點贊(0)

點贊(0)

《個人信息保護法》下的企業合規自查80條

君合法律評論

2021-08-24 11:27 6190 0 0

《個人信息保護法》已經于2021年8月20日經全國人大常委第三次審議通過，并將于2021年11月1日開始實施，中國即將進入以《個保法》為基本法的個人信息保護新時代。

作者：楊錦文高健李圓圓

來源：君合法律評論（ID：JUNHE_LegalUpdates）

《個人信息保護法》（以下簡稱“《個保法》”）已經于2021年8月20日經全國人大常委第三次審議通過，并將于2021年11月1日開始實施，中國即將進入以《個保法》為基本法的個人信息保護新時代。

《個保法》由八章七十四條構成（主要內容及章節見下表），在充分吸收《民法典》、《消費者權益保護法》、《網絡安全法》關于個人信息定義及處理規則、處理流程、個人信息處理者的網絡安全保護義務等的基礎上，對禁止利用自動化決策“大數據殺熟”、加重大型互聯網平臺信息義務、嚴格個人信息跨境提供要求等方面做出了創新規定。企業作為典型的個人信息處理者，應高度重視各方面的規制要求。

主要內容		章節
適用范圍及個人信息處理的基本原則		第一章總則
個人信息處理的具體規則、跨境提供規則		第二章個人信息處理規則第三章個人信息跨境提供的規則
個人、企業、監管部門等參與主體的權責		第四章個人在個人信息處理活動中的權利第五章個人信息處理者的義務第六章履行個人信息保護職責的部門
法律責任等		第七章法律責任第八章附則

特別需要注意的是，在對個人信息違法行為的處罰措施上，《個保法》祭出了前所未有的重罰規定：對違法處理個人信息的App等應用程序進行暫停或者終止服務；對個人信息的嚴重違法行為，立法者參考《反壟斷法》等按照營業額的百分比進行處罰的路徑，規定最高處以上一年度營業額百分之五的處罰（或者5000萬元以下）。

繼2021年5月中央網信辦與工信部、公安部、市場監管總局等四部門聯合對攝像頭偷拍人臉進行集中整治行動之后，2021年7月某知名出行App被下架整改并面臨網絡安全審查，預計《個保法》的正式實施將開啟個人信息全面監管的新局面。企業應充分利用《個保法》2021年11月1日實施前的兩個月窗口期，及時對現有App、網頁、線下業務中的個人信息收集處理規則進行自查整改，防止成為適用《個保法》的第一案。我們制作了以下個人信息合規自查清單，供各企業自查整改之時作為路線圖參考。

一、公司規章制度
1. 是否建立了公司內部個人信息保護制度和操作規程		· 是 · 否
2. 是否制定了公司網站等刊載的隱私保護政策		· 是 · 否
3. 是否制定了并組織實施個人信息安全事件應急制度		· 是 · 否
4. 是否制定了個人信息安全事件應急預案并定期進行演練		· 是 · 否
5. 是否確定了個人信息處理的操作權限，并定期對從業人員進行安全教育和培訓		· 是 · 否
6. 是否定期對公司處理個人信息遵守法律、行政法規的情況進行合規審計		· 是 · 否

二、個人信息處理全流程管理
各處理環節通用規則（兼收集）
7. 處理個人信息前，是否已經取得個人的同意		· 是 · 否
8. 收集、處理員工信息是否超出履行勞動合同、實施人力資源管理所必需的范圍		· 是 · 否
9. 如果未取得個人的同意，是否存在以下任一情形： (1) 為訂立、履行個人作為一方當事人的合同所必需 (2) 按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需 (3) 依法合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息 (4) 其他		· 是 · 否
10. 處理個人信息前，是否以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項： (1) 個人信息處理者的名稱或者姓名和聯系方式； (2) 個人信息的處理目的、處理方式，處理的個人信息種類、保存期限； (3) 個人行使本法規定權利的方式和程序。		· 是 · 否
11. 是否存在以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務		· 是 · 否
12. 是否存在采取誤導、欺騙、脅迫方式取得個人同意的情形		· 是 · 否

個人信息使用
13. 個人信息的處理目的、處理方式和處理的個人信息種類發生變更時，是否重新取得了個人同意		· 是 · 否
14. 共同處理：與其他個人信息處理者共同決定個人信息的處理目的和處理方式時，是否通過協議方式明確約定各自的權利和義務		· 是 · 否
15. 委托處理1：委托處理個人信息時，是否通過書面協議與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等		· 是 · 否
16. 委托處理2：委托處理個人信息時，是否在委托合同履行過程中對受托人的個人信息處理活動進行監督，使得受托人不得超出約定的處理目的、處理方式等處理個人信息		· 是 · 否
17. 委托處理個人信息之前，是否事先進行個人信息保護影響評估，并對處理情況進行記錄		· 是 · 否
18. 是否制作了個人信息保護影響評估報告和處理情況記錄并至少保存三年		· 是 · 否

個人信息保存及公開
19. 是否超過為實現處理目的所必要的最短時間保存個人信息		· 是 · 否
20. 公開其處理的個人信息時，是否取得了個人的單獨同意		· 是 · 否
21. 公開個人信息之前，是否事先進行個人信息保護影響評估，并對處理情況進行記錄		· 是 · 否
22. 是否制作了個人信息保護影響評估報告和處理情況記錄并至少保存三年		· 是 · 否

個人信息提供
23. 企業為提供方時：向其他個人信息處理者提供其處理的個人信息時，是否向個人告知了接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類，并已取得個人的單獨同意		· 是 · 否
24. 企業為接收方時:（1）從其他個人信息處理者接受其處理的個人信息時，是否約定對該個人信息的處理目的、處理方式和個人信息的種類		· 是 · 否
25. 企業為接收方時：（2）處理個人信息時，是否按照約定的處理目的、處理方式和個人信息的種類等范圍內處理個人信息		· 是 · 否
26. 變更原先的處理目的、處理方式時，是否依照個人信息保護法的規定重新取得個人同意（是指向個人重新告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類，并重新取得個人的單獨同意）		· 是 · 否
27. 向其他個人信息處理者提供個人信息之前，是否事先進行個人信息保護影響評估，并對處理情況進行記錄		· 是 · 否
28. 是否制作了個人信息保護影響評估報告和處理情況記錄并至少保存三年		· 是 · 否

自動化決策
29. 利用個人信息進行自動化決策之前，是否事先進行個人信息保護影響評估，并對處理情況進行記錄		· 是 · 否
30. 是否制作了個人信息保護影響評估報告和處理情況記錄并至少保存三年		· 是 · 否
31. 利用個人信息進行自動化決策時，是否對個人在交易價格等交易條件上實行不合理的差別待遇		· 是 · 否
32. 通過自動化決策方式向個人進行信息推送、商業營銷，是否提供了不針對其個人特征的選項或者向個人提供便捷的拒絕方式		· 是 · 否
33. 通過自動化決策方式作出對個人權益有重大影響的決定時，是否根據個人的要求予以說明		· 是 · 否

個人信息權利主體的權利保障
34. 基于個人同意處理個人信息的，個人信息處理者是否提供便捷的撤回同意的方式		· 是 · 否
35. 是否在企業內部設置個人權利申請受理和處理機制以及時處理個人主體關于查閱、復制、更改、補充或者刪除個人信息的權利請求		· 是 · 否
36. 個人請求將個人信息轉移至其指定的個人信息處理者，是否符合國家網信部門規定條件		· 是 · 否
37. 前項如果符合，是否為個人提供轉移的途徑		· 是 · 否
38. 存在以下情形之一時，是否主動刪除個人信息： (1) 個人信息的處理目的已實現、無法實現或者為實現處理目的不再必要； (2) 個人信息處理者停止提供產品或者服務，或者保存期限已屆滿； (3) 個人撤回同意。		· 是 · 否

三、特殊情形
個人信息出境
39. 境外接收方是否被國家網信部門列入限制或者禁止個人信息提供清單		· 是 · 否
40. 向境外提供個人信息之前，是否事先進行個人信息保護影響評估，并對處理情況進行記錄		· 是 · 否
41. 是否制作了個人信息保護影響評估報告和處理情況記錄并至少保存三年		· 是 · 否
42. 是否屬于關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者		· 是 · 否
43. 如果是，是否就其向境外提供個人信息辦理了網信部門組織的安全評估		· 是 · 否
44. 是否屬于經國家網信部門的規定經專業機構進行了個人信息保護認證即可出境的情形		· 是 · 否
45. 如果是，是否按照國家網信部門的規定經專業機構進行了個人信息保護認證		· 是 · 否
46. 是否屬于按照國家網信部門制定的標準合同與境外接收方訂立合同即可出境的情形		· 是 · 否
47. 如果是，是否按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務		· 是 · 否
48. 是否向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項		· 是 · 否
49. 是否取得了個人的單獨同意		· 是 · 否
50. 是否采取了必要措施，以保障境外接收方處理個人信息的活動達到中國個人信息保護法規定的個人信息保護標準		· 是 · 否
51. 是否被外國司法或執法機構要求提供存儲在中國境內的個人信息		· 是 · 否
52. 是否就前述事項取得了主管機關的批準		· 是 · 否

敏感個人信息特殊保護
53. 是否存在處理敏感個人信息（包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息）的情形		· 是 · 否
54. 處理敏感個人信息是否具有特定的目的和充分的必要性		· 是 · 否
55.處理敏感個人信息是否采取了嚴格的保護措施		· 是 · 否
56. 是否就處理敏感個人信息取得了個人的單獨同意		· 是 · 否
57. 如果法律要求取得書面同意的，是否就處理敏感個人信息取得了個人的單獨同意		· 是 · 否
58. 處理敏感信息之前是否事先進行個人信息保護影響評估，并對處理情況進行記錄		· 是 · 否

59. 是否制作了個人信息保護影響評估報告和處理情況記錄并至少保存三年		· 是 · 否
60. 是否向個人告知了個人信息處理者的名稱或者姓名和聯系方式、處理敏感個人信息的必要性以及對個人權益的影響		· 是 · 否
61. 是否存在處理不滿十四周歲未成年人個人信息的情形		· 是 · 否
62. 如果存在處理不滿十四周歲未成年人個人信息的，是否取得未成年人的父母或者其他監護人的同意		· 是 · 否
63. 如果存在處理不滿十四周歲未成年人個人信息的，是否制定了專門的個人信息處理規則		· 是 · 否

大量個人信息處理者
64. 是否屬于國家網信部門規定數量的個人信息處理者		· 是 · 否
65. 如果屬于國家網信部門規定數量的個人信息處理者，是否指定了個人信息保護負責人		· 是 · 否
66. 是否公開了個人信息保護負責人的聯系方式		· 是 · 否
67. 是否將個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部門		· 是 · 否

重要互聯網平臺
68. 是否按照國家規定建立了健全個人信息保護合規制度體系		· 是 · 否
69. 是否成立了主要由外部成員組成的獨立機構對個人信息保護情況進行監督		· 是 · 否
70. 是否遵循公開、公平、公正的原則，制定平臺規則，明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務		· 是 · 否
71. 是否對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者，停止提供服務		· 是 · 否
72. 是否定期發布個人信息保護社會責任報告		· 是 · 否

中國境外的個人信息處理者
73. 是否有在中國境外以向境內自然人提供產品或者服務為目的處理中國境內自然人個人信息的情形		· 是 · 否
74. 是否有在中國境外分析、評估境內自然人的行為而處理中國境內自然人個人信息的情形		· 是 · 否
75. 滿足前兩項任一情形的，中國境外的個人信息處理者，是否在中國境內設立專門機構或者指定代表，負責處理個人信息保護相關事務		· 是 · 否
76. 是否將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門		· 是 · 否

App合規管理（要點）
77. 是否根據《個人信息保護法》修改目前的隱私保護政策		· 是 · 否
78. 是否根據《個人信息保護法》修改目前的用戶協議		· 是 · 否
79. 是否根據《個人信息保護法》調整個人信息處理規則		· 是 · 否
80. 是否根據《個人信息保護法》保障個人信息權利主體的權利		· 是 · 否