Red de Respuestas Legales - Información empresarial - ¿Qué cambios en la información deberían notificar los procesadores de información personal a las personas?

¿Qué cambios en la información deberían notificar los procesadores de información personal a las personas?

1. Descripción general del texto completo de la "Ley de Protección de Información Personal" adoptada oficialmente, que contiene ocho capítulos y setenta y cuatro artículos, centrándose en el procesamiento de información personal, desde las reglas de procesamiento, transfronterizo. provisión, derechos personales, procesadores Se han establecido reglas correspondientes desde diferentes perspectivas como obligaciones, responsabilidades de protección y responsabilidades legales, y se han enfatizado reglas especiales para el manejo de información personal sensible y agencias estatales. El punto de partida es proteger los derechos de las personas en el procesamiento de información personal, aclarar las reglas y obligaciones que las empresas y otros procesadores de información personal deben seguir, y aclarar las responsabilidades legales por actos ilegales y ilícitos. 2. Puntos clave de la "Ley de Protección de Información Personal" (1) Definición y distinción de información personal La "Ley de Protección de Información Personal" define y distingue la información personal general y la información personal sensible para incluirlas en el ámbito de protección correspondiente. La información personal en sí es un concepto amplio, que se refiere a diversa información relacionada con personas físicas identificadas o identificables registradas electrónicamente o por otros medios, excluyendo la información anonimizada y la información personal sensible es una categoría de información personal. La parte de protección especial se refiere a la información personal que. , una vez filtrado o utilizado ilegalmente, puede fácilmente causar que se infrinja la dignidad personal de las personas físicas o que se ponga en peligro la seguridad personal y de la propiedad, incluida la biometría, las creencias religiosas, las identidades específicas, la salud médica, las cuentas financieras, el paradero, etc. así como información personal de menores de catorce años. De acuerdo con las disposiciones pertinentes de la "Ley de Protección de Información Personal", los procesadores de información personal deben asumir diferentes obligaciones dependiendo de la información que procesan. También existen principios y reglas especiales para el manejo de información personal sensible. (2) Principios y reglas que se deben seguir al procesar información personal El "procesamiento" de información personal cubre todo el ciclo y cada vínculo, incluyendo: "recolección", "almacenamiento", "uso", "procesamiento", "transmisión". " y "provisión", "divulgación" y otras actividades, y la "Ley de Protección de Información Personal" también agrega un nuevo método de procesamiento de "eliminación" y estipula los principios que los procesadores deben seguir al procesar información personal, incluyendo: legalidad, legitimidad, Principios de necesidad e integridad, limitación de finalidad, principio de mínimo necesario, principio de apertura y transparencia, principio de exactitud, principio de responsabilidad, etc. Bajo el marco antes mencionado, la "Ley de Protección de Información Personal" estipula además en detalle las reglas que los procesadores de información personal deben cumplir al procesar información personal. El resumen se resume y analiza de la siguiente manera: 1. En principio, los procesadores de información personal deben obtener el consentimiento. al procesar información personal se debe obtener el consentimiento individual antes de proporcionar la información. Como excepciones, incluidas las "necesarias para la celebración y ejecución de un contrato en el que un individuo es parte, o necesarias para la implementación de la gestión de recursos humanos de acuerdo con las normas laborales y los contratos colectivos firmados de conformidad con la ley", los procesadores de información personal La información personal relevante puede procesarse sin el consentimiento del individuo. Sin embargo, los procesadores de información personal aún deben cumplir con diversos principios y regulaciones de procesamiento y no deben procesar información personal de manera ilegal o excesiva. 2. Informar claramente que, excepto en circunstancias legales, los procesadores de información personal deben informar de manera veraz, precisa y completa a las personas sobre los asuntos relevantes de manera visible y en un lenguaje claro y comprensible antes de procesar información personal, incluyendo: (1) Procesamiento de información personal El nombre o nombre e información de contacto de la persona; (2) El propósito y método de procesamiento de información personal, los tipos de información personal procesada y el período de retención (3) Los métodos y procedimientos para que las personas ejerzan sus derechos; Asuntos legales que deben ser notificados. Además, cuando cambien los asuntos relevantes, el procesador de información personal deberá informar al individuo de los cambios. Por ejemplo, si los asuntos relevantes se notifican mediante la formulación de reglas de procesamiento de información personal, las reglas de procesamiento se harán públicas y serán fáciles de revisar y guardar. 3. Reglas especiales para el procesamiento de información personal sensible Para el procesamiento de información personal sensible, los procesadores de información personal solo pueden procesar información personal sensible cuando existe un propósito específico y una necesidad suficiente, y se toman medidas de protección estrictas, y deberán hacerlo bajo la premisa de. informar claramente la necesidad y el impacto, obtener el consentimiento independiente del individuo. Además, los procesadores de información personal que manejan información personal sensible deben realizar una evaluación de impacto de la protección de la información personal de antemano. Es muy común que las empresas manejen información personal sensible en sus actividades comerciales. Por ejemplo, recopilamos información sobre la situación familiar de los empleados, recopilamos activos e información financiera de los empleados durante las investigaciones de cumplimiento y recopilamos información de antecedentes sobre personas relevantes a cargo de otras empresas durante el proceso de desarrollo del negocio con el cliente. La "Ley de Protección de Información Personal" estipula condiciones y procedimientos relativamente estrictos para el procesamiento de información personal sensible, lo que plantea un enorme desafío para el cumplimiento de la protección de la información personal en las operaciones comerciales. (3) Obligaciones de los procesadores de información personal Además de cumplir con los principios y reglas anteriores para el procesamiento de información personal, los procesadores de información personal también deben cumplir obligaciones específicas estipuladas en la Ley de Protección de Información Personal.

Estas obligaciones esencialmente plantean requisitos específicos para el desarrollo del cumplimiento de las empresas, que incluyen: (1) adoptar medidas de control del cumplimiento, como formular sistemas de gestión internos y procedimientos operativos, implementar la gestión clasificada de información personal y adoptar el cifrado y la desidentificación correspondientes. control de la autoridad operativa y otras medidas técnicas de seguridad, educación y capacitación periódicas en materia de seguridad para el personal relevante, formulación y organización de la implementación de planes de emergencia para incidentes de seguridad de la información personal, etc. (2) Auditoría de cumplimiento, cumplimiento de las leyes y regulaciones administrativas en el manejo; información personal Realizar auditorías de cumplimiento periódicas; (3) Notificar, si se produce o puede ocurrir fuga, manipulación o pérdida de información personal, tomar medidas correctivas de inmediato y notificar a los departamentos e individuos competentes de conformidad con la ley; Evaluación de impacto, con respecto al manejo de personas sensibles. Para situaciones específicas, como la información personal, se debe realizar una evaluación de impacto sobre la protección de la información personal con anticipación y se debe registrar la situación del procesamiento. (4) Gestión clasificada de información personal En cuanto a la gestión clasificada de información personal, las disposiciones de la "Ley de Protección de Información Personal" son consistentes con las disposiciones de la "Ley de Seguridad de Datos" sobre el sistema de clasificación y protección jerárquica de datos y el fortalecimiento de la protección. de datos importantes. En la actualidad, los estándares unificados para catálogos de datos importantes, clasificación y clasificación de datos e información personal aún no están claros, y el país necesita emitir reglas detalladas para aclararlos. Aunque documentos como las "Especificaciones de seguridad de la información personal de la tecnología de seguridad de la información" (GB/T35273-2020) y las "Pautas de seguridad de datos médicos y de salud de la tecnología de seguridad de la información" (GB/T39725-2020) determinan y clasifican el alcance de los datos y la información en diferentes Se han formulado especificaciones correspondientes para clasificación y clasificación, que tienen cierto valor de referencia. Sin embargo, los procesadores de datos e información personal aún necesitan clasificar y clasificar datos e información personal en función de su industria, su propio negocio, etc. 3. La promulgación de la "Ley de Protección de Información Personal", que estipula claramente las obligaciones de protección de la seguridad de los datos, completa una parte importante de la legislación de China en los campos de redes, seguridad de datos y protección de la información personal. Está estrechamente relacionada con la "Ley de Ciberseguridad". " y "Ley de Seguridad de Datos"* **En conjunto constituyen los tres pilares de este campo. Aunque algunas cuestiones específicas aún no han sido aclaradas por las regulaciones pertinentes, ahora que la Ley de Protección de Información Personal está a punto de entrar en vigor, las empresas de diversas industrias (especialmente los operadores de infraestructuras de información críticas y sus proveedores, Internet, finanzas, salud médica, automóviles y Las empresas en industrias como la de viajes que manejan datos importantes y grandes cantidades de información personal) deben ordenar y revisar inmediatamente sus propios negocios, redes y sistemas de información, datos procesados ​​e información personal, estructura organizacional, sistemas de gestión de cumplimiento, etc., y gradualmente promover el trabajo de cumplimiento e implementarlo oportunamente Landed.