近期,达沃曾就个人信息保护的法律规范体系进行过简要梳理。而随着《个人信息保护法(草案)》(下称“《草案》”)的公布,我们认为很有必要针对这一意义重大的《草案》及其带给中国网络安全和数据保护框架的变化,分享我们的见解和看法。
完整体系待“瓜熟蒂落”
首先,我们来回顾一下《草案》的立法动向。经过征求意见和修改后,《草案》将今年的立法发展相结合,形成更为完整的体系。有趣的是,《草案》本身在融合了其他司法辖区的立法经验,关注监管境外数据处理问题的同时,也致力于为日常实践中遇到的问题提供指引。
可以预见,在正式公布并实施后,《草案》将填补现有框架的空白,与《网络安全法》、《民法典》和各类规定及标准一起,形成个人信息保护的完整体系。
那么《草案》将如何构建完善这一体系呢?下文将对《草案》鲜有人关注却又十分重要的部分进行简要分析。
国家机关信息处理的限制
尽管我们需要认可国家机关通过收集和处理个人信息在新冠疫情期间的快速响应,但我们必须意识到国家机关对个人信息的权限并非漫无边际。
为了防止个人信息遭受过度干预,《草案》明确了国家机关处理个人信息行为的重要限制。根据《草案》第35条的规定,“告知-同意”原则总体上同样适用于国家机关。其所处理的个人信息不得超出履行法定职责所必需的范围和限度。
此外,根据《草案》第36条的规定,如果政府与其他第三方合作并向第三方提供个人信息的,则应至少获得个人同意。
上述限制的实施情况如何仍有待实践进一步考察,但其规定本身仍是一大亮点。
第三方处理个人信息的规制
在实践中,很多公司并不具备处理由其收集的个人信息的能力或资质,因此他们会与第三方进行合作处理个人信息。针对这一现象,《草案》就各类合作模式提出了不同的要求。
| 合作模式 | 关键要求 |
| 共同处理 |
|
| 委托处理 |
|
| 个人信息转移 |
|
| 向第三方 提供个人信息 |
|
小结
《草案》体现了中国精细化监管个人信息处理的决心,也是迈向完整数据合规框架的有力一步。这也意味着即便公司对个人信息只有些许涉及,也应当为合规做好最完善的准备。
本文是达沃网络安全和数据合规系列的第一篇文章。此外,达沃也提供数据合规服务和相关课程。如果您有任何问题,请联系我们。
如需获取个人意见,请
拨打电话+86.21.6288.8682
或发送电子邮件至info@dawo-lf.com与我们联系
