《个人信息保护法》自2021年11月1日正式生效,标志着我国数据安全和个人信息保护进入监管新时代。个人信息保护正式成为企业合规经营的基本责任,违法也将面临极度高额的处罚。为了让开发者更好了解个保法更好地做到合规,友盟+ 法务团队带来了《个人信息保护法》系列解读之企业责任篇。
适用范围:个保法适用于所有在中华人民共和国境内处理自然人个人信息的活动。移动互联网时代,只要与用户直接发生交互,或者可能处理到用户信息的场景,都将受个保法约束。
我国个人信息保护监管机构:由国家网信部门统筹协调、国务院有关部门以及县级以上地方人民政府有关部门监督管理共同构成。
个人信息保护监管机构
那么,在个保法时代,企业在个人信息处理过程中,需要履行什么责任呢?
个保法对企业责任做了三个层面的要求:
第一、设置合规组织。企业需要设置个人信息保护负责人,并且公开联系方式。
第二、个人信息处理的全流程合规要求。
事前:进行个人信息影响评估,对个人信息处理风险进行事先评估和防控。
事中:引入安全技术措施,如加密、去标识化技术等,保护处理过程的安全。
事后:进行定期合规审计,不断提升企业合规水位。
第三、企业管理层面的合规要求。
制定内部管理制度和操作流程,落实个人信息全生命周期的合规要求;建立个人信息分级分类保护的管理制度。引入数据安全技术,采取相应的加密、去标识化等安全技术措施;做好内部人员管理制度,合理确定个人信息处理的操作权限,并定期对员工进行合规培训;制定并落实个人信息安全事件应急机制,以应不时之需。
敲黑板,在个保法下,无法证明合规将视同于不合规。所以,以上企业履行法定义务的行为,都需要记录留痕,作为日后“自证合规”的证据。这一点,非常重要哦!
那么,如果企业违反个保法要求,会有什么后果呢?视违法程度的不同,可能有三种法律责任。
单位:最高罚款5000万元或上一年度营业额5%;暂停或终止App、网站服务。
-- 如此高额的罚款,以及“断接入”式的处罚,违法无疑是对企业极其严重的打击!
个人:直接负责的主管和直接责任人处1-10万元,并禁止担任董监高和个人信息保护负责人。
自证合规:当用户主张企业侵犯自己个人信息权益造成损害,企业需要举证证明自己合规。如果无法证明合规,将视同于企业不合规。因此,在个保法时代,做到合规和证明合规同样重要!
构成犯罪的,将依法追究刑事责任。
例如,非法获取使用500条以上敏感个人信息,或5000条以上一般个人信息,都有可能被追究刑事责任。
需要特别强调的是,违法行为还将记入信用档案予以公示,这对企业声誉、品牌、招投标带来严重影响。
个保法时代,开发者及企业需要了解个人信息合规工作不是一劳永逸的事情,而是一个可持续的过程,友盟+将在监管机构的指导下,积极与开发者一道共同推动个人信息保护工作。下一期,我们将为开发者解读个保法的个人信息处理的合规要求哦!