前言
2021年8月20日,十三届全国人民代表大会常务委员会第三十次会议通过了《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)。保护法”),将于 2021 年 11 月 1 日生效。《个人信息保护法》为个人信息处理活动提供了明确的法律依据。在个人信息保护领域,“法律-部门规章-规范性文件-国家标准”的制度体系已初步形成。
个人信息保护的法律规定起源于2009年,刑法修正案(七)首先确立了侵犯公民个人信息罪,统计法等单行条例开始对特定的信息收集者进行规定2012年,全国人大常委会发布《全国人民代表大会常务委员会关于加强网络信息保护的决定》,首次系统地提出了国家对个人信息保护的要求2013年修订的《消费者权益保护法》明确了消费者依法享有个人信息受保护的权利。2017年实施的《网络安全法》关于个人信息保护作为网络信息安全的重要组成部分kes 一些基本规定。 2021年生效的《民法典》将个人信息视为人格权 2021年,《个人信息保护法》和《数据安全法》相继出台。作为个人信息保护领域的基本法律规范,它还规定了数据安全、数据处理和数据跨境流动。
一、法规和标准审查
二、法规标准简析
本部分选取并简要分析介绍了上述整理中比较重要的文件,以便读者了解规范之间的逻辑联系和应用关系。
(一)合法
p>
在个人信息保护领域,《个人信息保护法》颁布之前,基本规范相对缺乏。形成了先适用《个人信息保护法》,后适用《网络安全法》和《数据安全法》的格局。
1、《个人信息保护法》
2021年颁布的《个人信息保护法》吸收了《信息安全技术个人信息安全规范》、《网络安全法》和《数据安全管理办法(征求意见稿)》的规定。环节的基本原则、处理规则、国家机关的义务、信息的跨境、个人信息主体的权利义务、监督管理、法律责任等维度,构建了个人信息保护领域的整体架构。处理者的义务上升为法律责任,明确了《个人信息保护法》的域外效力和个人信息主体的权利,使个人信息主体具有了具体的维权法律依据他们的权利和利益。对于个人信息处理者而言,值得关注的是组织内部的“通知-同意”规则、事前个人信息保护影响评估、自动化决策、敏感数据处理、信息输出、个人信息保护措施和管理制度等。其他要求。
个人信息涉及网络安全和数据安全时,个人信息主体和个人信息控制者必须同时遵守网络安全和数据安全领域的规范,但特别规定优先考虑个人信息领域。
2、《网络安全法》
2017年6月实施的《网络安全法》是个人信息保护领域的一项重要基础性法律。个人信息处理者不能等同于网络运营者,但大部分个人信息实际上是通过网络服务收集的,将在提供网络服务的过程中使用。因此,个人信息的保护必须符合《网络安全法》的一些要求,即《网络安全法》规定的安全等级保护制度、关键信息基础设施运行的安全保护要求、用户信息保护制度。其中,安全等级保护是一项非常重要的系统要求。很多涉及个人信息保护的单项法规对个人信息控制者的安全保护等级都有要求,必须结合《信息安全技术网络安全等级基本要求》确定。保护标准。此外,个人信息处理者可能被有关部门认定为关键信息基础设施,并受《关键信息基础设施安全保护条例》和《网络安全审查办法》的监管。
3、数据安全法
《数据安全法》和《个人信息保护法》几乎同时制定,与个人信息保护关系最为密切。早期,个人信息保护的主体主要被认为是网络运营者,但今天对个人信息处理者的理解更加广泛。 《数据安全法》中对数据的定义——“任何电子或其他方式的信息记录”包括“个人信息”。因此,个人信息处理者必须遵守数据安全管理的相关规定和个人信息保护法的特别规定。个人信息处理者需在网络安全等级保护体系的基础上履行数据安全保护义务,包括:建立健全数据安全全流程管理制度,组织数据安全教育培训,采取相应技术措施等必要措施,并进行风险监控和定期风险评估。
未来随着《数据安全法》对各行业、各领域的具体规范的出台,个人信息将作为数据生命周期安全管理的一部分,或纳入重要数据目录的具体规格。重点保护,不作特别规定(如《工业和信息化领域数据安全管理办法(试行)》)。
4、《全国人民代表大会常务委员会关于加强网络信息保护的决定》
该决定于2012年12月发布实施,是个人信息保护领域的重要议题。里程碑规定。该决定是第一个提出个人信息合法性、正当性和必要性原则的高层文件。要求收集主体明示收集、使用信息的目的、方式和范围,并在征得被收集人同意的情况下收集、使用信息。上述规定逐渐发展成为个人信息保护的核心概念。 《通信短信服务管理条例》、《互联网信息搜索服务管理条例》、《移动互联网应用信息服务管理条例》等多项文件均以此决定为依据,对个人信息的相关内容作出了规定。保护。在此之前,个人信息保护义务主要集中在特定的信息收集主体,如统计部门、医院、征信部门等,对普通个人信息处理者缺乏监管。
(二)部门规章和规范性文件
与个人信息保护相关的法规和规范性文件并不多,但大多属于单一领域的个人信息处理信息服务规范(如《互联网话题评论服务管理规定》、《 《互联网论坛社区服务管理条例》)简单规定了相关信息处理者的个人信息保护义务。目前,个人信息细化了保护义务保护网络个人信息安全方法,操作规范还在制定中。
1、《电信和互联网用户个人信息保护条例》
该规定基本涵盖了提供服务的互联网运营商的使用,但由于制定较早(2013年),仅对个人信息的收集和使用以及个人信息的安全措施进行了规定。
2、常见类型《移动互联网应用所需个人信息范围规定》
由于APP非法收集用户信息的乱象,本规定明确APP不得以用户不同意提供非必要的个人信息为由拒绝用户使用其基本功能。明确了“必要的个人信息”的概念,即没有此类信息,APP无法实现基本的功能服务。该规定涵盖了39类APP及相应的必要个人信息,有效平衡了个人信息主体和APP运营者的利益。
3、《App非法非法收集和使用个人信息的认定办法》
该规定针对APP非法收集、使用个人信息19年,虽然对专项信息治理活动经验总结不具有强制效力,但通过列举违法行为解释了六个关键概念,即“未公开收集和使用规则”、“收集使用个人信息的范围不明确”、“未经用户同意收集、使用个人信息”、“违反必要性原则,收集与其提供的服务无关的个人信息”、“向他人提供个人信息”未经同意”、“不按法律规定提供删除或更正”、“个人信息功能”。APP运营商和第三方访问者一旦构成本规定所列行为,将违反《网络安全法》要求个人信息保护。
4、《网络安全法》数据安全管理条例(征求意见稿)”
征求意见稿将个人信息保护作为数据安全的一部分进行了统一规定。未来,个人信息处理者还将按照安全保护级别、应急响应机制、数据安全机制、报告网络安全审查等。在个人信息保护领域,征求意见稿细化了个人信息保护的规定。法律。增加了个人同意的定义、个人通信和非个人通信的选择、用户拒绝或删除定向推送的权利。
过去,个人信息保护的内容大多分散在各个行业和领域。的单行规范。征求意见稿有望在部门规章层面对各类个人信息处理者作出统一规定。
5、移动互联网应用个人信息保护管理暂行规定(征求意见稿)
征求意见稿规定了应用程序涉及的各类主体,涵盖应用程序开发者和运营商、应用程序分发平台、应用程序第三方服务商、移动智能终端制造商、网络接入服务商等,覆盖全生命周期个人信息的保护。此外,征求意见稿明确规定了第三方服务提供者的个人信息保护义务,对运营商向第三方提供信息做出了严格、详细的规定,例如“向本App以外的第三方提供个人信息”。信息,经营者应当告知用户其身份信息、联系方式、处理目的、处理方式和个人信息类型。”本征求意见稿早于《个人信息保护法》出台,未来可能会进行针对性调整。
6、《数据出境安全评估办法(征求意见稿)》
个人信息出境领域经历了多次监管修订,如2019年《个人信息出境安全评估办法》等。 《评估办法(征求意见稿)》,2017年《个人信息和重要数据出境安全评估办法(征求意见稿)》,至10月21日,《数据出境安全评估办法》征求意见稿明确了《数据安全法》等法规中安全评估的具体适用范围。在处理个人信息、向境外提供个人信息、个人敏感信息达到一定数量级时,出境安全评估需上报,除自我评估外保护网络个人信息安全方法,申报还需提供与境外收货人签订的合同,对申请人对收货人的约束和监督提出了更高的要求。
(三)标准
在个人信息保护法颁布之前,对个人信息保护的详细理解和实践主要依赖于没有强制性标准、行业标准和标准相关文件的国家。在各个上级法规对个人信息处理规则的规定逐步完善的基础上,国家标准开始向更细微的领域发展,如人脸识别数据安全要求、步态识别数据安全要求、声纹识别数据安全要求、基因识别数据安全要求均已征求意见。此外,各领域的行业标准在特殊规范尚待完善的情况下,对行业内的个人信息保护提供了指导,如《个人金融信息保护技术规范》、《金融数据安全数据生命周期》等。 《安全规范》为非银行金融机构保护个人信息提供了重要参考。
1、《信息安全技术个人信息安全规范》GB/T 35273-2020
本规范全面、系统、细致地规定了个人信息处理活动的原则和安全要求,是各项个人信息保护标准的核心和制定依据。该法颁布后,本规范的规则和方法需要更新,例如获得授权和同意的例外情况、告知个人信息主体的内容、进行个人信息影响评估等。一旦正式实施,该规范还需要对个人信息保护政策和个性化展示规则的使用进行一些调整。当然,规范中还有很多值得关注的地方,比如个人信息的定义,以及获得同意的具体要求等。方式方法、个人信息保护政策模板。
2、信息安全技术个人信息去识别化指南GB/T 35273-2020
本指引针对个人信息,规定了主体收集个人信息后的去识别化流程和管理措施。一旦去标识化达到无法重新识别或关联个人信息主体的效果,处理后的信息就不再是个人信息。该指引确立了信息披露指引 去标识化工作的程度按等级进行。同时给出了去标识化的常用技术、模型和选择方法。
3、信息安全技术个人信息安全影响评估指南GB/T 39335-2020
该指引规定了个人信息安全影响评估的基本原则和实施程序,履行了《个人信息保护法》对个人信息处理者的个人信息保护影响。评价提供了重要参考。但现行指引并未完全涵盖个人信息保护法的必要内容,具体操作流程和评估分析点尚待探索。
4、《信息安全技术网络安全等级保护基本要求》GB/T 22239-2019
本标准与其他网络安全分级保护相关标准共同将《网络安全法》规定的安全分级保护义务落实为可操作性标准。标准明确了1-4级保护对象的一般安全要求和安全扩展要求,并规定了各个级别的个人信息保护要求。
5、《个人金融信息保护技术规范》JR/T0171-2020
本行业推荐规范由中国人民银行提出,归全国金融标准化技术委员会归口管理。中国人民银行科技司负责起草。该标准将个人财务信息分为三类:C3、C2、C1,根据敏感程度和泄露造成的危害,从高到低;还规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各个环节的安全保护要求,对个人金融信息的安全保护提出了规范要求技术和安全管理。
6、《信息安全技术个人信息通知与同意指引(征求意见稿)》
本指南是网络运营商个人信息处理通知的内容、结构和征求意见。在个人信息主体同意的情况下,就如何收集、使用和提供个人信息提供指导。其中,除细化同意通知和变更、撤回同意的标准外,还对追加通知的情形和通知要求的适当性作出了唯一规定。
结论
本文对目前个人信息保护领域普遍适用的法规和标准进行梳理和简要分析。事实上,由于行业的特点,各行业的个人信息保护涉及到的敏感个人信息和所涉及的个人信息争议较大,适用的法规和标准也存在较大差异。我们将持续关注各领域法规标准的制定动态,为读者提供更有针对性的梳理和解读。
