同时,《个人信息保护法》第三十八条建立了分类分级制的个人信息跨境传输规则,即除上述情形外,对于按照国家网信部门规定、需经专业机构进行个人信息保护认证的情形,应当通过专业机构的个人信息保护认证;对于其他个人信息出境的情形,个人信息处理者可以通过与境外接收方订立合同的方式或在符合法律、行政法规、国家网信部门规定的其他条件的情形下向境外传输个人信息。该规定为其他类型的个人信息跨境提供更多的裁量空间和合法场景。
但是,关于处理个人信息达到国家网信部门规定数量的个人信息处理者的概念、具体的数量标准(如根据个人信息的性质、个人信息处理者所处行业的不同的数量标准)、具体的出境安全评估办法等问题还有待相关部门、行业出台相应文件进一步明确。
四、个人信息主体的权利
《个人信息保护法》从法律层面赋予了个人信息主体关于个人信息保护的相关权利,如个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理,有权查阅、复制其个人信息,有权请求将个人信息转移至其指定的个人信息处理者(可携带权),有权要求个人信息主体更正、补充、删除其个人信息。
其中,《个人信息保护法》第四十七条在沿用《网络安全法》第四十三条的基础上,对个人信息的删除权进行了补充和完善,即个人信息处理者应当主动删除个人信息,个人信息处理者未删除的,个人有权在本条规定的五种情形下请求删除。同时,考虑到实践中可能存在无法完全、彻底删除特定个人信息主体的个人信息的技术障碍,《个人信息保护法》增加了个人信息处理者停止处理时的除外情形,即法律法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。上述规定在完善删除权的同时,也增强了对个人信息的安全保障,具有一定的可操作性。
此外,就自然人死亡的情形,《个人信息保护法》第四十九条规定保障了其近亲属的权利,即其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利。
五、个人信息处理者的义务
(一)安全保障义务
根据《个人信息保护法》第五十一条规定,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列安全保障措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
(二)合规审计义务
根据《个人信息保护法》第五十四条规定,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
(三)个人信息保护影响评估义务
《个人信息保护法》第五十五条、第五十六条规定了个人信息处理者在特定情形下的个人信息保护影响评估义务以及具体评估内容,并明确个人信息保护影响评估报告和处理情况记录应当至少保存三年。
需要评估的特定情形:
• 处理敏感个人信息;
• 利用个人信息进行自动化决策;
• 委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
• 向境外提供个人信息;
• 其他对个人权益有重大影响的个人信息处理活动。
履行个人信息保护职责的部门可以采取的执法措施包括询问调查与个人信息处理活动有关的情况,查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料,实施现场检查、对涉嫌违法的活动进行调查,检查与个人信息处理活动有关的设备、物品,并向本部门主要负责人书面报告并经其批准后,对有证据证明用于违法个人信息处理活动的设备、物品进行查封或者扣押。