📚 本文属于专题:等保 · 密评 · 数据合规
1. 个保法什么时候施行?适用范围是什么?
《个人信息保护法》自 2021 年 11 月 1 日起施行。它适用于在中华人民共和国境内处理自然人个人信息的活动;在境外处理境内自然人个人信息,若以向境内提供产品或服务、分析评估境内自然人行为等为目的,也适用本法。
2. 什么是敏感个人信息?包括哪些?
敏感个人信息是一旦泄露或被非法使用,容易导致自然人人格尊严受到侵害或人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。处理敏感个人信息应具有特定目的和充分必要性,并采取严格保护措施。
3. 什么情况下需要取得个人的“单独同意”?
处理敏感个人信息、向第三方提供个人信息、公开个人信息、将公共场所采集的图像/身份识别信息用于公共安全以外目的、向境外提供个人信息等情形,通常需要取得个人的单独同意,而不能用一揽子概括授权代替。
4. 收集个人信息要遵守哪些基本原则?
应遵循合法、正当、必要和诚信原则,处理个人信息要有明确、合理的目的,并限于实现处理目的的最小范围,遵循公开透明原则,明示处理规则。不得过度收集、不得误导或胁迫。
5. 个人信息可以跨境传输吗?
可以,但需满足条件。向境外提供个人信息一般应通过国家网信部门组织的安全评估、专业机构的个人信息保护认证,或与境外接收方订立标准合同等路径之一,并履行告知和取得单独同意等义务。具体以现行规定为准。
6. 违反个保法会受到什么处罚?
情节严重的,可由主管部门责令改正、没收违法所得,并处最高五千万元或上一年度营业额百分之五以下罚款,可责令暂停或终止服务,并对直接负责的主管人员和其他直接责任人员处以罚款;还可能影响信用记录。
7. 企业需要指定个人信息保护负责人吗?
处理个人信息达到国家网信部门规定数量的个人信息处理者,应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。境外处理者还应在境内设立专门机构或指定代表。
8. 个人信息加密是“必须”的吗?
个保法要求个人信息处理者采取加密、去标识化等技术措施以及相应的管理措施,确保个人信息处理活动符合法律规定并防止未经授权的访问。因此加密、去标识化是法律明确列举的安全技术手段,对敏感个人信息尤其应当落实。
结论
个保法落地的关键,是把抽象条文翻译成产品和流程里的具体动作:哪些字段算敏感、同意怎么收、数据怎么加密、谁能访问、出境怎么走。需要我们结合你们的系统做一次个人信息处理合规梳理,可联系工程团队。
