作者:金杜律师事务所法律合规组

中国首个个人信息保护国家标准——《信息安全技术、公共及商用服务信息系统个人信息保护指南》(“《指南》”)于2013年2月1日起实施。而就在一个多月前,全国人大常委会于2012年12月28日审议通过了《关于加强网络信息保护的决定》(“《决定》”), 并自公布之日起生效。以上两个举措表明了中国已经在加强个人信息保护方面迈出了重要的第一步。

具有法律效力的《决定》较为宽泛地对网络服务提供者及企事业单位收集、使用个人信息的行为做出了原则性指引和要求。比如,明示收集、使用个人信息的目的、方式和范围并经被收集者同意,收集、使用公民个人电子信息,应当公开其收集、使用规则,不得泄露、篡改、毁损,不得出售或者非法向他人提供上述信息等等。《决定》概括性地规定了对违反《决定》的处罚包括警告、罚款、没收违法所得、吊销许可证、取消备案、关闭网站等。有关责任人员可能面临禁止从事网络服务业务、行政处罚、被追究民事甚至刑事责任等。

虽然并不具有法律效力,《指南》的生效实施也标志着中国在加强个人信息保护方面的做出的重大努力,揭示了中国未来在此领域的进一步立法方向。根据《指南》的规定,处理(包括收集、加工、转移、删除)个人信息需具有特定、明确、合理的目的并进行充分说明,在处理个人信息前需征得个人信息主体的同意。告知的个人信息使用目的达到后,需立即删除个人信息。另外, 将个人信息转移到境外需征得个人信息主体的明示同意。

《决定》和《指南》对于信息处理方转移个人信息的行为都有较为严格的限制,可能给依赖于第三方数据处理公司的跨国合作以及关联公司之间信息的共享造成一定的障碍。另外,公司将需要更多地关注其在电子商务环境下商业活动的合规性问题。

                                              

联系我们

电子邮件: compliance@cn.kwm.com