《个人信息保护法》下的企业合规自查80条

君合法律评论 君合法律评论
2021-08-24 11:27 4806 0 0
《个人信息保护法》已经于2021年8月20日经全国人大常委第三次审议通过,并将于2021年11月1日开始实施,中国即将进入以《个保法》为基本法的个人信息保护新时代。

作者:杨锦文高健李圆圆

来源:君合法律评论(ID:JUNHE_LegalUpdates)

《个人信息保护法》(以下简称“《个保法》”)已经于2021年8月20日经全国人大常委第三次审议通过,并将于2021年11月1日开始实施,中国即将进入以《个保法》为基本法的个人信息保护新时代。 

《个保法》由八章七十四条构成(主要内容及章节见下表),在充分吸收《民法典》、《消费者权益保护法》、《网络安全法》关于个人信息定义及处理规则、处理流程、个人信息处理者的网络安全保护义务等的基础上,对禁止利用自动化决策“大数据杀熟”、加重大型互联网平台信息义务、严格个人信息跨境提供要求等方面做出了创新规定。企业作为典型的个人信息处理者,应高度重视各方面的规制要求。

主要内容

章  节

适用范围及个人信息处理的基本原则

第一章   总则

个人信息处理的具体规则、跨境提供规则

第二章 个人信息处理规则

第三章 个人信息跨境提供的规则

个人、企业、监管部门等参与主体的权责

第四章 个人在个人信息处理活动中的权利

第五章 个人信息处理者的义务

第六章 履行个人信息保护职责的部门

法律责任等

第七章 法律责任

第八章 附则

特别需要注意的是,在对个人信息违法行为的处罚措施上,《个保法》祭出了前所未有的重罚规定:对违法处理个人信息的App等应用程序进行暂停或者终止服务;对个人信息的严重违法行为,立法者参考《反垄断法》等按照营业额的百分比进行处罚的路径,规定最高处以上一年度营业额百分之五的处罚(或者5000万元以下)。

继2021年5月中央网信办与工信部、公安部、市场监管总局等四部门联合对摄像头偷拍人脸进行集中整治行动之后,2021年7月某知名出行App被下架整改并面临网络安全审查,预计《个保法》的正式实施将开启个人信息全面监管的新局面。企业应充分利用《个保法》2021年11月1日实施前的两个月窗口期,及时对现有App、网页、线下业务中的个人信息收集处理规则进行自查整改,防止成为适用《个保法》的第一案。我们制作了以下个人信息合规自查清单,供各企业自查整改之时作为路线图参考。

一、公司规章制度

1. 是否建立了公司内部个人信息保护制度和操作规程

·  是

·  否

2. 是否制定了公司网站等刊载的隐私保护政策

·  是

·  否

3. 是否制定了并组织实施个人信息安全事件应急制度

·  是

·  否

4. 是否制定了个人信息安全事件应急预案并定期进行演练

·  是

·  否

5. 是否确定了个人信息处理的操作权限,并定期对从业人员进行安全教育和培训

·  是

·  否

6. 是否定期对公司处理个人信息遵守法律、行政法规的情况进行合规审计

·  是

·  否

二、个人信息处理全流程管理

各处理环节通用规则(兼收集)

7. 处理个人信息前,是否已经取得个人的同意

·  是

·  否

8. 收集、处理员工信息是否超出履行劳动合同、实施人力资源管理所必需的范围

·  是

·  否

9. 如果未取得个人的同意,是否存在以下任一情形:

(1) 为订立、履行个人作为一方当事人的合同所必需

(2) 按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需

(3) 依法合理的范围内处理个人自行公开或者其他已经合法公开的个人信息

(4) 其他

·  是

·  否

10. 处理个人信息前,是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:

(1) 个人信息处理者的名称或者姓名和联系方式;

(2) 个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;

(3) 个人行使本法规定权利的方式和程序。

·  是

·  否

11. 是否存在以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务

·  是

·  否

12. 是否存在采取误导、欺骗、胁迫方式取得个人同意的情形

·  是

·  否

个人信息使用

13. 个人信息的处理目的、处理方式和处理的个人信息种类发生变更时,是否重新取得了个人同意

·  是

·  否

14. 共同处理:与其他个人信息处理者共同决定个人信息的处理目的和处理方式时,是否通过协议方式明确约定各自的权利和义务

·  是

·  否

15. 委托处理1:委托处理个人信息时,是否通过书面协议与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等

·  是

·  否

16. 委托处理2:委托处理个人信息时,是否在委托合同履行过程中对受托人的个人信息处理活动进行监督,使得受托人不得超出约定的处理目的、处理方式等处理个人信息

·  是

·  否

17. 委托处理个人信息之前,是否事先进行个人信息保护影响评估,并对处理情况进行记录

·  是

·  否

18. 是否制作了个人信息保护影响评估报告和处理情况记录并至少保存三年

·  是

·  否

个人信息保存及公开

19. 是否超过为实现处理目的所必要的最短时间保存个人信息

·  是

·  否

20. 公开其处理的个人信息时,是否取得了个人的单独同意

·  是

·  否

21.  公开个人信息之前,是否事先进行个人信息保护影响评估,并对处理情况进行记录

·  是

·  否

22. 是否制作了个人信息保护影响评估报告和处理情况记录并至少保存三年

·  是

·  否

个人信息提供

23. 企业为提供方时:向其他个人信息处理者提供其处理的个人信息时,是否向个人告知了接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并已取得个人的单独同意

·  是

·  否

24. 企业为接收方时:(1)从其他个人信息处理者接受其处理的个人信息时,是否约定对该个人信息的处理目的、处理方式和个人信息的种类

·  是

·  否

25. 企业为接收方时:(2)处理个人信息时,是否按照约定的处理目的、处理方式和个人信息的种类等范围内处理个人信息

·  是

·  否

26. 变更原先的处理目的、处理方式时,是否依照个人信息保护法的规定重新取得个人同意(是指向个人重新告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并重新取得个人的单独同意)

·  是

·  否

27. 向其他个人信息处理者提供个人信息之前,是否事先进行个人信息保护影响评估,并对处理情况进行记录

·  是

·  否

28. 是否制作了个人信息保护影响评估报告和处理情况记录并至少保存三年

·  是

·  否

自动化决策

29. 利用个人信息进行自动化决策之前,是否事先进行个人信息保护影响评估,并对处理情况进行记录

·  是

·  否

30. 是否制作了个人信息保护影响评估报告和处理情况记录并至少保存三年

·  是

·  否

31. 利用个人信息进行自动化决策时,是否对个人在交易价格等交易条件上实行不合理的差别待遇

·  是

·  否

32. 通过自动化决策方式向个人进行信息推送、商业营销,是否提供了不针对其个人特征的选项或者向个人提供便捷的拒绝方式

·  是

·  否

33. 通过自动化决策方式作出对个人权益有重大影响的决定时,是否根据个人的要求予以说明

·  是

·  否

个人信息权利主体的权利保障

34. 基于个人同意处理个人信息的,个人信息处理者是否提供便捷的撤回同意的方式

·  是

·  否

35. 是否在企业内部设置个人权利申请受理和处理机制以及时处理个人主体关于查阅、复制、更改、补充或者删除个人信息的权利请求

·  是

·  否

36. 个人请求将个人信息转移至其指定的个人信息处理者,是否符合国家网信部门规定条件

·  是

·  否

37. 前项如果符合,是否为个人提供转移的途径

·  是

·  否

38. 存在以下情形之一时,是否主动删除个人信息:

(1) 个人信息的处理目的已实现、无法实现或者为实现处理目的不再必要;

(2) 个人信息处理者停止提供产品或者服务,或者保存期限已届满;

(3) 个人撤回同意。

·  是

·  否

三、特殊情形

个人信息出境

39. 境外接收方是否被国家网信部门列入限制或者禁止个人信息提供清单

·  是

·  否

40. 向境外提供个人信息之前,是否事先进行个人信息保护影响评估,并对处理情况进行记录

·  是

·  否

41. 是否制作了个人信息保护影响评估报告和处理情况记录并至少保存三年

·  是

·  否

42. 是否属于关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者

·  是

·  否

43. 如果是,是否就其向境外提供个人信息办理了网信部门组织的安全评估

·  是

·  否

44. 是否属于经国家网信部门的规定经专业机构进行了个人信息保护认证即可出境的情形

·  是

·  否

45. 如果是,是否按照国家网信部门的规定经专业机构进行了个人信息保护认证

·  是

·  否

46. 是否属于按照国家网信部门制定的标准合同与境外接收方订立合同即可出境的情形

·  是

·  否

47. 如果是,是否按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务

·  是

·  否

48. 是否向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项

·  是

·  否

49. 是否取得了个人的单独同意

·  是

·  否

50. 是否采取了必要措施,以保障境外接收方处理个人信息的活动达到中国个人信息保护法规定的个人信息保护标准

·  是

·  否

51. 是否被外国司法或执法机构要求提供存储在中国境内的个人信息

·  是

·  否

52. 是否就前述事项取得了主管机关的批准

·  是

·  否

敏感个人信息特殊保护

53. 是否存在处理敏感个人信息(包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息)的情形

·  是

·  否

54. 处理敏感个人信息是否具有特定的目的和充分的必要性

·  是

·  否

55.处理敏感个人信息是否采取了严格的保护措施

·  是

·  否

56. 是否就处理敏感个人信息取得了个人的单独同意

·  是

·  否

57. 如果法律要求取得书面同意的,是否就处理敏感个人信息取得了个人的单独同意

·  是

·  否

58. 处理敏感信息之前是否事先进行个人信息保护影响评估,并对处理情况进行记录

·  是

·  否

59. 是否制作了个人信息保护影响评估报告和处理情况记录并至少保存三年

·  是

·  否

60. 是否向个人告知了个人信息处理者的名称或者姓名和联系方式、处理敏感个人信息的必要性以及对个人权益的影响

·  是

·  否

61. 是否存在处理不满十四周岁未成年人个人信息的情形

·  是

·  否

62. 如果存在处理不满十四周岁未成年人个人信息的,是否取得未成年人的父母或者其他监护人的同意

·  是

·  否

63. 如果存在处理不满十四周岁未成年人个人信息的,是否制定了专门的个人信息处理规则

·  是

·  否

大量个人信息处理者

64. 是否属于国家网信部门规定数量的个人信息处理者

·  是

·  否

65. 如果属于国家网信部门规定数量的个人信息处理者,是否指定了个人信息保护负责人

·  是

·  否

66. 是否公开了个人信息保护负责人的联系方式

·  是

·  否

67. 是否将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门

·  是

·  否

重要互联网平台

68. 是否按照国家规定建立了健全个人信息保护合规制度体系

·  是

·  否

69. 是否成立了主要由外部成员组成的独立机构对个人信息保护情况进行监督

·  是

·  否

70. 是否遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务

·  是

·  否

71. 是否对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务

·  是

·  否

72. 是否定期发布个人信息保护社会责任报告

·  是

·  否

中国境外的个人信息处理者

73. 是否有在中国境外以向境内自然人提供产品或者服务为目的处理中国境内自然人个人信息的情形

·  是

·  否

74. 是否有在中国境外分析、评估境内自然人的行为而处理中国境内自然人个人信息的情形

·  是

·  否

75. 满足前两项任一情形的,中国境外的个人信息处理者,是否在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务

·  是

·  否

76. 是否将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门

·  是

·  否

App合规管理(要点)

77. 是否根据《个人信息保护法》修改目前的隐私保护政策

·  是

·  否

78. 是否根据《个人信息保护法》修改目前的用户协议

·  是

·  否

79. 是否根据《个人信息保护法》调整个人信息处理规则

·  是

·  否

80. 是否根据《个人信息保护法》保障个人信息权利主体的权利

·  是

·  否

注:文章为作者独立观点,不代表资产界立场。

题图来自 Pexels,基于 CC0 协议

本文由“君合法律评论”投稿资产界,并经资产界编辑发布。版权归原作者所有,未经授权,请勿转载,谢谢!

原标题: 君合法评丨《个人信息保护法》下的企业合规自查80条

君合法律评论

君合律师对法律实务、立法动态和热点法律问题的评析与探讨。微信公众号ID:JUNHE_LegalUpdates

24篇

文章

10万+

总阅读量

热门文章
推荐专栏
更多>>
  • 资产界
  • 蒋阳兵
    蒋阳兵

    蒋阳兵,资产界专栏作者,北京市盈科(深圳)律师事务所高级合伙人,盈科粤港澳大湾区企业破产与重组专业委员会副主任。中山大学法律硕士,具有独立董事资格,深圳市法学会破产法研究会理事,深圳市破产管理人协会个人破产委员会秘书长,深圳律师协会破产清算专业委员会委员,深圳律协遗产管理人入库律师,深圳市前海国际商事调解中心调解员,中山市国资委外部董事专家库成员。长期专注于商事法律风险防范、商事争议解决、企业破产与重组法律服务。联系电话:18566691717

  • 刘韬
    刘韬

    刘韬律师,现为河南乾元昭义律师事务所律师。华北水利水电大学法学学士,中国政法大学在职研究生,美国注册管理会计师(CMA)、基金从业资格、上市公司独立董事资格。对法律具有较深领悟与把握。专业领域:公司法、合同法、物权法、担保法、证券投资基金法、不良资产处置、私募基金管理人设立及登记备案法律业务、不良资产挂牌交易等。 刘韬律师自2010年至今,先后为河南新民生集团、中国工商银行河南省分行、平顶山银行郑州分行、河南投资集团有限公司、郑州高新产业投资基金有限公司、光大郑州国投新产业投资基金合伙企业(有限合伙)、光大徳尚投资管理(深圳)有限公司、河南中智国裕基金管理有限公司、 兰考县城市建设投资发展有限公司、郑东新区富生小额贷款公司等企事业单位提供法律服务,为郑州科慧科技、河南杰科新材料、河南雄峰科技新三板挂牌、定向发行股票、股权并购等提供法律服务。 为郑州信大智慧产业创新创业发展基金、郑州市科技发展投资基金、郑州泽赋北斗产业发展投资基金、河南农投华晶先进制造产业投资基金、河南高创正禾高新科技成果转化投资基金、河南省国控互联网产业创业投资基金设立提供法律服务。办理过担保公司、小额贷款公司、村镇银行、私募股权投资基金的设立、法律文书、交易结构设计,不良资产处置及诉讼等业务。 近两年主要从事私募基金管理人及私募基金业务、不良资产处置及诉讼,公司股份制改造、新三板挂牌及股票发行、股权并购项目法律尽职调查、法律评估及法律路径策划工作。 专业领域:企事业单位法律顾问、金融机构债权债务纠纷、并购法律业务、私募基金管理人设立登记及基金备案法律业务、新三板法律业务、民商事经济纠纷等。

  • 睿思网
    睿思网

    作为中国基础设施及不动产领域信息综合服务商,睿思坚持以专业视角洞察行业发展趋势及变革,打造最具公信力和影响力的垂直服务平台,输出有态度、有锐度、有价值的优质行业资讯。

  • 大队长金融
    大队长金融

    大队长金融,读懂金融监管。微信号: captain_financial

  • 破产圆桌汇
    破产圆桌汇

    勘破破产事,与君破僵局。

微信扫描二维码关注
资产界公众号

资产界公众号
每天4篇行业干货
100万企业主关注!
Miya一下,你就知道
产品经理会及时与您沟通