数据合规与隐私保护学习
2022-05-19 13:20:00 1 举报AI智能生成
数据合规与隐私保护学习
作者其他创作
大纲/内容
相关法律法规
世界各国保护个人用户数据隐私的法律法规
欧盟的GDPR
GDPR全称
General Data Protection Regulation
GDPR全称中文名
GDPR全称中文名叫《通用数据保护条例》
GDPR条例起草生效
起草时间
2012年1月份就已经起草
试行时间
欧盟于2016年4月正式通过这一条例并宣布试行
生效时间
于 2018 年 5 月 25 日正式生效
取代法律
这部“大法”不仅取代了1995年的《数据保护指令》和欧盟成员国各自制定的相关法规 而且在个人隐私保护方面迈出一大步
GDPR规定内容
规定了企业如何收集,使用和处理欧盟公民的个人数据。
GDPR定义了隐私保护的七项基本原则
许可(Consent)
反对(Objection)
访问(Access)
清除(Erasure)
移动性(Portability)
安全(Security)
信息泄露通知(Breach notification)
GDPR的法律辐射范围
欧盟的个人数据可以流动或存储到第三国
适用于任何向欧盟消费者推销或销售产品的企业。
执行保障机制
严重违反GDPR可能被处以2000万欧元或上年度全球年营业额4%的罚款
欧盟的个人数据是可以流动或存储到第三国
到相关国家的转移将被等同于欧盟内部的数据传输,需要欧盟的认可,到目前为止欧盟委员会已经认可了安道尔,阿根廷,加拿大(商业组织),法罗群岛,根西岛,以色列,曼岛,日本,泽西岛,新西兰,瑞士,乌拉圭和美国。
GDPR的严格程度
欧盟的GDPR号称史上最严格的数据隐私保护,在全球范围内都影响深远
如国内的华为和小米为了符合GDPR的要求任命了数据保护官(PDO)专门负责这一块,QQ国际版不合法规的版本在GDPR生效之际都下线。
加州的CCPA
CCPA全称
California Consumer Privacy Act
CCPA中文名
CCPA中文名《加利福尼亚州的消费者隐私法案》
CCPA规定内容
保护消费者隐私权益而设立的法案
CCPA条例起草生效
起草时间
2018年6月加州通过CCPA
生效时间
CCPA法案已于2020年1月1日生效
实施时间
于2020年7月1日起正式实施
出台的目的
当科技公司收集和使用数据时,赋予人们更多的信息和数据控制权
CCPA法律的适用范围
满足以下条件之一的加州企业,属于本法律的适用范围
年收入超过 2500 万美元
拥有超过50000个消费者、家庭或设备的商业数据
消费者个人数据的销售额占年收入一半以上
CCPA的法律辐射范围
州际法律
虽然是州际法律,但由于加州在美国,在世界的经济份额很大,美国90%的互联网公司都集中在加州,要知道谷歌和Facebook都是在加州,所以这个法规在全球都有很大的影响力,如Mozilla决定以CCPA的标准为全球使用者提供服务。
加拿大PIPEDA
PIPEDA全称
Personal Information Protection and Electronic Documents Act
PIPEDA中文名
PIPEDA中文名是《个人信息保护及电子文档法案》
PIPEDA规定内容
PIPEDA主要规定了私人或者企业在进行商业活动时,使用个人信息时的范围与准则
PIPEDA条例起草生效
生效时间
2000年就通过PIPEDA
PIPEDA的法律辐射范围
由于经济影响力不大,所以没什么人关注
日本APPI
APPI全称
Amended Act on the Protection of Personal Information
APPI中文名
APPI中文名是《个人信息保护法》
APPI规定内容
APPI旨在保护公民的个人数据免遭泄露,丢失或损坏; 监督处理数据的员工;
托管数据的第三方监督
APPI条例起草生效
生效时间
在2005年通过《个人信息保护法》
于2017年施行了新版《个人信息保护法》
APPI的法律辐射范围
2019年1月23日,欧盟委员会(EU)通过了一项针对日本的充分性决定,允许个人数据在两个经济体之间自由流动,并提供强有力的保障。
阿根廷PDPA
PDPA全称
Personal Data Protection Act
PDPA中文名
PDPA中文名是《阿根廷个人数据保护法》
PDPA规定内容
用来帮助保护个人数据隐私
并为用户提供对存储在公用和专用数据库和注册表中的任何信息的访问权限
PDPA条例起草生效
生效时间
于 2000 年执行
PDPA的法律辐射范围
2019年1月23日,欧盟委员会(EU)通过了一项针对日本的充分性决定,允许个人数据在两个经济体之间自由流动,并提供强有力的保障。
中国的相关法律法规
整体概要
2021年8月《个人信息保护法》出台前,中国法律法规里对何为“私密信息”并无明确定义
认定为“私密信息”
PDPA与用于保护数据隐私的欧洲立法模式一致,并且阿根廷是拉丁美洲第一个获得从欧盟进行数据传输的“充足”资格的国家/地区。
不会被认定为“私密信息”
个人的姓名、容貌等通常不会被认定为“私密信息”
是否为“私密信息”存在不确定性
住址、电话号码、行踪信息、宗教信仰等是否为“私密信息”则存在不确定性(这里的“私密信息”和《个人信息保护法》里的“敏感个人信息”不能简单的理解为同一个概念)。
根据《民法典》第1032条
隐私
指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。 任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。除法律另有规定或者权利人明确同意外,任何组织或个人不得实施《民法典》第1033条规定的侵犯他人隐私权的行为。
隐私作为一项重要的人格权,主要是通过《民法典》人格权编的规则予以保护,并辅之以相应的单行法和司法解释,形成周延的保护。对于个人信息而言,由于对此种权益的保护具有公法与私法的双重属性,完全通过私法的保护是不全面的,其中涉及公法的管理性规范,需要公法上的协同。
个人信息
是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
个人信息中的私密信息
适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
《个人信息保护法》第二章
专门规定了敏感信息处理的特殊规则
数据保护相关的重要法律、法规、规章及规范性文件
序号 文件名称 发布机构 生效时间
1《消费者权益保护法》第14条、第29条、第50条、第56条 全国人大常委会 2014年3月15日
2 《刑法修正案(七)》
全国人大常委 2009年2月28日
3 《刑法修正案(九)》第17条、第28条 全国人大常委会 2015年11月1日
4 《网络安全法》
全国人大常委会 2017年6月1日
5 《民法典》第111条、第1032-1039条 全国人大 2021年1月1日
6《电子商务法》第5条、第23条、第25条、第32条 全国人大常委会 2019年1月1日
7 《密码法》
全国人大常委会 2020年1月1日
8《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》 最高人民法院 2014年10月10日
9 《侵犯公民个人信息刑事案件解释》 最高人民法院 最高人民检察院 2017年6月1日
10 《网络犯罪解释》
最高人民法院 最高人民检察院 2019年11月1日
11 《征信业管理条例》
国务院 2013年3月15日
12 《电信和互联网用户个人信息保护规定》 工信部 2013年9月1日
13《中国人民银行金融消费者权益保护实施办法》 中国人民银行 2016年12月14日
14 《儿童个人信息网络保护规定》 国家网信办 2019年10月1日
15《App违法违规收集使用个人信息行为认定方法》 国家互联网信息办公室秘书局 2019年11月28日
16 《网络安全审查办法》
国家网信办 2020年6月1日
17《APP违法违规收集使用个人信息自评估指南》 APP违法违规收集使用个人信息专项治理工作组 2019年3月3日
18 《数据安全法(草案)》
全国人大常委会 2020年7月3日
19 《CII保护条例(征求意见稿)》 国家网信办 2017年7月10日
20 《网络安全等级保护条例(征求意见稿)》 公安部 2018年6月27日
21 《数据安全管理办法(征求意见稿)》 国家网信办 2019年5月28日
22 《个人信息出境办法(征求意见稿)》 国家网信办 2019年6月13日
23 《网络安全漏洞管理规定》
工信部 2019年6月18日
24《常见类型移动互联网应用程序必要个人信息范围规定》的通知
国信办秘字〔2021〕14号 2021-03-12
25《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》
公通字〔2013〕12号 2021-04-23
26 《关键信息基础设施安全保护条例》
中华人民共和国国务院令第745号 2021-07-30
27 《汽车数据安全管理若干规定(试行)》
中国人民银行营业管理部,中央组织部,住房和城乡建设部,公安部,国家发展和改革委员会,工业和信息化部,交通运输部,国家互联网信息办公室 ,机构沿革 2021-08-16
28 《中华人民共和国个人信息保护法》
全国人大常委会 2021-08-20
数据保护相关的重要国家标准
序号 文件名称 发布机构 生效时间
1 《网络安全等级保护基本要求》 市场监管总局、国家标准化委员会 2019年12月1日
2《信息安全技术网络安全等级保护测评要求》 市场监管总局、国家标准化委员会 2019年12月1日
3 《个人金融信息保护技术规范》 中国人民银行 2020年2月13日
4 《个人信息去标识化指南》 市场监管总局、国家标准化委员会 2020年3月1日
5 《大数据安全管理指南》 市场监管总局、国家标准化委员会 2020年3月1日
6 《信息安全技术 网络安全等级保护实施指南》 市场监管总局、国家标准化委员会 2020年3月1日
7 《个人信息安全规范》 市场监管总局、国家标准化委员会 2020年10月1日
8《个人信息安全影响评估指南(征求意见稿)》 信安标委 2018年6月11日
9 《信息技术 安全技术 生物特征识别信息的保护要求(征求意见稿)》 信安标委 2019年6月25日
10 《个人信息告知同意指南(征求意见稿)》 信安标委 2020年1月20日
11《信息安全技术移动互联网APP收集个人信息基本规范(征求意见稿)》 信安标委 2020年1月20日
12《网络安全标准实践指南-移动互联网APP收集使用个人信息自评估指南(征求意见稿)》 信安标委 2020年3月19日
我国近年来数据安全法律法规最全汇编
截止 2019-08
《网络安全法》及相关配套法规合集
法 律
1
2016年11月7日
中华人民共和国网络安全法
全国人大
2017年6月1日起施行
行政法规
1
2017年7月10日
关键信息基础设施安全保护条例(征求意见稿)
国家网信办
2
2018年6月28日
网络安全等级保护条例(征求意见稿)
公安部
部门规章
发布时间 文件名称 发布机关 备注
2017年6月27日 国家网络安全事件应急预案 中央网信办
2017年5月19日 个人信息和重要数据出境安全评估办法(征求意见修改稿) 国家网信办
2017年5月2日 网络产品和服务安全审查办法(试行) 国家网信办 2017年6月1日起实施
2017年5月2日 互联网新闻信息服务管理规定[1] 国家网信办 2017年6月1日起实施
2017年5月2日 互联网信息内容管理行政执法程序规定 国家网信办 2017年6月1日起实施
2017年6月1日 网络关键设备和网络安全专用产品目录(第一批) 国家网信办、工信部、公安部、国家认证认可监督管理委员会 发布并实施
2017年8月9日 公共互联网网络安全威胁检测与处置办法 工信部 2018年1月1日起实施
2017年8月25日 互联网论坛社区服务管理规定 国家网信办 2017年10月1日起施行
2017年8月25日 互联网跟帖评论服务管理规定 国家网信办 2017年10月1日起施行
2017年9月7日 互联网群组信息服务管理规定 国家网信办 2017年10月8日起施行
2017年9月7日 互联网用户公众账户信息服务管理规定 国家网信办 2017年10月8日起施行
2017年10月30日 互联网新闻信息服务新技术新应用安全评估管理规定 国家网信办 2017年12月1日起施行
2017年10月30日 互联网新闻信息服务单位内容管理从业人员管理办法 国家网信办 2017年12月1日起施行
2017年11月23日 公共互联网网络安全突发事件应急预案 工信部 发布并施行
2018年2月2日 微博客信息服务管理规定 国家网信办 2018年3月20日起施行
2018年6月19日 关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告 中国国家认证认可监督管理委员会 发布并施行
2018年6月27日 关于发布网络关键设备和网络安全专用产品安全认证实施规则的公告 中国国家认证认可监督管理委员会 发布并施行
2018年9月15日 公安机关互联网安全监督检查规定 公安部 2018年11月1日起施行
2018年11月15日 具有舆论属性或社会动员能力的互联网信息服务安全评估规定 国家网信办 2018年11月30日起施行
2018年12月26日 金融信息服务管理规定 国家网信办 2019年2月1日起施行
2019年1月10日 区块链信息服务管理规定 国家网信办 2019年2月15日起施行
2019年5月24日 网络安全审查办法(征求意见稿) 国家网信办
2019年5月28日 数据安全管理办法(征求意见稿) 国家网信办
2019年5月31日 儿童个人信息网络保护规定(征求意见稿) 国家网信办
2019年6月13日 个人信息出境安全评估办法(征求意见稿) 国家网信办
2019年7月2日 云计算服务安全评估办法 国家网信办、发改委、工信部及财政部 2019年9月1日施行
2019年7月22日 互联网信息服务严重失信主体信用信息管理办法(征求意见稿) 国家网信办
司法解释
2017年6月1日
高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释
最高人民法院、最高人民检察院
个人信息与数据保护相关国家标准及指南合集
国家标准(已生效)
发布时间 文件名称 发布机关
2017年11月1日 信息安全技术 云计算服务安全能力评估方法 国家质检总局和标准化委员会
2017年11月1日 信息安全技术 移动智能终端个人信息保护技术要求 国家质检总局和标准化委员会
2018年7月1日 信息安全技术 个人信息安全规范 国家质检总局和标准化委员会
2018年7月1日 信息安全技术 大数据服务安全能力要求 国家质检总局和标准化委员会
2018年7月1日 信息安全技术 移动终端安全保护技术要求 国家质检总局和标准化委员会
2018年7月1日 信息安全技术 移动互联网应用服务器安全技术要求 国家质检总局和标准化委员会
2018年7月1日 信息安全技术 电子政务移动办公系统安全技术规范 国家质检总局和标准化委员会
2018年7月1日 信息安全技术 网站身份和系统安全要求与评估方法 国家质检总局和标准化委员会
2018年7月1日 信息安全技术 网站可信标识技术指南 国家质检总局和标准化委员会
2018年9月17日 信息安全技术 金融信息服务安全规范 国家市监总局和国家标准化委员会
2018年9月17日 信息安全技术 信息系统安全运维管理指南 国家市监总局和国家标准化委员会
2018年9月17日 信息安全技术 网络安全等级保护测试评估技术指南 国家市监总局和国家标准化委员会
2018年9月17日 信息安全技术 网络安全监测基本要求与实施指南 国家市监总局和国家标准化委员会
2018年10月10日 信息安全技术 网络安全威胁信息格式规范 国家市监总局和国家标准化委员会
2018年12月28日 信息安全技术 网络安全等级保护测评过程指南 国家市监总局和国家标准化委员会
2018年12月28日 信息安全技术 公民网络电子身份标识安全技术要求 第3部分:验证服务消息及其处理规则 国家市监总局和国家标准化委员会
2018年12月28日 信息安全技术 智能卡安全技术要求(EAL4+) 国家市监总局和国家标准化委员会
2018年12月28日 信息安全技术 物联网感知终端应用安全技术要求 国家市监总局和国家标准化委员会
2018年12月28日 信息安全技术 网络安全等级保护安全管理中心技术要求 国家市监总局和国家标准化委员会
2018年12月28日 信息安全技术 网络安全等级保护测评机构能力要求和评估规范 国家市监总局和国家标准化委员会
2018年12月28日 信息安全技术 IPSec VPN技术规范 国家市监总局和国家标准化委员会
2018年12月28日 信息安全技术 电子邮件系统安全技术要求 国家市监总局和国家标准化委员会
2018年12月28日 信息安全技术 物联网感知层网关安全技术要求 国家市监总局和国家标准化委员会
2018年12月28日 信息安全技术 物联网数据传输安全技术要求 国家市监总局和国家标准化委员会
2018年12月28日 信息安全技术 网络攻击定义及描述规范 国家市监总局和国家标准化委员会
2018年12月28日 信息安全技术 射频识别系统密码应用技术要求 第1部分:密码安全保护框架及安全级别 国家市监总局和国家标准化委员会
2018年12月28日 信息安全技术 物联网安全参考模型及通用要求 国家市监总局和国家标准化委员会
2019年5月10日 信息安全技术 网络安全等级保护测评要求 国家市监总局和国家标准化委员会
2019年5月10日 信息安全技术 网络安全等级保护基本要求 国家市监总局和国家标准化委员会
2019年5月10日 信息安全技术 网络安全等级保护安全设计技术要求 国家市监总局和国家标准化委员会
2017年1月11日 信息安全技术 网站可信评估指标(征求意见稿) 全国信息安全标准化技术委员会
2017年5月24日 信息安全技术 移动应用网络安全评价规范(征求意见稿) 全国信息安全标准化技术委员会
2017年5月24日 信息安全技术 金融信息保护规范(征求意见稿) 全国信息安全标准化技术委员会
2017年5月24日 信息安全技术 大数据安全管理指南(征求意见稿) 全国信息安全标准化技术委员会
2017年07月03日 信息安全技术 公民网络电子身份标识格式规范(征求意见稿) 全国信息安全标准化技术委员会
2017年08月25日 信息安全技术 数据交易服务安全要求(征求意见稿) 全国信息安全标准化技术委员会
2017年8月30日 信息安全技术 数据出境安全评估指南(征求意见稿) 全国信息安全标准化技术委员会
2018年01月19日 信息安全技术 网络安全等级保护定级指南(征求意见稿) 全国信息安全标准化技术委员会
2018年01月19日 信息安全技术 信息安全风险评估规范(征求意见稿) 全国信息安全标准化技术委员会
2018年06月11日 信息安全技术 个人信息安全影响评估指南(征求意见稿) 全国信息安全标准化技术委员会
2018年06月11日 信息安全技术 恶意软件事件预防和处理指南(征求意见稿) 全国信息安全标准化技术委员会
2018年06月11日 信息安全技术 关键信息基础设施网络安全保护要求(征求意见稿) 全国信息安全标准化技术委员会
2018年06月11日 信息技术 安全技术 网络安全 第1部分:综述和概念(征求意见稿) 全国信息安全标准化技术委员会
2018年06月11日 信息技术 安全技术 网络安全 第2部分:网络安全设计和实现指南(征求意见稿) 全国信息安全标准化技术委员会
2018年12月26日 信息安全技术 网络安全漏洞分类分级指南(征求意见稿) 全国信息安全标准化技术委员会
2018年12月26日 信息技术 安全技术 信息安全管理体系审核指南(征求意见稿) 全国信息安全标准化技术委员会
2018年12月26日 信息安全技术 政务信息共享 数据安全技术要求(征求意见稿) 全国信息安全标准化技术委员会
2019年6月25日 信息安全技术 个人信息安全规范(征求意见稿) 全国信息安全标准化技术委员会
2019年6月25日 信息安全技术 个人信息安全工程指南(征求意见稿) 全国信息安全标准化技术委员会
数据跨境传输相关法规合集
法 律
2017年6月1日 中华人民共和国网络安全法 全国人大常委会 第37条、第42条
2018年8月31日 电子商务法 全国人大 2019年1月1日起实施
2019年7月5日 密码法(征求意见稿) 全国人大
行政法规
发布时间 文件名称 发布机关 备注
2013年1月21日 征信业管理条例 国务院 第24条
2017年3月1日 中华人民共和国档案法实施办法 国务院 第18条
部门规章
发布时间 文件名称 发布机关 备注
2011年1月21日 人民银行关于银行业金融机构做好个人金融信息保护工作的通知 中国人民银行 第6条
2011年12月29日 关于会计师事务所承担中央企业财务决算审计有关问题的通知 财政部、国资委 第4条
2014年8月20日 人口健康信息管理办法(试行) 国家卫生和计划生育委员会 第10条
2016年7月27日 网络预约出租汽车经营服务管理暂行办法 交通运输部、工业和信息化部、公安部、商务部、工商总局、质检总局、国家网信办 第27条
2017年5月19日 个人信息和重要数据出境安全评估办法(征求意见修改稿) 国家网信办
2019年6月13日 个人信息出境安全评估办法(征求意见稿) 国家网信办
2000年9月25日 互联网信息服务管理办法 网信办 发布并实施
2013年9月1日 电信和互联网用户个人信息保护规定 工信部 发布并实施
2014年1月26日 网络交易管理办法 工商局 2014年3月15日起实施
2015年9月15日 寄递服务用户个人信息安全管理规定 邮政局 2016年1月1日起实施
2017年11月27日 教育部办公厅关于全面清理和规范学生资助公示信息的紧急通知 教育部 发布并实施
2018年5月21日 银行业金融机构数据治理指引 银保监会 发布并实施
2018年11月30日 互联网个人信息安全保护指引(征求意见稿) 公安部 2018年11月30日
2019年3月 App违法违规收集个人信息自评估指南 App专项治理工作组 由中央网信办、工信部、公安部、市场监管总局指导成立
2019年4月19日 互联网个人信息安全保护指南 公安部 发布并实施
2019年4月30日 网络交易监督管理办法(征求意见稿) 市场监管总局 发布并实施
2019年6月30日 关于规范快递与电子商务数据互联共享的指导意见 商务部 发布并实施
常委会决定
2018年12月28日 关于加强网络信息保护的决定 全国人大常委会 发布其实施
司法解释
2017年6月1日 最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释 最高法、最高检
2018年11月9日 检察机关办理侵犯公民个人信息案件指引 最高检
行业规定
数据保护相关法律规范介绍
网络安全法
介绍
2015年6月26日,第十二届全国人大常委会第十五次会议对《网络安全法(草案)》进行了首次审议,2016年11月7日第十二届全国人大常委会第二十四次会议表决通过,且于2016年11月7日正式公布,2017年6月1日网络安全法正式实施。作为我国网络安全领域的基本法,《网络安全法》的出台具有里程碑式的意义。
《网络安全法》中关于个人信息保护的规定主要涉及如下内容
1、明确了个人信息收集、使用的相关原则
2、规定了网络运营者在维护网络信息安全方面的相关义务
3、明确了网络用户享有的个人信息相关权利
4、规定了违反个人信息保护相关要求的法律责任承担
刑法
介绍
《刑法》是保护公民权利、维护社会稳定发展的有力武器,在《刑法》中设置网络信息安全保护的相关条款,一方面有利于增强民众的防范意识,明确涉及信息安全的相关行为边界。另一方面随着信息化社会的发展,侵害公民个人信息的犯罪行为也随之增加,因此,通过《刑法》的规定明确对该类犯罪行为的打击也十分有必要。
《刑法》中涉及信息安全保护的主要罪名有
1、第177条:窃取、收买、非法提供信用卡信息罪
2、第219条:侵犯商业秘密罪
3、第253条:侵犯公民个人信息罪
4、第285条:非法侵入计算机信息系统罪
5、第285条:非法获取计算机信息系统数据、非法控制计算机信息系统罪
6、第285条:提供侵入、非法控制计算机信息系统程序、工具罪
7、第286条:破坏计算机信息系统罪
8、第286条:拒不履行信息网络安全管理义务罪
9、第287条:非法利用信息网络罪
10、第287条:帮助信息网络犯罪活动罪
11、第308条:泄露不应公开的案件信息罪
12、第308条:披露、报道不应公开的案件信息罪
民法典
介绍
《民法典》在2020年5月28日正式发布,于2021年1月1日正式实施。《民法典》在第四编人格权编的第六章规定了隐私和个人信息保护,明确了个人信息的定义、个人信息的处理原则和条件、处理个人信息的免责事由、自然人查阅、复制、更正删除个人信息的权利、信息处理者的信息安全保护义务、未经同意不得对外提供个人信息等内容。
总体而言
《民法典》中个人信息保护相关的规定多是在《网络安全法》规定的基础上加以完善,整体规定偏原则性,具体适用仍然需要结合后续出台的个人信息保护相关立法和标准的规定。
消费者权益保护法
介绍
《消费者权益保护法》明确了消费者享有个人信息依法得到保护的权利,同时,对经营者收集、使用消费者个人信息提出了合法、正当、必要的原则性要求,明确了经营者收集使用消费者个人信息的原则,同时,要求经营者及其工作人员对消费者数据予以保密,采取必要的措施保障信息安全。
执行中的问题
《消费者权益保护法》偏向于原则性规定,在实际实施过程中,经营者收集、使用消费者个人信息的制度过于原则,执法主体不明确,法律责任不到位,消费者个人信息被违法收集使用的势头还在蔓延。目前情况是消费者举证难、监管部门和消费者组织取证难、即使查实的案件也存在追责难、处罚轻的情况,难以起到震慑作用。
电子商务法
介绍
《电子商务法》于2018年8月31日正式发布,2019年1月1日正式实施,全文围绕电子商务经营者、电子商务用户以及有关主管部门各自的权利义务对个人信息保护相关的内容进行了规定
主要包括
1、个人信息的收集、使用
2、关于个人信息的保存期限
3、个性化推荐中的个人合法权益
4、用户的相关权利
5、主管部门的权利义务
APP违法违规认定方法
《APP违法违规认定方法》采用罗列的方式列举了七大类共计三十一中违法违规行为
1、未公开收集使用规则
2、未明示收集使用个人信息的目的、方式和范围
3、未经用户同意收集使用个人信息
4、违反必要原则,收集与其提供的服务无关的个人信息
5、未经同意向他人提供个人信息
6、未按法律规定提供删除或更正个人信息功能
7、未公布投诉、举报方式等信息
问题
尽管《APP违法违规认定方法》涉及APP嵌入的第三方代码、插件隐瞒收集的相关问题,但由于其适用对象主要为APP运营者而非第三方服务的相关方(如SDK提供者),也并未为第三方服务相关方设定相应的披露义务从而实现对第三方服务相关方的约束,实践中仅仅依靠APP运营方,或许不足以解决第三方代码、插件隐瞒收集的问题。
个人信息安全规范
《个人信息安全规范》是由信安标委于2017年12月29日正式发布,并于2018年5月1日正式实施,《个人信息安全规范》是贯彻《网络安全法》中针对个人信息安全相关规定的重要配套规范之一。尽管其仅为推荐性国家标准而并非法律,但其精神却经常在监管部门的监管中所体现。
根据实践中个人信息收集、使用的变化以及《个人信息安全规范(2017)》在实施过程中出现的问题,信安标委分别于2019年2月1日、6月25日、10月22日发布了《个人信息安全规范(草案)》和两次征求意见稿,并于2020年3月6日发布了《个人信息安全规范》正式版。
几次修订一方面不断融合增加了实践中新出现的问题,另一方面也不断就现有的规定进行了调整,如不再强调个人信息跨境传输需进行安全评估、除新闻信息服务外不再强制要求向信息主体提供关闭个性化展示的选项
大数据安全管理指南
《大数据安全管理指南》于2017年5月开始征求意见,正式版于2019年8月30日发布,2020年3月1日正式开始实施。
《大数据安全管理指南》旨在通过提升掌握数据的组织的技术和管理能力的建设,加强数据采集、存储、处理、分发等环节的技术和管理措施,实现数据的有效保护,降低大数据应用过程中面临的安全风险。同时也明确了开展大数据活动的组织应当开展大数据安全管理工作,并对大数据安全管理的目标、内容和基本原则做出了具体的规定。
为了满足大数据安全管理的要求,开展大数据活动的组织需要满足保密性、完整性、可用性等要求,且需根据科学性、稳定性、实用性和扩展性的原则针对数据进行分类分级,并需遵循大数据生命周期中的采集、存储、处理、分发、删除等活动的安全要求。
《网络安全法》、《数据安全法》、《个人信息保护法》三部法律的定位
我国的信息安全相关的法律法规
是基于《国家安全法》及《网络安全法》建立的,并在网络安全等级保障制度、关键信息基础设施保护制度以及数据本地化和跨境流动制度等中有所体现
在个人信息保护上
基本以《网络安全法》《民法典》及《个人信息保护法》为主
在国家秘密、档案等相关特殊性质的数据
通过特定单行法律法规进行保护
对于其他特定行业数据
通过各部门规章由进行管理和保护
三部法律的定位
《网络安全法》
负责网络空间安全整体的治理
《数据安全法》
负责数据处理活动的安全与开发利用
《个人信息保护法》
负责个人信息的保护
《个人信息保护法》与《网络安全法》、《数据安全法》共同构成了我国网络安全与数据保护领域的基本法律框架,使网络安全与数据保护在上位法层面得到完善,为数据安全释放价值提供了合规指引
个人信息相关
个人信息定义
定义来源
根据《网络安全法》等相关法律法规规定
定义
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
个人信息范围
个人基本信息
包括个人姓名、生日、性别、住址、个人电话号码、电子邮箱等
个人身份信息
包括身份证、军官证、护照、驾驶证等
个人面部特征
网络身份标识信息
包括系统账号、IP地址、邮箱地址等
个人财产信息
交易和消费记录、业务订购关系、余额、积分、流量等
通讯信息
信令、话单、通讯消息等)通讯录
个人上网记录
包括网站浏览记录、软件使用记录等
个人常用设备信息
包括硬件型号、设备MAC地址、操作系统类型、软件列表唯一设备识别码等
个人位置信息
包括基站信息、精准定位信息、经纬度等
个人信息隐私保护七原则
1、权责一致原则
对个人信息主体合法权益造成的损害承担责任
2、目的明确原则
具有合法、正当、必要、明确的个人信息处理目的
3、选择同意原则
向个人信息主体明示个人信息处理目的、方式、范围、规则等,征求其授权同意
4、最少够用原则
除与个人信息主体另有约定外,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时根据约定删除个人信息
5、公开透明原则
以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督
6、确保安全原则
具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性
7、主体参与原则
向个人信息主体提供能够访问、更正、删除其个人信息,以及撤回同意、注销账户等方法
个人信息处理
收集、存储、使用、加工、传输、提供、公开、删除
App违法违规收集使用个人信息行为认定方法(征求意见稿)解读
一、没有公开收集使用规则的情形
1.没有隐私政策、用户协议,或者隐私政策、用户协议中没有相关收集使用规则的内容;
2.在App安装、使用等过程中均未通过弹窗、链接等方式提示用户阅读隐私政策,或隐私政策链接无效、文本无法正常显示;
3.进入App主功能界面后,多于4次点击、滑动才能访问到隐私政策;
4.其他违反公开收集使用规则要求的情形。
二、没有明示收集使用个人信息的目的、方式和范围的情形
1.收集使用信息的目的违反合法、正当、必要原则,如仅仅以改善程序功能、提高用户体验、定向推送等为目的收集用户个人信息;
2.没有逐一列出收集个人信息的类型、频率,特别是针对个人敏感信息;
3.收集使用个人信息的目的、方式和范围发生变化,未以适当方式通知用户,适当方式包括更新隐私政策并提醒用户重新阅读授权等;
4.在申请可收集个人信息的权限时,未告知收集使用的目的,如在申请调阅通讯录时没有说明原因;
5.每次要求用户提供个人敏感信息时,如身份证号、银行卡号等,未同步实时说明原因;
6.有关收集使用规则的内容晦涩难懂、冗长繁琐;
7.其他没有明示收集使用个人信息的目的、方式和范围的情形
三、未经同意收集使用个人信息的情形
1.未经同意就开始收集个人信息,如App首次运行、提示用户阅读隐私政策前就开始收集个人信息;
2.用户明确拒绝后,仍收集个人信息,如用户不同意被收集地理位置信息时仍然收集;
3.实际收集使用的个人信息超出用户授权的范围;
4.利用用户信息和算法定向推送新闻、广告等,未提供终止定向推送的选项;
5.未经用户同意,私自调用可收集用户个人信息权限;
6.在未打开或使用App时,App后台调用用户个人信息;
7.未经用户同意私自更改用户设置的权限,包括App更新时将用户设置的权限恢复到默认状态;
8.用户明确拒绝App收集个人信息请求,App仍频繁征求用户同意,干扰用户正常使用;
9.违背与用户约定,不按隐私政策中的收集使用规则收集使用个人信息;
10.其他未经同意收集使用个人信息的情形。
四、违反必要性原则,收集与其提供的服务无关的个人信息的情形
1.实际收集的个人信息类型与现有业务功能无关,无关是指该类信息并非实现现有业务功能所必需;
2.在用户使用业务功能时,收集个人信息的频率等超出所使用的业务功能需要;
3.捆绑多项业务功能一揽子征求用户同意,不同意则不提供任何单一服务;
4.当用户拒绝某一业务功能收集个人信息的请求时,App停止提供其他业务功能;
5.如提供未经注册即可使用(如支持浏览、游客模式)的业务功能,用户若不同意收集此类业务功能所需以外的个人信息,App拒绝提供所有服务;
6.新增业务功能时,需收集的个人信息超出原有同意范围,如用户不同意收集,则拒绝提供原有业务功能,新增业务功能将取代原有业务功能的除外;
7.申请打开可收集无关信息的权限;
8.其他收集与其提供的服务无关的个人信息的情形。
五、未经同意向他人提供个人信息的情形
1.未经同意,且未做匿名化处理,从客户端直接向第三方提供个人信息,包括App客户端嵌入第三方代码、插件(如sdk)等方式向第三方提供;
2.数据传输至App服务器后,未经同意,且未经匿名化处理,向第三方提供其收集的个人信息;
3.其他未经同意向他人提供个人信息的情形。
六、未按法律规定提供删除或更正个人信息功能的情形
1.未提供更正、删除个人信息,注销用户账号的功能;
2.对于提供在线操作方式、客=服==电=话、电子邮件等方式的,进行相关操作未响应的;
3.需人工处理的,受理后未在承诺时限内(无承诺时限的,以15个工作日为限)完成核查和处理的;
4.更正、删除或注销操作提示完成后,依然未能更正、删除个人信息,注销用户账号的;
5.其他未采取措施予以删除或者更正的情形。
七、侵犯未成年人在网络空间合法权益的情形
1.未经监护人同意,收集使用14周岁以下(含)未成年人个人信息;
2.未经监护人同意,利用14周岁以下(含)未成年人信息和算法开展个性化推送新闻、时政信息、广告等定向推送活动。
《中华人民共和国个人信息保护法》权威解读
解读人
全国人大常委会法工委经济法室副主任杨合庆
什么是个人信息
定义
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理
包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等
核心原则:“告知—同意”
处理个人信息,应当在充分告知的前提下取得个人同意,不得欺诈、误导、胁迫等;不得以个人不同意为由拒绝提供产品或者服务,信息处理者应当提供便捷的撤回同意的方式。
个人信息处理有“三最”
最小方式
处理个人信息应当采取对个人权益影响最小的方式
最小范围
收集个人信息,应当限于实现处理目的的最小范围
最短时间
保存期限应当为实现处理目的所必要的最短时间
规范应用程序(APP)过度收集个人信息、大数据杀熟以及非法买卖、泄露个人信息等
提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者
一、成立独立机构对个人信息保护情况进行监督;
二、制定有关个人信息保护的平台规则;
三、定期发布个人信息保护社会责任报告。
利用个人信息进行自动化决策
不得对个人在交易价格等交易条件上实行不合理的差别待遇
更严格限制处理敏感个人信息
敏感个人信息范围
生物识别
宗教信仰
特定身份
医疗健康
金融账户
行踪轨迹
敏感个人信息处理规则
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息
信息处理者应当向个人告知处理敏感个人信息的必要性和对个人权益的影响
未成年人的个人信息也属于敏感个人信息
处理此类个人信息,应当征得未成年人父母或其他监护人的同意
并制定专门的个人信息处理规则
完善个人信息跨境提供规则
关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者
应当将在中华人民共和国境内收集和产生的个人信息存储在境内
非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息
加大对侵犯个人信息行为的惩处力度
违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的
由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得
对违法处理个人信息的应用程序,责令暂停或者终止提供服务
拒不改正的,并处一百万元以下罚款
对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款
有前款规定的违法行为,情节严重的
由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照
对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人
深度解读|《中华人民共和国个人信息保护法》十大主要亮点
基本信息
发文机构
全国人大常委会
发布日期
2021年8月20日
执行日期
2021年11月1日
全文篇幅
总计8章74条
主要内容
明确本法适用范围
一是,对本法相关用语作出界定
个人信息定义
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息
个人信息的处理包括
个人信息的收集、存储、使用、加工、传输、提供、公开等活动
二是,明确在我国境内处理个人信息的活动适用本法的同时,借鉴有关国家和地区的做法,赋予本法必要的域外适用效力
健全个人信息处理规则
一是,确立个人信息处理应遵循的原则
二是,确立以“告知-同意”为核心的个人信息处理一系列规则
三是,根据个人信息处理的不同环节、不同个人信息种类,对个人信息的共同处理、委托处理、向第三方提供、公开、用于自动化决策、处理已公开的个人信息等提出有针对性的要求。
四是,设专节对处理敏感个人信息作出更严格的限制
五是,设专节规定国家机关处理个人信息的规则
依照本法规定在合理的范围内处理已公开的个人信息
例外情形下处理个人信息,无需取得个人同意
完善个人信息跨境提供规则
一是,明确关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估;对于其他需要跨境提供个人信息的,规定了经专业机构认证等途径。
二是,对跨境提供个人信息的“告知-同意”作出更严格的要求。
三是,对因国际司法协助或者行政执法协助,需要向境外提供个人信息的,要求依法申请有关主管部门批准。
四是,对从事损害我国公民个人信息权益等活动的境外组织、个人,以及在个人信息保护方面对我国采取不合理措施的国家和地区,规定了可以采取的相应措施。
明确个人信息处理活动中个人的权利和处理者义务
一是,与民法典的有关规定相衔接
明确在个人信息处理活动中个人的各项权利,包括知情权、决定权、查询权、更正权、删除权等
并要求个人信息处理者建立个人行使权利的申请受理和处理机制
二是,明确个人信息处理者的合规管理和保障个人信息安全等义务
要求其按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,并指定负责人对其个人信息处理活动进行监督;定期对其个人信息活动进行合规审计
对处理敏感个人信息、向境外提供个人信息等高风险处理活动,事前进行风险评估;
履行个人信息泄露通知和补救义务等
关于履行个人信息保护职责的部门
草案根据个人信息保护工作实际,明确国家网信部门负责个人信息保护工作的统筹协调,发挥其统筹协调作用
同时规定:国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作
草案还对违反本法规定行为的处罚及侵害个人信息权益的民事赔偿等作了规定。
《个人信息保护法》十大主要亮点
(一)明确“个人信息”界定
在《网络安全法》基础上,《个人信息保护法》对“个人信息”做出了更为严谨的定义及列举
个人信息定义
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息
(二)明确较全面的处理原则
(三)明确“告知-同意-撤回同意/拒绝”的处理规则
个人信息处理者仅可在取得个人同意或法定例外情形下可处理个人信息
个人信息处理者在处理个人信息前应履行充分告知义务
包括以显著方式、清晰易懂的语言真实、准确、完整地向个人告知处理者的名称或姓名和联系方式、处理目的、处理方式、处理的个人信息种类、保存期限、个人行使法定权利的方式和程序及其他依法应告知事项
另一方面,该法对个人同意的方式、撤回同意或拒绝权利进行了明确规定
形成了以“告知-同意-撤回同意/拒绝”为逻辑主线的处理规则
(四)确立了自动化决策对数据处理的基本规则
确定了算法自动化决策治理的基本框架,为自动化决策应用于电商平台经济、数字政府运行划定了合法边界
对于决策方法的透明度及结果公平、公正性、以自动决策方式进行信息推送、商业营销的规范、个人知情权及拒绝权、事先个人信息保护影响评估等进行了明确规定
从上位法层面,确立了算法等自动化决策治理的基本框架,对自动化决策的商业利用行为提出了合规要求
(五)明确个人多项权利且确立了个人信息可携带权
确立了个人对个人信息的多方面权利
对个人信息处理的知情权、决定权、要求解释说明权、拒绝权等
在个人信息处理过程中享有要求更正、补充权、删除权等
对处理者所掌握的个人信息享有查阅、复制权、承继行使权、可携带权等
特别是,可携带权
为个人信息在不同互联网平台间进行指定转移、数据互联互通提供了合规路径
(六)加强了对敏感个人信息的保护
对敏感个人信息进行了定义
是指一旦泄露或非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息
生物识别
宗教信仰
特定身份
医疗健康
金融账户
行踪轨迹
不满十四周岁未成年人的个人信息
对敏感个人信息的处理规定更加严格
明确“特定目的和充分必要性”的处理前提条件
告知处理敏感个人信息的必要性及对个人的影响
要求取得个人的单独同意
(七)规范国家机关处理个人信息行为
对国家机关为履行法定职责处理个人信息进行了明确规定
包括权限范围限制、告知义务及境外提供的安全评估义务、惩罚规定等
法律、法规授权的具有管理公共事务职能的组织
为履行法定职责处理个人信息,适用《个人信息保护法》处理个人信息的规定
本条与《数据安全法》结合,完善了政务数据的处理规则。
(八)加强重要互联网平台的义务
对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者进行了四项义务规定
建立健全个人信息保护合规制度体系
制定平台规则
对违法违规者停止服务义务
定期发布个人信息保护社会责任报告义务
对于小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用
将由国家网信部门统筹协调有关部门依据本法推进
(九)强化了侵犯个人信息的惩罚机制和力度
加大了侵犯个人信息的惩罚力度
行政处罚
计入信用档案并公示
民事赔偿责任
刑事责任
并且对国家机关不履行个人信息保护义务,也明确了惩罚措施
(十)确定了特定公权力机构及公益组织对个人信息处理者侵权案提起公益诉讼的权利
确立了人民检察院、法律规定的消费者组织和由国家网信部门确定的组织对个人信息处理者违法处理个人信息侵害众多个人权益的案件,可以依法提起公益诉讼的法定权利
其他
在个人信息跨境提供规则、个人信息处理合规管理及保护负责人机制、统一工作协调与统筹机制等方面均有突破性规定
对个人信息处理业务起到关键性指引作用
对隐私计算等人工智能技术商业利用的合规性操作具有重大意义
用户授权
收藏
0 条评论
下一页
