中国个人保护法草案出台 ——是否意味着信息产业格局大巨变?
《中华人民共和国个人信息保护法》(草案)于2020年10月21日公布,一经出世便立刻受到了国内受众人群的瞩目。未来一旦正式通过,《个人信息保护法》将与《网络安全法》(已生效)和《数据安全法》(尚未通过)成为构建我国数据主权、数据安全、网络安全和个人信息保护法律框架的三个重要支柱,并对我国数字经济格局、个人信息保护、企业数据合规实践等产生重大且深远影响,那么问题在于,个人保护法的出台是否意味着中国信息安全产业格局的大巨变,会为各行各业带来怎样的影响?
这里需要强调的是,此次公布的仅为《个人信息法》草案,其内容与最终生效的法律将有所区别。在我们看来,《草案》借鉴了其他国家和地区的相关立法,比较符合国际个人信息保护潮流,整体来看质量较高,但部分条款仍有待细化、值得商榷或有讨论的空间,企业不宜将《草案》简单理解为合规工作的最终权威性依据。但无论如何,《草案》所体现的监管趋势值得注意,正确理解这些趋势将有利于企业预判合规工作的方向。
1.巨额罚款
先谈谈行业内关注的巨额罚款。
《草案》规定:
一、违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处100万元以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元 以下罚款。
二、有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款 ,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照 ;对直接负责的主管人员和其他责任人员处 10万元以上100万元以下罚款。
巨额罚款意味着什么?
对企业罚款最高可至人民币5000万元或上一年度营业额5%、对个人罚款最高可至人民币100万元的巨额罚款,以及企业关停、证照吊销的严厉后果,将极大震慑企业滥用个人信息、疏于采取安全保护措施等行为。可以预见企业将掀起新一轮数据合规热潮,积极采取个人信息合规措施。
由于“人民币5000万元”或“上一年度营业额5%”是二选一的关系,在执法实践中,可能出现超出人民币5000万元的“天价处罚”。
因为《草案》未规定何谓“情节严重”,各行业主管部门在执法中将拥有较大自由裁量权,不同行业主管部门之间、同一行业主管部门不同层级都有可能出现执法尺度不统一的情况。自然而然,《草案》也有可能在下一轮中对此问题进一步明确,国家网信办和有关行业主管部门也有可能颁布解释性文件或执法指引来解决此类问题。
咱们大胆预测一下,巨额罚款对于网络安全保险业务而言属于重大利好消息。网络安全保险在中国仍然属于新鲜事物,还处于市场开拓阶段。巨额罚款威胁将使得中大型企业考虑降低风险的各种措施,包括购买网络安全保险产品,网络安全保险产品市场有可能迎来热潮。
2.适用范围相关
《草案》规定:
组织、个人在中华人民共和国境内处理自然人个人信息的活动,适用本法。
以向境内自然人提供产品或者服务为目的,或者为分析、评估境内自然人的行为等发生在我国境外的个人信息处理活动,也适用本法;
境外的个人信息处理者应在境内设立专门机构或者指定代表,负责个人信息保护相关事务。
自然人因个人或者家庭事务而处理个人信息的,不适用本法;法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定。
境外的组织、个人从事损害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。
任何国家和地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者该地区采取相应措施。
分析:
数据本地化相关:《网络安全法》仅规定关键信息基础设施运营者需对个人信息和重要数据进行本地化存储,在此基础上,《草案》增加了国家机关和收集个人信息达到“网信部门规定数量”的企业也需满足个人信息本地化存储要求;
数据境外输出相关:《网络安全法》仅规定关键信息基础设施运营者如需将个人信息和重要数据传输至境外的,需进行安全评估;2019年公布的《个人信息出境安全评估办法》(征求意见稿)则要求所有网络运营者的个人信息出境均需经过网信部门安全评估;而《草案》则针对几类不同情况下的数据出境情形提出不同要求。
《草案》下的数据本地化和数据出境规定还是较为保守的,并没有出现很多企业担心的所有个人信息出境都需要政府审批或政府评估的复杂情况。
当然,上述数据本地化和数据出境要求最终是否会原文通过仍需进一步观察,而通过后每一条相关明细还需要配套法规、国家标准来澄清。
中国移动通信研究院研究员李佳璐表示,数据安全,立法先行是关键。以法律为准绳,将数据安全和数据治理纳入法治轨道,与依法治国以及完善社会主义市场经济体制精神是一脉相承的。应充分利用数字经济发展带来的技术红利,基于互联网载体,发展大数据、云计算等产业的同时,鼓励政企合作开发维护数据安全和数据监测方面的技术,推动信息收集和信息安全维护同步进行。须继续深入推进互联网专项整改行动,为个人信息维护创造良好的政策和制度环境。
上一篇: CVE-2020-9964:iOS中的信息泄露漏洞分析
下一篇: 什么样BGP线路的高防服务器适合游戏?
