该部法规是2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议通过,同年11月1日开始施行。整篇共计八章,74条款,9074个字。
本文主要包括:一、学习总结;二、从国家电网的角度,分析应关注的内容。
那么,这部法规到底说了些什么呢?
一、总则(第1-12条):立法目的、适用范围、个人信息及个人信息处理的定义、个人信息处理的基本原则和要求、国家层面在个人信息保护方面的任务;
二、定义规则(第13-43条):核心内容,使用个人信息的基本规则,以及涉及境外产品服务涉及个人信息处理、及国家机关处理个人信息的要求;
三、权利和义务(第44-59条):定义了个人的权利,以及个人信息处理者的义务和责任;
四、履行个人信息保护职责的部门(第60-65条):定义政府各层级分管个人信息保护的国家机关;
五、法律责任(第66-71条):违反该法规需承担的后果;
六、附则(第72-74条):补充了不适用该部法规的情况、其他定义、及施行时间;
核心要点有以下四个:
一、三个核心概念:
| |
| 与已识别/可识别自然人有关的各种信息(匿名化除外) |
| 生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等、及14周岁以下未成年人信息等 |
| 通过计算机程序自动分析、评估个人行为习惯、兴趣爱好或经济、健康、信用状况等 |
二、合法处理个人信息的条件:
处理个人信息必须满足以下至少一项条件:
取得个人同意
订立/履行合同所必需
履行法定职责所必需
应对突发公共卫生事件
紧急情况下保护生命健康、财产安全
公共利益的新闻报道、舆论监督
处理已公开的个人信息
注意:处理敏感个人信息需取得单独同意或书面同意!
三、个人权利:
知情权与决定权(第44条)
查阅、复制权(第45条)
可携带权(第45条第3款)
更正、补充权(第46条)
删除权(第47条)
解释说明权(第48条)
逝者信息保护(第49条)
四、个人信息处理基本原则:
从国家电网的角度,应关注哪些内容呢?
国家电网处理的个人信息,主要包括员工、用电客户(包括个人用户和企业/单位用户的联系人员)、合作关联商等;涉及诸多类型的敏感信息,如下表所示:
| | |
| | |
| | |
| 智能电表数据采集、电动汽车充电轨迹 | 目的明确、最小范围、去标识化 |
| 特定身份信息 | | |
一、场景及应用的合规管控
- “网上国网”等互联网平台运营:作为大型互联网平台(第58条),须履行特别义务:1、成立独立监督机构(外部成员为主);2、制定平台规则明确个人信息处理规范;3、对严重违规商家/合作方停止提供服务;4、定期发布个人信息保护社会责任报告;
- 涉及自动化决策的应用:电力营销等系统中涉及的自动化决策场景:智能客服、信用评估(电费预付费额度)、负荷预测与需求响应。根据第24条款要求,应确保以下内容:1、保证决策的透明度和结果公平、公正;2、不得对个人在交易价格等交易条件上实行;3、不合理的差别待遇(大数据杀熟);4、通过自动化决策作出对个人权益有重大影响的决定,个人有权要求说明并拒绝仅通过自动化决策方式作出决定。
二、内部管理合规体系构建
组织架构要求:1、指定个人信息保护负责人(第52条):建议由领导层人员担任,公开联系方式,报送监管部门;2、设立专门机构:在总部和省级公司设立个人信息保护专职部门;3、境外代表:如有境外业务,需在境内设立专门机构或指定代表。
| |
| |
| 收集、存储、使用、加工、传输、提供、公开、删除全流程操作规程 |
| 敏感个人信息处理规则、跨境传输规则、第三方管理规则 |
| |
| |
合规审计与影响评估:1、定期合规审计(第54条):建议每年至少一次全面审计,敏感业务每半年抽查;审计应包括制度执行情况、技术措施有效性、第三方管理、用户权利响应等;建立问题台账,限期整改并复核。2、个人信息保护影响评估(第55条):对以下情况必须开展影响评估工作,如:处理敏感个人信息(员工人脸库、客户金融信息等);利用自动化决策(智能客服、信用评估);委托处理(外包客服、云服务等);向其他处理者提供个人信息(数据共享、开放);向境外提供个人信息;公开个人信息。3、评估报告须留存至少3年。
