中国科学技术法学会、中国法学交流基金会28日在京召开新闻发布会,发布《个人信息处理法律合规性评估指引》团体标准。
据介绍,个人信息处理法律合规性评估指引界定和汇集了个人信息处理及其法律合规性评估可能涉及的术语和概念体系,整合了相关法律、法规和技术规范后,规定了各类组织规范个人信息处理应遵循的合规要求,其目的在于支持各类组织证明和声明其个人信息处理的合规状态和合规能力水平,也包括用户、监管者等对个人信息处理的合规进行检查和监督,个人信息相关方之间建立理解和信任,以及独立的评估机构为具有上述需求的个人信息相关方提供法律合规性评估、咨询和认证服务。
中国法学交流基金会
理事长张所菲表示,此次团体标准的发布为监管者、企业等主体判断个人信息处理是否合规提供了重要参考和具体评估指引。
发布会上,北京大学法学院、知识产权学院、粤港澳大湾区知识产权发展研究院以及深圳市北鹏前沿科技法律研究院、中国法律咨询中心等发布会支持单位及团体标准试点律师事务所、企业负责人等就标准发布深入探讨。
作为团体标准主要起草者,中国科学技术法学会副会长兼秘书长、北京大学知识产权学院常务副院长张平对团体标准做了解读。
对于起草该团体标准的缘由,张平说,个人信息是一个重要的课题。如今,它不仅仅事关个人利益和企业合规,甚至已关系到国家的信息安全、贸易活动的顺利进行。“作为民间学术团体,
我们
希望先编制一个合规性指引,指导企业等合理、合法处理、应用个人信息。
”
谈到团体标准的内容亮点,张平说,团体标准对于现有法律法规知识图谱和规范标准的整理非常清晰和细化,对于第三方评估机构和企业的指引作用非常明显。“
现有的国内法已经对个人信息保护规定了要求和原则,我们将其整理成详细的知识图谱和指标体系,并设置具体场景下,给企业在合规上提出一些这个自评估的这种建议。
团体标准不仅纳入了民法典、网络安全法等现行法律的规定,同时对于国家颁布的各类相关技术标准也有涵盖。
无论是可能涉及的民事、刑事、行政责任,我们都做了风险提示。
”
“除了全面,另一个亮点就是细化、可操作性。”张平补充,国家立法和技术标准的规定,在具体场景上如何理解和认定,各类组织做法在具体应用中是否合法合规,都根据现行法律和规范的规定给与了细致的指引,并且对个人信息的保护水平高于规范要求。
“可以说,团体标准对个人信息保护做到了不失位、不越位。
”
“在团体标准的编制过程中,我们根据相关规定向社会征求意见,得到了积极的反馈。”张平说,有些企业给出制定方在评估主体、于个人信息的这个处理过程、信息收集的场景,通知同意的情形等,都提出了细致的反馈。特别值得一提的是,在数据跨境传输方面,许多企业也应用了自身在国际信息活动中的经验,提示了团体标准应和欧盟《通用数据保护条例》、亚太经合组织相关规定等国际指标体系接轨。
“下一步,我们希望正在制定的个人信息保护法能够在个人信息保护领域的宏观层面做一个统领。”张平说,“在处理好国家安全产业安全和个人信息安全利益保障的基础上,也希望它尽可能的促进个人信息、数据的善意的应用。”
