个保法系列解读 | 最高处罚五千万或5%营业额！违法要负这些责任

2021年11月1日正式实施的《个保法》已经将个人信息的收集、存储、使用、加工、传输、提供、公开、删除等全流程都纳入了监管范围，并设置专章来明确法律责任，针对一般违法行为和情节严重违法行为实施分类处罚，最高可处以五千万元以下或者上一年度营业额百分之五以下罚款。本篇文章将对法律责任部分进行解读。

国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门 在各自职责范围内负责相关工作。《个保法》明确了国家网信部门统筹协调的权限。该规定与《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》对国家网信部门的权限规定相一致。国家互联网信息办公室会同工业和信息化部、公安部、市场监管总局联合负责个人信息保护工作，各部门在各自职责范围内负责个人信息保护和监督管理工作，若有冲突，由国家网信部门统筹协调。此监管模式在一定程度上增强了执法口径的一致性，但依然没有设置独立的监管机构，在执法上缺乏统一的执法机构。

《个保法》整体上规定了较为严格的法律责任，并明确了责令违法处理个人信息的应用程序暂停或者终止提供服务的罚则，为App监管执法提供了更为明确的上位法依据。《个保法》在个人信息保护部门的工作职责的部分也明确了对应用程序个人信息保护情况测评的职责，为此条款的落地实施提供依据。

《个保法》明确指出个人信息侵权行为的归责原则为过错推定，如果处理行为对个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。举证责任倒置在一定程度上解决了“谁主张谁举证”原则导致的个人信息主体维权成本高且举证难的问题。其实早在庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案中企业就被要求证明自己不存在过错，并最终因无法证明自身无过错而败诉。《个保法》的过错推定要求与之前的司法实践也是一致的。

为了避免此类风险，建议相关企业在合作前做好个人信息合规审查，并在合作中留存好相应的处理记录以备查。在方月明诉北京金色世纪商旅网络科技股份有限公司、中国东方航空股份有限公司合同纠纷案中，法院就指出企业提供的对外合作协议、任命数据保护官的通知、等保测评报告等证据可以证明其已经履行了个人信息保护义务，相关个人信息处理者可以参考此判决，注意留存等保证明、合作协议、数据处理日志、用户授权文件等资料来证明合规性。

个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当通过协议等方式约定各自的权利和义务，明确各自的法律责任，并建议进一步细化无过错方向过错方的内部追责机制。

《个保法》于2021年11月1日正式实施，最高人民法院也对《民事案件案由规定》进行了修订，“个人信息保护纠纷”现已成为了一个单独适用的民事案由，个人信息司法保护已进入了新的保护阶段。但可能因为《个保法》刚生效不久，截至2022年1月13日，在裁判文书网和威科先行法律数据库的案例部分均未检索到适用《个保法》的判决。相关的司法实践情况还有待观察。

《个保法》的出台进一步完善了中国个人信息保护立法体系，和《网络安全法》、《数据安全法》共同构建了更为完善的数据安全和个人信息保护框架，并规定了相应的罚则来增强《个保法》的威慑力。TalkingData作为信通院“个人信息保护合规审计推进小组”的首批成员，会在严格遵守《个保法》的相关规定的基础上积极推进个人信息保护工作，完善公司内部的合规体系。

TalkingData——用数据说话

每天一篇好文章，欢迎分享关注