数据安全及个人信息保护相关法律规定梳理
2022-05-26 15:22:29 3 举报
AI智能生成
数据安全及个人信息保护相关法律规定梳理 上海地区为主
作者其他创作
大纲/内容
统领性法规
2017.06.01《中华人民共和国网络安全法》
管理部门分工
国家网信部门(中共中央网络安全和信息化委员会办公室“国家互联网信息办公室”)统筹协调
国务院电信主管部门(工信部)、公安部门和其他有关机关负责网络安全保护和监督管理工作。
县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。
国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。
负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。
国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。
负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。
国家实行网络安全等级保护制度,网络运营者应当履行安全保护义务
(关于网络安全等级保护制度的具体运行,详见“数据安全合规相关---关于网络安全等级保护制度”部分)
(关于网络安全等级保护制度的具体运行,详见“数据安全合规相关---关于网络安全等级保护制度”部分)
第21条
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)其他
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)其他
第47条
网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
第48条
任何个人和组织发送的电子信息、提供的应用软件设置恶意程序或含有法律、行政法规禁止发布或者传输的信息的,电子信息发送服务提供者和应用软件下载服务提供者知道其用户有前款规定行为的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。
第49条
网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
网络产品、服务的相关原则性要求
第22、23条
符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;
发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;
涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;
涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
规定了哪些服务下需要用户提供个人真实信息
第24条
办理网络接入、域名注册服务,
办理固定电话、移动电话等入网手续,
或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时
办理固定电话、移动电话等入网手续,
或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时
网络运营者制定网络安全事件应急预案的义务
第25条
个人及组织的禁止性行为
第12、27、44、45、46、48条
遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;
不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;
明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;
明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组。
不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。
不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。
任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。
关键信息基础设施的运行安全要求,
关键信息基础设施的运营者应当履行的安全保护义务
(如何认定见“数据安全合规相关---关于信息基础设施安全”部分)
关键信息基础设施的运营者应当履行的安全保护义务
(如何认定见“数据安全合规相关---关于信息基础设施安全”部分)
第31-39条
按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。
关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)其他
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)其他
关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。
因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;
因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;
关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:
(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;
(二)定期组织关键信息基础设施的运营者进行网络安全应急演练;
(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;
(四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。
(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;
(二)定期组织关键信息基础设施的运营者进行网络安全应急演练;
(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;
(四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。
建立健全用户信息保护制度
第40条
网络运营者收集、使用个人信息的要求
第41-50条
应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
网络运营者不得泄露、篡改、毁损其收集的个人信息;
未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。
在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。
在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
网络运营者违反规定收集、使用个人信息,或收集存储的个人信息有错误的,个人有权要求其删除或更正,运营者应当采取措施删除或更正。
相关法律责任
第59-75条
第59条:针对第21、25、33、34、36、38条的网络安全保护义务
第60条:针对第22条、第48条规定
第61条:针对第24条要求用户提供真实身份信息的规定
第62条:针对第26条规定的行为
第63条:针对第27条规定的行为
第64条:针对第22、41、43、44条规定的行为
第65条:针对第35条规定的关键信息基础设施的运营行为
第66条:针对第37条规定的关键信息基础设施的运营行为
第67条:针对第46条规定的行为
第68条:针对第47条规定的行为
第69条:针对不配合相关部门的监管的行为
第70条:针对第12条规定的行为
第73条:针对第30条规定的网络安全保护职责行为
定义了个人信息
第76条
以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
2021.09.01《中华人民共和国数据安全法》
数据、数据处理和数据安全的定义
第3条
数据,是指任何以电子或者其他方式对信息的记录。
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
各主管部门分工
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
建立数据分类分级保护制度
第21条
建立数据安全应急处置机制
第23条
建立数据安全审查制度
第24条
数据安全保护相关义务(如风险监测、风险评估等)
第27-36条
应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。
应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
不得窃取或者以其他非法方式获取数据。
应当在法律、行政法规规定的目的和范围内收集、使用数据。
从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
政务数据安全与开放
第37-43条
国家机关对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密
按照规定及时、准确地公开政务数据。
相关责任
第44-52条
第45条:针对第27、29、30条的数据安全保护义务规定
第46条:针对第31条规定的向境外提供数据行为
第47条:针对第33条规定的数据交易中介行为
第48条:针对第35条规定的配合数据调取以及第69条规定的向外国司法机构提供数据的行为
数据安全合规相关
关于公共数据开放
2019.10.01《上海市公共数据开放暂行办法》
公共数据与公共数据开放的定义
第3条
公共数据,是指本市各级行政机关以及履行公共管理和服务职能的事业单位在依法履职过程中,采集和产生的各类数据资源。
公共数据开放,是指公共管理和服务机构在公共数据范围内,面向社会提供具备原始性、可机器读取、可供社会化再利用的数据集的公共服务。
各部门分工
市政府办公厅负责推动、监督本市公共数据开放工作。
市经济信息化部门(上海市经济和信息化委员会)负责指导协调、统筹推进本市公共数据开放、利用和相关产业发展。
市大数据中心(由上海市人民政府办公厅举办的事业单位)负责本市公共数据统一开放平台(https://data.sh.gov.cn/,以下简称开放平台)的建设、运行和维护,并制订相关技术标准。
区人民政府确定的部门负责指导、推进和协调本行政区域内公共数据开放工作。
其他公共管理和服务机构根据相关法律、法规和规章,做好公共数据开放的相关工作。
市经济信息化部门(上海市经济和信息化委员会)负责指导协调、统筹推进本市公共数据开放、利用和相关产业发展。
市大数据中心(由上海市人民政府办公厅举办的事业单位)负责本市公共数据统一开放平台(https://data.sh.gov.cn/,以下简称开放平台)的建设、运行和维护,并制订相关技术标准。
区人民政府确定的部门负责指导、推进和协调本行政区域内公共数据开放工作。
其他公共管理和服务机构根据相关法律、法规和规章,做好公共数据开放的相关工作。
市人民政府建立健全公共数据开放工作的协调机制,协调解决公共数据开放的重大事项。
市经济信息化部门应当建立由高校、科研机构、企业、相关部门的专家组成的公共数据开放专家委员会。
公共数据开放专家委员会负责研究论证公共数据开放中的疑难问题,评估公共数据利用风险,对公共数据开放工作提出专业建议。
公共数据开放专家委员会负责研究论证公共数据开放中的疑难问题,评估公共数据利用风险,对公共数据开放工作提出专业建议。
数据开放主体
第9条
市人民政府各部门、区人民政府以及其他公共管理和服务机构分别负责本系统、本行政区域和本单位的公共数据开放。
市经济信息化部门应当根据本市经济社会发展需要,确定年度公共数据开放重点。
数据开放分级分类:
分级:非开放类、有条件开放类、无条件开放类
分级:非开放类、有条件开放类、无条件开放类
第11条
开放数据获取方式
第14、15条
无条件开放:通过开放平台以数据下载或者接口调用的方式直接获取。
有条件开放:通过开放平台公布利用数据的技术能力和安全保障措施等条件,向符合条件的自然人、法人和非法人组织开放。数据开放主体应当与符合条件的自然人、法人和非法人组织签订数据利用协议,数据利用协议示范文本由市经济信息化部门会同市大数据中心和数据开放主体制定。
有条件开放:通过开放平台公布利用数据的技术能力和安全保障措施等条件,向符合条件的自然人、法人和非法人组织开放。数据开放主体应当与符合条件的自然人、法人和非法人组织签订数据利用协议,数据利用协议示范文本由市经济信息化部门会同市大数据中心和数据开放主体制定。
开放平台及相应功能
第17-22条
市大数据中心应当依托市大数据资源平台建设开放平台。
数据利用监管
第23-28条
数据开放主体应当建立有效的监管制度,对有条件开放类公共数据的利用情况进行跟踪,判断数据利用行为是否合法正当。
违法违规行为处理主体:市经济信息化部门应当会同市大数据中心和数据开放主体
各主体责任
第42-46条
2019.11.01《上海市公共数据开放分级分类指南(试行)》
适用的主体范围以及领域范围
第2条
本市各级行政机关以及履行公共管理和服务职能的事业单位
上海市水务、电力、燃气、通信、公共交通、民航、铁路等公用事业运营单位涉及公共属性数据开放,可参考本指南进行分级分类。
上海市水务、电力、燃气、通信、公共交通、民航、铁路等公用事业运营单位涉及公共属性数据开放,可参考本指南进行分级分类。
个人敏感信息的定义
第4.3条
根据接受服务的个人信息主体意愿和各自业务特点确定。个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰,以及基因、照片、指纹等生物特征数据。
分级分类的六大原则
第5条
兼容性、安全性、科学性、需求导向、可操作性、可扩展性
分级分类的具体规则
第7条
个人维度:
无条件开放-匿名非敏感数据
有条件开放-非匿名非敏感数据、匿名敏感数据
非开放-非匿名敏感数据
无条件开放-匿名非敏感数据
有条件开放-非匿名非敏感数据、匿名敏感数据
非开放-非匿名敏感数据
组织维度:
无条件开放-可从公开途径获取或者法律法规授权公开的数据
有条件开放-数据用于支撑组织运营管理和业务开展,或可反映出组织经营状况,在特定范围内
对象知晓
非开放-数据涉及到组织核心利益,数据的泄露会对组织造成财务、声誉、技术等方面的影响
无条件开放-可从公开途径获取或者法律法规授权公开的数据
有条件开放-数据用于支撑组织运营管理和业务开展,或可反映出组织经营状况,在特定范围内
对象知晓
非开放-数据涉及到组织核心利益,数据的泄露会对组织造成财务、声誉、技术等方面的影响
客体维度:
无条件开放-可从公开途径获取或者法律法规授权公开的数据
有条件开放-数据开放风险低,对公共秩序、公共利益影响较小/数据开放风险中等,数据非授权操作后会对个人、企业、其他组织或国家机关运作造成损害
非开放-数据开放风险较高,数据非授权操作后会对个人、企业、其他组织或国家造成严重损害
无条件开放-可从公开途径获取或者法律法规授权公开的数据
有条件开放-数据开放风险低,对公共秩序、公共利益影响较小/数据开放风险中等,数据非授权操作后会对个人、企业、其他组织或国家机关运作造成损害
非开放-数据开放风险较高,数据非授权操作后会对个人、企业、其他组织或国家造成严重损害
分级分类的具体流程
第8条
确定分级分类对象-进行数据分级分类-确定开放条件-非开放类数据处理
数据开放的条件:
数据安全要求、应用场景要求、反馈要求
数据安全要求、应用场景要求、反馈要求
第10条
数据安全要求:
有基础的数据安全保护能力(A1)
有较完善的数据安全保护体系(A2)
有较完善的数据安全保护体系(B1)
有基础的数据安全保护能力(C1)
有较完善的数据安全保护体系(C2)
有基础的数据安全保护能力(A1)
有较完善的数据安全保护体系(A2)
有较完善的数据安全保护体系(B1)
有基础的数据安全保护能力(C1)
有较完善的数据安全保护体系(C2)
应用场景要求:
不得用于挖掘个人敏感信息(A1)
仅可在自身业务范围内进行科学研究、咨询报告、业务支撑等场景,不得对外提供查询服务(A2)
仅可在自身业务范围内进行科学研究、咨询报告、业务支撑等场景,不得针对具体组织对外发布新闻等信息(B1)
可在自身业务范围内进行科学研究、咨询报告、业务支撑等场景(C1)
仅可用于主管部门授权的场景(C2)
不得用于挖掘个人敏感信息(A1)
仅可在自身业务范围内进行科学研究、咨询报告、业务支撑等场景,不得对外提供查询服务(A2)
仅可在自身业务范围内进行科学研究、咨询报告、业务支撑等场景,不得针对具体组织对外发布新闻等信息(B1)
可在自身业务范围内进行科学研究、咨询报告、业务支撑等场景(C1)
仅可用于主管部门授权的场景(C2)
反馈要求:
注明数据来源,定期抽查数据使用情况(A1)
注明数据来源,实时日志反馈,定期提交利用报告(A2)
注明数据来源,定期抽查数据使用情况(B1)
注明数据来源,定期抽查数据使用情况(C1)
注明数据来源,实时日志反馈,定期提交利用报告(C2)
注明数据来源,定期抽查数据使用情况(A1)
注明数据来源,实时日志反馈,定期提交利用报告(A2)
注明数据来源,定期抽查数据使用情况(B1)
注明数据来源,定期抽查数据使用情况(C1)
注明数据来源,实时日志反馈,定期提交利用报告(C2)
2022.01.01上海市人大常委《上海市数据条例》
主管部门及分工
负责本系统、行业公共数据管理的市级部门(以下简称市级责任部门)应当依据业务职能,制定本系统、行业公共数据资源规划,完善管理制度和标准规范,组织开展本系统、行业数据的收集、归集、治理、共享、开放、应用及其相关质量和安全管理。
公共数据管理涉及多个部门或者责任不明确的,由市政府办公厅指定市级责任部门。
区人民政府明确的公共数据主管部门,负责统筹开展本行政区域公共数据管理工作,接受市政府办公厅的业务指导。
公共数据管理涉及多个部门或者责任不明确的,由市政府办公厅指定市级责任部门。
区人民政府明确的公共数据主管部门,负责统筹开展本行政区域公共数据管理工作,接受市政府办公厅的业务指导。
公共数据管理
第27-37条
平台:市大数据资源平台(由市大数据中心负责规划,不确定和上文的公共数据开放平台是否是同一个,没有找到专门的大数据资源平台)和区大数据资源分平台
分类管理:市大数据中心应当根据公共数据的通用性、基础性、重要性和数据来源属性等制定公共数据分类规则和标准,明确不同类别公共数据的管理要求
非公共数据采购:本市财政资金保障运行的公共管理和服务机构为依法履行职责,可以申请采购非公共数据。市政府办公厅负责统筹市级公共管理和服务机构的非公共数据采购需求,市大数据中心负责统一实施。
区公共数据主管部门负责统筹本行政区域个性化采购需求,自行组织采购。
区公共数据主管部门负责统筹本行政区域个性化采购需求,自行组织采购。
公共数据共享的要求和流程
第38-43条
应当以共享为原则,不共享为例外。
公共数据应当通过大数据资源平台进行共享。
公共数据应当通过大数据资源平台进行共享。
市政府办公厅应当建立以共享需求清单、责任清单和负面清单为基础的公共数据共享机制。
公共管理和服务机构提出共享需求的,应当明确应用场景,并承诺其真实性、合规性、安全性。
对未列入负面清单的公共数据,可以直接共享,但不得超出依法履行职责的必要范围;
对未列入公共数据目录的公共数据,市级责任部门应当在收到共享需求之日起十五个工作日内进行确认后编入公共数据目录并提供共享。
公共管理和服务机构超出依法履行职责的必要范围,通过大数据资源平台获取其他机构共享数据的,市大数据中心应当在发现后立即停止其获取超出必要范围的数据。
对未列入负面清单的公共数据,可以直接共享,但不得超出依法履行职责的必要范围;
对未列入公共数据目录的公共数据,市级责任部门应当在收到共享需求之日起十五个工作日内进行确认后编入公共数据目录并提供共享。
公共管理和服务机构超出依法履行职责的必要范围,通过大数据资源平台获取其他机构共享数据的,市大数据中心应当在发现后立即停止其获取超出必要范围的数据。
公共数据按照开放类型分为无条件开放、有条件开放和非开放三类。
涉及个人隐私、个人信息、商业秘密、保密商务信息,或者法律、法规规定不得开放的,列入非开放类;
对数据安全和处理能力要求较高、时效性较强或者需要持续获取的公共数据,列入有条件开放类;
其他公共数据列入无条件开放类。
涉及个人隐私、个人信息、商业秘密、保密商务信息,或者法律、法规规定不得开放的,列入非开放类;
对数据安全和处理能力要求较高、时效性较强或者需要持续获取的公共数据,列入有条件开放类;
其他公共数据列入无条件开放类。
本市依托市大数据资源平台向社会开放公共数据。
市级责任部门、区人民政府以及其他公共管理和服务机构分别负责本系统、行业、本行政区域和本单位的公共数据开放,在公共数据目录范围内制定公共数据开放清单。
公共数据开放具体规则,由市经济信息化部门制定。
市级责任部门、区人民政府以及其他公共管理和服务机构分别负责本系统、行业、本行政区域和本单位的公共数据开放,在公共数据目录范围内制定公共数据开放清单。
公共数据开放具体规则,由市经济信息化部门制定。
公共数据授权运营
第44-46条
被授权运营主体应当在授权范围内,依托统一规划的公共数据运营平台提供的安全可信环境,实施数据开发利用,并提供数据产品和服务。
市政府办公厅应当会同市网信等相关部门和数据专家委员会,对被授权运营主体规划的应用场景进行合规性和安全风险等评估。
授权运营的数据涉及个人隐私、个人信息、商业秘密、保密商务信息的,处理该数据应当符合相关法律、法规的规定。
市政府办公厅、市大数据中心、被授权运营主体等部门和单位,应当依法履行数据安全保护义务。
市政府办公厅应当会同市网信等相关部门和数据专家委员会,对被授权运营主体规划的应用场景进行合规性和安全风险等评估。
授权运营的数据涉及个人隐私、个人信息、商业秘密、保密商务信息的,处理该数据应当符合相关法律、法规的规定。
市政府办公厅、市大数据中心、被授权运营主体等部门和单位,应当依法履行数据安全保护义务。
关于信息基础设施安全
2021.09.01国务院《关键信息基础设施安全保护条例》
关键信息基础设施的定义
第2条
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
相关部门分工
在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。
国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。
省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。
省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门
保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。
关键信息基础设施如何认定
第8-11条
(一)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;
(二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;
(三)对其他行业和领域的关联性影响。
保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。
关键信息基础设施发生较大变化,可能影响其认定结果的,运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定,将认定结果通知运营者,并通报国务院公安部门。
运营者的责任与义务
第12-21条
运营者应当建立健全网络安全保护制度和责任制
运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责
运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。
专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:
(一)建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划;
(二)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;
(三)按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件;
(四)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;
(五)组织网络安全教育、培训;
(六)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;
(七)对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;
(八)按照规定报告网络安全事件和重要事项。
运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估
关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告。
发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。
发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。
运营者采购网络产品和服务,应当与网络产品和服务提供者签订安全保密协议
相应责任
第39-49条
2020.09.22公安部《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》
职能分工
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管、监管部门(以下统称保护工作部门)应制定本行业、本领域关键信息基础设施认定规则并报公安部备案。
保护工作部门根据认定规则负责组织认定本行业、本领域关键信息基础设施,及时将认定结果通知相关设施运营者并报公安部。
应将符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施。
关键信息基础设施清单实行动态调整机制,有关网络设施、信息系统发生较大变化,可能影响其认定结果的,运营者应及时将相关情况报告保护工作部门,保护工作部门应组织重新认定,将认定结果通知运营者,并报公安部。
保护工作部门根据认定规则负责组织认定本行业、本领域关键信息基础设施,及时将认定结果通知相关设施运营者并报公安部。
应将符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施。
关键信息基础设施清单实行动态调整机制,有关网络设施、信息系统发生较大变化,可能影响其认定结果的,运营者应及时将相关情况报告保护工作部门,保护工作部门应组织重新认定,将认定结果通知运营者,并报公安部。
公安部负责关键信息基础设施安全保护工作的顶层设计和规划部署,会同相关部门健全完善关键信息基础设施安全保护制度体系。
保护工作部门负责对本行业、本领域关键信息基础设施安全保护工作的组织领导,制定并实施本行业、本领域关键信息基础设施安全总体规划和安全防护策略,落实本行业、本领域网络安全指导监督责任。
关键信息基础设施运营者负责设置专门安全管理机构,组织开展关键信息基础设施安全保护工作,主要负责人对本单位关键信息基础设施安全保护负总责。
保护工作部门负责对本行业、本领域关键信息基础设施安全保护工作的组织领导,制定并实施本行业、本领域关键信息基础设施安全总体规划和安全防护策略,落实本行业、本领域网络安全指导监督责任。
关键信息基础设施运营者负责设置专门安全管理机构,组织开展关键信息基础设施安全保护工作,主要负责人对本单位关键信息基础设施安全保护负总责。
关于网络安全等级保护制度
2018.06.27公安部《网络安全等级保护条例(征求意见稿)》
(目前尚未有正式条例出台)
(目前尚未有正式条例出台)
相关部门职责分工
中央网络安全和信息化领导机构(中央网络安全和信息化领导小组)统一领导网络安全等级保护工作。
国家网信部门(中共中央网络安全和信息化委员会办公室)负责网络安全等级保护工作的统筹协调。
国务院公安部门主管网络安全等级保护工作,负责网络安全等级保护工作的监督管理,依法组织开展网络安全保卫。
国家保密行政管理部门(国家保密局)主管涉密网络分级保护工作,负责网络安全等级保护工作中有关保密工作的监督管理。
国家密码管理部门(国家密码管理局)负责网络安全等级保护工作中有关密码管理工作的监督管理。
国务院其他有关部门依照有关法律法规的规定,在各自职责范围内开展网络安全等级保护相关工作。
县级以上地方人民政府依照本条例和有关法律法规规定,开展网络安全等级保护工作。
国家网信部门(中共中央网络安全和信息化委员会办公室)负责网络安全等级保护工作的统筹协调。
国务院公安部门主管网络安全等级保护工作,负责网络安全等级保护工作的监督管理,依法组织开展网络安全保卫。
国家保密行政管理部门(国家保密局)主管涉密网络分级保护工作,负责网络安全等级保护工作中有关保密工作的监督管理。
国家密码管理部门(国家密码管理局)负责网络安全等级保护工作中有关密码管理工作的监督管理。
国务院其他有关部门依照有关法律法规的规定,在各自职责范围内开展网络安全等级保护相关工作。
县级以上地方人民政府依照本条例和有关法律法规规定,开展网络安全等级保护工作。
网络等级
(一)第一级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。
(二)第二级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络。
(三)第三级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。
(四)第四级,一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络。
(五)第五级,一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。
(二)第二级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络。
(三)第三级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。
(四)第四级,一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络。
(五)第五级,一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。
网络定级
网络运营者应当在规划设计阶段确定网络的安全保护等级。
当网络功能、服务范围、服务对象和处理的数据等发生重大变化时,网络运营者应当依法变更网络的安全保护等级。
当网络功能、服务范围、服务对象和处理的数据等发生重大变化时,网络运营者应当依法变更网络的安全保护等级。
对拟定为第二级以上的网络,其运营者应当组织专家评审;有行业主管部门的,应当在评审后报请主管部门核准。
跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审。
跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审。
第二级以上网络运营者应当在网络的安全保护等级确定后10个工作日内,到县级以上公安机关备案。
因网络撤销或变更调整安全保护等级的,应当在10个工作日内向原受理备案公安机关办理备案撤销或变更手续。
备案的具体办法由国务院公安部门组织制定。
因网络撤销或变更调整安全保护等级的,应当在10个工作日内向原受理备案公安机关办理备案撤销或变更手续。
备案的具体办法由国务院公安部门组织制定。
公安机关应当对网络运营者提交的备案材料进行审核。对定级准确、备案材料符合要求的,应在10个工作日内出具网络安全等级保护备案证明。
一般安全保护义务
适用于所有网络运营者
(一)确定网络安全等级保护工作责任人,建立网络安全等级保护工作责任制,落实责任追究制度;
(二)建立安全管理和技术保护制度,建立人员管理、教育培训、系统安全建设、系统安全运维等制度;
(三)落实机房安全管理、设备和介质安全管理、网络安全管理等制度,制定操作规范和工作流程;
(四)落实身份识别、防范恶意代码感染传播、防范网络入侵攻击的管理和技术措施;
(五)落实监测、记录网络运行状态、网络安全事件、违法犯罪活动的管理和技术措施,并按照规定留存六个月以上可追溯网络违法犯罪的相关网络日志;
(六)落实数据分类、重要数据备份和加密等措施;
(七)依法收集、使用、处理个人信息,并落实个人信息保护措施,防止个人信息泄露、损毁、篡改、窃取、丢失和滥用;
(八)落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施;
(九)落实联网备案和用户真实身份查验等责任;
(十)对网络中发生的案事件,应当在二十四小时内向属地公安机关报告;泄露国家秘密的,应当同时向属地保密行政管理部门报告。
(十一)法律、行政法规规定的其他网络安全保护义务。
(二)建立安全管理和技术保护制度,建立人员管理、教育培训、系统安全建设、系统安全运维等制度;
(三)落实机房安全管理、设备和介质安全管理、网络安全管理等制度,制定操作规范和工作流程;
(四)落实身份识别、防范恶意代码感染传播、防范网络入侵攻击的管理和技术措施;
(五)落实监测、记录网络运行状态、网络安全事件、违法犯罪活动的管理和技术措施,并按照规定留存六个月以上可追溯网络违法犯罪的相关网络日志;
(六)落实数据分类、重要数据备份和加密等措施;
(七)依法收集、使用、处理个人信息,并落实个人信息保护措施,防止个人信息泄露、损毁、篡改、窃取、丢失和滥用;
(八)落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施;
(九)落实联网备案和用户真实身份查验等责任;
(十)对网络中发生的案事件,应当在二十四小时内向属地公安机关报告;泄露国家秘密的,应当同时向属地保密行政管理部门报告。
(十一)法律、行政法规规定的其他网络安全保护义务。
特殊安全保护义务
适用于第三级以上网络的运营者
(一)确定网络安全管理机构,明确网络安全等级保护的工作职责,对网络变更、网络接入、运维和技术保障单位变更等事项建立逐级审批制度;
(二)制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过;
(三)对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度;
(四)对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理;
(五)落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全案事件等进行动态监测分析,并与同级公安机关对接;
(六)落实重要网络设备、通信链路、系统的冗余、备份和恢复措施;
(七)建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告;
(八)法律和行政法规规定的其他网络安全保护义务。
(二)制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过;
(三)对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度;
(四)对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理;
(五)落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全案事件等进行动态监测分析,并与同级公安机关对接;
(六)落实重要网络设备、通信链路、系统的冗余、备份和恢复措施;
(七)建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告;
(八)法律和行政法规规定的其他网络安全保护义务。
上线检测
新建的第二级网络上线运行前应当按照网络安全等级保护有关标准规范,对网络的安全性进行测试。
新建的第三级以上网络上线运行前应当委托网络安全等级测评机构按照网络安全等级保护有关标准规范进行等级测评,通过等级测评后方可投入运行。
新建的第三级以上网络上线运行前应当委托网络安全等级测评机构按照网络安全等级保护有关标准规范进行等级测评,通过等级测评后方可投入运行。
等级测评
第三级以上网络的运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。
自查工作
网络运营者应当每年对本单位落实网络安全等级保护制度情况和网络安全状况至少开展一次自查,发现安全风险隐患及时整改,并向备案的公安机关报告。
产品服务采购使用安全要求
第三级以上网络运营者应当采用与其安全保护等级相适应的网络产品和服务;对重要部位使用的网络产品,应当委托专业测评机构进行专项测试,根据测试结果选择符合要求的网络产品;采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
技术维护要求
第三级以上网络应当在境内实施技术维护,不得境外远程技术维护。因业务需要,确需进行境外远程技术维护的,应当进行网络安全评估,并采取风险管控措施。实施技术维护,应当记录并留存技术维护日志,并在公安机关检查时如实提供。
监测预警和信息通报
第三级以上网络运营者应当建立健全网络安全监测预警和信息通报制度,按照规定向同级公安机关报送网络安全监测预警信息,报告网络安全事件。有行业主管部门的,同时向行业主管部门报送和报告。
数据和信息安全保护
网络运营者应当建立并落实重要数据和个人信息安全保护制度;采取保护措施,保障数据和信息在收集、存储、传输、使用、提供、销毁过程中的安全;建立异地备份恢复等技术措施,保障重要数据的完整性、保密性和可用性。
未经允许或授权,网络运营者不得收集与其提供的服务无关的数据和个人信息;不得违反法律、行政法规规定和双方约定收集、使用和处理数据和个人信息;不得泄露、篡改、损毁其收集的数据和个人信息;不得非授权访问、使用、提供数据和个人信息。
未经允许或授权,网络运营者不得收集与其提供的服务无关的数据和个人信息;不得违反法律、行政法规规定和双方约定收集、使用和处理数据和个人信息;不得泄露、篡改、损毁其收集的数据和个人信息;不得非授权访问、使用、提供数据和个人信息。
应急处置要求
第三级以上网络的运营者应当按照国家有关规定,制定网络安全应急预案,定期开展网络安全应急演练。
网络运营者处置网络安全事件应当保护现场,记录并留存相关数据信息,并及时向公安机关和行业主管部门报告。
网络运营者处置网络安全事件应当保护现场,记录并留存相关数据信息,并及时向公安机关和行业主管部门报告。
涉密网络的安全保护
涉密网络按照存储、处理、传输国家秘密的最高密级分为绝密级、机密级和秘密级。
涉密网络运营者应当依法确定涉密网络的密级,通过本单位保密委员会(领导小组)的审定,并向同级保密行政管理部门备案。
涉密网络运营者规划建设涉密网络,应当依据国家保密规定和标准要求,制定分级保护方案
涉密网络应当由国家保密行政管理部门设立或者授权的保密测评机构进行检测评估,并经设区的市级以上保密行政管理部门审查合格,方可投入使用。
涉密网络运营者在涉密网络投入使用后,应定期开展安全保密检查和风险自评估,并接受保密行政管理部门组织的安全保密风险评估。绝密级网络每年至少进行一次,机密级和秘密级网络每两年至少进行一次。
涉密网络运营者在涉密网络投入使用后,应定期开展安全保密检查和风险自评估,并接受保密行政管理部门组织的安全保密风险评估。绝密级网络每年至少进行一次,机密级和秘密级网络每两年至少进行一次。
涉密网络运营者应当制定安全保密管理制度,组建相应管理机构,设置安全保密管理人员,落实安全保密责任。
有下列情形之一的,涉密网络运营者应当按照国家保密规定及时向保密行政管理部门报告并采取相应措施:
(一)密级发生变化的;
(二)连接范围、终端数量超出审查通过的范围、数量的;
(三)所处物理环境或者安全保密设施变化可能导致新的安全保密风险的;
(四)新增应用系统的,或者应用系统变更、减少可能导致新的安全保密风险的。
对前款所列情形,保密行政管理部门应当及时作出是否对涉密网络重新进行检测评估和审查的决定。
(一)密级发生变化的;
(二)连接范围、终端数量超出审查通过的范围、数量的;
(三)所处物理环境或者安全保密设施变化可能导致新的安全保密风险的;
(四)新增应用系统的,或者应用系统变更、减少可能导致新的安全保密风险的。
对前款所列情形,保密行政管理部门应当及时作出是否对涉密网络重新进行检测评估和审查的决定。
监督管理
县级以上公安机关对网络运营者依照国家法律法规规定和相关标准规范要求,落实网络安全等级保护制度,开展网络安全防范、网络安全事件应急处置、重大活动网络安全保护等工作,实行监督管理;对第三级以上网络运营者按照网络安全等级保护制度落实网络基础设施安全、网络运行安全和数据安全保护责任义务,实行重点监督管理。
县级以上公安机关对同级行业主管部门依照国家法律法规规定和相关标准规范要求,组织督促本行业、本领域落实网络安全等级保护制度,开展网络安全防范、网络安全事件应急处置、重大活动网络安全保护等工作情况,进行监督、检查、指导。
地市级以上公安机关每年将网络安全等级保护工作情况通报同级网信部门。
县级以上公安机关对同级行业主管部门依照国家法律法规规定和相关标准规范要求,组织督促本行业、本领域落实网络安全等级保护制度,开展网络安全防范、网络安全事件应急处置、重大活动网络安全保护等工作情况,进行监督、检查、指导。
地市级以上公安机关每年将网络安全等级保护工作情况通报同级网信部门。
县级以上公安机关对网络运营者开展下列网络安全工作情况进行监督检查:
(一)日常网络安全防范工作;
(二)重大网络安全风险隐患整改情况;
(三)重大网络安全事件应急处置和恢复工作;
(四)重大活动网络安全保护工作落实情况;
(五)其他网络安全保护工作情况。
公安机关对第三级以上网络运营者每年至少开展一次安全检查。涉及相关行业的可以会同其行业主管部门开展安全检查。必要时,公安机关可以委托社会力量提供技术支持。
(一)日常网络安全防范工作;
(二)重大网络安全风险隐患整改情况;
(三)重大网络安全事件应急处置和恢复工作;
(四)重大活动网络安全保护工作落实情况;
(五)其他网络安全保护工作情况。
公安机关对第三级以上网络运营者每年至少开展一次安全检查。涉及相关行业的可以会同其行业主管部门开展安全检查。必要时,公安机关可以委托社会力量提供技术支持。
2020.09.22公安部《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》
网络运营者应科学确定网络的安全保护等级,对第二级以上网络依法向公安机关备案,并向行业主管部门报备。
对新建网络,应在规划设计阶段确定安全保护等级。
公安机关对网络运营者提交的备案材料和网络的安全保护等级进行审核,对定级结果合理、备案材料符合要求的,及时出具网络安全等级保护备案证明。
对新建网络,应在规划设计阶段确定安全保护等级。
公安机关对网络运营者提交的备案材料和网络的安全保护等级进行审核,对定级结果合理、备案材料符合要求的,及时出具网络安全等级保护备案证明。
定期开展网络安全等级测评。网络运营者应,对已定级备案网络的安全性进行检测评估,查找可能存在的网络安全问题和隐患。
第三级以上网络运营者应委托符合国家有关规定的等级测评机构,每年开展一次网络安全等级测评,并及时将等级测评报告提交受理备案的公安机关和行业主管部门。
新建第三级以上网络应在通过等级测评后投入运行。
网络运营者在开展测评服务过程中要与测评机构签署安全保密协议,并对测评过程进行监督管理。
公安机关要加强对本地等级测评机构的监督管理,建立测评人员背景审查和人员审核制度,确保等级测评过程客观、公正、安全。
第三级以上网络运营者应委托符合国家有关规定的等级测评机构,每年开展一次网络安全等级测评,并及时将等级测评报告提交受理备案的公安机关和行业主管部门。
新建第三级以上网络应在通过等级测评后投入运行。
网络运营者在开展测评服务过程中要与测评机构签署安全保密协议,并对测评过程进行监督管理。
公安机关要加强对本地等级测评机构的监督管理,建立测评人员背景审查和人员审核制度,确保等级测评过程客观、公正、安全。
企业数据合规
2022.01.01《上海市数据条例》
相关部门分工
市政府办公厅负责统筹规划、综合协调全市数据发展和管理工作。
市发展改革部门(上海市发改委)负责统筹本市综合政策制定以及区域联动等工作。
市经济信息化部门(上海市经济和信息化委员会)负责协调推进本市公共数据开放、社会经济各领域数据开发应用和产业发展,统筹推进信息基础设施规划、建设和发展,推动产业数字化、数字产业化等工作。
市网信部门(上海市互联网信息办公室)负责统筹协调本市个人信息保护、网络数据安全和相关监管工作。
市公安、国家安全机关在各自职责范围内承担数据安全监管职责。
市财政、人力资源社会保障、市场监管、统计、物价等部门在各自职责范围内履行相关职责。
市大数据中心具体承担本市公共数据的集中统一管理,推动数据的融合应用。
市发展改革部门(上海市发改委)负责统筹本市综合政策制定以及区域联动等工作。
市经济信息化部门(上海市经济和信息化委员会)负责协调推进本市公共数据开放、社会经济各领域数据开发应用和产业发展,统筹推进信息基础设施规划、建设和发展,推动产业数字化、数字产业化等工作。
市网信部门(上海市互联网信息办公室)负责统筹协调本市个人信息保护、网络数据安全和相关监管工作。
市公安、国家安全机关在各自职责范围内承担数据安全监管职责。
市财政、人力资源社会保障、市场监管、统计、物价等部门在各自职责范围内履行相关职责。
市大数据中心具体承担本市公共数据的集中统一管理,推动数据的融合应用。
数据安全责任制,数据处理者是数据安全责任主体。
第78条
数据处理活动的主要义务
第79条
(一)依照法律、法规的规定,建立健全全流程数据安全管理制度和技术保护机制;
(二)组织开展数据安全教育培训;
(三)采取相应的技术措施和其他的必要措施,确保数据安全,防止数据篡改、泄露、毁损、丢失或者非法获取、非法利用;
(四)加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;
(五)发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告;
(六)利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务;
(七)其他。
(二)组织开展数据安全教育培训;
(三)采取相应的技术措施和其他的必要措施,确保数据安全,防止数据篡改、泄露、毁损、丢失或者非法获取、非法利用;
(四)加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;
(五)发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告;
(六)利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务;
(七)其他。
建立健全数据分类分级保护制度
第80条
重要数据处理者应当明确数据安全责任人和管理机构,按照规定定期对其数据处理活动开展风险评估,并依法向有关主管部门报送风险评估报告。
第81条
具体包括的内容可能有
企业应当建立数据分类分级保护制度。
企业的最高管理者是数据合规的第一责任人/以及相应的职责
鼓励各类企业设置专门的数据合规管理部门
企业应当制定数据合规计划
数据合规管理部门管理职责
企业开展数据合规管理应当准确识别风险
禁止从事的数据活动
关于自动化工具的使用规则
关于软件开发工具包的使用规则
个人信息的处理规则
个人生物特征信息(人脸识别)的处理规则
向第三方提供数据的规则以及接收方处理数据的规则
跨境提供个人信息等数据的规则
数据风险评估与处置机制
企业可建立数据合规咨询机制
企业应当建立数据合规考核机制
数据合规管理部门应当建立培训机制
数据交易
2022.01.01《上海市数据条例》
关于数据交易的原则性规定
第53-57条
市政府办公厅应当制定政策
市相关主管部门应当建立健全数据要素配置的统计指标体系和评估评价指南
交易的禁止情形:
(一)危害国家安全、公共利益,侵害个人隐私的;
(二)未经合法权利人授权同意的;
(三)其他。
(一)危害国家安全、公共利益,侵害个人隐私的;
(二)未经合法权利人授权同意的;
(三)其他。
市场主体可以通过依法设立的数据交易所进行数据交易,也可以依法自行交易。
从事数据交易活动的市场主体可以依法自主定价。
浦东新区设立数据交易所
第67条
网络安全审查
2022.02.15《网络安全审查办法》
(发文机关:国家互联网信息办公室 , 国家发展和改革委员会 ,
工业和信息化部 , 公安部 , 国家安全部 , 财政部 , 商务部 , 中国
人民银行 , 国家市场监督管理总局 , 国家广播电视总局 , 中国证
券监督管理委员会 , 国家保密局 , 国家密码管理局)
(发文机关:国家互联网信息办公室 , 国家发展和改革委员会 ,
工业和信息化部 , 公安部 , 国家安全部 , 财政部 , 商务部 , 中国
人民银行 , 国家市场监督管理总局 , 国家广播电视总局 , 中国证
券监督管理委员会 , 国家保密局 , 国家密码管理局)
适用的范畴:关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的
第2条
相关部门分工
网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。
关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。
掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
第7条
当事人申报网络安全审查,应当提交的材料
第8条
(一)申报书;
(二)关于影响或者可能影响国家安全的分析报告;
(三)采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件;
(四)需要的其他材料。
(二)关于影响或者可能影响国家安全的分析报告;
(三)采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件;
(四)需要的其他材料。
网络安全审查重点评估相关对象或者情形的国家安全风险因素
第10条
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;
(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;
(七)其他。
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;
(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;
(七)其他。
安全审查流程
第9、11-15条
网络安全审查办公室应当自收到符合本办法第八条规定的审查申报材料起10个工作日内,确定是否需要审查并书面通知当事人。
网络安全审查办公室认为需要开展网络安全审查的,应当自向当事人发出书面通知之日起30个工作日内完成初步审查,情况复杂的,可以延长15个工作日。
网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见。
网络安全审查工作机制成员单位、相关部门意见一致的,网络安全审查办公室以书面形式将审查结论通知当事人;意见不一致的,按照特别审查程序处理,并通知当事人。
网络安全审查工作机制成员单位、相关部门意见一致的,网络安全审查办公室以书面形式将审查结论通知当事人;意见不一致的,按照特别审查程序处理,并通知当事人。
按照特别审查程序处理的,网络安全审查办公室应当听取相关单位和部门意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知当事人。
特别审查程序一般应当在90个工作日内完成,情况复杂的可以延长。
特别审查程序一般应当在90个工作日内完成,情况复杂的可以延长。
网络安全审查办公室要求提供补充材料的,当事人、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。
个人信息保护相关
总统性规定
2021.11.01《中华人民共和国个人信息保护法》
适用范围
第3条
在中国境内处理自然人个人信息的活动
在中国境外处理境内自然人个人信息的如下活动:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)其他。
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)其他。
相关部分分工
国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。
国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。
国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。
个人信息以及个人信息处理的定义
第4条
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
处理个人信息的几大原则
第5-10条
合法、正当、必要和诚信原则
具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。不得过度收集个人信息。
公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
采取必要措施保障所处理的个人信息的安全。
不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
处理个人信息的几大规则
第13条
处理个人信息的基本前提:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)其他。
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)其他。
关于个人信息处理中的个人同意的规则
第14-16条
同意应当由个人在充分知情的前提下自愿、明确作出。
法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
个人有权撤回其同意,但不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
个人信息处理前的告知
第17、18条
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)其他。
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)其他。
无需告知的例外情形:
法律法规规定、紧急情况下为保护自然人的生命健康和财产安全(但需事后告知)
法律法规规定、紧急情况下为保护自然人的生命健康和财产安全(但需事后告知)
个人信息的保存期限
第19条
为实现处理目的所必要的最短时间
共同处理个人信息的权利义务分配
第20条
应当约定各自的权利和义务、但依法承担连带责任
委托他人处理个人信息的权利义务分配
第21条
处理规则同一般委托内容
转移个人信息或提供个人信息的处理规则
第22、23、25条
告知+重新同意
个人信息处理中的自动化决策问题
第24条
定义:通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。
保证决策的透明度和结果公平、公正
应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
公共场所采集个人信息应当设置显著的提示标识且不得用于除维护公共安全以外的其他目的
第26条
敏感个人信息的处理规则
第28-32条
应当取得个人的单独同意
应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响
处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意,并制定专门的个人信息处理规则。
国家机关处理个人信息的规定
第34-36条
不得超出履行法定职责所必需的范围和限度。
应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。
个人信息跨境提供的规则
第38-42条
条件:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)其他。
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)其他。
向个人告知内容并取得单独同意
触发安全审查条件的应申请安全审查
个人在个人信息处理活动中的权利
第44-50条
知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理
查阅、复制权
更正、补充权
有权请求删除的情形:
(一)处理目的已实现、无法实现或者为实现处理目的不再必要;
(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;
(三)个人撤回同意;
(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
(五)其他。
(一)处理目的已实现、无法实现或者为实现处理目的不再必要;
(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;
(三)个人撤回同意;
(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
(五)其他。
要求解释说明权
死者的近亲属为了合法正当利益也可行使上述权利
个人信息处理者的义务
第51-59条
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)其他。
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)其他。
处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人
个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
事前进行个人信息保护影响评估的情形:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
个人信息保护影响评估应当包括下列内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存三年。
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存三年。
发生或者可能发生个人信息泄露、篡改、丢失的,应通知履行个人信息保护职责的部门和个人:
(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;
(三)个人信息处理者的联系方式。
个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。
(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;
(三)个人信息处理者的联系方式。
个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。
提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(四)定期发布个人信息保护社会责任报告,接受社会监督。
(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(四)定期发布个人信息保护社会责任报告,接受社会监督。
相应责任
第66-70条
2022.01.01《上海市数据条例》
关于个人信息的特别保护
处理个人信息的,应当取得个人同意。
第18-19条
处理个人信息前,应当向个人告知的事项
第20条
(一)处理者的名称或者姓名和联系方式;
(二)处理个人信息的目的、方式;
(三)处理的个人信息种类、保存期限;
(四)个人依法享有的权利以及行使权利的方式和程序;
(五)其他
(二)处理个人信息的目的、方式;
(三)处理的个人信息种类、保存期限;
(四)个人依法享有的权利以及行使权利的方式和程序;
(五)其他
个人有权请求处理者更正、补充。
个人有权请求删除个人信息的情形
个人有权请求删除个人信息的情形
第21条
(一)处理目的已实现、无法实现或者为实现处理目的不再必要;
(二)处理者停止提供产品或者服务,或者保存期限已届满;
(三)个人撤回同意;
(四)处理者违反法律、行政法规或者违反约定处理个人信息;
(五)其他。
(二)处理者停止提供产品或者服务,或者保存期限已届满;
(三)个人撤回同意;
(四)处理者违反法律、行政法规或者违反约定处理个人信息;
(五)其他。
公共场所或者区域,不得以图像采集、个人身份识别技术作为出入该场所或者区域的唯一验证方式。
第23条
关于自动化决策的规定
第24条
保证决策的透明度和结果的公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销的,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求处理者予以说明,并有权拒绝处理者仅通过自动化决策的方式作出决定。
通过自动化决策方式向个人进行信息推送、商业营销的,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求处理者予以说明,并有权拒绝处理者仅通过自动化决策的方式作出决定。
关于儿童个人信息的特殊保护
2019.10.1国家互联网信息办公室《儿童个人信息网络保护规定》
儿童的定义
第2条
不满十四周岁的未成年人
适用范围
第3条
境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动
关于儿童个人信息保护的几大原则:
1.设计专门制度和负责人
2.告知和同意(以及同意的具体内容)的使用前提
3.收集和存储儿童个人信息的范畴和要求
4.运营者对工作人员的要求
5.委托第三方处理信息的要求
6.关于转移和披露的要求
1.设计专门制度和负责人
2.告知和同意(以及同意的具体内容)的使用前提
3.收集和存储儿童个人信息的范畴和要求
4.运营者对工作人员的要求
5.委托第三方处理信息的要求
6.关于转移和披露的要求
第7-18条
征得同意时的告知事项:
(一)收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;
(二)儿童个人信息存储的地点、期限和到期后的处理方式;
(三)儿童个人信息的安全保障措施;
(四)拒绝的后果;
(五)投诉、举报的渠道和方式;
(六)更正、删除儿童个人信息的途径和方法;
(七)其他。
(一)收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;
(二)儿童个人信息存储的地点、期限和到期后的处理方式;
(三)儿童个人信息的安全保障措施;
(四)拒绝的后果;
(五)投诉、举报的渠道和方式;
(六)更正、删除儿童个人信息的途径和方法;
(七)其他。
不得收集与其提供的服务无关的儿童个人信息,不得违反法律、行政法规的规定和双方的约定收集儿童个人信息。
存储儿童个人信息,不得超过实现其收集、使用目的所必需的期限。
因业务需要,确需超出约定的目的、范围使用的,应当再次征得儿童监护人的同意。
网络运营者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。
委托第三方处理儿童个人信息的,不得转委托
向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估。
儿童或者其监护人有权要求纠正、删除信息
第20条
(一)网络运营者违反法律、行政法规的规定或者双方的约定收集、存储、使用、转移、披露儿童个人信息的;
(二)超出目的范围或者必要期限收集、存储、使用、转移、披露儿童个人信息的;
(三)儿童监护人撤回同意的;
(四)儿童或者其监护人通过注销等方式终止使用产品或者服务的。
儿童个人信息有泄露、毁损、丢失时的处理要求
第21条
立即启动应急预案,采取补救措施;造成或者可能造成严重后果的,应当立即向有关主管部门报告,并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人,难以逐一告知的,应当采取合理、有效的方式发布相关警示信息。
对运营者停止运营产品或者服务后的要求
第23条
应当立即停止收集儿童个人信息的活动,删除其持有的儿童个人信息,并将停止运营的通知及时告知儿童监护人。
关于APP收集使用个人信息的规定
2019.01.23《关于开展App违法违规收集使用个人信息专项治理的公告》
(发文机关:中共中央网络安全和信息化委员会办公室 , 工业和信息化部 ,
公安部 , 国家市场监督管理总局)
(发文机关:中共中央网络安全和信息化委员会办公室 , 工业和信息化部 ,
公安部 , 国家市场监督管理总局)
App运营者收集使用个人信息时要严格履行《网络安全法》规定的责任义务,对获取的个人信息安全负责,采取有效措施加强个人信息保护:
遵循合法、正当、必要的原则,不收集与所提供服务无关的个人信息;
收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则, 并经个人信息主体自主选择同意;
不以默认、捆绑、停止安装使用等手段变相强迫用户授权,
不得违反法律法规和与用户的约定收集使用个人信息。
倡导App运营者在定向推送新闻、时政、广告时,为用户提供拒绝接收定向推送的选项。
遵循合法、正当、必要的原则,不收集与所提供服务无关的个人信息;
收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则, 并经个人信息主体自主选择同意;
不以默认、捆绑、停止安装使用等手段变相强迫用户授权,
不得违反法律法规和与用户的约定收集使用个人信息。
倡导App运营者在定向推送新闻、时政、广告时,为用户提供拒绝接收定向推送的选项。
对强制、过度收集个人信息,未经消费者同意、违反法律法规规定和双方约定收集、使用个人信息,发生或可能发生信息泄露、丢失而未采取补救措施,非法出售、非法向他人提供个人信息等行为,按照《网络安全法》《消费者权益保护法》等依法予以处罚,包括责令App运营者限期整改;
逾期不改的,公开曝光;
情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。
逾期不改的,公开曝光;
情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。
开展App个人信息安全认证
2019.11.28《关于印发《App违法违规收集使用个人信息行为认定方法》的通知》
(发文机关:国家互联网信息办公室 , 工业和信息化部 , 公安部 , 国家市场监督管理总局)
(发文机关:国家互联网信息办公室 , 工业和信息化部 , 公安部 , 国家市场监督管理总局)
以下行为可被认定为“未公开收集使用规则”
1.在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;
2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;
3.隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;
4.隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。
1.在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;
2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;
3.隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;
4.隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。
以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”
1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;
2.收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;
3.在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;
4.有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。
1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;
2.收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;
3.在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;
4.有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。
以下行为可被认定为“未经用户同意收集使用个人信息”
1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;
2.用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;
3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;
4.以默认选择同意隐私政策等非明示方式征求用户同意;
5.未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;
6.利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;
7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;
8.未向用户提供撤回同意收集个人信息的途径、方式;
9.违反其所声明的收集使用规则,收集使用个人信息。
1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;
2.用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;
3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;
4.以默认选择同意隐私政策等非明示方式征求用户同意;
5.未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;
6.利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;
7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;
8.未向用户提供撤回同意收集个人信息的途径、方式;
9.违反其所声明的收集使用规则,收集使用个人信息。
以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”
1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;
2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;
3.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;
4.收集个人信息的频度等超出业务功能实际需要;
5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;
6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;
2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;
3.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;
4.收集个人信息的频度等超出业务功能实际需要;
5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;
6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
以下行为可被认定为“未经同意向他人提供个人信息”
1.既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息;
2.既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息;
3.App接入第三方应用,未经用户同意,向第三方应用提供个人信息。
1.既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息;
2.既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息;
3.App接入第三方应用,未经用户同意,向第三方应用提供个人信息。
以下行为可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”
1.未提供有效的更正、删除个人信息及注销用户账号功能;
2.为更正、删除个人信息或注销用户账号设置不必要或不合理条件;
3.虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;
4.更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的;
5.未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。
1.未提供有效的更正、删除个人信息及注销用户账号功能;
2.为更正、删除个人信息或注销用户账号设置不必要或不合理条件;
3.虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;
4.更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的;
5.未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。
2021.5.1《关于印发《常见类型移动互联网应用程序必要个人信息范围规定》的通知》
(发文机关:国家互联网信息办公室 , 工业和信息化部 , 公安部 , 国家市场监督管理总局)
(发文机关:国家互联网信息办公室 , 工业和信息化部 , 公安部 , 国家市场监督管理总局)
必要个人信息的定义
第3条
保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。
App不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。
第4条
常见类型App的必要个人信息范围:
定义了各类APP 共计39类的具体必要个人信息
关于人脸识别相关规定
2022.01.01《上海市数据条例》
公共场所或者区域,不得以图像采集、个人身份识别技术作为出入该场所或者区域的唯一验证方式。
第23条
2021.08.01《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
适用范围
第1条
因信息处理者违反法律、行政法规的规定或者双方的约定使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的民事案件
侵害自然人人格权益的行为的认定
第2条
(一)在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析;
(二)未公开处理人脸信息的规则或者未明示处理的目的、方式、范围;
(三)基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意;
(四)违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等;
(五)未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失;
(六)违反法律、行政法规的规定或者双方的约定,向他人提供人脸信息;
(七)违背公序良俗处理人脸信息;
(八)违反合法、正当、必要原则处理人脸信息的其他情形。
信息处理者不得视为征得同意的情形
第4条
(一)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;
(二)信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;
(三)强迫或者变相强迫自然人同意处理其人脸信息的其他情形。
信息处理者的免责事由
第5条
(一)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的;
(二)为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的;
(三)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的;
(四)在自然人或者其监护人同意的范围内合理处理人脸信息的;
(五)符合法律、行政法规规定的其他情形。
举证责任的分配
第6条
原则上谁主张谁举证
多个信息处理者处理人脸信息侵害自然人人格权益时的责任分配
第7条
按照过错程度和造成损害结果的大小承担侵权责任,满足共同侵权的构成要件的,承担连带责任
损害赔偿中的合理开支的认定
第8条
合理开支包括该自然人或者委托代理人对侵权行为进行调查、取证的合理费用。人民法院根据当事人的请求和具体案情,可以将合理的律师费用计算在赔偿范围内。
人格权侵害禁令
第9条
人脸识别不得作为出入物业服务区域的唯一验证方式
第10条
信息处理格式合同
第11条
要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利的格式条款无效
信息处理者应当承担的责任内容
第12条
0 条评论
下一页