相關公司拒絕執行個人信息安全法第十五條規定怎麼處理？

最佳答案

《團體信息保護法》三讀經由過程，標記取我國對團體信息的破法保護方面上升到了新的高度；但絕對應的是，作為「信息處理者」的企業也有了法律上新的任務。作者 | 呂長軍中國傳媒大年夜學法律碩士校外導師編輯 | 布魯斯2021年8月，我國《團體信息保護法》三讀經由過程，標記取我國對團體信息的破法保護方面上升到了新的高度；但絕對應的是，作為「信息處理者」[1]的企業也有了法律上新的任務，包含：軌制完備任務、保險保證任務、團體信息分級分類任務、外部容許權管理任務、信息品質與演算法合規任務、信息主體權利保證任務、事先傷害評價任務（比方事先團體信息保護影響評價）、合規審計任務、以及特別處理者的任務等，因此須要依法樹破起符合法律請求的團體信息及數據[2]合規體系。一、企業樹破團體信息及數據合規體系的價值《團體信息保護法》中對企業提出了樹破團體信息保護合規體系的請求，似乎企業包袱減輕，但現實上企業按照《團體信息保護法》的請求來停止合規操縱有諸多的價值：其一，合規價值。我國先後出台的《網路保險法》、《數據保險法》跟《團體信息保護法》三部法律不只構建起團體信息跟數據保護的基本框架，並且均明白請求企業樹破數據（或團體信息）合規軌制，而《團體信息保護法》更是請求大年夜型互聯網平台、營業範例複雜的企業「應當按照國度規定樹破健全團體信息合規軌制體系」[3]；同時，諸多境外數據保護法律法則如GDPR等也請求企業樹破數據及團體信息保護合規體系。可能說，樹破團體信息及數據合規體系曾經成為現代企業的一項重要法律任務。其二，品牌價值跟市場競爭力。在誇大年夜團體數據與隱私保護的大年夜情況下，企業在數據保險跟隱私保護方面的有效盡力，終極會掉掉落共同方的承認，更為重要的是可能掉掉落花費者的最後認同，這無疑將晉升企業的品牌價值跟市場競爭力。其三，降落企業傷害及增加喪掉。任何企業在團體信息及數據方面不合規的行動，均有可能產生行政考察、侵權訴訟、媒體曝光、乃至刑事案件等成果，將可能會為企業帶來嚴重的經濟跟名譽喪掉，包含行政處罰、訴訟賠償、刑事處罰、客戶消散等。其四，有助於應對行政監禁或訴訟。企業的團體信息及數據合規體系的完備，可能在一定程度上證明企業已充分盡到數據及團體信息保護的任務，可能有效助力企業應對監禁法律跟訴訟抗辯。二、《團體信息保護法》第51條下企業的合規任務在《團體信息保護法》中，第51條會合闡述了團體信息處理者的重要合規任務，包含軌制建立、信息分類、技巧辦法、人員管理跟應急預案五個基本方面以及兜底的其他辦法。第51條規定：團體信息處理者應當根據團體信息的處理目標、處理方法、團體信息的品種以及對團體權利的影響、可能存在的保險傷害等，採取下列辦法確保團體信息處理活動符合法律、行政法則的規定，並避免未經受權的拜訪以及團體信息泄漏、修改、喪掉：（一）制訂外部管理軌制跟操縱規程；（二）對團體信息履行分類管理；（三）採取響應的加密、去標識化等保險技巧辦法；（四）公道斷定團體信息處理的操縱容許權，並按期對從業人員停止保險教導跟培訓；（五）制訂並構造履行團體信息保險變亂應急預案；（六）法律、行政法計規定的其他辦法。1、制訂公司外部管理軌制跟操縱規程《團體信息保護法》請求團體信息處理者（企業）外部應樹破完美的團體信息保護軌制以及操縱規程。1）健全外部管理軌制對企業而言，懂得跟梳理企業團體信息處理活動的目標、範疇跟方法，是停止信息處理管理的基本。在此基本上，須要收拾、制訂順應企業外部的團體信息相幹軌制，包含但不限於：（1）團體信息收集、傳輸及處理軌制；（2）團體用戶信息收集及處理告訴軌制；（3）團體信息保險保護軌制（包含傳輸、利用及材料庫保險等）；（4）信息分級分類管理軌制；（5）團體信息傷害評價軌制 ;（6）審計軌制等。除上述重要軌制外，企業外部管理軌制中還應有應急預案軌制、團體信息出境管理軌制等。（詳見下文）外部軌制應存在合規性、可行性、完備性；也即既要符合法律法則請求，又要從企業本身現真相況出發，可操縱，同時應注意單方面覆蓋響應各個營業條線，存在完備性。2）制訂團體信息收集、傳輸、存儲及處理操縱流程流程與軌制相反相成。企業應注意「團體信息處理全流程管理」的重要性，履行從團體信息收集、傳輸、存儲四處理、刪除等各環節的連接跟涵蓋全流程的管理，並在流程中應注意嚴格的容許權管理。3）設置網路保險擔任人、團體信息保護擔任人等專職人員《網路保險法》請求網路運營者設置專門保險管理機構跟保險管理擔任人，《信息保險技巧團體信息保險標準》規定了團體信息把持者應當設置團體信息保護擔任人，而GDPR則請求設置數據保護官。《團體信息保護法》不硬性請求全部的企業均設破「團體信息保護擔任人」，而是請求假如處理團體信息達到一定」數量」, 則應設置團體信息保護擔任人[4]，但「數量」並未予以明白標準。當涉及的團體信息數據量較大年夜時，企業應當考慮設定團體信息保護擔任人，由其停止相幹任務的兼顧跟管理，在有須要的情況下可能考慮成破相幹部分，擔任樹破外部合規管理軌制跟相幹辦法以致履行軌制及辦法的履行。2、團體信息履行分級分類管理《網路保險法》、《數據保護法》跟《團體信息保護法》都提出要將數據停止分級分類管理。無論從合規或管理效力而言，企業都有須要對數據停止分級分類管理。起首，梳理企業信息庫存。搞清企業現在擁有哪些團體信息（數據）、承載團體信息的數據位於那邊、怎樣活動以及與哪些部分相幹，是在企業中創建團體信息保護合規框架的基本。其次，明白所需信息，去除非須要信息。對團體信息的處理，應滿意《團體信息法》第6條提出的「明白公道目標」以及「團體權利影響最小」兩個原則。因此，企業應當明白其須要哪些範例的團體信息，經由過程清單等情勢將所需信息的內容跟目標停止擺設，同時，應在企業體系中去除非須要的信息，並嚴格請求各部分不再停止收集或儲存。再次，對須要處理的信息停止分級分類，以便進一步的管理，包含處理容許權、流程等任務的辨別。其中，企業應對以下兩類信息停止甄別並加以特別關註：1）敏感團體信息。敏感團體信息包含種族、平易近族、宗教信奉、團體生物特徵、醫療安康、金融賬戶、團體行跡等信息。這類信息多與人身、財富保險相幹，因此遭到法律特別保護，相幹的順序跟保護辦法請求較之一般團體信息要嚴格。2）未成年人（未滿十四處歲）團體信息。我國法律請求對該類信息的處理當依法獲得其監護人的批準。須要注意的是，企業收集的團體信息，不只僅指收集的外部團體信息，也包含對外部員工的團體信息。固然《團體信息保護法》提出因對外部員工「人力資本管理」從而可能停止各種團體信息的收集、處理，但毫不料味著可能忽視外部員工團體信息權利的保護。3、團體信息保險保護辦法在網路情況下，數據保險是團體信息保護的基本，而保證數據保險是團體信息處理者的一項重要且基本的任務，同時也是一項法律任務。我國《網路保險法》請求網路運營者保證網路保險、保護網路數據的完全性、保密性跟可用性[5]；《數據保險法》強迫性規定了數據處理者保證數據保險的法律任務[6]，《團體信息保護法》則請求企業採用保險技巧辦法來保護其所處理的團體信息。匿名化後的數據，不須要按照有關團體信息保護的條目，但仍應按照數據保護的法律規定。4、團體信息處理容許權及保險教導與培訓團體信息處理容許權軌制經過多年企業界的現實，被證明是一項較好的對團體信息及數據管理的機制，《團體信息保護法》將該機制直接列為企業的一項法律任務。該機制的要點在於：1）設破外部分工跟容許權軌制。將團體信息的收集、儲存、利用等處理環節，以及傷害監控、合規等任務停止明白的分工，並根據分工跟信息分級分類情況，對差別員工設置對應級其余容許權。2）全員參加（而非重點人員參加）保險與容許權培訓。經由過程團體信息與數據的保險教導與培訓，堅固樹破數據保險認識，明白各自容許權地點，避免工資形成數據泄漏。5、團體信息保險變亂應急軌制合規任務雖能防患於未然，但並不克不及完全打消傷害。跟著技巧進步跟企業產品迭代，保險漏洞總難以避免，因此企業應當制訂數據保險變亂應急預案並按期練習訓練，以備不斷之需。我國《網路保險法》中已規定網路運營者應當制訂網路保險變亂應急預案[9]，及時處理體系漏洞、打算機病毒、網路攻擊、網路侵入等保險傷害；在產生迫害網路保險的變亂時，及時啟動應急預案，採取響應的彌補辦法，並按照規定向有關主管部分報告。《團體信息保護法》再次誇大年夜企業應樹破團體信息保險變亂應急預案並按期停止練習訓練，並將此作為企業的一項法律任務。三、《團體信息保護法》下企業的其他合規任務除第51條外，《團體信息保護法》還在其他條則中規定了企業的一些重要的合規任務，重要包含：1、收集、處理團體信息的充分告訴任務《團體信息保護法》再次誇大年夜了團體信息收集與處理的「告訴-批準」原則。對須要收集團體信息的企業而言，應制訂出明白的團體信息保護政策（《隱私政策》），實在、完全的向用戶告訴企業的基本情況、團體信息收集、利用目標、範疇及場景、團體信息處理方法及規矩、對外共享及表露情況、團體信息主體權力保證機制、贊揚處理渠道等。團體信息保護政接應公開辟布且應送達團體信息主體，由用戶在註冊或初次運轉產品時瀏覽並勾選批準後才可持續利用。如涉及團體信息會被用於用戶畫像跟特性化展示的，則應在《隱私政策》中徵得用戶的批準，充分保證用戶知情權；而在停止主動化決定前，應當就主動化決定的通明跟公平性做好充分辯明。須要特別注意的是，《團體信息保護法》請求對收集團體敏感信息的，應獲得用戶的單獨批準[10]，因此企業不克不及採取早年的概約性、打包式的批準，而應單獨提示用戶勾選批準方可。2、信息主體權利保證任務（應供給團體信息查閱複製、修改、移轉及刪除效勞）《團體信息保護法》明白了在團體信息處理活動中團體的各項權力，包含知情權、決定權、限制權、拒絕權、查閱、複製權、可攜權、改正、補充權、刪除權。既然團體享有一系列團體信息權力，也意味著團體信息處理者負有共同團體權力行使的任務。企業須要根據用戶團體的須要，機動跟正確地呼應數據主體拜訪查詢、改正、刪除、移轉等請求。1）接收信息主體的請求，供給團體信息查閱、複製的道路及效勞臨時以來，不少互聯網平台將用戶信息視為重要的財富性權利，而用戶想懂得平台究竟控制本人哪些信息卻偶然連查詢的渠道、道路都不。GDPR開了團體信息嚴格保護的先河，確認團體有查詢權，即有權請求互聯網公司（信息把持者）供給控制本人信息的明細清單。《團體信息保護法》也規定了企業應為用戶供給團體信息查閱、複製的法律任務，因此企業也應制訂響應的接收用戶請求、核實身份、匯總信息、供給信息的軌制跟流程。2）接收信息主體的請求，供給團體信息修改的道路及效勞《團體信息保護法》第十五條規定了信息主體對團體信息的修改權，企業應為團體信息處理者供給修改的道路跟效勞。響應的，企業應樹破起修改相同渠道、外部修改機制等。3）接收信息主體的請求，供給移轉的道路及效勞《團體信息保護法》第十五條規定了信息主體對團體信息的可攜帶權，即團體懇求將團體信息轉移至其指定的團體信息處理者，符合國度網信部分規定前提的，團體信息處理者應當供給轉移的道路。該規定不只有利於團體自由處理其團體信息，也有利於攻破數據把持跟數據孤島景象。而作為企業也應就此制訂移轉的外部操縱流程。4）接收信息主體的請求，供給便捷刪除效勞《團體信息保護法》第十五條規定了「基於團體批準而停止的團體信息處理活動，團體有權撤回其批準。團體信息處理者應當供給便捷的撤回批準的方法」。撤回批準，是團體信息主體處罰本身權力的一種方法。企業應斷定撤回方法、撤回渠道等呼應機制，並應保證用戶行使權力的便利性，符合「便捷原則」。固然法律未闡明何為「便捷」，但按照平日的懂得，「撤回」的難度不該大年夜於「批準」的難度。因此，企業可在企業主網頁、APP登錄進口等明顯頁面安頓「撤回」的鏈接或選項，並供給清楚的操縱領導。企業外部因數據的修改跟刪除有可能涉及多個部分，故應樹破一系列的操縱流程，並應研判其中的傷害。3、數據與演算法的合規任務1）數據品質的檢查跟審視，避免因數據品質激發鄙棄演算法以數據為基本，數據不正確，則演算法成果、數據分析結論則基本不會正確，有可能會對相幹數據主體帶來負面評價，從而招致其合法權利遭到影響。《團體信息保護法》第8條規定：「處理團體信息應當保證團體信息的品質，避免因團體信息不正確、不完全對團體權利形成倒黴影響。」《團體信息保護法》將保證團體信息品質作為企業的法定任務，從企業的角度說，則應樹破檢查跟審視數據的響應軌制跟流程，以保證數據獲取的正確度。2）保證演算法公平公道，避免不公道差別待遇互聯網時代「演算法為王」。演算法推薦是查抄引擎、交際軟體、電子商務等多少乎全部平台的標配。平台用代碼、演算法調換了傳統的內容披發過程中編輯的角色，進步了效勞效力的同時，也會招致比方大年夜數據殺熟、劣質內容眾多等一系列侵犯用戶權力的景象。也正因為演算法推薦下的社會成績層出不窮，國度開端經由過程破法手段停止干預，並在《團體信息保護法》下開端確破了演算法問責制，這在我國還是初次。《團體信息保護法》第二十四條規定，團體信息處理者利用團體信息停止主動化決定，應當保證決定的通明度跟成果公平、公平。演算法的通明性、公平及公平性本屬於倫理範疇，《團體信息保護法》將它上升到了法律的高度，成為相幹企業的法律任務。它請求團體信息處理者必須對所用演算法停止檢查跟審視，保證主動化決定的通明度跟成果的公平、公平，不得對團體在買賣價格等買賣前提上履行不公道的差別待遇。3) 主動化決定（演算法），需遵守「明白公道目標」以及「團體權利影響最小」兩個原則《團體信息保護法》第六條規定，企業停止主動化決定，需遵守「明白公道目標」以及「團體權利影響最小」兩個原則，並且在主動化決定對團體權利形成嚴重影響時，應「向團體供給便捷的拒絕方法」，也即付與團體主體拒絕權。這對臨時以來經由過程特性化推薦、經由過程用戶畫像為用戶供給各種信息效勞的企業來說，產生較強的影響跟制約。4、事先傷害評價任務[11]根據《團體信息保護法》的規定，鄙人列情況中，企業應當停止事先傷害評價，且應將傷害評價報告跟處理情況記錄至少保存三年：1）處理敏感團體信息;2）利用團體信息停止主動化決定;3）委託處理團體信息、向他人供給團體信息、公開團體信息;4）向境外供給團體信息;5）其他對團體有嚴重影響的團體信息處理活動。我國《數據保險法》中僅規定「重要數據」的處理者應當對其數據活動按期開展傷害評價,並向有關主管部分報送傷害評價報告[12]；《團體信息保護法》則明白在涉及「敏感團體信息」、「主動化決定」、「委託處理」、「向第三方供給」、「對外公開」、「跨境供給」等情況下付與全部的團體信息處理者以「事先評價」的任務。因此，傷害評價將成為作為信息處理者的企業的一項常常性任務，應將其軌制化、常態化，在保證評價品質的情況下盡管實現高效、快捷。筆者認為，傷害評價報告應當包含本構造涉及的團體信息品種、數量, 收集、存儲、利用、委託、供給等的情況,面對的保險傷害及其應對辦法等。5、合規審計任務《團體信息保護法》請求按期對企業處理團體信息按照法律、行政法則的情況停止合規審計[13]。但由誰審計、具體審計內容、審計標準尚未有明白規定，企業應未雨綢繆，參照《團體信息保護法》、《網路保險法》、《數據保護法》三部基本法律中絕對具體的規定，制訂出應對審計的打算。筆者認為，重要內容應包含：1）檢察外部管理軌制跟團體信息備忘錄的完備性跟合規性；2）按期審計團體信息處理跟管理任務；3）審計履行團體信息查閱複製、修改、移轉及刪除任務情況（信息主體權利保證情況）；4）考核傷害評價報告及記錄情況；5）考核團體信息相幹的條約及其他法律文書；6）根據團體信息及數據相幹法律法則的更新，及時調劑外部軌制的情況。6、委託外部停止團體信息處理的合規任務《團體信息保護法》並非不容許停止團體信息的外部委託處理，但是應辨別「獨特處理」與「委託處理」，其中，獨特處理當獲得信息主體的充分受權。在數字經濟開展迅猛的明天，數據外部委託處理曾經極為罕見，比方雲效勞，SAAS效勞等，均須要數據的外部存儲與處理。委託處理雖不必獲得信息主體的受權，但是，《團體信息保護法》掉效後，在對委託第三方（受託人）處理的情況下，委託處理團體信息之前，應事先停止團體信息保護影響評價，並對處理情況停止記錄。兩邊應簽訂書面委託條約, 其中應明白載明委託事項、受託人容許權、時期等事項，尤其是委託受託人停止信息處理不該超越團體權力主體的受權容許權或相幹法律授予的容許權。7、跨境數據傳輸的合規任務《團體信息保護法》並非禁止團體信息跨境傳輸，而是規定了實現數據跨境傳輸的須要前提以及軌制性框架，並引入了國際上一些較為成熟的做法，如標準條約機制等。但是，在操縱層面另有待於進一步的軌制以及有關部分的領導性看法去停止細化，包含標準條約模板、國度網信部分的評價流程及標準、認證部分及認證標準、錯誤等國度的清單等[14]。因此，在跨境數據活動場景中，企業應嚴格按照《團體信息保護法》、《網路保險法》與《數據保險法》的規定，慎重處理跨境數據傳輸的成績。對企業(尤其是互聯網企業)而言，《團體信息保護法》請求的企業合規內容多而雜，可能涉及企業多個部分，因此企業應根據本身現真相況有一個完全的應對思緒跟打算，全部部分都應當做好調劑跟共同的籌備。我國的《團體信息保護法》接收了海外破法的優良做法以及過往國內現實寶貴經驗，可謂是「集大年夜成者」，真正把我國對團體信息保護晉升到了新的程度；但「徒法缺乏以自行」，團體信息保護法另有待於包含企業在內的各方一起盡力，才幹真正起到保護公平易近團體信息、保護公平易近網路空間權利以及促進信息公道利用的感化。相幹鏈接：全文 | 《中華國平易近共跟國團體信息保護法》每周速覽 | 團體信息保護法草案三審注釋：[1] 團體信息處理者不只僅包含企業，也包含當局部分、奇跡單位等；本文重要探究企業的合規任務。[2] 數據是信息的載體，團體信息在網路情況下平日以數據情勢存在，故在網路時代團體信息保護跟數據保護弗成分別。[3] 拜見《團體信息保護法》第58條。[4] 拜見《團體信息保護法》第五十二條：處理團體信息達到國度網信部分規定命量的團體信息處理者應當指定團體信息保護擔任人，擔任對團體信息處理活動以及採取的保護辦法等停止監督。團體信息處理者應當公開團體信息保護擔任人的聯繫方法，並將團體信息保護擔任人的姓名、聯繫方法等報送履行團體信息保護職責的部分。[5] 拜見《網路保險法》第10條。[6] 拜見《數據保險法》第25條。[9] 拜見《網路保險法》第 25 條。[10] 拜見《團體信息保護法》第 29 條。[11] 拜見《團體信息保護法》第 55 條。[12] 拜見《數據保險法》第28條.[13] 《團體信息保護法》第54條規定：團體信息處理者應當按期對其處理團體信息按照法律、行政法則的情況停止合規審計。[14] 拜見《團體信息保護法》第38條、第40條、第43條。