《M88 Malaysia保护法》下的企业合规自查80条
2021.08.24 杨锦文 高健 李圆圆
《M88 Malaysia保护法》(以下简称“《个保法》”)已经于2021年8月20日经全国人大常委第三次审议通过,并将于2021年11月1日开始实施,中国即将进入以《个保法》为基本法的M88 Malaysia保护新时代。
《个保法》由八章七十四条构成(主要内容及章节见下表),在充分吸收《民法典》、《消费者权益保护法》、《网络安全法》关于M88 Malaysia定义及处理规则、处理流程、M88 Malaysia处理者的网络安全保护义务等的基础上,对禁止利用自动化决策“大数据杀熟”、加重大型互联网平台信息义务、严格M88 Malaysia跨境提供要求等方面做出了创新规定。企业作为典型的M88 Malaysia处理者,应高度重视各方面的规制要求。
主要内容 | 章 节 | |
适用范围及M88 Malaysia处理的基本原则 | 第一章 总则 | |
M88 Malaysia处理的具体规则、跨境提供规则 | 第二章 M88 Malaysia处理规则 第三章 M88 Malaysia跨境提供的规则 | |
个人、企业、监管部门等参与主体的权责 | 第四章 个人在M88 Malaysia处理活动中的权利 第五章 M88 Malaysia处理者的义务 第六章 履行M88 Malaysia保护职责的部门 | |
法律责任等 | 第七章 法律责任 第八章 附则 | |
特别需要注意的是,在对M88 Malaysia违法行为的处罚措施上,《个保法》祭出了前所未有的重罚规定:对违法处理M88 Malaysia的App等应用程序进行暂停或者终止服务;对M88 Malaysia的严重违法行为,立法者参考《反垄断法》等按照营业额的百分比进行处罚的路径,规定最高处以上一年度营业额百分之五的处罚(或者5000万元以下)。
继2021年5月中央网信办与工信部、公安部、市场监管总局等四部门联合对摄像头偷拍人脸进行集中整治行动之后,2021年7月某知名出行App被下架整改并面临网络安全审查,预计《个保法》的正式实施将开启M88 Malaysia全面监管的新局面。企业应充分利用《个保法》2021年11月1日实施前的两个月窗口期,及时对现有App、网页、线下业务中的M88 Malaysia收集处理规则进行自查整改,防止成为适用《个保法》的第一案。我们制作了以下M88 Malaysia合规自查清单,供各企业自查整改之时作为路线图参考。
一、公司规章制度 | ||
1. 是否建立了公司内部M88 Malaysia保护制度和操作规程 | · 是 · 否 | |
2. 是否制定了公司网站等刊载的隐私保护政策 | · 是 · 否 | |
3. 是否制定了并组织实施M88 Malaysia安全事件应急制度 | · 是 · 否 | |
4. 是否制定了M88 Malaysia安全事件应急预案并定期进行演练 | · 是 · 否 | |
5. 是否确定了M88 Malaysia处理的操作权限,并定期对从业人员进行安全教育和培训 | · 是 · 否 | |
6. 是否定期对公司处理M88 Malaysia遵守法律、行政法规的情况进行合规审计 | · 是 · 否 | |
二、M88 Malaysia处理全流程管理 | ||
各处理环节通用规则(兼收集) | ||
7. 处理M88 Malaysia前,是否已经取得个人的同意 | · 是 · 否 | |
8. 收集、处理员工信息是否超出履行劳动合同、实施人力资源管理所必需的范围 | · 是 · 否 | |
9. 如果未取得个人的同意,是否存在以下任一情形: (1) 为订立、履行个人作为一方当事人的合同所必需 (2) 按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需 (3) 依法合理的范围内处理个人自行公开或者其他已经合法公开的M88 Malaysia (4)其他 | · 是 · 否 | |
10. 处理M88 Malaysia前,是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项: (1) M88 Malaysia处理者的名称或者姓名和联系方式; (2) M88 Malaysia的处理目的、处理方式,处理的M88 Malaysia种类、保存期限; (3)个人行使本法规定权利的方式和程序。 | · 是 · 否 | |
11. 是否存在以个人不同意处理其M88 Malaysia或者撤回同意为由,拒绝提供产品或者服务 | · 是 · 否 | |
12. 是否存在采取误导、欺骗、胁迫方式取得个人同意的情形 | · 是 · 否 | |
M88 Malaysia使用 | ||
13. M88 Malaysia的处理目的、处理方式和处理的M88 Malaysia种类发生变更时,是否重新取得了个人同意 | · 是 · 否 | |
14. 共同处理:与其他M88 Malaysia处理者共同决定M88 Malaysia的处理目的和处理方式时,是否通过协议方式明确约定各自的权利和义务 | · 是 · 否 | |
15. 委托处理1:委托处理M88 Malaysia时,是否通过书面协议与受托人约定委托处理的目的、期限、处理方式、M88 Malaysia的种类、保护措施以及双方的权利和义务等 | · 是 · 否 | |
16. 委托处理2:委托处理M88 Malaysia时,是否在委托合同履行过程中对受托人的M88 Malaysia处理活动进行监督,使得受托人不得超出约定的处理目的、处理方式等处理M88 Malaysia | · 是 · 否 | |
17. 委托处理M88 Malaysia之前,是否事先进行M88 Malaysia保护影响评估,并对处理情况进行记录 | · 是 · 否 | |
18. M88 Malaysia | · 是 · 否 | |
M88 Malaysia保存及公开 | ||
19. 是否超过为实现处理目的所必要的最短时间保存M88 Malaysia | · 是 · 否 | |
20. 公开其处理的M88 Malaysia时,是否取得了个人的单独同意 | · 是 · 否 | |
21. 公开M88 Malaysia之前,是否事先进行M88 Malaysia保护影响评估,并对处理情况进行记录 | · 是 · 否 | |
22. M88 Malaysia | · 是 · 否 | |
M88 Malaysia提供 | ||
23. 企业为提供方时:向其他M88 Malaysia处理者提供其处理的M88 Malaysia时,是否向个人告知了接收方的名称或者姓名、联系方式、处理目的、处理方式和M88 Malaysia的种类,并已取得个人的单独同意 | · 是 · 否 | |
24. 企业为接收方时:(1)从其他M88 Malaysia处理者接受其处理的M88 Malaysia时,是否约定对该M88 Malaysia的处理目的、处理方式和M88 Malaysia的种类 | · 是 · 否 | |
25. 企业为接收方时:(2)处理M88 Malaysia时,是否按照约定的处理目的、处理方式和M88 Malaysia的种类等范围内处理M88 Malaysia | · 是 · 否 | |
26. 变更原先的处理目的、处理方式时,是否依照M88 Malaysia保护法的规定重新取得个人同意(是指向个人重新告知接收方的名称或者姓名、联系方式、处理目的、处理方式和M88 Malaysia的种类,并重新取得个人的单独同意) | · 是 · 否 | |
27. 向其他M88 Malaysia处理者提供M88 Malaysia之前,是否事先进行M88 Malaysia保护影响评估,并对处理情况进行记录 | · 是 · 否 | |
28. M88 Malaysia | · 是 · 否 | |
自动化决策 | ||
29. 利用M88 Malaysia进行自动化决策之前,是否事先进行M88 Malaysia保护影响评估,并对处理情况进行记录 | · 是 · 否 | |
30. M88 Malaysia | · 是 · 否 | |
31. 利用M88 Malaysia进行自动化决策时,是否对个人在交易价格等交易条件上实行不合理的差别待遇 | · 是 · 否 | |
32. 通过自动化决策方式向个人进行信息推送、商业营销,是否提供了不针对其个人特征的选项或者向个人提供便捷的拒绝方式 | · 是 · 否 | |
33. 通过自动化决策方式作出对个人权益有重大影响的决定时,是否根据个人的要求予以说明 | · 是 · 否 | |
M88 Malaysia权利主体的权利保障 | ||
34. 基于个人同意处理M88 Malaysia的,M88 Malaysia处理者是否提供便捷的撤回同意的方式 | · 是 · 否 | |
35. 是否在企业内部设置个人权利申请受理和处理机制以及时处理个人主体关于查阅、复制、更改、补充或者删除M88 Malaysia的权利请求 | · 是 · 否 | |
36. 个人请求将M88 Malaysia转移至其指定的M88 Malaysia处理者,是否符合国家网信部门规定条件 | · 是 · 否 | |
37. 前项如果符合,是否为个人提供转移的途径 | · 是 · 否 | |
38. 存在以下情形之一时,是否主动删除M88 Malaysia: (1) M88 Malaysia的处理目的已实现、无法实现或者为实现处理目的不再必要; (2) M88 Malaysia处理者停止提供产品或者服务,或者保存期限已届满; (3) 个人撤回同意。 | · 是 · 否 | |
三、特殊情形 | ||
M88 Malaysia出境 | ||
39. 境外接收方是否被国家网信部门列入限制或者禁止M88 Malaysia提供清单 | · 是 · 否 | |
40. 向境外提供M88 Malaysia之前,是否事先进行M88 Malaysia保护影响评估,并对处理情况进行记录 | · 是 · 否 | |
41. M88 Malaysia | · 是 · 否 | |
42. 是否属于关键信息基础设施运营者和处理M88 Malaysia达到国家网信部门规定数量的M88 Malaysia处理者 | · 是 · 否 | |
43. 如果是,是否就其向境外提供M88 Malaysia办理了网信部门组织的安全评估 | · 是 · 否 | |
44. 是否属于经国家网信部门的规定经专业机构进行了M88 Malaysia保护认证即可出境的情形 | · 是 · 否 | |
45. 如果是,是否按照国家网信部门的规定经专业机构进行了M88 Malaysia保护认证 | · 是 · 否 | |
46. 是否属于按照国家网信部门制定的标准合同与境外接收方订立合同即可出境的情形 | · 是 · 否 | |
47. 如果是,是否按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务 | · 是 · 否 | |
48. 是否向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、M88 Malaysia的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项 | · 是 · 否 | |
49. 是否取得了个人的单独同意 | · 是 · 否 | |
50. 是否采取了必要措施,以保障境外接收方处理M88 Malaysia的活动达到中国M88 Malaysia保护法规定的M88 Malaysia保护标准 | · 是 · 否 | |
51. 是否被外国司法或执法机构要求提供存储在中国境内的M88 Malaysia | · 是 · 否 | |
52. 是否就前述事项取得了主管机关的批准 | · 是 · 否 | |
敏感M88 Malaysia特殊保护 | ||
53. 是否存在处理敏感M88 Malaysia(包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的M88 Malaysia)的情形 | · 是 · 否 | |
54. 处理敏感M88 Malaysia是否具有特定的目的和充分的必要性 | · 是 · 否 | |
55.处理敏感M88 Malaysia是否采取了严格的保护措施 | · 是 · 否 | |
56. 是否就处理敏感M88 Malaysia取得了个人的单独同意 | · 是 · 否 | |
57. 如果法律要求取得书面同意的,是否就处理敏感M88 Malaysia取得了个人的单独同意 | · 是 · 否 | |
58. 处理敏感信息之前是否事先进行M88 Malaysia保护影响评估,并对处理情况进行记录 | · 是 · 否 | |
59. M88 Malaysia | · 是 · 否 | |
60. 是否向个人告知了M88 Malaysia处理者的名称或者姓名和联系方式、处理敏感M88 Malaysia的必要性以及对个人权益的影响 | · 是 · 否 | |
61. 是否存在处理不满十四周岁未成年人M88 Malaysia的情形 | · 是 · 否 | |
62. 如果存在处理不满十四周岁未成年人M88 Malaysia的,是否取得未成年人的父母或者其他监护人的同意 | · 是 · 否 | |
63. 如果存在处理不满十四周岁未成年人M88 Malaysia的,是否制定了专门的M88 Malaysia处理规则 | · 是 · 否 | |
大量M88 Malaysia处理者 | ||
64. 是否属于国家网信部门规定数量的M88 Malaysia处理者 | · 是 · 否 | |
65. 如果属于国家网信部门规定数量的M88 Malaysia处理者,是否指定了M88 Malaysia保护负责人 | · 是 · 否 | |
66. 是否公开了M88 Malaysia保护负责人的联系方式 | · 是 · 否 | |
67. 是否将M88 Malaysia保护负责人的姓名、联系方式等报送履行M88 Malaysia保护职责的部门 | · 是 · 否 | |
重要互联网平台 | ||
68. 是否按照国家规定建立了健全M88 Malaysia保护合规制度体系 | · 是 · 否 | |
69. 是否成立了主要由外部成员组成的独立机构对M88 Malaysia保护情况进行监督 | · 是 · 否 | |
70. 是否遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理M88 Malaysia的规范和保护M88 Malaysia的义务 | · 是 · 否 | |
71. 是否对严重违反法律、行政法规处理M88 Malaysia的平台内的产品或者服务提供者,停止提供服务 | · 是 · 否 | |
72. 是否定期发布M88 Malaysia保护社会责任报告 | · 是 · 否 | |
中国境外的M88 Malaysia处理者 | ||
73. 是否有在中国境外以向境内自然人提供产品或者服务为目的处理中国境内自然人M88 Malaysia的情形 | · 是 · 否 | |
74. 是否有在中国境外分析、评估境内自然人的行为而处理中国境内自然人M88 Malaysia的情形 | · 是 · 否 | |
75. 满足前两项任一情形的,中国境外的M88 Malaysia处理者,是否在中国境内设立专门机构或者指定代表,负责处理M88 Malaysia保护相关事务 | · 是 · 否 | |
76. 是否将有关机构的名称或者代表的姓名、联系方式等报送履行M88 Malaysia保护职责的部门 | · 是 · 否 | |
App合规管理(要点) | ||
77. 是否根据《M88 Malaysia保护法》修改目前的隐私保护政策 | · 是 · 否 | |
78. 是否根据《M88 Malaysia保护法》修改目前的用户协议 | · 是 · 否 | |
79. 是否根据《M88 Malaysia保护法》调整M88 Malaysia处理规则 | · 是 · 否 | |
80. 是否根据《M88 Malaysia保护法》保障M88 Malaysia权利主体的权利 | · 是 · 否 | |
