行業(yè)主要法律法規(guī)
《網(wǎng)絡(luò)安全法》
隨著互聯(lián)網(wǎng)的高速發(fā)展���,我國早以步入了網(wǎng)絡(luò)時代,相對于傳統(tǒng)社會而言���,網(wǎng)絡(luò)世界相對自由�����,容易發(fā)生泄密���,從而導(dǎo)致國家利益受損��。為了維護網(wǎng)絡(luò)空間安全�����,規(guī)范互聯(lián)網(wǎng)的使用��,我國推出了網(wǎng)絡(luò)安全法���。
1�、《網(wǎng)絡(luò)安全法》樹立了網(wǎng)絡(luò)安全法的基本準(zhǔn)則。
第一�����、網(wǎng)絡(luò)空間主權(quán)準(zhǔn)則����。《網(wǎng)絡(luò)安全法》第1條“立法意圖”開宗明義���,清晰規(guī)則要維護我國網(wǎng)絡(luò)空間主權(quán)���。網(wǎng)絡(luò)空間主權(quán)是一國國家主權(quán)在網(wǎng)絡(luò)空間中的天然延伸和表現(xiàn)。習(xí)近平總書記指出����,《聯(lián)合國憲章》樹立的主權(quán)對等準(zhǔn)則是今世世界關(guān)系的基本準(zhǔn)則,掩蓋國與國交往各個范疇�����,其準(zhǔn)則和精力也應(yīng)該適用于網(wǎng)絡(luò)空間�。各國自主選擇網(wǎng)絡(luò)開展道路、網(wǎng)絡(luò)辦理模式��、互聯(lián)網(wǎng)公共方針平和等參加世界網(wǎng)絡(luò)空間辦理的權(quán)力應(yīng)當(dāng)?shù)玫阶鹬亍5?條清晰規(guī)則《網(wǎng)絡(luò)安全法》適用于我國境內(nèi)網(wǎng)絡(luò)以及網(wǎng)絡(luò)安全的監(jiān)督辦理�����。這是我國網(wǎng)絡(luò)空間主權(quán)對內(nèi)最高管轄權(quán)的詳細(xì)表現(xiàn)。
第二����、網(wǎng)絡(luò)安全與信息化開展偏重準(zhǔn)則�����。習(xí)近平總書記指出�,安滿是開展的條件����,開展是安全的保證,安全和開展要同步推進��。網(wǎng)絡(luò)安全和信息化是一體之兩翼�����、驅(qū)動之雙輪�,必須一致策劃���、一致布置、一致推進�、一致施行?�!毒W(wǎng)絡(luò)安全法》第3條清晰規(guī)則���,國家堅持網(wǎng)絡(luò)安全與信息化偏重�����,遵從活躍利用���、科學(xué)開展、依法辦理�、保證安全的方針;既要推進網(wǎng)絡(luò)基礎(chǔ)設(shè)備建造,鼓舞網(wǎng)絡(luò)技能創(chuàng)新和使用���,又要樹立健全網(wǎng)絡(luò)安全保證系統(tǒng)�,提高網(wǎng)絡(luò)安全維護能力���,做到“雙輪驅(qū)動��、兩翼齊飛”���。
第三、一起辦理準(zhǔn)則���。網(wǎng)絡(luò)空間安全只是依托政府是無法完成的����,需求政府��、企業(yè)���、社會安排����、技能社群和公民等網(wǎng)絡(luò)利益相關(guān)者的一起參加�����?����!毒W(wǎng)絡(luò)安全法》堅持一起辦理準(zhǔn)則,要求采取辦法鼓舞全社會一起參加���,政府部分�、網(wǎng)絡(luò)建造者���、網(wǎng)絡(luò)運營者����、網(wǎng)絡(luò)服務(wù)供給者�����、網(wǎng)絡(luò)職業(yè)相關(guān)安排�、高等院校、職業(yè)學(xué)校�、社會公眾等都應(yīng)依據(jù)各自的人物參加網(wǎng)絡(luò)安全辦理作業(yè)。
2��、《網(wǎng)絡(luò)安全法》提出擬定網(wǎng)絡(luò)安全戰(zhàn)略�,清晰網(wǎng)絡(luò)空間辦理方針,提高了我國網(wǎng)絡(luò)安全方針的通明度
《網(wǎng)絡(luò)安全法》第4條清晰提出了我國網(wǎng)絡(luò)安全戰(zhàn)略的主要內(nèi)容���,即:清晰保證網(wǎng)絡(luò)安全的基本要求和主要方針���,提出要點范疇的網(wǎng)絡(luò)安全方針��、作業(yè)任務(wù)和辦法�。第7條清晰規(guī)則�����,我國致力于“推進構(gòu)建平和���、安全、敞開����、協(xié)作的網(wǎng)絡(luò)空間,樹立多邊�����、民主���、通明的網(wǎng)絡(luò)辦理系統(tǒng)�。”這是我國榜首次通過國家法令的方式向世界宣示網(wǎng)絡(luò)空間辦理方針�,清晰表達(dá)了我國的網(wǎng)絡(luò)空間辦理訴求。上述規(guī)則提高了我國網(wǎng)絡(luò)辦理公共方針的通明度����,與我國的網(wǎng)絡(luò)大國位置相稱,有利于提升我國對網(wǎng)絡(luò)空間的世界話語權(quán)和規(guī)矩擬定權(quán)�,促進網(wǎng)絡(luò)空間世界規(guī)矩的出臺。
3��、《網(wǎng)絡(luò)安全法》進一步清晰了政府各部分的職責(zé)權(quán)限���,完善了網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)
《網(wǎng)絡(luò)安全法》將現(xiàn)行有用的網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)法制化���,清晰了網(wǎng)信部分與其他相關(guān)網(wǎng)絡(luò)監(jiān)管部分的職責(zé)分工。第8條規(guī)則�,國家網(wǎng)信部分擔(dān)任統(tǒng)籌和諧網(wǎng)絡(luò)安全作業(yè)和相關(guān)監(jiān)督辦理作業(yè),國務(wù)院電信主管部分��、公安部分和其他有關(guān)機關(guān)依法在各自職責(zé)范圍內(nèi)擔(dān)任網(wǎng)絡(luò)安全維護和監(jiān)督辦理作業(yè)����。這種“1X”的監(jiān)管系統(tǒng),契合當(dāng)時互聯(lián)網(wǎng)與實際社會全面交融的特色和我國監(jiān)管需求��。
4、《網(wǎng)絡(luò)安全法》強化了網(wǎng)絡(luò)運轉(zhuǎn)安全�,要點維護要害信息基礎(chǔ)設(shè)備
《網(wǎng)絡(luò)安全法》第三章用了近三分之一的篇幅規(guī)范網(wǎng)絡(luò)運轉(zhuǎn)安全,特別著重要保證要害信息基礎(chǔ)設(shè)備的運轉(zhuǎn)安全���。要害信息基礎(chǔ)設(shè)備是指那些一旦遭到損壞�����、喪失功用或許數(shù)據(jù)走漏�����,可能嚴(yán)重危害國家安全����、國計民生��、公共利益的系統(tǒng)和設(shè)備��。網(wǎng)絡(luò)運轉(zhuǎn)安滿是網(wǎng)絡(luò)安全的重心��,要害信息基礎(chǔ)設(shè)備安全則是重中之重����,與國家安全和社會公共利益休戚相關(guān)。為此�,《網(wǎng)絡(luò)安全法》著重在網(wǎng)絡(luò)安全等級維護制度的基礎(chǔ)上,對要害信息基礎(chǔ)設(shè)備施行要點維護��,清晰要害信息基礎(chǔ)設(shè)備的運營者負(fù)有更多的安全維護職責(zé)�,并配以國家安全檢查、重要數(shù)據(jù)強制本地存儲等法令辦法���,保證要害信息基礎(chǔ)設(shè)備的運轉(zhuǎn)安全��。
5��、《網(wǎng)絡(luò)安全法》完善了網(wǎng)絡(luò)安全職責(zé)和職責(zé)�,加大了違法懲辦力
《網(wǎng)絡(luò)安全法》將本來散見于各種法規(guī)�����、規(guī)章中的規(guī)則上升到人大法令層面���,對網(wǎng)絡(luò)運營者等主體的法令職責(zé)和職責(zé)做了全面規(guī)則��,包括遵法職責(zé)���,恪守社會公德�����、商業(yè)道德職責(zé)��,誠實信用職責(zé)�����,網(wǎng)絡(luò)安全維護職責(zé)���,承受監(jiān)督職責(zé),承擔(dān)社會職責(zé)等����,并在“網(wǎng)絡(luò)運轉(zhuǎn)安全”、“網(wǎng)絡(luò)信息安全”�����、“監(jiān)測預(yù)警與應(yīng)急處置”等章節(jié)中進一步清晰�����、細(xì)化��。在“法令職責(zé)”中則提高了違法行為的處分標(biāo)準(zhǔn)����,加大了處分力度,有利于保證《網(wǎng)絡(luò)安全法》的施行���。
6�、《網(wǎng)絡(luò)安全法》將監(jiān)測預(yù)警與應(yīng)急處置辦法制度化���、法制化
《網(wǎng)絡(luò)安全法》第五章將監(jiān)測預(yù)警與應(yīng)急處置作業(yè)制度化��、法制化��,清晰國家樹立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度�,樹立網(wǎng)絡(luò)安全危險評價和應(yīng)急作業(yè)機制�����,擬定網(wǎng)絡(luò)安全事情應(yīng)急預(yù)案并定時演練�����。這為樹立一致高效的網(wǎng)絡(luò)安全危險陳述機制���、情報同享機制�����、研判處置機制供給了法令依據(jù)�����,為深化網(wǎng)絡(luò)安全防護系統(tǒng)���,完成全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢供給了法令保證�����。
中華人民共和國網(wǎng)絡(luò)安全法出臺意義
(1)服務(wù)于國家網(wǎng)絡(luò)安全戰(zhàn)略和網(wǎng)絡(luò)強國建設(shè)
《網(wǎng)絡(luò)安全法》中明確提出了有關(guān)國家網(wǎng)絡(luò)空間安全戰(zhàn)略和重要領(lǐng)域安全規(guī)劃等問題的法律要求��,這有助于實現(xiàn)推進中國在國家網(wǎng)絡(luò)安全領(lǐng)域明晰戰(zhàn)略意圖����,確立清晰目標(biāo)����,厘清行為準(zhǔn)則��,不僅能夠提升我國保障自身網(wǎng)絡(luò)安全的能力,還有助于推進與其他國家和行為體就網(wǎng)絡(luò)安全問題展開有效的戰(zhàn)略博弈��。
(2)構(gòu)建我國首部網(wǎng)絡(luò)空間管轄基本法
作為國家實施網(wǎng)絡(luò)空間管轄的第一部法律�����,《網(wǎng)絡(luò)安全法》屬于國家基本法律�,是網(wǎng)絡(luò)安全法制體系的重要基礎(chǔ)。這部基本法規(guī)范了網(wǎng)絡(luò)空間多元主體的責(zé)任義務(wù)����,以法律的形式催生一個維護國家主權(quán)、安全和發(fā)展利益的“命運共同體”�。具體包括,規(guī)定網(wǎng)絡(luò)信息安全法的總體目標(biāo)和基本原則;規(guī)范網(wǎng)絡(luò)社會中不同主體所享有的權(quán)利義務(wù)及其地位;建立網(wǎng)站身份認(rèn)證制度�,實施后臺實名;建立網(wǎng)絡(luò)信息保密制度,保護網(wǎng)絡(luò)主體的隱私權(quán);建立行政機關(guān)對網(wǎng)絡(luò)信息安全的監(jiān)管程序和制度��,規(guī)定對網(wǎng)絡(luò)信息安全犯罪的懲治和打擊;以及規(guī)定具體的訴訟救濟程序等等���。
(3)提供維護國家網(wǎng)絡(luò)主權(quán)的法律依據(jù)
2016年7月推出的《國家安全法》首次以法律的形式明確提出“維護國家網(wǎng)絡(luò)空間主權(quán)”�。隨之應(yīng)運而生的《網(wǎng)絡(luò)安全法》是《國家安全法》在網(wǎng)絡(luò)安全領(lǐng)域的體現(xiàn)和延伸���,為我國維護網(wǎng)絡(luò)主權(quán)���、國家安全提供了最主要的法律依據(jù)��。
(4)服務(wù)于國家網(wǎng)絡(luò)安全戰(zhàn)略和網(wǎng)絡(luò)強國建設(shè)
現(xiàn)如今��,網(wǎng)絡(luò)空間逐步成為世界主要國家展開競爭和戰(zhàn)略博弈的新領(lǐng)域���。網(wǎng)絡(luò)信息是建設(shè)網(wǎng)絡(luò)強國的必爭之地,網(wǎng)絡(luò)強國宏偉目標(biāo)的實現(xiàn)離不開堅實有效的制度保障�����,《網(wǎng)絡(luò)安全法》的出臺意味著建設(shè)網(wǎng)絡(luò)強國的制度保障邁出堅實的一步�。
(5)在網(wǎng)絡(luò)空間領(lǐng)域貫徹落實依法治國精神
此次《網(wǎng)絡(luò)安全法》破除重重障礙,撥云見日���,高舉依法治國大旗�����,開啟了依法治網(wǎng)的嶄新局面����,成為依法治國頂層設(shè)計下一項共建共享的路徑實踐。依法治網(wǎng)成為我國網(wǎng)絡(luò)空間治理的主線和引領(lǐng)���,以法治謀求網(wǎng)治的長治久安?����!毒W(wǎng)絡(luò)安全法》還考慮到網(wǎng)絡(luò)的開放性和互聯(lián)性�,加強法治工作的國際合作協(xié)調(diào),讓人類共同面臨的網(wǎng)絡(luò)犯罪無處遁形��,通過科學(xué)有效���、詳細(xì)的法律進行懲罰和約束�,達(dá)到正本清源的目的�����。
《信息安全技術(shù)個人信息安全規(guī)范(草案)》
2019年2月1日����,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(以下簡稱“信安標(biāo)委”)發(fā)布了《信息安全技術(shù)個人信息安全規(guī)范(草案)》。
1����、區(qū)分基本業(yè)務(wù)功能和擴展業(yè)務(wù)功能�,保障個人信息主體選擇同意權(quán)
《網(wǎng)絡(luò)安全法》實施后��,為了符合個人信息收集���、使用的“明示”+“同意”的原則性要求(第四十一條����、第四十二條)���,一些APP在首次安裝時���,往往將所有服務(wù)和業(yè)務(wù)功能捆綁在一起,通過用戶對隱私政策的接受來獲得“一攬子授權(quán)”�,強迫用戶一次性授權(quán)同意各項業(yè)務(wù)功能所收集的多種個人信息。用戶若想使用其基本功能�,必須全盤接受所有個人信息的收集和使用,否則只能退出軟件����,用戶自身的選擇同意權(quán)并未得到充分的體現(xiàn)。
規(guī)范提出產(chǎn)品和服務(wù)提供者應(yīng)當(dāng)區(qū)分產(chǎn)品的基本業(yè)務(wù)功能和擴展業(yè)務(wù)功能���,明確過度收集�、強迫收集、捆綁授權(quán)個人信息等亂象不符合法律和監(jiān)管要求��。規(guī)范增加了“附錄C保障個人信息主體選擇同意權(quán)的方法”����,明確了不同業(yè)務(wù)功能應(yīng)用場景下不同的告知和明示統(tǒng)一的方法����,并例舉了交互式界面的設(shè)計模板。
規(guī)范要求產(chǎn)品和服務(wù)提供者應(yīng)當(dāng)根據(jù)個人信息主體選擇��、使用所提供產(chǎn)品或服務(wù)的根本期待和最主要的需求���,來劃定產(chǎn)品或服務(wù)的基本業(yè)務(wù)功能�,而不應(yīng)將改善服務(wù)質(zhì)量��、提升用戶體驗���、研發(fā)新產(chǎn)品單獨作為基本業(yè)務(wù)功能��。當(dāng)產(chǎn)品或服務(wù)提供多項需收集個人信息的業(yè)務(wù)功能時����,個人信息控制者不得違背個人信息主體的自主意愿,強迫個人信息主體接受產(chǎn)品或服務(wù)所提供的業(yè)務(wù)功能及相應(yīng)的個人信息收集請求����。
產(chǎn)品和服務(wù)提供者收集基本業(yè)務(wù)功能所必要的個人信息時,除告知用戶所必要收集的個人信息類型外��,還應(yīng)當(dāng)告知用戶拒絕提供授權(quán)所產(chǎn)生的影響�,即企業(yè)可拒絕向用戶提供該業(yè)務(wù)功能。而對于擴展業(yè)務(wù)功能所需的個人信息�����,產(chǎn)品和服務(wù)提供者應(yīng)當(dāng)允許個人信息主體對擴展業(yè)務(wù)功能逐項選擇同意�����,如個人信息主體不同意收集擴展業(yè)務(wù)功能收集所必要的個人信息�����,不得拒絕提供基本業(yè)務(wù)功能或降低基本業(yè)務(wù)功能的服務(wù)質(zhì)量�����。
2019年1月25日中央網(wǎng)信辦、工業(yè)和信息化部�、公安部、市場監(jiān)管總局聯(lián)合發(fā)布《關(guān)于開展App違法違規(guī)收集使用個人信息專項治理的公告》(以下簡稱“公告”)�,決定自2019年1月起至12月,在全國范圍組織開展持續(xù)時間長達(dá)一年的App違法違規(guī)收集使用個人信息專項治理行動�,旨在解決目前App強制授權(quán)、過度授權(quán)�、超范圍收集個人信息等突出問題。其中公告指出�,本次專項治理行動將由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會�、中國消費者協(xié)會、中國互聯(lián)網(wǎng)協(xié)會�、中國網(wǎng)絡(luò)空間安全協(xié)會,組織相關(guān)專業(yè)機構(gòu)����,編制大眾化應(yīng)用基本業(yè)務(wù)功能及必要信息規(guī)范、App違法違規(guī)收集使用個人信息治理評估要點��,作為本次評估工作的主要依據(jù)���。
而本次規(guī)范修訂正與上述四部門聯(lián)合開展個人信息專項治理的工作要求相一致�,為公眾提供了區(qū)分基本業(yè)務(wù)功能和擴展業(yè)務(wù)功能的判斷標(biāo)準(zhǔn)及方式�����,為企業(yè)自查及合規(guī)整改提供了良好指引。
2����、明確平臺商對于接入的第三方產(chǎn)品或服務(wù)收集個人信息的管理義務(wù)
2018年5月正式實施的《個人信息安全規(guī)范》對“委托處理”、“共同個人信息控制”兩類場景的合規(guī)操作進行了規(guī)定�����。目前�,應(yīng)用程序中接入/嵌入第三方產(chǎn)品或服務(wù)的應(yīng)用場景十分常見,一旦發(fā)生合規(guī)漏洞��,平臺商和第三方往往無法明確雙方的責(zé)任和義務(wù)���,而數(shù)據(jù)主體往往很難去追究第三方產(chǎn)品或服務(wù)提供商的責(zé)任����。為順應(yīng)新技術(shù)���、新產(chǎn)品形態(tài)的發(fā)展�,本次規(guī)范結(jié)合了行業(yè)良好實踐及主管部門的監(jiān)管態(tài)度����,提出平臺商作為個人信息控制者應(yīng)當(dāng)履行一定的合規(guī)義務(wù)����,具體如下:
應(yīng)建立第三方產(chǎn)品或服務(wù)接入管理機制和工作流程����,必要時應(yīng)建立安全評估等機制設(shè)置接入條件;
應(yīng)與第三方產(chǎn)品或服務(wù)提供者通過合同等形式明確雙方的安全責(zé)任及應(yīng)實施的個人信息安全措施;
應(yīng)妥善留存平臺第三方接入有關(guān)合同和管理記錄,確??晒┫嚓P(guān)方查閱;
應(yīng)要求第三方根據(jù)本標(biāo)準(zhǔn)相關(guān)規(guī)定要求向個人信息主體征得收集個人信息的授權(quán)同意,核驗其實現(xiàn)本項要求的方式;
應(yīng)要求第三方產(chǎn)品或服務(wù)建立響應(yīng)個人信息主體請求�、申訴等的機制,并妥善留存����、及時更新�����,確保個人信息主體查詢����、使用;
應(yīng)督促和監(jiān)督第三方產(chǎn)品或服務(wù)提供者加強個人信息安全管理,發(fā)現(xiàn)第三方產(chǎn)品或服務(wù)沒有落實安全管理要求和責(zé)任的�����,應(yīng)及時督促整改,必要時停止接入;
涉及第三方嵌入或接入的自動化工具(如代碼�����、腳本���、接口�����、算法模型����、軟件開發(fā)工具包��、小程序等)的���,宜開展技術(shù)檢測確保其個人信息收集��、使用行為符合約定要求���,并對第三方嵌入或接入的自動化工具收集個人信息的行為進行審計��,發(fā)現(xiàn)超出約定行為的及時切斷接入����。
對于此類第三方產(chǎn)品或服務(wù)嵌入的問題�����,平臺商應(yīng)盡更為嚴(yán)格的合規(guī)義務(wù)���。建議產(chǎn)品和服務(wù)提供商完善相應(yīng)的管理機制和工作流程����,明確雙方在個人信息保護合規(guī)問題上的責(zé)任和義務(wù)���。
3���、新增個性化展示及退出機制
針對目前較為常見的基于用戶畫像作定向推送��、個性化展示等個人信息應(yīng)用場景�,規(guī)范首次闡釋了“個性化展示”的定義,并細(xì)化了相應(yīng)的操作規(guī)則�����。“個性化展示”是基于特定個人信息主體(用戶)的網(wǎng)絡(luò)瀏覽歷史�����、興趣愛好�、消費記錄和習(xí)慣等個人信息,向該個人信息主體展示信息內(nèi)容��、提供商品或服務(wù)的搜索結(jié)果等活動���。
對于“個性化展示”的操作規(guī)則��,規(guī)范劃分為“向個人信息主體推送新聞或信息服務(wù)的個性化展示”��,“數(shù)據(jù)經(jīng)濟經(jīng)營者提供商品或者服務(wù)搜索結(jié)果的個性化展示”以及普遍意義上“向個人信息主體提供業(yè)務(wù)功能的過程中使用個性化展示”三大應(yīng)用場景�����。其中�,針對數(shù)據(jù)經(jīng)濟場景下的個性化展示����,規(guī)范與2019年1月1日正式實施的《數(shù)據(jù)經(jīng)濟法》的立法原則保持一致���,即“數(shù)據(jù)經(jīng)濟經(jīng)營者根據(jù)消費者的興趣愛好、消費習(xí)慣等特征向其提供商品或者服務(wù)搜索結(jié)果的���,應(yīng)當(dāng)同時向該消費者提供不針對其個人特征的選項�,尊重和平等保護消費者合法權(quán)益”(《數(shù)據(jù)經(jīng)濟法》第十八條)�。
同時,對于產(chǎn)品推送新聞或提供信息服務(wù)的應(yīng)用�,規(guī)范要求個人信息控制者應(yīng)當(dāng)以顯著方式標(biāo)明“個性化展示”或“定推”等字樣向用戶明示,并為個人信息主體提供簡單直觀的退出個性化展示模式的選項�。此舉一定程度上保證了個人信息主體對于定向推送的自主選擇,避免形成信息孤島��。同時��,對于普遍意義上的個性化推送����,規(guī)范還建議個人信息控制者宜建立機制保證個人信息主體可以刪除或匿名化處理個性化展示活動所依賴的個人信息。這就從定向推送的深層基礎(chǔ)規(guī)范了產(chǎn)品或服務(wù)提供者對用戶畫像的控制界限�����,提出了用戶可以拒絕產(chǎn)品或服務(wù)提供者收集其個人信息進行特定的畫像處理的良好實踐模式�。
4、細(xì)化個人信息安全事件報告制度
《網(wǎng)絡(luò)安全法》要求網(wǎng)絡(luò)運營者“在發(fā)生或者可能發(fā)生個人信息泄露��、毀損����、丟失的情況時,應(yīng)當(dāng)立即采取補救措施�����,按照規(guī)定及時告知用戶并向有關(guān)主管部門報告”(第四十二條)���?����!秶揖W(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》也對特別重大網(wǎng)絡(luò)安全事件����、重大網(wǎng)絡(luò)安全事件���、較大網(wǎng)絡(luò)安全事件����、一般網(wǎng)絡(luò)安全事件四個等級的網(wǎng)絡(luò)安全事件應(yīng)對措施進行了詳細(xì)規(guī)定。
但實踐操作中�����,一旦發(fā)生個人信息泄露等安全事件����,企業(yè)往往無法判斷告知個人信息主體及上報監(jiān)管部門的界限。本次修訂試圖彌補相應(yīng)細(xì)則的缺失��,提出了判斷“告知”及“上報”的依據(jù)����,即通過確認(rèn)個人信息泄露的程度、對個人信息主體所造成的影響���,涉及的個人信息數(shù)量(超過100萬人的個人信息)和影響范圍(關(guān)系國計民生����、公共利益的)等幾個因素來判斷�����。對于像基因、生物特征信息�����、疾病等個人敏感信息的泄露�、毀損��、丟失的安全事件�,應(yīng)當(dāng)向個人信息主體逐一告知,并依照規(guī)范的要求向網(wǎng)信部門報告�����。
5���、進一步細(xì)化個人信息控制者的組織管理要求
組織措施是數(shù)據(jù)合規(guī)的重要方面����。本次修訂明確了個人信息控制者應(yīng)當(dāng)任命個人信息保護負(fù)責(zé)人��,個人信息保護負(fù)責(zé)人應(yīng)由具有相關(guān)管理工作經(jīng)歷和個人信息保護專業(yè)知識的人員擔(dān)任�,參與有關(guān)個人信息處理活動的重要決策直接向組織主要負(fù)責(zé)人報告工作,同時要求企業(yè)應(yīng)為個人信息保護負(fù)責(zé)人和個人信息保護工作機構(gòu)提供必要的資源�����,保障其獨立履行職責(zé)。規(guī)范對個人信息保護負(fù)責(zé)人和個人信息保護工作機構(gòu)應(yīng)履行的職責(zé)也作了詳細(xì)規(guī)定�。
于此同時,規(guī)范提倡個人信息控制者建立�����、維護和更新所收集����、使用的個人信息處理活動記錄,將所涉及個人信息類別�、數(shù)量、來源��、處理目的����、使用場景,以及委托處理���、共享��、轉(zhuǎn)讓�����、公開披露����、是否涉及出境、各環(huán)節(jié)相關(guān)的信息系統(tǒng)����、組織或人員等情況形成系統(tǒng)的活動記錄���,不僅對于企業(yè)內(nèi)部合規(guī)整改工作提供參考�����,更是為企業(yè)一旦發(fā)生個人信息泄露等安全事件時的責(zé)任分擔(dān)提供有效依據(jù)��。此要求與GDPR中的數(shù)據(jù)處理活動的記錄要求也是一致的�。
基于此案所暴露出的房地產(chǎn)中介行業(yè)存在的普遍問題�����,朝陽法院對北京市住房和建設(shè)委員會出具了司法建議書�,建議完善房地產(chǎn)中介行業(yè)管理制度���,并提出房地產(chǎn)中介機構(gòu)應(yīng)當(dāng)建立健全公民個人信息安全管理制度和從業(yè)人員信息操作規(guī)范,設(shè)立信息傳輸時的加密處理機制��。規(guī)范履行合同過程中對公民個人信息的保護���,明確信息保管的責(zé)任人等����。
由此可見����,產(chǎn)品或服務(wù)提供者建立健全內(nèi)部數(shù)據(jù)合規(guī)體系,尤其是健全個人信息內(nèi)部操作規(guī)范����,提高自身的合規(guī)審慎義務(wù),已經(jīng)成為企業(yè)必不可少的合規(guī)重點���。規(guī)范在此現(xiàn)實意義下�,提倡企業(yè)建立����、維護和更新所收集���、使用的個人信息處理活動記錄,并明確了活動記錄的具體內(nèi)容�,為企業(yè)合規(guī)提供了更為詳細(xì)的指引。
6����、個人信息的匯聚融合
所謂個人信息的匯聚融合,對于數(shù)據(jù)控制者而言�,就是把不同產(chǎn)品線、不同來源或基于不同目的所收集的數(shù)據(jù)聚集在一起����,形成“大”數(shù)據(jù)�,以增強企業(yè)的數(shù)據(jù)能力,或者是更好地了解和服務(wù)客戶�����。目前在業(yè)界“企業(yè)平臺化”和“市場精準(zhǔn)化”的趨勢下����,數(shù)據(jù)匯聚融合行為已經(jīng)非常普遍,也是不可逆轉(zhuǎn)的技術(shù)方向。但是�����,數(shù)據(jù)的匯聚融合����,很有可能侵犯數(shù)據(jù)主體的合法權(quán)益,比如超范圍使用�����、非授權(quán)目的的使用等��?;诖耍?guī)范并沒有“封殺”數(shù)據(jù)匯聚融合���,而是提出了具體的要求:
非獲得授權(quán)業(yè)務(wù)的必要���,一般應(yīng)采用間接畫像;
數(shù)據(jù)加工處理后,如仍具備個人識別(單獨或結(jié)合)能力��,則還應(yīng)作為個人信息對待�,受授權(quán)范圍的約束;
如數(shù)據(jù)的匯聚融合的使用行為超出了已獲得授權(quán)的范圍,則應(yīng)當(dāng)重新獲得授權(quán);
應(yīng)根據(jù)匯聚融合后個人信息所用于的目的,開展個人信息安全影響評估(PIA)��。
7���、意外地刪除無需征得授權(quán)同意之“履行合同必要”的情形
規(guī)范針對原有個人信息控制者收集���、使用個人信息無需征得個人信息主體的授權(quán)同意的例外情形作了兩處修改:在部分,一是將“法律法規(guī)規(guī)定的其他情形”修改為“與個人信息控制者履行法律法規(guī)規(guī)定的義務(wù)相關(guān)的”;二是刪除了履行合同必要之例外�,即“根據(jù)個人信息主體要求簽訂和履行合同所必需的情形”。
對于第一處的修訂�����,我們認(rèn)為個人信息控制者收集�、使用個人信息,將其“征得授權(quán)同意的例外”的條件界定為與個人信息控制者履行其法律義務(wù)相關(guān)而不論其它場景��,是合適的����,也可以避免該例外的濫用�����。
對于第二處刪除“征得授權(quán)同意的例外”之“履行合同必要”,我們認(rèn)為該修訂可能會帶來不必要的社會成本����。一般情況下,可以認(rèn)為合同的各方基于履行合同義務(wù)而向合同相對方提供簽約和履約所必要的個人信息�,這是善意履約的表現(xiàn)。于此同時���,提供個人信息的一方一般也具有相應(yīng)的心理預(yù)期��。在GDPR中也有基于“履行合同必要”而無需另行征得個人信息主體的授權(quán)同意的類似規(guī)定��。盡管有專家質(zhì)疑此類例外規(guī)定與《網(wǎng)絡(luò)安全法》所確定的“授權(quán)同意”規(guī)則相沖突�,但我們理解所謂的“授權(quán)同意”規(guī)則�����,應(yīng)當(dāng)既包括書面合同的授權(quán)同意���,也包括通過實際行為作出的授權(quán)同意��,簽約����、履約即是如此,因此它們之間并沒有實質(zhì)性沖突�����。
同時�,我們也擔(dān)心“履行合同必要”作為“征得授權(quán)同意的例外”可能會導(dǎo)致一系列濫用問題,尤其是對于C端消費者面對大平臺的情形����。對此,我們建議對該例外的適用增加一個條件限定���,即:“根據(jù)個人信息主體要求簽訂和履行合同所必需的��,且該個人信息的收集和使用符合一般個人信息主體的理解和預(yù)期�?����!比绱?��,既可以消除濫用之擔(dān)憂,又便利于商業(yè)交易��。
欲了解更多行業(yè)的未來發(fā)展前景,可以點擊查看中研普華產(chǎn)業(yè)院研究報告《2023-2028年中國數(shù)字經(jīng)濟行業(yè)發(fā)展前景及投資戰(zhàn)略分析報告》��。
袁靜美
研究院服務(wù)號
中研網(wǎng)訂閱號