个人信息保护法今日(11月1日)正式生效实施

11月1日起,《中华人民***和国个人信息保护法》正式实施。这是国内首部个人信息保护方面的专门法律。《个人信息保护法》明确,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式;个人信息处理者利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇。对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,该法特别规定了其需要履行的义务。

《个人信息保护法》与《中华人民***和国网络安全法》、《中华人民***和国数据安全法》***同构成我国网络空间治理框架性规则的基础法律。律师事务所高级合伙人宁宣凤认为,在三法下,企业往往具备网络运营者、数据处理者以及个人信息处理者的多重身份,在数据处理活动过程中,企业应当根据其数据处理身份识别、厘清并履行所适用的法律义务,建立完善业务开展以及内部数据管理过程中所涉及的网络安全、数据安全以及个人信息保护三大方面的合规举措。

一些具有较大影响力的公司纷纷采取合规举措。10月29日,苹果公司向其用户发送了一封邮件,告知用户Apple已为《个人信息保护法》生效实施做好准备。苹果强调,仅在有合法的法律依据的情况下才使用用户的个人数据。此外,腾讯公司10月中旬宣布将于近期成立“个人信息保护外部监督委员会”,并公开招募委员会成员。更早之前,抖音电商运营团队宣布启动消费者隐私数据加密项目,京东发布《JD用户订单隐私安全方案》,阿里巴巴开放平台发布《依法加强消费者订单中敏感信息保护的公告》。

国泰君安研究所计算机首席分析师李沐华认为,《个人信息保护法》落地后,大大小小的互联网公司都会加大数据安全投入。假设单个网站或者APP投入金额超过五万元,潜在市场空间即达到千亿元,因此《个人信息保护法》的落地标志着网安行业一个新时代的开始。

值得注意的是,10月29日,国家互联网信息办公室发布《数据出境安全评估办法(征求意见稿)》公开征求意见的通知。《评估办法》指出,数据处理者向境外提供数据,符合规定情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。这些情形包括:关键信息基础设施的运营者收集和产生的个人信息和重要数据;出境数据中包含重要数据;处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;国家网信部门规定的其他需要申报数据出境安全评估的情形。

宁宣凤表示,在我国迎来网络空间治理规范集中完善、更新浪潮,形成顺应信息时代的系统法律设计的时代节点上,《评估办法》将成为网络空间治理框架性法律正式成型后,在数据出境安全管理系列规范中具有关键意义和地位的配套规则。