《中华人民共和国个人信息保护法（草案）》附全文PDF下载

镜花税月

个人敏感信息

根据《个人信息保护法（草案）》，在处理敏感个人信息（例如种族、国籍、宗教信仰、生物特征信息、医疗健康信息、金融账户信息和个人行踪等信息）时，信息处理者要承担更高的合规义务。


《个人信息保护法（草案）》规定，必须具有特定的目的和充分的必要性时，方可处理敏感个人信息。收集敏感个人信息之前需要取得个人的单独同意，并且信息处理者在处理敏感个人信息之前必须进行风险评估。

镜花税月

跨境信息提供

根据《个人信息保护法（草案）》，信息处理者因业务等需要，确需向境外提供个人信息的，必须至少具备下列一项条件：

• 如果信息处理者被划为关键信息基础设施运营者或者处理的个人信息超过国家网信部门规定的数量时，传输之前需要对信息处理进行安全评估，但相关法律法规另有规定的除外；或者
• 如果信息处理者不属于上述类别，可以安排跨境信息传输经由专业机构认证，或者可以与外国信息接收者达成协议，约定双方的权利和义务及对位于中国境外的信息接收者进行监督，确保处理符合《个人信息保护法（草案）》中要求的保护标准。
  

《个人信息保护法（草案）》规定，可以对损害中国公民个人信息权的外国组织或个人或对中国的个人信息保护实施不合理制裁的外国国家采取某些反制措施。

镜花税月

自动化决策


时下为了提高效率、开发新业态，用户画像和自动化决策被广泛用于各种业务场景中，但由于个人数据可能会被滥用，这些新技术新应用也可能产生隐私隐患。


《个人信息保护法（草案）》试图在新技术新应用和个人信息保护之间取得适当的平衡。草案规定信息处理者必须保证自动化决策的透明度和结果的公正性。如果信息主体的权利和利益受到自动化决策的重大影响的，有权要求信息处理者予以说明，并有权拒绝自动化决策。


《个人信息保护法（草案）》还规定，通过自动化决策方式向信息主体进行商业营销、信息推送，应当同时提供不针对其个人特征的选项。

镜花税月

处罚和责任


《个人信息保护法（草案）》中最引人注意的一项规定就是强化了对违法行为的执法力度。企业违反草案法律要求的，最高可被处以人民币五千万元（约760万美元）或者上一年度营业额百分之五以下的行政罚款外加民事赔偿，对直接负责的主管人员和其他责任人处以最高人民币一百万元（约152,000美元）的罚款。


《个人信息保护法（草案）》还规定，中国监管机构将采用黑名单系统，损害中国公民权利或国家安全或公共利益的组织或个人将列入黑名单并予以公示。

镜花税月

对企业的影响

在大数据时代，数据重要性日益凸显。数据作为许多企业最重要的资产，为众多企业带来巨大机遇同时，也带来了合规性挑战。近年来，中国数据法律体系发展迅速，在数据和网络安全领域颁布了多项重要法律法规。《个人信息保护法》实施后，将成为一项重要的国家级层面法律，对各行各业跨国公司和国内企业产生重大和深远的影响。

很多企业已在处理大量隐私数据，且这个数量可能会继续呈指数增长。在本地、云或混合IT环境中识别个人信息，并根据信息类型实施安全策略非常具有挑战性。为了高效满足隐私及合规性要求，许多组织广泛采用技术解决方案：

通过自动化工具使用正则表达式、文本相似度和算法识别隐私数据，在数据上打上自定义标签、标志或注释，并可应用于UI、报告或API调用。

将存储在不安全位置或大批用户可访问的敏感数据进行自动隔离，在公司做出深思熟虑的整改方案之前，最大程度减少其暴露。

将隐私工具集成到更全面的数据安全平台中。整合的方案能够提供补充行为报告并提供持续的审核和监督，简化数据管理。

通过数据清理工具清除隐私信息，永久删除不必要的数据。

《个人信息保护法（草案）》新增加了某些重要法定义务，强化了企业的合规责任，提高对违法行为的处罚力度。这些都清楚地表明了中国政府加强个人信息保护、打击和惩戒违法的明确态度。在新的监管环境下，企业根据不断发展的法律要求，积极制定或更新其数据合规和风险管理策略，已成为当务之急。

一个值得注意的方面是，《个人信息保护法（草案）》中有相当多的内容与GDPR的规定相似，这充分彰显中国立法者的务实和开放的态度。对于熟悉GDPR或已经按照GDPR进行数据合规管理的跨国公司或中国“出海”企业来说，这些举措可以协助企业降低合规成本，有助于企业的中国业务和海外业务的进一步融合。

《个人信息保护法（草案）》的公开征求意见于2020年11月19日截止。据估计，中国立法机关将会加快立法进程。鉴于本法的重要性，强烈建议企业密切关注立法动态，为即将到来的《个人信息保护法》做好准备。