(二)明确撤回同意权
《个人信息保护法》第十五条规定了个人信息主体的撤回同意权,即基于个人同意处理个人信息的,个人有权撤回其同意,个人信息处理者应当提供便捷的撤回同意的方式;个人撤回同意的,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。此外,《个人信息保护法》对个人信息处理者响应个人信息主体关于撤回同意的要求也进行了规定,即除处理个人信息属于提供产品或者服务所必需的以外,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务。此前,《个人信息安全规范》虽然就撤回同意权进行规定,但该规范在法律上并无强制执行力。《个人信息保护法》的出台,不仅完善了撤回同意权的规定,还将该权利上升至法律高度,有利于保障个人信息主体的相关权益。
(三)共同处理和委托处理
《个人信息保护法》第二十条规定了共同处理个人信息的规则,“两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。”在实务中,数据处理过程可能涉及多方主体,要求共同处理者承担连带责任有利于多个个人信息处理者相互监督、督促对方及时整改违规行为。
《个人信息保护法》第二十一条第一款就个人信息处理者与受委托处理个人信息主体(受托人)之间的委托合同的内容进行规定,即合同应包括委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等。同时,还进一步规定了受托人的义务,详细如下:
(1)受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;
本条在延续《网络安全法》第六十四条关于个人信息违法行为的行政处罚规定(即处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款)的基础上,借鉴了GDPR第八十三条的监管思路,大幅提高了罚款上限金额和个人信息违法成本,即对于情节严重的个人信息违法行为,规定了五千万元以下或上一年度营业额百分之五以下罚款的罚款上限,并可以采取责令暂停相关业务、停业整顿等措施,且可对直接负责的主管人员和其他直接责任人员处以罚款。此外,《个人信息保护法》在二审稿基础上,增加了“禁止直接负责的主管人员和其他责任人员在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”的规定。
结语
《个人信息保护法》的出台是我国个人信息保护立法史的重要里程碑,为监管机关的执法活动和企业的合规体系建设提供了重要指引。
注:
[i]根据欧盟数据保护委员会的指南, 判断《通用数据保护条例》的适用范围主要有两个标准:设立地标准以及“目标”标准。就“目标”标准而言, 如果非欧盟实体的个人信息处理与“向欧盟境内的主体提供商品或服务”或“监控欧盟境内主体以及行为”相关的, 则该非欧盟实体的个人信息处理活动应适用《通用数据保护条例》。
[ii]《信息安全技术 数据出境安全评估指南(征求意见稿)》第3.2条 境内运营 注1:判断网络运营者是否在中华人民共和国境内开展业务,或向中华人民共和境内提供产品或服务的参考因素包括但不限于:使用中文;以人民币作为结算货币;向中国境内配送物流等。
来源:天津二中院
(2)委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留;
(3)未经个人信息处理者同意,受托人不得转委托他人处理个人信息。
此外,《个人信息保护法》第五十九条规定了受托人的个人信息保护义务,“接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。”根据该规定,受托人应同样遵循《个人信息保护法》第五章关于个人信息处理者的义务的规定。
