五月婷婷视频在线,日日夜夜免费精品,国产情趣视频在线观看,72pao成人国产永久免费视频,日韩福利在线观看,欧美日韩精品一二区,伊人91视频

申請(qǐng)實(shí)習(xí)證 兩公律師轉(zhuǎn)社會(huì)律師申請(qǐng) 注銷(xiāo)人員證明申請(qǐng)入口 結(jié)業(yè)人員實(shí)習(xí)鑒定表申請(qǐng)入口 網(wǎng)上投稿 《上海律師》 ENGLISH
當(dāng)前位置: 首頁(yè) >> 業(yè)務(wù)研究 >> 專(zhuān)業(yè)論文

《個(gè)人信息安全規(guī)范》全文解讀

    日期:2018-01-29     作者:黃春林(市律協(xié)互聯(lián)網(wǎng)業(yè)務(wù)研究委員會(huì)委員、上海市匯業(yè)律師事務(wù)所合伙人)

        2017年12月29日,中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)正式發(fā)布《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T 35273-2017,下稱(chēng)“規(guī)范”);2018年1月24日,國(guó)家標(biāo)準(zhǔn)全文公開(kāi)系統(tǒng)正式對(duì)外公布規(guī)范全文,將于2018年5月1日起實(shí)施。

       《網(wǎng)絡(luò)安全法》實(shí)施以來(lái),立法層面,國(guó)家層面發(fā)布了一系列與個(gè)人信息保護(hù)有關(guān)的法律法規(guī)、規(guī)范性文件及司法解釋。而監(jiān)管、執(zhí)法層面,人大、網(wǎng)信、網(wǎng)安、工信甚至消協(xié)系統(tǒng),在全國(guó)各地掀起了一系列個(gè)人信息專(zhuān)項(xiàng)檢查、打擊行動(dòng)。來(lái)自上海公安局的消息,僅上海一地,2017年就偵破個(gè)人信息犯罪案件超過(guò)1000起。
       但是,由于法律規(guī)范及監(jiān)管政策的原則性、模糊化及碎片化,很多政策缺乏落地的細(xì)則,這就給很多企業(yè)個(gè)人信息合規(guī)工作帶來(lái)極大的困惑。而由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)牽頭制定的《規(guī)范》,從國(guó)家標(biāo)準(zhǔn)層面,明確了企業(yè)收集、使用、分享個(gè)人信息的合規(guī)要求,為企業(yè)制定隱私政策及個(gè)人信息管理規(guī)范指明了方向。
       一、《個(gè)人信息安全規(guī)范》的效力問(wèn)題
       《規(guī)范》的標(biāo)準(zhǔn)編號(hào)為GB/T 35273-2017,即為推薦性國(guó)家標(biāo)準(zhǔn)。根據(jù)《國(guó)家標(biāo)準(zhǔn)化法》規(guī)定,強(qiáng)制性標(biāo)準(zhǔn)必須執(zhí)行,國(guó)家鼓勵(lì)采用推薦性標(biāo)準(zhǔn)。
       但是,根據(jù)《規(guī)范》適用范圍說(shuō)明,《規(guī)范》適用于“主管監(jiān)管部門(mén)、第三方評(píng)估機(jī)構(gòu)等組織對(duì)個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)管、管理和評(píng)估”。在此之前,國(guó)家網(wǎng)信辦有關(guān)領(lǐng)導(dǎo)也明確指出,規(guī)范“定位為我國(guó)個(gè)人信息保護(hù)工作的基礎(chǔ)性標(biāo)準(zhǔn)文件……為制定和實(shí)施個(gè)人信息保護(hù)相關(guān)法律法規(guī)奠定基礎(chǔ),為國(guó)家主管部門(mén)、第三方測(cè)評(píng)機(jī)構(gòu)等開(kāi)展個(gè)人信息安全管理、評(píng)估工作提供指導(dǎo)和依據(jù)。”
       在實(shí)踐中,之前網(wǎng)信辦、工信部、公安部等聯(lián)合開(kāi)展的隱私條款專(zhuān)項(xiàng)工作也主要是以《規(guī)范(征求意見(jiàn)稿)》為依據(jù);2018年1月6日,國(guó)家網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局約談“支付寶年度賬單事件”當(dāng)事企業(yè)負(fù)責(zé)人時(shí),也再次強(qiáng)調(diào)了《規(guī)范》的準(zhǔn)據(jù)效力。
       二、個(gè)人信息有關(guān)的幾個(gè)法律概念界定  
      前面提到,《網(wǎng)絡(luò)安全法》及其配套制度關(guān)于個(gè)人信息保護(hù)的規(guī)范相對(duì)原則,而本次《規(guī)范》重點(diǎn)明確了實(shí)踐中比較關(guān)注的幾個(gè)概念。
       首先,《規(guī)范》明確了“敏感個(gè)人信息”的范疇?!兑?guī)范》及其附錄確定了敏感個(gè)人信息的認(rèn)定標(biāo)準(zhǔn)、實(shí)例以及敏感個(gè)人信息的特殊合規(guī)要求,這與《網(wǎng)絡(luò)安全法》規(guī)定的數(shù)據(jù)分類(lèi)措施相銜接。
       其次,《規(guī)范》明確了“收集”的法律概念,明確將個(gè)人信息收集行為分為主動(dòng)提交、自動(dòng)采集、從第三方獲取三種方式,并將獲取但不回傳至服務(wù)器的行為排除在“收集”行為之外。
       此外,《規(guī)范》還明確規(guī)定了實(shí)踐中爭(zhēng)議較大的“刪除”、“用戶(hù)畫(huà)像”、“匿名化”等概念,對(duì)于企業(yè)合規(guī)建設(shè)具有重要的參考價(jià)值。
       三、個(gè)人信息收集的合規(guī)要求
       本次《規(guī)范》明確了企業(yè)收集個(gè)人信息的合規(guī)要求,主要包括如下幾個(gè)方面:
       第一,《規(guī)范》明確了用戶(hù)知悉的合規(guī)要求?!兑?guī)范》明確規(guī)定企業(yè)應(yīng)當(dāng)告知用戶(hù),網(wǎng)絡(luò)產(chǎn)品或服務(wù)的不同業(yè)務(wù)功能分別收集了哪些個(gè)人信息,并應(yīng)當(dāng)通過(guò)隱私政策的方式明確告知用戶(hù)收集的個(gè)人信息的詳細(xì)、完整規(guī)則。收集行為涉及共同個(gè)人信息控制者時(shí),還應(yīng)當(dāng)明確告知用戶(hù)共同控制的第三方及各自責(zé)任。
       第二,《規(guī)范》明確了用戶(hù)同意的合規(guī)要求?!兑?guī)范》對(duì)用戶(hù)的明示同意作出了示例性規(guī)范,包括作出書(shū)面聲明、主動(dòng)勾選、主動(dòng)點(diǎn)擊“同意”/“注冊(cè)”/“發(fā)送”等主動(dòng)性動(dòng)作?!兑?guī)范》還規(guī)定了收集用戶(hù)個(gè)人敏感信息時(shí)的特殊規(guī)則。
       第三,《規(guī)范》明確了收集同意規(guī)則的例外情形?!兑?guī)范》明確,當(dāng)所收集的個(gè)人信息是個(gè)人信息主體自行向社會(huì)公開(kāi)的,或者收集著從合法公開(kāi)披露的信息中收集個(gè)人信息的,或者用于學(xué)術(shù)研究等目的時(shí),可以無(wú)需征得信息主體的授權(quán)或者同意程序相應(yīng)克減。
       第四,《規(guī)范》明確了從第三方獲取個(gè)人信息的審查要求?!兑?guī)范》明確,企業(yè)從第三方獲取個(gè)人信息時(shí),應(yīng)當(dāng)要求提供者說(shuō)明來(lái)源,并審查來(lái)源的合法性以及是否履行了必要的同意程序等。
       四、個(gè)人信息分享的合規(guī)要求
       《規(guī)范》明確規(guī)定,委托第三方處理個(gè)人信息時(shí),應(yīng)當(dāng)開(kāi)展個(gè)人信息安全影響評(píng)估,并應(yīng)當(dāng)采取措施監(jiān)督、記錄第三方委托處理的行為,并應(yīng)當(dāng)對(duì)第三方進(jìn)行審計(jì)。
       關(guān)于個(gè)人信息的轉(zhuǎn)讓?zhuān)兑?guī)范》規(guī)定應(yīng)當(dāng)開(kāi)展個(gè)人信息安全影響評(píng)估,并應(yīng)當(dāng)采取措施監(jiān)督、記錄受讓方的行為,同時(shí)還規(guī)定應(yīng)承擔(dān)轉(zhuǎn)讓造成損害的法律責(zé)任。因并購(gòu)、重組等發(fā)生控制主體變更的,應(yīng)當(dāng)單獨(dú)向用戶(hù)告知相關(guān)情況。
       關(guān)于個(gè)人信息的跨境傳輸,除了應(yīng)當(dāng)滿(mǎn)足分享的合規(guī)要求外,還應(yīng)當(dāng)按照《網(wǎng)絡(luò)安全法》及其落地政策規(guī)定履行安全評(píng)估程序。
       五、用戶(hù)控制個(gè)人信息的合規(guī)要求
       根據(jù)之前網(wǎng)信辦、工信部、公安部等聯(lián)合開(kāi)展的隱私條款專(zhuān)項(xiàng)工作反饋的情況,以及全國(guó)人大常委會(huì)一法一決定的執(zhí)法檢查報(bào)告,絕大多數(shù)企業(yè)關(guān)于用戶(hù)控制個(gè)人信息的義務(wù)未落實(shí),問(wèn)題相對(duì)突出。
       本次《規(guī)范》詳細(xì)規(guī)定了用戶(hù)個(gè)人信息控制權(quán)的實(shí)現(xiàn)方式,明確規(guī)定了用戶(hù)訪問(wèn)、更正、刪除個(gè)人信息,以及撤回同意授權(quán)、注銷(xiāo)賬戶(hù)的細(xì)則及合規(guī)要求。例如,企業(yè)應(yīng)當(dāng)在30天內(nèi)相應(yīng)用戶(hù)的訪問(wèn)、更正、刪除等需求,并告知用戶(hù)相應(yīng)的糾紛解決路徑。
       六、企業(yè)個(gè)人信息管理制度的合規(guī)要求
       《網(wǎng)絡(luò)安全法》實(shí)施以后,為企業(yè)賦予了很多網(wǎng)絡(luò)安全義務(wù)和責(zé)任,其中非常重要的一條即是,應(yīng)當(dāng)制定合規(guī)的個(gè)人信息管理制度。落實(shí)到《規(guī)范》層面,具體要求包括:
       第一,應(yīng)當(dāng)明確個(gè)人信息保護(hù)的責(zé)任部門(mén)及人員?!兑?guī)范》明確,規(guī)模達(dá)到一定條件的企業(yè),應(yīng)當(dāng)任命個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)并公開(kāi)其聯(lián)系方式,并對(duì)其職責(zé)作出明確規(guī)定。
       第二,應(yīng)當(dāng)建立個(gè)人信息崗位人員管理及培訓(xùn)制度?!兑?guī)范》明確,應(yīng)當(dāng)與相關(guān)人員簽訂保密協(xié)議,并對(duì)相關(guān)人員開(kāi)展背景調(diào)查,建立專(zhuān)業(yè)化培訓(xùn)和考核機(jī)制、處罰機(jī)制。
       第三,應(yīng)當(dāng)建立內(nèi)部個(gè)人信息訪問(wèn)控制措施及制度,并有效的限制個(gè)人信息的展示,約束自動(dòng)化程序使用與救濟(jì),等等。與此同時(shí),還應(yīng)當(dāng)建立制度限制個(gè)人信息的使用、存儲(chǔ)、發(fā)布等。
       第四,應(yīng)當(dāng)開(kāi)展個(gè)人信息安全影響評(píng)估制度及審計(jì)制度。
       第五,應(yīng)當(dāng)建立個(gè)人信息安全事件處置與報(bào)告制度。
       七、《隱私政策》的主要內(nèi)容及合規(guī)要求
       本次《規(guī)范》相對(duì)詳細(xì)的規(guī)定了《隱私政策》的主要內(nèi)容及合規(guī)要求。
       主要內(nèi)容方面,《隱私政策》應(yīng)當(dāng)至少包括個(gè)人信息控制者的基本情況;收集、使用個(gè)人信息的目的,以及目的所涵蓋的各個(gè)業(yè)務(wù)功能;各業(yè)務(wù)功能分別收集的個(gè)人信息,以及收集方式和頻率、存放地域、存儲(chǔ) 期限等個(gè)人信息處理規(guī)則和實(shí)際收集的個(gè)人信息范圍;對(duì)外共享、轉(zhuǎn)讓、公開(kāi)披露個(gè)人信息的目的、涉及的個(gè)人信息類(lèi)型、接收 個(gè)人信息的第三方類(lèi)型,以及所承擔(dān)的相應(yīng)法律責(zé)任;處理個(gè)人信息主體詢(xún)問(wèn)、投訴的渠道和機(jī)制,以及外部糾紛解決機(jī)構(gòu)及聯(lián)絡(luò)方式;等等。
       合規(guī)要求方面,《規(guī)范》對(duì)《隱私政策》的文字要求、放置規(guī)范、送達(dá)方式、更新要求等都作出了明確的規(guī)定。
總之,《規(guī)范》是監(jiān)管與執(zhí)法的重要參考依據(jù),對(duì)于企業(yè)個(gè)人信息合規(guī)具有重要的指引意義。企業(yè)應(yīng)當(dāng)根據(jù)《網(wǎng)絡(luò)安全法》及其配套制度的整體規(guī)則,并參照《規(guī)范》的細(xì)則要求,重新梳理個(gè)人信息的收集、使用、存儲(chǔ)、分享行為,完善內(nèi)部管理制度,建立內(nèi)部崗位及人員責(zé)任,降低個(gè)人信息違規(guī)、違法甚至是刑事法律風(fēng)險(xiǎn)。
       當(dāng)然,我們也應(yīng)該看到,《規(guī)范》的很多細(xì)節(jié)內(nèi)容,已經(jīng)突破了《網(wǎng)絡(luò)安全法》及其配套制度的法定要求,同時(shí)也高于國(guó)際同行甚至是歐盟的個(gè)人信息保護(hù)標(biāo)準(zhǔn),這不但極大的增加了企業(yè)的合規(guī)及運(yùn)營(yíng)成本,而且對(duì)于我國(guó)互聯(lián)網(wǎng)產(chǎn)業(yè)尤其是大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展也具有一定的消極影響。



[版權(quán)聲明] 滬ICP備17030485號(hào)-1 

滬公網(wǎng)安備 31010402007129號(hào)

技術(shù)服務(wù):上海同道信息技術(shù)有限公司   

     技術(shù)電話(huà):400-052-9602(9:00-11:30,13:30-17:30)

 技術(shù)支持郵箱 :12345@homolo.com

上海市律師協(xié)會(huì)版權(quán)所有 ?2017-2024