<track id="dw34f"><ruby id="dw34f"><menu id="dw34f"></menu></ruby></track>
  • <pre id="dw34f"><label id="dw34f"><xmp id="dw34f"></xmp></label></pre>
      1. <table id="dw34f"></table>

          <td id="dw34f"></td>

          1. CDO如何應對個人信息保護法?
            2021/8/26 9:11:40  點擊率[131]  評論[0]
            【法寶引證碼】
              【學科類別】其他
              【出處】微信公眾號:肖颯lawyer
              【寫作時間】2021年
              【中文關鍵字】個人信息保護法;刑事犯罪
              【全文】

                備考數據治理的認證,颯姐有幸與數據圈里的朋友們有了交集。《個人信息保護法》出臺后,對于公司首席數據官(以下簡稱CDO)而言,面臨著新的挑戰。
               
                數字化轉型,是市場主體的內在需求也是社會外在要求,是不可逆轉的趨勢。CDO們雖說對于數據合規的政策也有了解,但普遍對于本次新法的出臺沒有get到法律關鍵點。今天颯姐與大家簡單聊聊幾個實實在在的應對之法。
               
                一、新法之后,必有新司法解釋框定新邊界
               
                法律出臺之后,對于既有的個人信息及數據保護的法律框架有影響。尤其對于最硬核的刑法第253條之一侵犯公民個人信息罪而言,可能會直接擴大“犯罪圈”。
               
                舉例說明:14歲以下少年兒童的個人信息為敏感信息,而現有2017年《最高法最高檢關于辦理公民個人信息刑事案件適用法律若干問題的解釋》里對于“情節嚴重”的認定,實際上是按照個人信息的具體性質做了區分,行蹤軌跡、通信、征信、財產信息50條以上即可入罪,而住宿信息、生理信息卻需要500條,其他個人信息甚至需要5000條才能入罪。為保護少年兒童的身心健康,颯姐認為14歲以下少年兒童的個人信息的入刑標準將劃入與行蹤軌跡同等重要的信息中來。
               
                因此,CDO在甄別C端用戶時,就要協調業務部門和IT部門,對于青少年的個人信息特別處理。颯姐提醒:在視頻、游戲、直播等行業,少年兒童過早觸網,倘若已經點擊“青少年模式”就務必切換數據保護的級別,切勿粗心大意,造成行政違法,甚至為企業帶來刑事風險。
               
                有個常識普及一下,我國單位犯罪是雙罰制,不僅處罰單位而且處罰直接負責的人員,CDO在數據類刑事案件中首當其沖。
               
                二、兩年內是否收到行政處罰
               
                對于行政處罰,一些初創公司的CEO并不重視,颯姐的EMBA同學經常喊的口號是:先跑起來,大不了罰款關門。然而,數據治理不是這樣。
               
                行政處罰但凡有一次,再有非法購買、收受公民個人信息的,則直接構成刑事犯罪。
               
                因此,CDO最重要的工作變成了:盡全力減少行政處罰。而《個人信息保護法》第五章“個人信息處理者的義務”規定了二十幾項具體的義務,我們將法條附在文末,請讀者直接參考。同時,行政處罰的罰款金額和其他處罰情況,則歸于第七章法律責任,同樣,我們也會附后供查。請記住,2年內如果有行政處罰,企業就不能再犯一點數據方面的紅線了,否則刑法就在那里,不偏不倚。
               
                三、為合法經營活動而非法購買、收受數據
               
                從司法解釋到司法實踐,對于合法經營活動例如AI、銀行業等有意無意購買“不干凈”數據,相對比較寬容。
               
                但隨著創業風險變化,“合法性”的認定標準也在迭代甚至是多次變動,直接影響“為合法經營活動而非法購買、收受數據”之范圍。
               
                為合法經營活動,而非法購買、收受個人信息的定罪要求更高,在獲利金額上是非法活動要求金額的10倍。適用更高標準必須滿足三個條件:一是為了合法活動,企業必須拿出證據(自證清白);二是僅限于普通的個人信息,不能包括影響人身、財產安全的敏感信息;三是信息沒有再流出擴散,僅限企業內部使用。
               
                四、“過失”也可能構成犯罪
               
                非法獲取、出售或者提供公民個人信息,具備下列情形之一的,應當認定為刑法第二百五十三條之一規定的“情節嚴重”:
               
                (1)出售或者提供行蹤軌跡信息,被他人用于犯罪;
               
                (2)知道或者應當知道他人利用公民個人信息實施犯罪,向其出售或者提供的;
               
                ......
               
                請注意,“被他人用于犯罪”也就是說,無論企業或個人是何心態,故意還是過失甚至是無過失,只要其出售、提供的行蹤軌跡被犯罪分子利用用于犯罪行為,則企業或個人即“情節嚴重”可入刑。
               
                另一個就是廣受詬病的“知道或者應當知道”,前者知道就是明知;后者“應當知道”其實就是“事實上不知道”。來判斷是否應當知道時,一般會綜合判斷,一個基本的考察點就是行為人之前的學歷工作背景。倘若是數據圈的老人,有多年數據從業經驗,對于一些潛規則和行規是心知肚明的,因此,就有可能猜出某人購買數據的目的就是為了“電信詐騙”等。當然,有些學者有不同的觀點,但司法解釋已經如是規定了,我們守法者只能遵守。
               
                五、寫在最后
               
                首席數據官CDO是數字化轉型中的主力軍。對于數據相關法律法規,應當積極研讀,了解法律規定,知道法律賦予的義務和權利。
               
                以上只是颯姐的幾點思考,一家之言,不作為決策的法律依據,懇請與自家法務細細商議后再定。遵守前文承諾,將新法規定的公司義務的原文附上,供參考。
               
                附《中華人民共和國個人信息保護法》部分條文:
               
                第五章 個人信息處理者的義務
               
                第五十一條個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,采取下列措施確保個人信息處理活動符合法律、行政法規的規定,并防止未經授權的訪問以及個人信息泄露、篡改、丟失:
               
                (一)制定內部管理制度和操作規程;
               
                (二)對個人信息實行分類管理;
               
                (三)采取相應的加密、去標識化等安全技術措施;
               
                (四)合理確定個人信息處理的操作權限,并定期對從業人員進行安全教育和培訓;
               
                (五)制定并組織實施個人信息安全事件應急預案;
               
                (六)法律、行政法規規定的其他措施。
               
                第五十二條處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監督。
               
                個人信息處理者應當公開個人信息保護負責人的聯系方式,并將個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部門。
               
                第五十三條本法第三條第二款規定的中華人民共和國境外的個人信息處理者,應當在中華人民共和國境內設立專門機構或者指定代表,負責處理個人信息保護相關事務,并將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門。
               
                第五十四條個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。
               
                第五十五條有下列情形之一的,個人信息處理者應當事前進行個人信息保護影響評估,并對處理情況進行記錄:
               
                (一)處理敏感個人信息;
               
                (二)利用個人信息進行自動化決策;
               
                (三)委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息;
               
                (四)向境外提供個人信息;
               
                (五)其他對個人權益有重大影響的個人信息處理活動。
               
                第五十六條個人信息保護影響評估應當包括下列內容:
               
                (一)個人信息的處理目的、處理方式等是否合法、正當、必要;
               
                (二)對個人權益的影響及安全風險;
               
                (三)所采取的保護措施是否合法、有效并與風險程度相適應。
               
                個人信息保護影響評估報告和處理情況記錄應當至少保存三年。
               
                第五十七條發生或者可能發生個人信息泄露、篡改、丟失的,個人信息處理者應當立即采取補救措施,并通知履行個人信息保護職責的部門和個人。通知應當包括下列事項:
               
                (一)發生或者可能發生個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害;
               
                (二)個人信息處理者采取的補救措施和個人可以采取的減輕危害的措施;
               
                (三)個人信息處理者的聯系方式。
               
                個人信息處理者采取措施能夠有效避免信息泄露、篡改、丟失造成危害的,個人信息處理者可以不通知個人;履行個人信息保護職責的部門認為可能造成危害的,有權要求個人信息處理者通知個人。
               
                第五十八條提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者,應當履行下列義務:
               
                (一)按照國家規定建立健全個人信息保護合規制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督;
               
                (二)遵循公開、公平、公正的原則,制定平臺規則,明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務;
               
                (三)對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者,停止提供服務;
               
                (四)定期發布個人信息保護社會責任報告,接受社會監督。
               
                第五十九條接受委托處理個人信息的受托人,應當依照本法和有關法律、行政法規的規定,采取必要措施保障所處理的個人信息的安全,并協助個人信息處理者履行本法規定的義務。
               
                第七章 法律責任
               
                第六十六條違反本法規定處理個人信息,或者處理個人信息未履行本法規定的個人信息保護義務的,由履行個人信息保護職責的部門責令改正,給予警告,沒收違法所得,對違法處理個人信息的應用程序,責令暫停或者終止提供服務;拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
               
                有前款規定的違法行為,情節嚴重的,由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。
               
                第六十七條有本法規定的違法行為的,依照有關法律、行政法規的規定記入信用檔案,并予以公示。
               
                第六十八條國家機關不履行本法規定的個人信息保護義務的,由其上級機關或者履行個人信息保護職責的部門責令改正;對直接負責的主管人員和其他直接責任人員依法給予處分。
               
                履行個人信息保護職責的部門的工作人員玩忽職守、濫用職權、徇私舞弊,尚不構成犯罪的,依法給予處分。
               
                第六十九條處理個人信息侵害個人信息權益造成損害,個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任。
               
                前款規定的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的,根據實際情況確定賠償數額。
               
                第七十條個人信息處理者違反本法規定處理個人信息,侵害眾多個人的權益的,人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟。
               
                第七十一條違反本法規定,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。

              【作者簡介】
              肖颯,垂直“科技+金融”的深度法律服務者,中國互聯網金融協會申訴委員、中國銀行法學研究會理事、中國社會科學院產業金融研究基地特約研究員、中國政法大學法律碩士學院兼職導師、金融科技與共享金融100人論壇首批成員、人民創投區塊鏈研究院委員會特聘委員、工信部信息中心《中國區塊鏈產業白皮書》編寫委員會委員。被評為五道口金融學院未央網最佳專欄作者,互金通訊社、巴比特、財新、證券時報、新浪財經、鳳凰財經專欄作家。

              本網站文章僅代表作者個人觀點,不代表本網站的觀點與看法。
              轉載請注明出自北大法律信息網
            0
            北大法律信息網
            www.chinalawinfo.com
            法律動態
            網站簡介
            合作意向
            網站地圖
            隱私政策
            版權聲明
            北大法寶
            www.pkulaw.cn
            法寶動態
            法寶優勢
            經典客戶
            免費試用
            產品服務
            專業定制
            購買指南
            郵件訂閱
            法律會刊
            北大英華
            www.pkulaw.com
            英華簡介
            主要業務
            產品列表
            英華網站
            聯系我們
            用戶反饋
            返回頂部
            二維碼
            不要添了,我高潮了视频