1.个人信息的收集、保存、使用需合法合规
《网安法》41条、《消费者权益保护法》29条、《个人信息安全规范》3.2、5.5条等法律法规规范性文件均明示:获取客户个人信息需被收集者授权同意;个人信息收集处理规则(合法、正当、必要);按照法律行政法规以及与用户之间的约定收集、保存、使用用户个人信息。这三个层面问题,是个人信息保护的核心要求,也是监管机关重点关注的合规内容。
拟IPO企业只要涉及个人信息收集,就应当制定并对外公开个人信息收集处理规则即隐私政策并获得客户的同意(个人敏感信息需获得明示同意)。隐私政策的内容应当包含对个人信息数据的全周期处理规定,包括收集、使用、存储、处理、共享、交换、删除、自主管理等环节,遵守合法、正当、必要、保密、简明的原则。Cookie和同类技术使用规则、个人信息数据保护措施。目前,监管机构对企业收集个人信息数据越来越严苛,单纯的概括授权和一揽子授权已经被监管机构很难得到认可,未来的隐私政策将会朝着差异化、细节化、可选择的方向变化。
此外,根据《儿童信保规定》如果涉及儿童个人信息保护的还需要企业单独制定保护政策并确定负责人。
根据《网安法》规定,个人信息的使用应遵循合法性、最小必要、授权同意的原则。合法性原则要求运营者使用个人信息不得违反法律、行政法规规范性文件的规定;最小必要原则要求网络运营者不得使用与其提供的服务无关的个人信息;授权同意则要求使用个人信息需要获得被收集者的同意,如果因业务需要,确需超出范围使用个人信息的,应再次征得被收集者的明示同意。如果拟IPO企业违反上述个人信息的使用要求,将面临警告、罚款、吊销相关业务许可证等的行政处罚。
2.涉第三方的个人信息保护
在数据的商业合作领域,经常会发生数据委托处理、共享、数据融合等交互行为,数据保护的要求也相应传导给第三方。根据《网安法》、《个人信息安全规范》等法律法规国家标准及规范性文件规定,个人信息经过数据脱敏处理后可以进行共享、传输,但是对于未经脱敏处理的个人信息需满足下述合规要求:
(1)事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
(2)向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型,并事先征得个人信息主体的授权同意。涉及个人敏感信息的,还应告知个人敏感信息的类型、数据接收方的身份和数据安全能力;
(3)准确记录和保存个人信息的共享、转让的情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等;
(4)帮助个人信息主体了解数据接收方对个人信息的保存、使用等情况,以及个人信息主体的权利,例如,访问、更正、删除、注销账户等。
3.个人信息和数据跨境的合法合规
拟IPO企业如果涉及数据的跨境传输,需要遵守我国数据传输的法律要求,同时也需要遵守有关国家和地区对于数据跨境要求,例如欧盟的《一般数据保护条例》(“GDPR”)、美国的加州消费者隐私法(“CCPA”)等。目前国内按照网信部门要求,原则上允许数据因业务需要在经安全评估后可以出境。《个人信息出境安全评估办法(征求意见稿)》要求网络运营者向境外提供在中国境内运营中收集的个人信息应当按照该办法进行安全评估。目前虽然该办法尚未生效,建议拟IPO企业参照其规定做好安全评估,并参照《信息安全技术数据出境安全评估指南》(征求意见稿)的规定根据类别、传输数量、目的范围、技术处理情况四大要素,向监管部门报备、通知等,并评估接收方网络安全保障能力和政治法律环境。此外如果关于数据出境的行业规定和一般规定不一致的,我们建议应该向监管机构寻求指导。
4.个人信息内控及保护措施的完备及有效执行
《网安法》第42条提出网络运营者采取技术措施和其他必要措施以确保其收集的个人信息安全的原则性规定。包括员工接触用户信息、使用、处理用户信息的内部管理规程等。若运营者要保证用户数据安全,需要在组织制度、技术措施上同时发力,这不仅是企业本身数据管理的要求,而且越来越成为监管机构审查的内容。
拟IPO企业除需要制定完备的个人信息保护制度作为内控制度的重要内容之一外,还需要确保制度有效执行并且做好个人信息安全事件的应对。
本站为您整理关于本文的法律热搜话题
●个人信息保护与数据安全合规指南
●个人数据合规要求
●企业个人信息合规思路与实践报告
●个人信息保护合规评估工具
●个人信息保护法对企业合规
●个人信息保护法企业合规启示报告
●个人信息数据保护法
●app个人信息保护合规
●个人数据合规要求
●开展个人信息和重要数据保护