这个问题都有相同的看法,并且确立的规则很多也是相通的。在理解这部法律时,有一个问题很重要,那就是我们首先以一个普通消费者、普通社会公民的身份去看待,而不是以专家学者的身份或是企业法务的身份去理解。个人信息保护与每个人息息相关。同时,这部法律的实施也需要全社会共同努力。在此,非常感谢大家对立法工作的支持,对个人信息保护法实施工作的支持,谢谢大家。

张小影:

因为时间的关系,今天的宣介和交流就到这里。

《个人信息保护法》不是独立存在的,它与已有的很多法律法规相互衔接,特别是民法典。要想理解好执行好《个人信息保护法》,需要大家认真学习相关法律。同时,这部法律在制定过程中借鉴了国际经验,也总结了中国实践。华清局长和杨合庆主任刚才谈到数字时代基本法这个概念,这说明对个人信息保护这个问题在国际上是有共识的,大家都在研究这个问题怎么解决。中国互联网发展迅速,特别是数字经济的推进速度非常快,我们的立法和实施过程对世界数字经济的发展也是一种贡献,提供了中国智慧。

《个人信息保护法》将于今年11月1日施行。有三点具体建议:一是建议各机构和市场主体要抓紧对这部法律进行深入的学习和研究,只有吃透了法律条文,才能在实践中很好的遵守和执行。二是抓紧对所在机构和企业的现有个人信息处置方式进行梳理并与法律进行对照,什么是合规的,什么是不合规的,不合规的怎么尽快纠正。三是尽快根据《个人信息保护法》,对所在机构和企业内部管理制度和操作流程进行细化,做到依法合规经营。

今后,中国公共关系协会和中国外商投资企业协会将一如既往竭诚为大家做好服务。

再一次感谢两位主讲人。

感谢大家的参与。

来源:

关键词: 个人,信息,保护,保护法,法律

Baidu
map