【综述翻译】CIPL就《个人信息保护法(草案)》的意见

信息政策领导中心(CIPL)成立于2001年,是一家设在华盛顿特区、布鲁塞尔和伦敦的全球隐私和安全智库。

CIPL针对中国《个人信息保护法(草案)》发布了反馈意见,可以视为欧美对中国个人信息立法的一个典型代表,这里通过翻译软件DeepL对综述部分进行翻译,全面的修订意见请参见原文。


本概述列出了本报告中最重要的建议。这些建议按具体主题排列。关于按《个人信息保护法》中的条款排列的整套建议,请见下面的评论全文。处理数据的隐私原则与法律依据

  • 在《个人信息保护法》中纳入合法利益处理的依据。
  • 明确指出,如果处理个人信息的目的发生变化,而这种变化又与原来的目的相一致,各组织可以依据原来的处理理由来处理这些个人信息。如果新的目的不符合,则需要有新的法律依据。

儿童个人信息

  • 使各组织能够采用基于风险的方法来确定他们是否在混合受众网站的情况下处理未成年人的个人信息,并且必须获得监护人的同意。

敏感个人信息

  • 采用基于风险的方法处理敏感个人信息,而不是提供预先界定的敏感信息的固定类别。
  • 如果《个人信息保护法》中保留了预先定义的敏感信息类别,则从定义中删除金融账户信息和个人行踪,并澄清如何定义“其他”形式的敏感个人信息以及由谁来定义。
  • 澄清敏感个人信息可以根据《个人信息保护法》中列出的所有法律理由进行处理,而且处理这些信息不限于同意的理由,例如在紧急情况下为保护个人的生命或健康而进行的处理。

个人信息的国际转移

  • 澄清所需的监督范围,以确保来自中国的个人信息的海外接收方符合《个人信息保护法》所列举的保护标准。
  • 解释何种情况下要通过网信部门的安全评估,才能将个人信息转移到海外。
  • 澄清第三十八条中提及的个人信息转移认证是否可以使中国参与APEC跨境隐私规则体系,并努力加入CBPR体系,以符合《个人信息保护法》第十二条的要求。
  • 在《个人信息保护法》所列的可用转移机制中增加行为准则和公司规则。
  • 在《个人信息保护法》的其他转让要求之外,取消获得同意的要求。

任命数据保护官和中国代表

  • 修订向有关机构披露及登记个人信息保护负责人的联络资料的规定,只要求登记是否已委任该个人信息保护负责人,并保持该申述的准确性及更新。
  • 将触发指定个人信息保护负责人规定的门槛与《个人信息安全规范》的门槛一致。
  • 根据其他隐私法律(如GDPR)的规定,在中国任命代表的要求中增加豁免条款。

风险评估

  • 澄清对第五十四条所列的处理活动进行初步的预先筛选,如果筛选结果显示对个人有高风险,则进行全面的风险评估,就足以满足第五十四条关于进行“预先风险评估”的要求。

数据泄露通知

  • 增加并提高触发向有关当局和个人报告违规行为的通知要求的危害阈值。
  • 修订通知违规事件的规定,由“在确定泄露事件后立即”改为尽可能在最短时间内通报,不得有不合理的延误,但不得迟于实体知悉资料违规事件后的指定天数(例如30天或45天)。

向第三方提供数据

  • 澄清第三方服务提供者在《个人信息保护法》下的作用。

匿名化

  • 修订匿名的定义,以反映更现实的合理匿名标准,并辅以程序、法律和行政保障措施。

公开提供的信息

  • 修订《个人信息保护法》,确保公开信息的使用规则与亚太经合组织隐私框架和中国的《个人信息安全规范》保持一致。

惩罚措施

  • 澄清什么是《个人信息保护法》规定的 “严重”非法行为。
  • 澄清什么时候的罚款会是一个固定的货币金额或收入的百分比,以及有关的收入与在中国的收入有关。
  • 澄清第六十二条规定的个人责任只适用于公司高层管理人员或董事为获取经济利益而故意或严重过失的行为。

生效日期

  • 明确规定各组织将在《个人信息保护法》通过之日起两年内完全遵守法律。

【综述翻译】CIPL就《个人信息保护法(草案)》的意见》有1个想法

发表评论

邮箱地址不会被公开。 必填项已用*标注