适用场景
所有在中国境内运营网络(包括信息收集、存储、传输、交换、处理系统)并收集、使用个人信息的企业,无论规模大小或所处行业,尤其涉及数据跨境传输、或被认定为关键信息基础设施运营者的出海企业,在企业设立、日常运营及业务拓展阶段均需重点关注。
核心要点
1. 个人信息定义与保护范围扩大
《网络安全法》首次在法律层面确立了“个人信息”的广泛定义,涵盖任何能够单独或与其他信息结合识别自然人身份的信息,无论其记录方式,显著扩大了受保护数据的范畴。
2. 数据处理原则与例外
法律规定收集个人信息需获得被收集者同意,但同时明确了例外情形:经过处理无法识别特定个人且不能复原的信息,不受此限制,旨在平衡个人信息保护与大数据产业发展。
3. 关键信息基础设施数据本地化要求
《网络安全法》对关键信息基础设施运营者提出了特殊要求,规定其在中国境内收集和产生的个人信息及重要数据必须存储在境内,对跨境数据流动构成重要限制。
4. 行政责任与处罚力度升级
法律大幅提高了违反个人信息保护规定的行政处罚力度,不仅对网络运营者可处以高达一百万元的罚款,对直接责任人员也可处以十万元罚款,并可采取暂停业务、停业整顿乃至吊销执照等严厉措施。
5. 个人信息主体权利拓展
《网络安全法》明确赋予了个人信息主体更全面的权利,包括在数据泄露时获得告知的知情权、在违法或违约收集使用时要求删除的权利,以及要求更正错误信息的权利。
实务建议
- 全面审视并更新企业与用户、第三方之间关于个人信息收集、使用和共享的合同条款及隐私政策,确保符合《网络安全法》要求。
- 建立健全内部数据安全事件应急响应机制,确保在发生或可能发生数据泄露、篡改、毁损时能及时告知用户并采取有效应对措施。
- 评估企业自身是否可能被认定为“关键信息基础设施运营者”,并根据要求确保相关个人信息和重要数据在中国境内存储。
- 设计并实施内部流程,以有效响应个人信息主体的知情、删除和更正请求,确保合规处理。
- 密切关注中国个人信息保护相关法律法规的最新发展和实施细则(如个人信息收集规范标准),及时调整企业合规策略。
风险提示
- 《网络安全法》对“网络运营者”和“网络”的定义极为宽泛,几乎所有涉及信息收集、存储、传输的企业都可能受其规制,企业需进行自我评估。
- 关键信息基础设施的认定标准在当时尚不明确,可能导致企业在判断自身合规义务时面临不确定性。
- 违反个人信息保护规定将面临严厉的行政处罚,包括巨额罚款、业务暂停甚至吊销营业执照,对企业运营造成重大影响。
- 部分具体操作规程和监管机构的职责在当时仍待细化,企业在建立内部管理机制时可能面临挑战和不确定性。