四、对个人信息处理者的管理及惩戒
业者自律。第五章共19条,规定个人信息处理者义务。包括建立内部管理制度和操作规程、分类管理、加密、去标识化、设定操作权限,实施安全教育和培训、建立应急预案、落实合规审计,定期发布个人信息保护社会责任报告接受社会监督,确保个人信息访问安全和防泄露、篡改、丢失。对于发生风险的,要施行补救措施(第57条)。
第52-56条要求,对于处理敏感信息、自动化决策、委托处理或对外提供或公开个人信息,还需事前做影响评估并记录。对于影响评估,则要求覆盖应用目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应;个人信息保护影响评估报告和处理情况记录应当至少保存三年。
分层监管。第六章(第60-65条)规定了履行个人信息保护职责的部门。明确国家网信部门、国务院有关部门、县级以上地方人民政府有关部门。统称为履行个人信息保护职责的部门。其职责包括:宣传教育、指导、监督、处理投诉和举报、展开测评、调查和处理。其中,国家网信部门职能包括:
负责制定个人信息保护具体规则、标准;针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;完善个人信息保护投诉、举报工作机制。
管理方式除了检查、调查之外,也包括约谈法定代表人或主要负责人,要求个人信息处理者委托专业机构对其个人信息处理活动做合规审计,采取措施进行整改直至消除隐患,对涉嫌犯罪的移送公安机关。
分层处罚见人见钱。第七章(第66-71条)明确了对企业和对直接负责的主管人员和其他直接责任人员的处罚,对机构的处罚除了责令整改之外,情节严重的,处罚可至:没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,责令暂停相关业务或停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,以及一定期限内的董、监、高和个人信息保护负责人禁业处理,同时要记入信用档案,并予以公示。
此外,对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,则明确实施专门监督、明确规范直至停止提供服务(第58条)。处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人、公开联系方式,姓名、联系方式要报备(第52条)。
五、待强化的事项
数字化能力。除了前面已经说过的,第8条规定,处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。由于时效性是影响准确性的重要因素之一,内谁说过,人不能两次次踏入同一条河流,而内谁则进一步指出,人一次也没法踏入同一条河流,因此,个人信息变化是常态使然,确保数据获取并更新调整时效性难度极高,何况,数据割裂在多信息处理者也是常态;而实际上,不同机构因其其数据治理能力及效果和质量参差,对于客户同样的“动作”,所能录得的信息准确性、完整性也差异极大;再则,即便面对完全相同的数据基础,不同的机构或团队运用数据的能力也不相同,这些也将导致同源数据“千人千面”的结果千差万别。。。。因此,配置数据管理专业人员,建立工作及制度规范体系,提高数据管理能力,依法合规扩展数据来源,提高数据处理能力至关重要。个人隐私保护政策也需据此做出修订安排。对于各方管理角色而言,则是实施机器可读标准的智能化管理。
