被多人嘲讽排版太丑,遂用模板
本文将《个人信息保护法》(“《个保法》”)与《信息安全技术个人信息安全规范》(“国标”)、《个人金融信息保护技术规范》(“行标”)进行对比,旨在发现《个人信息保护法》对既有国家、行业性标准的吸收与改变。主要分享个人信息的定义、获取同意的例外、个人信息的共享、个人信息影响评估、个人信息处理者内控体系的构建几项内容的对比。
为什么要比较
本周花了很多时间学习《个保法》,对照着上周末做的对比版《个保法》一审稿
二审稿
正式稿双色对比,结合各家律所的解读,从条文变迁的角度试图理解立法者的心思。
但很多问题法条本身并没有表述得特别清楚,只看着法条想,可能很难有结果。比如说《个保法》第20条规定的“共同处理”,我想破脑子都没想到一个真实存在的“两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式”的场景。
结果去看了一下《信息安全技术个人信息安全规范》(GB/T-)第9.6条的注释,就找到了具体场景:
如个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件(例如,网站经营者与在其网页或应用程序中部署统计分析工具、软件开发工具包SDK、调用地图API接口),且该第三方并未单独向个人信息主体征得收集个人信息的授权同意,则个人信息控制者与该第三方在个人信息收集阶段为共同个人信息控制者。
看这个条文的同时,我还发现,与《个保法》第20条明确规定“个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任”的安排不同,国标的说法是:
9.6共同个人信息控制者
对个人信息控制者的要求包括
p>a)当个人信息控制者与第三方为共同个人信息控制者时,个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知;b)如未向个人信息主体明确告知第三方身份,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,个人信息控制者应承担因第三方引起的个人信息安全责任。
即只要合同明确约定责任划分,且向个人信息主体告知清楚,个人信息控制者即无需承担第三方引起的责任。(个人理解国标中的“个人信息控制者”在本场景下等同于《个保法》中的“个人信息处理者”)
这就意味着,在《个保法》生效后,签订合同明确双方权利义务并告知个人信息主体相关信息,无法成为不承担责任的有效抗辩事由。
同时,由于国标是国标委和市监局共同制定的国家标准,对个人信息处理的规定较《个保法》更为详细。因此很多《个保法》中未规定清楚的问题,在国标中也许都能找到解答。
综上,我认为如果能针对个保法的条文,找到国标中的对应条款,比较学习,肯定有收获。检索后发现洪延青老师已经在《个保法》出台后的第二天就已经做好了《个人信息保护法》与《个人信息安全规范》对照比较表。好想法很多人早就想到,并高效执行,佩服。
昨天在做PPT的时候,我希望能多找到几个对个人信息的直接列举。上周已经在国标的附录A中看到个人信息列举。
那么其他的标准中会不会也有呢,于是我就想到了央行发的《个人金融信息保护技术规范》(JR/T-)。不看不知道,一看吓一跳,行标第4部分不仅对个人金融信息进行了详尽地定义,还列举并对这些个人金融信息分类。
图片来源:个人信息保护法下金融机构合规提示
行标是央行出台的行业性标准,不仅适用于持牌金融机构也适用于为前者处理个人金融信息的其他机构。由于个人金融信息的高度敏感性,行标提出了更高的要求。(见下图)
图片来源:金诚同达律师事务所彭凯律师团队讲座PPT
因此,行标对于目前
