中文字幕影视,欧美一级二级在线观看,av在线激情,亚洲国产福利视频,国产精品久久久久久亚洲影视,亚洲午夜视频在线,日本在线不卡二区

申請實習(xí)證 兩公律師轉(zhuǎn)社會律師申請 注銷人員證明申請入口 結(jié)業(yè)人員實習(xí)鑒定表申請入口 網(wǎng)上投稿 《上海律師》 ENGLISH
當(dāng)前位置: 首頁 >> 業(yè)務(wù)研究 >> 專業(yè)論文

《個人信息安全規(guī)范》全文解讀

    日期:2018-01-29     作者:黃春林(市律協(xié)互聯(lián)網(wǎng)業(yè)務(wù)研究委員會委員、上海市匯業(yè)律師事務(wù)所合伙人)

        2017年12月29日,中國國家標(biāo)準(zhǔn)化管理委員會正式發(fā)布《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273-2017,下稱“規(guī)范”);2018年1月24日,國家標(biāo)準(zhǔn)全文公開系統(tǒng)正式對外公布規(guī)范全文,將于2018年5月1日起實施。

       《網(wǎng)絡(luò)安全法》實施以來,立法層面,國家層面發(fā)布了一系列與個人信息保護(hù)有關(guān)的法律法規(guī)、規(guī)范性文件及司法解釋。而監(jiān)管、執(zhí)法層面,人大、網(wǎng)信、網(wǎng)安、工信甚至消協(xié)系統(tǒng),在全國各地掀起了一系列個人信息專項檢查、打擊行動。來自上海公安局的消息,僅上海一地,2017年就偵破個人信息犯罪案件超過1000起。
       但是,由于法律規(guī)范及監(jiān)管政策的原則性、模糊化及碎片化,很多政策缺乏落地的細(xì)則,這就給很多企業(yè)個人信息合規(guī)工作帶來極大的困惑。而由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會牽頭制定的《規(guī)范》,從國家標(biāo)準(zhǔn)層面,明確了企業(yè)收集、使用、分享個人信息的合規(guī)要求,為企業(yè)制定隱私政策及個人信息管理規(guī)范指明了方向。
       一、《個人信息安全規(guī)范》的效力問題
       《規(guī)范》的標(biāo)準(zhǔn)編號為GB/T 35273-2017,即為推薦性國家標(biāo)準(zhǔn)。根據(jù)《國家標(biāo)準(zhǔn)化法》規(guī)定,強(qiáng)制性標(biāo)準(zhǔn)必須執(zhí)行,國家鼓勵采用推薦性標(biāo)準(zhǔn)。
       但是,根據(jù)《規(guī)范》適用范圍說明,《規(guī)范》適用于“主管監(jiān)管部門、第三方評估機(jī)構(gòu)等組織對個人信息處理活動進(jìn)行監(jiān)管、管理和評估”。在此之前,國家網(wǎng)信辦有關(guān)領(lǐng)導(dǎo)也明確指出,規(guī)范“定位為我國個人信息保護(hù)工作的基礎(chǔ)性標(biāo)準(zhǔn)文件……為制定和實施個人信息保護(hù)相關(guān)法律法規(guī)奠定基礎(chǔ),為國家主管部門、第三方測評機(jī)構(gòu)等開展個人信息安全管理、評估工作提供指導(dǎo)和依據(jù)。”
       在實踐中,之前網(wǎng)信辦、工信部、公安部等聯(lián)合開展的隱私條款專項工作也主要是以《規(guī)范(征求意見稿)》為依據(jù);2018年1月6日,國家網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局約談“支付寶年度賬單事件”當(dāng)事企業(yè)負(fù)責(zé)人時,也再次強(qiáng)調(diào)了《規(guī)范》的準(zhǔn)據(jù)效力。
       二、個人信息有關(guān)的幾個法律概念界定  
      前面提到,《網(wǎng)絡(luò)安全法》及其配套制度關(guān)于個人信息保護(hù)的規(guī)范相對原則,而本次《規(guī)范》重點明確了實踐中比較關(guān)注的幾個概念。
       首先,《規(guī)范》明確了“敏感個人信息”的范疇?!兑?guī)范》及其附錄確定了敏感個人信息的認(rèn)定標(biāo)準(zhǔn)、實例以及敏感個人信息的特殊合規(guī)要求,這與《網(wǎng)絡(luò)安全法》規(guī)定的數(shù)據(jù)分類措施相銜接。
       其次,《規(guī)范》明確了“收集”的法律概念,明確將個人信息收集行為分為主動提交、自動采集、從第三方獲取三種方式,并將獲取但不回傳至服務(wù)器的行為排除在“收集”行為之外。
       此外,《規(guī)范》還明確規(guī)定了實踐中爭議較大的“刪除”、“用戶畫像”、“匿名化”等概念,對于企業(yè)合規(guī)建設(shè)具有重要的參考價值。
       三、個人信息收集的合規(guī)要求
       本次《規(guī)范》明確了企業(yè)收集個人信息的合規(guī)要求,主要包括如下幾個方面:
       第一,《規(guī)范》明確了用戶知悉的合規(guī)要求?!兑?guī)范》明確規(guī)定企業(yè)應(yīng)當(dāng)告知用戶,網(wǎng)絡(luò)產(chǎn)品或服務(wù)的不同業(yè)務(wù)功能分別收集了哪些個人信息,并應(yīng)當(dāng)通過隱私政策的方式明確告知用戶收集的個人信息的詳細(xì)、完整規(guī)則。收集行為涉及共同個人信息控制者時,還應(yīng)當(dāng)明確告知用戶共同控制的第三方及各自責(zé)任。
       第二,《規(guī)范》明確了用戶同意的合規(guī)要求?!兑?guī)范》對用戶的明示同意作出了示例性規(guī)范,包括作出書面聲明、主動勾選、主動點擊“同意”/“注冊”/“發(fā)送”等主動性動作。《規(guī)范》還規(guī)定了收集用戶個人敏感信息時的特殊規(guī)則。
       第三,《規(guī)范》明確了收集同意規(guī)則的例外情形。《規(guī)范》明確,當(dāng)所收集的個人信息是個人信息主體自行向社會公開的,或者收集著從合法公開披露的信息中收集個人信息的,或者用于學(xué)術(shù)研究等目的時,可以無需征得信息主體的授權(quán)或者同意程序相應(yīng)克減。
       第四,《規(guī)范》明確了從第三方獲取個人信息的審查要求。《規(guī)范》明確,企業(yè)從第三方獲取個人信息時,應(yīng)當(dāng)要求提供者說明來源,并審查來源的合法性以及是否履行了必要的同意程序等。
       四、個人信息分享的合規(guī)要求
       《規(guī)范》明確規(guī)定,委托第三方處理個人信息時,應(yīng)當(dāng)開展個人信息安全影響評估,并應(yīng)當(dāng)采取措施監(jiān)督、記錄第三方委托處理的行為,并應(yīng)當(dāng)對第三方進(jìn)行審計。
       關(guān)于個人信息的轉(zhuǎn)讓,《規(guī)范》規(guī)定應(yīng)當(dāng)開展個人信息安全影響評估,并應(yīng)當(dāng)采取措施監(jiān)督、記錄受讓方的行為,同時還規(guī)定應(yīng)承擔(dān)轉(zhuǎn)讓造成損害的法律責(zé)任。因并購、重組等發(fā)生控制主體變更的,應(yīng)當(dāng)單獨向用戶告知相關(guān)情況。
       關(guān)于個人信息的跨境傳輸,除了應(yīng)當(dāng)滿足分享的合規(guī)要求外,還應(yīng)當(dāng)按照《網(wǎng)絡(luò)安全法》及其落地政策規(guī)定履行安全評估程序。
       五、用戶控制個人信息的合規(guī)要求
       根據(jù)之前網(wǎng)信辦、工信部、公安部等聯(lián)合開展的隱私條款專項工作反饋的情況,以及全國人大常委會一法一決定的執(zhí)法檢查報告,絕大多數(shù)企業(yè)關(guān)于用戶控制個人信息的義務(wù)未落實,問題相對突出。
       本次《規(guī)范》詳細(xì)規(guī)定了用戶個人信息控制權(quán)的實現(xiàn)方式,明確規(guī)定了用戶訪問、更正、刪除個人信息,以及撤回同意授權(quán)、注銷賬戶的細(xì)則及合規(guī)要求。例如,企業(yè)應(yīng)當(dāng)在30天內(nèi)相應(yīng)用戶的訪問、更正、刪除等需求,并告知用戶相應(yīng)的糾紛解決路徑。
       六、企業(yè)個人信息管理制度的合規(guī)要求
       《網(wǎng)絡(luò)安全法》實施以后,為企業(yè)賦予了很多網(wǎng)絡(luò)安全義務(wù)和責(zé)任,其中非常重要的一條即是,應(yīng)當(dāng)制定合規(guī)的個人信息管理制度。落實到《規(guī)范》層面,具體要求包括:
       第一,應(yīng)當(dāng)明確個人信息保護(hù)的責(zé)任部門及人員?!兑?guī)范》明確,規(guī)模達(dá)到一定條件的企業(yè),應(yīng)當(dāng)任命個人信息保護(hù)負(fù)責(zé)人和個人信息保護(hù)工作機(jī)構(gòu)并公開其聯(lián)系方式,并對其職責(zé)作出明確規(guī)定。
       第二,應(yīng)當(dāng)建立個人信息崗位人員管理及培訓(xùn)制度?!兑?guī)范》明確,應(yīng)當(dāng)與相關(guān)人員簽訂保密協(xié)議,并對相關(guān)人員開展背景調(diào)查,建立專業(yè)化培訓(xùn)和考核機(jī)制、處罰機(jī)制。
       第三,應(yīng)當(dāng)建立內(nèi)部個人信息訪問控制措施及制度,并有效的限制個人信息的展示,約束自動化程序使用與救濟(jì),等等。與此同時,還應(yīng)當(dāng)建立制度限制個人信息的使用、存儲、發(fā)布等。
       第四,應(yīng)當(dāng)開展個人信息安全影響評估制度及審計制度。
       第五,應(yīng)當(dāng)建立個人信息安全事件處置與報告制度。
       七、《隱私政策》的主要內(nèi)容及合規(guī)要求
       本次《規(guī)范》相對詳細(xì)的規(guī)定了《隱私政策》的主要內(nèi)容及合規(guī)要求。
       主要內(nèi)容方面,《隱私政策》應(yīng)當(dāng)至少包括個人信息控制者的基本情況;收集、使用個人信息的目的,以及目的所涵蓋的各個業(yè)務(wù)功能;各業(yè)務(wù)功能分別收集的個人信息,以及收集方式和頻率、存放地域、存儲 期限等個人信息處理規(guī)則和實際收集的個人信息范圍;對外共享、轉(zhuǎn)讓、公開披露個人信息的目的、涉及的個人信息類型、接收 個人信息的第三方類型,以及所承擔(dān)的相應(yīng)法律責(zé)任;處理個人信息主體詢問、投訴的渠道和機(jī)制,以及外部糾紛解決機(jī)構(gòu)及聯(lián)絡(luò)方式;等等。
       合規(guī)要求方面,《規(guī)范》對《隱私政策》的文字要求、放置規(guī)范、送達(dá)方式、更新要求等都作出了明確的規(guī)定。
總之,《規(guī)范》是監(jiān)管與執(zhí)法的重要參考依據(jù),對于企業(yè)個人信息合規(guī)具有重要的指引意義。企業(yè)應(yīng)當(dāng)根據(jù)《網(wǎng)絡(luò)安全法》及其配套制度的整體規(guī)則,并參照《規(guī)范》的細(xì)則要求,重新梳理個人信息的收集、使用、存儲、分享行為,完善內(nèi)部管理制度,建立內(nèi)部崗位及人員責(zé)任,降低個人信息違規(guī)、違法甚至是刑事法律風(fēng)險。
       當(dāng)然,我們也應(yīng)該看到,《規(guī)范》的很多細(xì)節(jié)內(nèi)容,已經(jīng)突破了《網(wǎng)絡(luò)安全法》及其配套制度的法定要求,同時也高于國際同行甚至是歐盟的個人信息保護(hù)標(biāo)準(zhǔn),這不但極大的增加了企業(yè)的合規(guī)及運(yùn)營成本,而且對于我國互聯(lián)網(wǎng)產(chǎn)業(yè)尤其是大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展也具有一定的消極影響。



[版權(quán)聲明] 滬ICP備17030485號-1 

滬公網(wǎng)安備 31010402007129號

技術(shù)服務(wù):上海同道信息技術(shù)有限公司   

     技術(shù)電話:400-052-9602(9:00-11:30,13:30-17:30)

 技術(shù)支持郵箱 :12345@homolo.com

上海市律師協(xié)會版權(quán)所有 ?2017-2024