个人信息保护监管机构
我国个人信息保护监管机构:由国家网信部门统筹协调、国务院有关部门以及县级以上地方人民政府有关部门监督管理共同构成。
企业责任
那么,在个保法时代,企业在个人信息处理过程中,需要履行什么责任呢?
个保法对企业责任做了三个层面的要求:
第一、设置合规组织。企业需要设置个人信息保护负责人,并且公开联系方式。
第二、个人信息处理的全流程合规要求。
事前:进行个人信息影响评估,对个人信息处理风险进行事先评估和防控。
事中:引入安全技术措施,如加密、去标识化技术等,保护处理过程的安全。
事后:进行定期合规审计,不断提升企业合规水位。
第三、企业管理层面的合规要求。
制定内部管理制度和操作流程,落实个人信息全生命周期的合规要求;建立个人信息分级分类保护的管理制度。引入数据安全技术,采取相应的加密、去标识化等安全技术措施;做好内部人员管理制度,合理确定个人信息处理的操作权限,并定期对员工进行合规培训;制定并落实个人信息安全事件应急机制,以应不时之需。
敲黑板,在个保法下,无法证明合规将视同于不合规。所以,以上企业履行法定义务的行为,都需要记录留痕,作为日后“自证合规”的证据。这一点,非常重要哦!
那么,如果企业违反个保法要求,会有什么后果呢?视违法程度的不同,可能有三种法律责任。
具体包括
1、行政责任(双罚制)
单位:最高罚款5000万元或上一年度营业额5%;暂停或终止App、网站服务。
— 如此高额的罚款,以及“断接入”式的处罚,违法无疑是对企业极其严重的打击!
个人:直接负责的主管和直接责任人处1-10万元,并禁止担任董监高和个人信息保护负责人。
2、民事责任(过错推定)
自证合规:当用户主张企业侵犯自己个人信息权益造成损害,企业需要举证证明自己合规。如果无法证明合规,将视同于企业不合规。因此,在个保法时代,做到合规和证明合规同样重要!
3、刑事责任:
构成犯罪的,将依法追究刑事责任。
例如,非法获取使用500条以上敏感个人信息,或5000条以上一般个人信息,都有可能被追究刑事责任。
需要特别强调的是,违法行为还将记入信用档案予以公示,这对企业声誉、品牌、招投标带来严重影响。