J9九游会AG

中文
英文 日文

个人信息处理全流程合规——兼评《个人信息保护法》

作(zuo)者:史跃 卢萍

在《当J9九游会AG 谈数据合规的时候在谈什么——数据合规的架构和基础概念》中笔者主要梳理了数据合规领域的主要法规、政策、标准,理清了数据合规的基本架构和概念,并且提到一类重要数据——个人信息。因目前数据监管的重点即个人信息,因此本文将主要探讨个人信息处理全流程中的合规问题,阐明个人信息从“出生”到“死亡”的整个过程中应当关注的合规要点。恰逢《个人信息保护法》于8月20日表决通过,并将于今年11月1日施行,其中第一至三章内容主要涉及个人信息处理过程中的合规问题,笔者将结合《个人信息保护法》《信息安全技术个人信息安全规范》《深圳经济特区保护条例》(以下简称《特区条例》)及监管实践进行探讨。

一、千呼万唤始出来——《个人信息保护法》简评

《民法(fa)(fa)(fa)(fa)典》从基(ji)本(ben)法(fa)(fa)(fa)(fa)的(de)(de)(de)高度(du)对个(ge)(ge)(ge)(ge)(ge)人(ren)信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)受法(fa)(fa)(fa)(fa)律保(bao)(bao)(bao)护(hu)(hu)[注1]作出了(le)(le)原则(ze)(ze)性的(de)(de)(de)规(gui)定(ding)。2017年的(de)(de)(de)《网络(luo)(luo)(luo)安(an)全法(fa)(fa)(fa)(fa)》以(yi)网络(luo)(luo)(luo)信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)安(an)全专章(zhang)规(gui)定(ding)了(le)(le)网络(luo)(luo)(luo)运营者(zhe)对个(ge)(ge)(ge)(ge)(ge)人(ren)信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)保(bao)(bao)(bao)护(hu)(hu)应当遵守的(de)(de)(de)原则(ze)(ze)和(he)基(ji)本(ben)要(yao)(yao)求。今年6月(yue)10日表决通过的(de)(de)(de)《数(shu)据(ju)(ju)(ju)安(an)全法(fa)(fa)(fa)(fa)》则(ze)(ze)主要(yao)(yao)以(yi)“数(shu)据(ju)(ju)(ju)”为(wei)(wei)核心,从宏观(guan)层面上(shang)(shang)确(que)(que)立了(le)(le)数(shu)据(ju)(ju)(ju)安(an)全及治理(li)(li)的(de)(de)(de)基(ji)本(ben)框架,个(ge)(ge)(ge)(ge)(ge)人(ren)信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)作为(wei)(wei)数(shu)据(ju)(ju)(ju)中极为(wei)(wei)重要(yao)(yao)的(de)(de)(de)一(yi)类受到该法(fa)(fa)(fa)(fa)保(bao)(bao)(bao)护(hu)(hu)。《个(ge)(ge)(ge)(ge)(ge)人(ren)信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)保(bao)(bao)(bao)护(hu)(hu)法(fa)(fa)(fa)(fa)》是个(ge)(ge)(ge)(ge)(ge)人(ren)信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)的(de)(de)(de)专门(men)法(fa)(fa)(fa)(fa)规(gui),历经三(san)次审(shen)议(yi),在(zai)(zai)第二(er)(er)次审(shen)议(yi)稿(gao)中已经明确(que)(que)了(le)(le)个(ge)(ge)(ge)(ge)(ge)人(ren)信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)和(he)敏(min)感个(ge)(ge)(ge)(ge)(ge)人(ren)信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)的(de)(de)(de)定(ding)义,确(que)(que)定(ding)了(le)(le)个(ge)(ge)(ge)(ge)(ge)人(ren)信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)处理(li)(li)的(de)(de)(de)原则(ze)(ze)、阶段、个(ge)(ge)(ge)(ge)(ge)人(ren)在(zai)(zai)个(ge)(ge)(ge)(ge)(ge)人(ren)信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)处理(li)(li)活动中的(de)(de)(de)权(quan)利、个(ge)(ge)(ge)(ge)(ge)人(ren)数(shu)据(ju)(ju)(ju)处理(li)(li)者(zhe)的(de)(de)(de)义务(wu)、个(ge)(ge)(ge)(ge)(ge)人(ren)信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)跨境基(ji)本(ben)规(gui)则(ze)(ze)以(yi)及相应的(de)(de)(de)法(fa)(fa)(fa)(fa)律责任。第三(san)次审(shen)议(yi)后最终出台的(de)(de)(de)版本(ben)在(zai)(zai)框架上(shang)(shang)与二(er)(er)次审(shen)议(yi)稿(gao)保(bao)(bao)(bao)持了(le)(le)一(yi)致,同(tong)时对社会(hui)广(guang)为(wei)(wei)关(guan)切(qie)的(de)(de)(de)大数(shu)据(ju)(ju)(ju)杀(sha)熟(shu)、个(ge)(ge)(ge)(ge)(ge)人(ren)信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)可(ke)携带(dai)权(quan)、个(ge)(ge)(ge)(ge)(ge)人(ren)诉权(quan)等予以(yi)了(le)(le)回应。《民法(fa)(fa)(fa)(fa)典》《网络(luo)(luo)(luo)安(an)全法(fa)(fa)(fa)(fa)》《数(shu)据(ju)(ju)(ju)安(an)全法(fa)(fa)(fa)(fa)》《个(ge)(ge)(ge)(ge)(ge)人(ren)信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)(xi)保(bao)(bao)(bao)护(hu)(hu)法(fa)(fa)(fa)(fa)》共同(tong)构筑了(le)(le)当前我国数(shu)据(ju)(ju)(ju)保(bao)(bao)(bao)护(hu)(hu)的(de)(de)(de)核心法(fa)(fa)(fa)(fa)规(gui)。

值得欣喜的是,《个(ge)人信(xin)息保护法(fa)》审(shen)议通(tong)过(guo)的最终(zhong)稿,相较于二次审(shen)议稿增加的几个(ge)亮(liang)点——人力(li)资源管理的免征同意、大数据杀(sha)熟等(deng),在(zai)先前通(tong)过(guo)的《特区条例(li)》中已经出(chu)现(xian),深圳(zhen)的立法(fa)在(zai)前沿性上(shang)值得肯定。

自2019年起工(gong)信(xin)部就展开了针对(dui)APP侵害用户权益(yi)的(de)专项整治行(xing)动(dong),企(qi)业为(wei)达到监管要求(qiu),不断探索处理个(ge)(ge)人(ren)信(xin)息(xi)的(de)合(he)规(gui)(gui)标(biao)准,2020年10月1日,市场监督总(zong)局(ju)和(he)国(guo)家标(biao)准委员会联合(he)发布了GB/T35273-2020《信(xin)息(xi)安全技术个(ge)(ge)人(ren)信(xin)息(xi)安全规(gui)(gui)范(fan)》(以下(xia)简称《个(ge)(ge)人(ren)信(xin)息(xi)安全规(gui)(gui)范(fan)》),这一(yi)国(guo)家标(biao)准成为(wei)企(qi)业尤其(qi)是APP平台进行(xing)个(ge)(ge)人(ren)信(xin)息(xi)保护合(he)规(gui)(gui)建设(she)的(de)重(zhong)要参考(kao)。

《个人(ren)(ren)(ren)(ren)信息(xi)(xi)(xi)保(bao)护(hu)(hu)法》与(yu)《个人(ren)(ren)(ren)(ren)信息(xi)(xi)(xi)安全(quan)规(gui)(gui)范(fan)(fan)(fan)》一(yi)脉相承,尤其是关(guan)于个人(ren)(ren)(ren)(ren)信息(xi)(xi)(xi)处理规(gui)(gui)则、个人(ren)(ren)(ren)(ren)信息(xi)(xi)(xi)处理者的义务章节(jie)的内容(rong)(rong),基(ji)本(ben)概括了《个人(ren)(ren)(ren)(ren)信息(xi)(xi)(xi)安全(quan)规(gui)(gui)范(fan)(fan)(fan)》的相关(guan)规(gui)(gui)定。由于《个人(ren)(ren)(ren)(ren)信息(xi)(xi)(xi)安全(quan)规(gui)(gui)范(fan)(fan)(fan)》内容(rong)(rong)较为详实,实操性强,因此J9九游会AG 认(ren)为在《个人(ren)(ren)(ren)(ren)信息(xi)(xi)(xi)保(bao)护(hu)(hu)法》出(chu)台(tai)之(zhi)后,《个人(ren)(ren)(ren)(ren)信息(xi)(xi)(xi)安全(quan)规(gui)(gui)范(fan)(fan)(fan)》及(ji)(ji)《个人(ren)(ren)(ren)(ren)信息(xi)(xi)(xi)保(bao)护(hu)(hu)法》出(chu)台(tai)前的监管实践,对(dui)于企业进(jin)行个人(ren)(ren)(ren)(ren)信息(xi)(xi)(xi)保(bao)护(hu)(hu)合(he)规(gui)(gui)建设仍有(you)重要参考(kao)意义。下(xia)文(wen)将会结合(he)数(shu)据处理过程(cheng)中(zhong)的合(he)规(gui)(gui)点,同时参考(kao)《个人(ren)(ren)(ren)(ren)信息(xi)(xi)(xi)安全(quan)规(gui)(gui)范(fan)(fan)(fan)》及(ji)(ji)《个人(ren)(ren)(ren)(ren)信息(xi)(xi)(xi)保(bao)护(hu)(hu)法》的具体内容(rong)(rong)逐一(yi)分析。

二、个人信息处理阶段和应遵循的原则

《民法(fa)典(dian)》《数(shu)据安(an)全(quan)(quan)法(fa)》《特区条(tiao)例》《最(zui)高人(ren)(ren)(ren)民法(fa)院关于(yu)审理使(shi)(shi)用(yong)(yong)人(ren)(ren)(ren)脸识别技(ji)术处理个(ge)(ge)人(ren)(ren)(ren)信(xin)息(xi)相关民事案件(jian)适用(yong)(yong)法(fa)律若干(gan)问题的(de)规定(ding)》对数(shu)据/个(ge)(ge)人(ren)(ren)(ren)信(xin)息(xi)处理的(de)具体(ti)内容规定(ding)高度一(yi)致,即(ji)包(bao)含了“收集、存储、使(shi)(shi)用(yong)(yong)、加工、传(chuan)输、提供、公开”几(ji)个(ge)(ge)阶段(duan),《个(ge)(ge)人(ren)(ren)(ren)信(xin)息(xi)保护法(fa)》最(zui)终稿则在上述几(ji)个(ge)(ge)阶段(duan)之外单独增(zeng)加了“删除”一(yi)项,将删除列(lie)为(wei)一(yi)个(ge)(ge)独立的(de)处理阶段(duan)[注2]。上述个(ge)(ge)人(ren)(ren)(ren)信(xin)息(xi)处理的(de)8个(ge)(ge)阶段(duan),涵(han)盖了个(ge)(ge)人(ren)(ren)(ren)信(xin)息(xi)从“出生(sheng)”到“死亡”的(de)全(quan)(quan)过程,J9九游会AG 也(ye)称(cheng)之为(wei)个(ge)(ge)人(ren)(ren)(ren)信(xin)息(xi)的(de)生(sheng)命周(zhou)期。

在整(zheng)个数据(ju)处(chu)理(li)活动(dong)中,数据(ju)处(chu)理(li)者都需要遵循一定(ding)(ding)的(de)原则(ze),在原则(ze)的(de)基础之上就各个阶段还应遵守特别的(de)规定(ding)(ding)。各阶段应当(dang)遵守原则(ze),《民法(fa)典》第一千零三(san)十(shi)五条、《网络安全法(fa)》第四(si)十(shi)一条、《数据(ju)安全法(fa)》三(san)十(shi)二条概括为合(he)法(fa)、正当(dang)、必要,这(zhei)也(ye)是广为流传和(he)接受的(de)数据(ju)保(bao)护三(san)原则(ze)。《特区(qu)条例(li)》第十(shi)条将(jiang)保(bao)护原则(ze)规定(ding)(ding)为:目的(de)明确(que)合(he)理(li)、方(fang)式(shi)合(he)法(fa)、最小必要、依法(fa)告知获得(de)同(tong)意(yi)、保(bao)证准(zhun)确(que)和(he)完整(zheng)、确(que)保(bao)数据(ju)安全。

《个(ge)(ge)人(ren)信(xin)(xin)息(xi)(xi)保(bao)(bao)护法(fa)》在(zai)第(di)(di)(di)(di)五条(tiao)至第(di)(di)(di)(di)九条(tiao)将三(san)原则(ze)进行了(le)不(bu)少(shao)的(de)(de)(de)(de)(de)扩(kuo)充,包(bao)括了(le)合(he)法(fa)正当必(bi)要诚信(xin)(xin)(第(di)(di)(di)(di)五条(tiao),不(bu)得以欺诈、诱骗、诱导(dao)的(de)(de)(de)(de)(de)方式(shi)处(chu)理(li)个(ge)(ge)人(ren)信(xin)(xin)息(xi)(xi))、目的(de)(de)(de)(de)(de)明确合(he)理(li)及最(zui)小必(bi)要(第(di)(di)(di)(di)六条(tiao),只处(chu)理(li)满足个(ge)(ge)人(ren)信(xin)(xin)息(xi)(xi)主体授(shou)权(quan)同意的(de)(de)(de)(de)(de)目的(de)(de)(de)(de)(de)所需的(de)(de)(de)(de)(de)最(zui)少(shao)个(ge)(ge)人(ren)信(xin)(xin)息(xi)(xi)类型和(he)数(shu)量(liang))、公(gong)(gong)开(kai)透(tou)明(第(di)(di)(di)(di)七条(tiao),公(gong)(gong)开(kai)个(ge)(ge)人(ren)信(xin)(xin)息(xi)(xi)处(chu)理(li)规(gui)则(ze),明示处(chu)理(li)的(de)(de)(de)(de)(de)目的(de)(de)(de)(de)(de)、方式(shi)和(he)范围)、准确完整(第(di)(di)(di)(di)八条(tiao),避免因个(ge)(ge)人(ren)信(xin)(xin)息(xi)(xi)不(bu)准确、不(bu)完整对个(ge)(ge)人(ren)权(quan)益造成不(bu)利影(ying)响)和(he)确保(bao)(bao)安全(quan)(第(di)(di)(di)(di)九条(tiao),防(fang)止个(ge)(ge)人(ren)数(shu)据(ju)泄(xie)露、毁损、丢失、篡(cuan)改和(he)非法(fa)使(shi)用)。再一次,J9九游会AG 从《个(ge)(ge)人(ren)信(xin)(xin)息(xi)(xi)保(bao)(bao)护法(fa)》中(zhong)看到《特(te)区条(tiao)例》的(de)(de)(de)(de)(de)影(ying)子(zi)。

三、个人信息处理各阶段合规要点

从工(gong)信部(bu)持续发布(bu)的(de)(de)专项整(zheng)治行动(dong)通报、《个(ge)(ge)(ge)人(ren)信息(xi)(xi)安(an)(an)(an)(an)全(quan)(quan)规(gui)范》、公安(an)(an)(an)(an)部(bu)发布(bu)的(de)(de)《互联(lian)(lian)网(wang)个(ge)(ge)(ge)人(ren)信息(xi)(xi)安(an)(an)(an)(an)全(quan)(quan)保(bao)(bao)护(hu)指南(nan)(nan)(nan)》、信标(biao)委(wei)发布(bu)的(de)(de)《网(wang)络安(an)(an)(an)(an)全(quan)(quan)标(biao)准实(shi)(shi)践指南(nan)(nan)(nan)——移动(dong)互联(lian)(lian)网(wang)应(ying)用(yong)程(cheng)序(APP)收集(ji)使用(yong)个(ge)(ge)(ge)人(ren)信息(xi)(xi)自评估指南(nan)(nan)(nan)》、9月发布(bu)的(de)(de)《网(wang)络安(an)(an)(an)(an)全(quan)(quan)标(biao)准实(shi)(shi)践指南(nan)(nan)(nan)——移动(dong)互联(lian)(lian)网(wang)应(ying)用(yong)程(cheng)序(APP)个(ge)(ge)(ge)人(ren)信息(xi)(xi)保(bao)(bao)护(hu)常见文集(ji)及处(chu)(chu)置(zhi)指南(nan)(nan)(nan)》来看(kan),目前对个(ge)(ge)(ge)人(ren)信息(xi)(xi)保(bao)(bao)护(hu)的(de)(de)监(jian)管核心就是处(chu)(chu)理流(liu)程(cheng)各个(ge)(ge)(ge)阶段(duan)是否合法合规(gui)。

以2021年第(di)一季度和(he)第(di)二季度工信(xin)部侵(qin)害用(yong)户权益通报和(he)下架通报为样本统计[注(zhu)3],违规收集、使用(yong)用(yong)户个人信(xin)息的行(xing)为占(zhan)到了所有被通报行(xing)为的60%以上。因(yin)此,加强对各(ge)阶(jie)段合规要(yao)点(dian)的理解和(he)把控(kong)势在必行(xing)。

(一) 收集

个人(ren)信(xin)(xin)息收集(ji)是(shi)指(zhi)获得(de)个人(ren)信(xin)(xin)息控制权的(de)行(xing)为,对于个人(ren)信(xin)(xin)息收集(ji)的(de)要求均涉及(ji)合法(fa)性(xing)、最(zui)小必(bi)要、公开透明及(ji)一般情况(kuang)下的(de)授权同意(yi)等原(yuan)则(ze)。收集(ji)是(shi)信(xin)(xin)息处理的(de)源头,也是(shi)问题最(zui)多、风险最(zui)大的(de)环(huan)节(jie)。就该阶段:

1. 确保(bao)合(he)法性(xing),不(bu)应(ying)以欺(qi)诈、诱骗(pian)、诱导的(de)方(fang)式收(shou)(shou)集(ji)个(ge)(ge)人(ren)信(xin)息(xi)(xi)(xi);不(bu)应(ying)隐瞒(man)产(chan)品或服务(wu)所具有的(de)收(shou)(shou)集(ji)个(ge)(ge)人(ren)信(xin)息(xi)(xi)(xi)的(de)功能;不(bu)应(ying)从非法渠道(dao)获(huo)取个(ge)(ge)人(ren)信(xin)息(xi)(xi)(xi)。相对应(ying)的(de)违规表现则是以欺(qi)诈、诱骗(pian)等不(bu)正当方(fang)式误导用户同意(yi)收(shou)(shou)集(ji)个(ge)(ge)人(ren)信(xin)息(xi)(xi)(xi)或打开可(ke)收(shou)(shou)集(ji)个(ge)(ge)人(ren)信(xin)息(xi)(xi)(xi)的(de)权限,如故(gu)意(yi)欺(qi)骗(pian)、掩饰收(shou)(shou)集(ji)使用个(ge)(ge)人(ren)信(xin)息(xi)(xi)(xi)的(de)真实目(mu)的(de)。

2. 确保最(zui)小必(bi)要(yao)(yao),即(ji)收(shou)(shou)集(ji)(ji)的(de)个(ge)(ge)人(ren)信息(xi)(xi)(xi)的(de)类型(xing)应(ying)与(yu)实(shi)现产品或(huo)服(fu)务(wu)(wu)的(de)业务(wu)(wu)功(gong)(gong)能(neng)(neng)(neng)有直接(jie)关联;自动采集(ji)(ji)个(ge)(ge)人(ren)信息(xi)(xi)(xi)的(de)频率应(ying)是(shi)业务(wu)(wu)功(gong)(gong)能(neng)(neng)(neng)所必(bi)需的(de)最(zui)低频率;间接(jie)获(huo)取个(ge)(ge)人(ren)信息(xi)(xi)(xi)的(de)数量应(ying)是(shi)实(shi)现业务(wu)(wu)功(gong)(gong)能(neng)(neng)(neng)所必(bi)需的(de)最(zui)少数量。对应(ying)的(de)常见违规操作有收(shou)(shou)集(ji)(ji)的(de)个(ge)(ge)人(ren)信息(xi)(xi)(xi)类型(xing)或(huo)打(da)开的(de)可收(shou)(shou)集(ji)(ji)个(ge)(ge)人(ren)信息(xi)(xi)(xi)权(quan)限与(yu)现有业务(wu)(wu)功(gong)(gong)能(neng)(neng)(neng)无关;因用(yong)户(hu)(hu)不同意收(shou)(shou)集(ji)(ji)非必(bi)要(yao)(yao)个(ge)(ge)人(ren)信息(xi)(xi)(xi)或(huo)打(da)开非必(bi)要(yao)(yao)权(quan)限,拒绝提供业务(wu)(wu)功(gong)(gong)能(neng)(neng)(neng);仅以改善服(fu)务(wu)(wu)质量、提升用(yong)户(hu)(hu)体(ti)验(yan)、定向推(tui)送(song)信息(xi)(xi)(xi)、研发(fa)新产品等为由,强制(zhi)要(yao)(yao)求用(yong)户(hu)(hu)同意收(shou)(shou)集(ji)(ji)个(ge)(ge)人(ren)信息(xi)(xi)(xi);要(yao)(yao)求用(yong)户(hu)(hu)一次性同意打(da)开多(duo)个(ge)(ge)可收(shou)(shou)集(ji)(ji)个(ge)(ge)人(ren)信息(xi)(xi)(xi)的(de)权(quan)限,不同意则无法使用(yong)等。

比如工(gong)信(xin)(xin)部公布的(de)违(wei)反最小必(bi)要原则的(de)APP中,某读(du)书软件(jian)APP手(shou)机(ji)(ji)的(de)用户收货(huo)地址与(yu)所提供(gong)的(de)业务功(gong)能(neng)无关(guan);某银行手(shou)机(ji)(ji)APP,因用户不同意(yi)手(shou)机(ji)(ji)非必(bi)要的(de)常用微信(xin)(xin)号等个人信(xin)(xin)息,拒绝(jue)提供(gong)“周边(bian)游”业务功(gong)能(neng)。

值(zhi)得一提的是《常见类型移动互(hu)联网应(ying)用(yong)程(cheng)序必(bi)(bi)要(yao)个人信(xin)(xin)息(xi)(xi)范(fan)围规定》对常见APP类型、对应(ying)的APP基本功(gong)能和(he)必(bi)(bi)要(yao)个人信(xin)(xin)息(xi)(xi)范(fan)围作出列举,用(yong)以向社会示例如何理解实现功(gong)能所必(bi)(bi)需的个人信(xin)(xin)息(xi)(xi)内容。但有人会忽略了信(xin)(xin)息(xi)(xi)与功(gong)能目(mu)的的强关联性(xing)和(he)匹配性(xing),从而误解为只能收集(ji)该(gai)规定列举的信(xin)(xin)息(xi)(xi)。

3. 确保公开透明,即(ji)应向个(ge)人(ren)信(xin)息主体(ti)告(gao)知收集(ji)、使用个(ge)人(ren)信(xin)息的目(mu)的、方(fang)式和范(fan)(fan)围等(deng),并要求告(gao)知通俗易懂、明确具体(ti)、易获取且告(gao)知完整、真(zhen)实、准确。常见的违规(gui)操作有在APP中(zhong)没有隐私政(zheng)策、隐私政(zheng)策难(nan)以访问(点击超(chao)过4次)、难(nan)以阅读(文字(zi)过小、过密、颜(yan)色(se)过淡(dan))、未逐一列出APP收集(ji)使用个(ge)人(ren)信(xin)息的目(mu)的、方(fang)式、范(fan)(fan)围等(deng)。

4. 确保获得明(ming)(ming)示(shi)(shi)同(tong)(tong)(tong)意(yi),即不属于例外情况时应获得个(ge)人(ren)信(xin)息(xi)(xi)主(zhu)(zhu)体的(de)明(ming)(ming)示(shi)(shi)授权(quan)同(tong)(tong)(tong)意(yi),这里的(de)明(ming)(ming)示(shi)(shi)包括通过书面、口头等(deng)(deng)方(fang)式(shi)主(zhu)(zhu)动作(zuo)(zuo)出纸质或(huo)(huo)电(dian)子(zi)形式(shi)的(de)声明(ming)(ming),或(huo)(huo)者作(zuo)(zuo)出肯定(ding)性动作(zuo)(zuo)(如主(zhu)(zhu)动勾(gou)选、主(zhu)(zhu)动点击“同(tong)(tong)(tong)意(yi)”、“注册(ce)”、“发送”,主(zhu)(zhu)动填写等(deng)(deng))。常见的(de)违规操作(zuo)(zuo)有未提示(shi)(shi)用(yong)户阅读隐私政策、默认(ren)勾(gou)选同(tong)(tong)(tong)意(yi)、征得用(yong)户同(tong)(tong)(tong)意(yi)前就开始(shi)收集(ji)(ji)(ji)个(ge)人(ren)信(xin)息(xi)(xi)或(huo)(huo)打(da)开可(ke)收集(ji)(ji)(ji)个(ge)人(ren)信(xin)息(xi)(xi)的(de)权(quan)限、用(yong)户明(ming)(ming)确表示(shi)(shi)不同(tong)(tong)(tong)意(yi)后,仍(reng)收集(ji)(ji)(ji)个(ge)人(ren)信(xin)息(xi)(xi)或(huo)(huo)打(da)开收集(ji)(ji)(ji)个(ge)人(ren)信(xin)息(xi)(xi)的(de)权(quan)限,或(huo)(huo)频(pin)繁(fan)征求用(yong)户同(tong)(tong)(tong)意(yi)、干扰用(yong)户正常使用(yong)、实际(ji)收集(ji)(ji)(ji)的(de)个(ge)人(ren)信(xin)息(xi)(xi)或(huo)(huo)打(da)开的(de)可(ke)收集(ji)(ji)(ji)个(ge)人(ren)信(xin)息(xi)(xi)权(quan)限超出用(yong)户授权(quan)范围等(deng)(deng)。

《个(ge)人(ren)(ren)信(xin)(xin)(xin)息保护(hu)法(fa)》第十(shi)三条规定(ding)了(le)依(yi)照劳动规章(zhang)制度(du)和签订集(ji)体合同实(shi)施(shi)人(ren)(ren)力资源管(guan)理时信(xin)(xin)(xin)息处理者可(ke)以直接处理个(ge)人(ren)(ren)信(xin)(xin)(xin)息,实(shi)际是(shi)给予(yu)了(le)广大用人(ren)(ren)单位处理员工信(xin)(xin)(xin)息征询(xun)同意的(de)(de)豁免;《特区(qu)条例(li)》在二十(shi)一条也有几乎相(xiang)同的(de)(de)规定(ding)。就上述(shu)与实(shi)际需求(qiu)相(xiang)呼应的(de)(de)立法(fa)亮点(dian)(dian),J9九游会AG 同时为(wei)《个(ge)人(ren)(ren)信(xin)(xin)(xin)息保护(hu)法(fa)》和《特区(qu)条例(li)》点(dian)(dian)赞。

(二) 存储

对于(yu)个(ge)人数(shu)据存储的要(yao)求主(zhu)要(yao)表(biao)现在期限最短、本(ben)地化存储和(he)分类加密存储三个(ge)方面。

最短(duan)期限(xian)存(cun)(cun)储(chu)是指(zhi)应(ying)当为实现处理目(mu)的(de)所(suo)必需(xu)的(de)最短(duan)时(shi)(shi)间,超出存(cun)(cun)储(chu)期限(xian)的(de),应(ying)当对个人数(shu)据予以删除(chu)或者匿名化。对于存(cun)(cun)储(chu)时(shi)(shi)间如(ru)何算最小(xiao),并没有一刀切的(de)规定(ding),存(cun)(cun)储(chu)时(shi)(shi)间还需(xu)要(yao)(yao)(yao)与企业(ye)所(suo)对应(ying)的(de)行业(ye)要(yao)(yao)(yao)求进行匹配(pei),如(ru)《电子商务(wu)法》要(yao)(yao)(yao)求商品和服务(wu)信息、交易(yi)信息保(bao)存(cun)(cun)时(shi)(shi)间自交易(yi)完成之日起不少于3年(nian);《教育部(bu)等六部(bu)门(men)关于规范(fan)校外线上培训的(de)实施意见》要(yao)(yao)(yao)求,用户(hu)行为日志应(ying)当留存(cun)(cun)1年(nian)以上。

本(ben)地化存(cun)储,根据(ju)《网(wang)络安(an)全法(fa)》《个(ge)人(ren)(ren)信(xin)息(xi)保护法(fa)》《个(ge)人(ren)(ren)信(xin)息(xi)和(he)重要(yao)(yao)数(shu)(shu)(shu)据(ju)出(chu)境(jing)安(an)全评(ping)(ping)估(gu)办法(fa)(征(zheng)求意见(jian)稿(gao))》《个(ge)人(ren)(ren)信(xin)息(xi)出(chu)境(jing)安(an)全评(ping)(ping)估(gu)办法(fa)(征(zheng)求意见(jian)稿(gao))》等规定:(1)个(ge)人(ren)(ren)数(shu)(shu)(shu)据(ju)(或个(ge)人(ren)(ren)信(xin)息(xi))应当本(ben)地化存(cun)储;(2)行业(ye)(ye)内的重要(yao)(yao)数(shu)(shu)(shu)据(ju),如医疗(liao)健康(kang)行业(ye)(ye)、银行业(ye)(ye)(如中国)、保险业(ye)(ye)(如中国)、征(zheng)信(xin)业(ye)(ye)(如中国)、交(jiao)通(如中国)等本(ben)地化存(cun)储;(3)出(chu)境(jing)数(shu)(shu)(shu)据(ju)量超过1000GB的,网(wang)络运营者(zhe)应报请行业(ye)(ye)主管(guan)(guan)或监管(guan)(guan)部门(men)组织安(an)全评(ping)(ping)估(gu)(《个(ge)人(ren)(ren)信(xin)息(xi)和(he)重要(yao)(yao)数(shu)(shu)(shu)据(ju)出(chu)境(jing)安(an)全评(ping)(ping)估(gu)办法(fa)(征(zheng)求意见(jian)稿(gao))》第九条)。

分(fen)(fen)类加密(mi)存储(chu),与数据(ju)的(de)(de)(de)分(fen)(fen)域(yu)(yu)分(fen)(fen)类分(fen)(fen)级制度(du)密(mi)切(qie)相关,但当前(qian)尚未看到(dao)明确(que)的(de)(de)(de)分(fen)(fen)类标准。已(yi)有(you)规定(ding)中,如《特(te)区条(tiao)(tiao)例》要求数据(ju)处理(li)(li)者(zhe)(zhe)对所收(shou)集的(de)(de)(de)个人(ren)数据(ju)进行去标识化(hua)或(huo)(huo)者(zhe)(zhe)匿名化(hua)处理(li)(li),并与可用于恢复识别特(te)定(ding)自然人(ren)的(de)(de)(de)数据(ju)分(fen)(fen)开存储(chu)(第七十六条(tiao)(tiao))、数据(ju)处理(li)(li)者(zhe)(zhe)应当对数据(ju)存储(chu)进行分(fen)(fen)域(yu)(yu)分(fen)(fen)级管理(li)(li),选择安(an)(an)全性能、防护级别与安(an)(an)全等级相匹配的(de)(de)(de)存储(chu)载(zai)体;对敏感个人(ren)数据(ju)和国家规定(ding)的(de)(de)(de)重要数据(ju)还应当采取加密(mi)存储(chu)、授权访问或(huo)(huo)者(zhe)(zhe)其(qi)他(ta)更加严格的(de)(de)(de)安(an)(an)全保护措施(第七十七条(tiao)(tiao))。

(三) 使用

个(ge)(ge)(ge)人(ren)信(xin)(xin)息(xi)的(de)(de)使用(yong)是指个(ge)(ge)(ge)人(ren)信(xin)(xin)息(xi)收(shou)集之后,根(gen)据收(shou)集目的(de)(de)进(jin)行的(de)(de)分析、处理(li)(li)。《个(ge)(ge)(ge)人(ren)信(xin)(xin)息(xi)保护法(fa)》《个(ge)(ge)(ge)人(ren)信(xin)(xin)息(xi)安全(quan)规范》《特(te)区条(tiao)例》中对(dui)使用(yong)的(de)(de)限制归结(jie)为四类:对(dui)个(ge)(ge)(ge)人(ren)信(xin)(xin)息(xi)的(de)(de)展示限制、目的(de)(de)限制、用(yong)户(hu)画像限制、自动(dong)化(hua)决策的(de)(de)限制限制。相(xiang)较(jiao)而言,《个(ge)(ge)(ge)人(ren)信(xin)(xin)息(xi)保护法(fa)》和(he)《特(te)区条(tiao)例》重点提出了自动(dong)化(hua)决策不得对(dui)个(ge)(ge)(ge)人(ren)在交易(yi)价格等(deng)交易(yi)条(tiao)件(jian)上实(shi)行不合理(li)(li)的(de)(de)差别(bie)待遇的(de)(de)规定。

1. 展(zhan)示限制,涉及展(zhan)示个(ge)人信(xin)息的,需对展(zhan)示的个(ge)人信(xin)息采取去标识(shi)化处理等措施,如张**替代真实姓名(ming)。

2. 目的(de)限制,不应超出(chu)与收集个人信息时所声称的(de)目的(de)具有直接或(huo)合理关联的(de)范围;确需超出(chu),应再次(ci)征(zheng)得(de)个人信息主体同(tong)意。

3. 用(yong)户(hu)画像(xiang)限制,用(yong)户(hu)画像(xiang)也已经广泛存在(zai)于(yu)(yu)商(shang)业(ye)经营活动中(zhong),是指为(wei)了(le)评(ping)估(gu)自然人(ren)(ren)(ren)的(de)(de)某(mou)些(xie)条(tiao)件而对(dui)(dui)个人(ren)(ren)(ren)数(shu)(shu)(shu)据(ju)进(jin)行(xing)(xing)(xing)自动化(hua)处(chu)(chu)理的(de)(de)活动,包(bao)括(kuo)为(wei)了(le)评(ping)估(gu)自然人(ren)(ren)(ren)的(de)(de)工作表(biao)现、经济(ji)状(zhuang)况(kuang)、健(jian)康状(zhuang)况(kuang)、个人(ren)(ren)(ren)偏(pian)好(hao)、兴趣、可(ke)靠(kao)性、行(xing)(xing)(xing)为(wei)方(fang)式(shi)、位置、行(xing)(xing)(xing)踪等进(jin)行(xing)(xing)(xing)的(de)(de)自动化(hua)处(chu)(chu)理。数(shu)(shu)(shu)据(ju)处(chu)(chu)理者(zhe)(zhe)(zhe)基于(yu)(yu)提升产品或(huo)者(zhe)(zhe)(zhe)服(fu)(fu)务质量的(de)(de)目的(de)(de),对(dui)(dui)自然人(ren)(ren)(ren)进(jin)行(xing)(xing)(xing)用(yong)户(hu)画像(xiang)的(de)(de),应当(dang)明示(shi)用(yong)户(hu)画像(xiang)的(de)(de)具(ju)体(ti)用(yong)途和主要规则并应当(dang)允许用(yong)户(hu)拒绝(jue)对(dui)(dui)其进(jin)行(xing)(xing)(xing)用(yong)户(hu)画像(xiang)或(huo)者(zhe)(zhe)(zhe)基于(yu)(yu)用(yong)户(hu)画像(xiang)推(tui)荐个性化(hua)产品或(huo)者(zhe)(zhe)(zhe)服(fu)(fu)务,数(shu)(shu)(shu)据(ju)处(chu)(chu)理者(zhe)(zhe)(zhe)应当(dang)以易获取(qu)的(de)(de)方(fang)式(shi)向(xiang)其提供拒绝(jue)的(de)(de)有效途径;数(shu)(shu)(shu)据(ju)处(chu)(chu)理者(zhe)(zhe)(zhe)不(bu)得基于(yu)(yu)用(yong)户(hu)画像(xiang)向(xiang)未(wei)满十(shi)四(si)周岁的(de)(de)未(wei)成年人(ren)(ren)(ren)推(tui)荐个性化(hua)产品或(huo)者(zhe)(zhe)(zhe)服(fu)(fu)务。用(yong)户(hu)画像(xiang)中(zhong)对(dui)(dui)个人(ren)(ren)(ren)信息主体(ti)的(de)(de)特征描述,不(bu)应包(bao)含淫秽、色情、赌博、迷信等内容,不(bu)应表(biao)达(da)对(dui)(dui)民族、宗教(jiao)、残疾的(de)(de)歧(qi)视内容。

4. 自(zi)动化(hua)(hua)(hua)决策限制(zhi)(个(ge)性(xing)化(hua)(hua)(hua)展(zhan)示和大数(shu)据杀(sha)熟(shu)),《特区条例》《个(ge)人信息安(an)全规范》中(zhong)对个(ge)性(xing)化(hua)(hua)(hua)推(tui)送(song)已经(jing)作出了规定(ding),《特区条例》中(zhong)亦有(you)针对大数(shu)据杀(sha)熟(shu)的(de)专门条款,《个(ge)人信息保(bao)护法》将个(ge)性(xing)化(hua)(hua)(hua)推(tui)送(song)的(de)内容(rong)与大数(shu)据杀(sha)熟(shu)共(gong)同并入第二十四条,以自(zi)动化(hua)(hua)(hua)决策统(tong)一进行了规制(zhi)。

个(ge)性化展(zhan)示是指在向个(ge)人信息主(zhu)体提(ti)供服(fu)务(wu)的(de)(de)过程中,根(gen)据(ju)消费者的(de)(de)兴(xing)趣爱(ai)好、消费习惯等特(te)征向其提(ti)供商品或服(fu)务(wu)搜索结果的(de)(de)个(ge)性化展(zhan)示服(fu)务(wu),就该服(fu)务(wu)提(ti)供者应同时提(ti)供不针对其个(ge)人特(te)征的(de)(de)选(xuan)项并提(ti)供简单(dan)直观的(de)(de)退出或关闭个(ge)性化展(zhan)示模式的(de)(de)选(xuan)项。

大数据(ju)杀熟(shu)是(shi)指市场主体不得利用数据(ju)分析(xi),对交(jiao)易条(tiao)(tiao)件相(xiang)同的(de)交(jiao)易相(xiang)对人(ren)实施差别待遇,这是(shi)近(jin)期的(de)热(re)点,对于消费者来说(shuo),大数据(ju)杀熟(shu)无(wu)疑(yi)是(shi)对忠实用户的(de)隐性欺诈,因(yin)此备受诟病和批(pi)评,《特区条(tiao)(tiao)例》和《个人(ren)信息保护法》对此都(dou)作(zuo)出了回应。

特(te)别值得(de)关注的(de)是,《特(te)区(qu)条例(li)》对(dui)(dui)大数据(ju)杀(sha)熟行为(wei)的(de)规(gui)制(zhi)更(geng)(geng)为(wei)细致,除了规(gui)定(ding)(ding)不得(de)实施差(cha)(cha)别待遇外,还规(gui)定(ding)(ding)了差(cha)(cha)别待遇的(de)例(li)外[注4]以及(ji)相(xiang)应的(de)罚则,相(xiang)对(dui)(dui)于《个人信息保护法》,可参(can)考性和可执行性更(geng)(geng)高(gao)。

(四) 加工和传输

虽然(ran)加工和传输作为(wei)数据处理的独立阶段出现在各(ge)法规和政策之(zhi)中,但该两(liang)部分的内容(rong)几乎(hu)是(shi)空白的。

关于加(jia)工,J9九游会AG 理解,主要是基于数据(ju)通过(guo)各种分析(xi)加(jia)工形(xing)成新的(de)(de)数据(ju)、作品(pin)等形(xing)式(shi)的(de)(de)新权(quan)益的(de)(de)过(guo)程。《特区条(tiao)例》规(gui)定市(shi)场主体(ti)对合法处理数据(ju)形(xing)成的(de)(de)数据(ju)产(chan)品(pin)和服务,可以依法自(zi)主使用(yong),取得收益,进(jin)行处分,亦可以交易(第四(si)条(tiao)、第五十八条(tiao)、第六十七条(tiao))。

数据(ju)传输,与数据(ju)加工类似,J9九游会AG 理解(jie)是数据(ju)在不同(tong)主体或者同(tong)一主体的不同(tong)部(bu)门之间进行传递的一个过程,就这个过程,更多的是技术层(ceng)面和制(zhi)度层(ceng)面的保(bao)障,以确(que)保(bao)传输过程的安(an)全。

(五) 提供

提供是个(ge)人(ren)信(xin)息(xi)处(chu)理过程中(zhong)除(chu)收集(ji)和使(shi)用之外另一个(ge)风险(xian)大户,涉及个(ge)人(ren)信(xin)息(xi)的(de)委托处(chu)理、共享、转让、跨境提供等(deng)。《个(ge)人(ren)信(xin)息(xi)保(bao)护法》《个(ge)人(ren)信(xin)息(xi)安全规范》《特区条例》中(zhong)均规定了上述几种(zhong)提供方(fang)式下的(de)关(guan)键(jian)要点,也与企(qi)业(ye)的(de)业(ye)务经营(ying)活动(dong)息(xi)息(xi)相(xiang)关(guan),甚至直(zhi)接影响到(dao)企(qi)业(ye)商业(ye)合(he)同条款的(de)拟定。

1. 委托处(chu)(chu)(chu)(chu)理(li)(li),当(dang)个(ge)人(ren)(ren)(ren)信(xin)息处(chu)(chu)(chu)(chu)理(li)(li)者委托他(ta)方处(chu)(chu)(chu)(chu)理(li)(li)个(ge)人(ren)(ren)(ren)信(xin)息的(de)(de)(de),应(ying)当(dang)与受托人(ren)(ren)(ren)约(yue)定(ding)委托处(chu)(chu)(chu)(chu)理(li)(li)的(de)(de)(de)目(mu)的(de)(de)(de)、期限、处(chu)(chu)(chu)(chu)理(li)(li)方式、个(ge)人(ren)(ren)(ren)信(xin)息的(de)(de)(de)种类(lei)、保(bao)护措(cuo)施以及双(shuang)方的(de)(de)(de)权利义务,并对受托人(ren)(ren)(ren)的(de)(de)(de)个(ge)人(ren)(ren)(ren)信(xin)息处(chu)(chu)(chu)(chu)理(li)(li)活动进行监督;受托人(ren)(ren)(ren)应(ying)当(dang)按照约(yue)定(ding)处(chu)(chu)(chu)(chu)理(li)(li)个(ge)人(ren)(ren)(ren)信(xin)息,不得(de)超出约(yue)定(ding)的(de)(de)(de)处(chu)(chu)(chu)(chu)理(li)(li)目(mu)的(de)(de)(de)、处(chu)(chu)(chu)(chu)理(li)(li)方式等处(chu)(chu)(chu)(chu)理(li)(li)个(ge)人(ren)(ren)(ren)信(xin)息;未经个(ge)人(ren)(ren)(ren)信(xin)息处(chu)(chu)(chu)(chu)理(li)(li)者同意,受托人(ren)(ren)(ren)不得(de)转委托他(ta)人(ren)(ren)(ren)处(chu)(chu)(chu)(chu)理(li)(li)个(ge)人(ren)(ren)(ren)信(xin)息。

2. 向第三方(fang)转让、共(gong)享时(shi),应当向个人(ren)信(xin)息(xi)主(zhu)体告知共(gong)享、转让的(de)目的(de)、数据(ju)接收(shou)(shou)方(fang)的(de)类型及可(ke)能的(de)后果,征(zheng)得个人(ren)信(xin)息(xi)主(zhu)体的(de)授权同意;通过合(he)同等方(fang)式规定(ding)数据(ju)接收(shou)(shou)方(fang)的(de)责(ze)任和义务(wu);准(zhun)确记录(lu)和存(cun)(cun)储个人(ren)信(xin)息(xi)的(de)共(gong)享、转让情况(kuang)以及接收(shou)(shou)方(fang)基本情况(kuang);帮助(zhu)个人(ren)信(xin)息(xi)主(zhu)体了解数据(ju)接收(shou)(shou)方(fang)对个人(ren)信(xin)息(xi)的(de)存(cun)(cun)储、使用(yong)等情况(kuang);个人(ren)生物识(shi)别(bie)信(xin)息(xi)原则上(shang)不应共(gong)享、转让。

如果(guo)是(shi)通(tong)过(guo)(guo)接入第(di)(di)三(san)方服务(wu)(SDK),向第(di)(di)三(san)方共享信息(xi)时(shi),应与第(di)(di)三(san)方通(tong)过(guo)(guo)合同(tong)等形式(shi)明确双方的(de)安(an)全责任及应实施的(de)个人信息(xi)安(an)全措施;向个人信息(xi)主(zhu)体(ti)明确产(chan)品或(huo)服务(wu)由第(di)(di)三(san)方提供;还要对(dui)第(di)(di)三(san)方软件开(kai)发(fa)工(gong)具(ju)包(sdk)开(kai)展技术检测确保个人信息(xi)收(shou)集使用(yong)符合约定要求。最为(wei)常见的(de)适用(yong)情形即(ji)要在隐私(si)政策(ce)中逐一列出嵌入的(de)SDK信息(xi)(含名称、运营主(zhu)体(ti)、用(yong)途、SDK手机的(de)个人信息(xi)、SDK的(de)隐私(si)政策(ce)链接)。

如果是因合并、分立、解(jie)散、被宣(xuan)告破产等原因需要(yao)转移个人(ren)信(xin)息的,应(ying)当向(xiang)个人(ren)告知接(jie)(jie)收(shou)方的名称或者(zhe)姓名和联(lian)系方式(shi)。接(jie)(jie)收(shou)方应(ying)当继续履行个人(ren)信(xin)息处(chu)(chu)理者(zhe)的义务。接(jie)(jie)收(shou)方变更原先的处(chu)(chu)理目(mu)的、处(chu)(chu)理方式(shi)的,应(ying)当依照本法规(gui)定(ding)重新取得个人(ren)同意。

向第(di)(di)(di)三(san)方(fang)(fang)提供(gong)(gong)个(ge)人信息(xi)过程中常见(jian)的(de)(de)(de)违规操作为:既(ji)未经用户同(tong)意(yi),也(ye)(ye)未做匿名(ming)化处理,APP客户端直接(jie)向第(di)(di)(di)三(san)方(fang)(fang)提供(gong)(gong)个(ge)人信息(xi),包括(kuo)通过客户端嵌入的(de)(de)(de)第(di)(di)(di)三(san)方(fang)(fang)代码、插件等(deng)方(fang)(fang)式向第(di)(di)(di)三(san)方(fang)(fang)提供(gong)(gong)个(ge)人信息(xi);既(ji)未经用户同(tong)意(yi),也(ye)(ye)未做匿名(ming)化处理,数据传(chuan)输至APP后台服(fu)务(wu)器后,向第(di)(di)(di)三(san)方(fang)(fang)提供(gong)(gong)其收集(ji)的(de)(de)(de)个(ge)人信息(xi);APP接(jie)入第(di)(di)(di)三(san)方(fang)(fang)应(ying)用,未经用户同(tong)意(yi),向第(di)(di)(di)三(san)方(fang)(fang)应(ying)用提供(gong)(gong)个(ge)人信息(xi)。

3. 跨境(jing)提(ti)供,《个人信(xin)(xin)(xin)息保护(hu)法》第(di)三十(shi)八到(dao)第(di)四十(shi)三条(tiao),以单章的形式规定了(le)个人信(xin)(xin)(xin)息跨境(jing)提(ti)供的规则,其中(zhong)特(te)别值得关注的是第(di)三十(shi)八条(tiao)——跨境(jing)提(ti)供个人信(xin)(xin)(xin)息应当具备(bei)前(qian)提(ti)条(tiao)件,即业务必要(yao)(yao)的情况(kuang)下,通过安全评估、经(jing)过保护(hu)认证、签(qian)订标准合同、采取必要(yao)(yao)措(cuo)施。换句话说,对于个人信(xin)(xin)(xin)息的跨境(jing)提(ti)供,在前(qian)提(ti)条(tiao)件上企业就需要(yao)(yao)做好足够(gou)充分的准备(bei)。

另外(wai)(wai)一(yi)条是第(di)四十一(yi)条,即我国(guo)根据平等互惠原则处(chu)理(li)外(wai)(wai)国(guo)司法(fa)(fa)或(huo)者执法(fa)(fa)机构关(guan)于(yu)提供存(cun)储于(yu)境内(nei)个人(ren)信(xin)息的(de)请(qing)求,非经(jing)我国(guo)主管机关(guan)批准(zhun),个人(ren)信(xin)息处(chu)理(li)者不(bu)得向外(wai)(wai)国(guo)司法(fa)(fa)或(huo)者执法(fa)(fa)机构提供存(cun)储于(yu)中华(hua)人(ren)民共和国(guo)境内(nei)的(de)个人(ren)信(xin)息。这对于(yu)许多(duo)掌握有众多(duo)个人(ren)信(xin)息,已在(zai)或(huo)拟(ni)在(zai)境外(wai)(wai)上(shang)市的(de)企业(ye)来讲,可能会面临国(guo)内(nei)国(guo)外(wai)(wai)双(shuang)边的(de)严(yan)格审查甚至冲突处(chu)理(li)。

4. 提供(gong)行为(wei)(wei)下特有(you)的刑事责任——侵(qin)(qin)犯(fan)(fan)公(gong)民(min)个(ge)人(ren)信(xin)息罪。信(xin)息处理全流程里面,目前仅有(you)非法(fa)提供(gong)成为(wei)(wei)入罪的行为(wei)(wei),我国《刑法(fa)》第二百五十三条之一规(gui)定(ding)了违反(fan)国家有(you)关规(gui)定(ding),向他人(ren)出售或者提供(gong)公(gong)民(min)个(ge)人(ren)信(xin)息,情节(jie)严重(zhong)的,构成侵(qin)(qin)犯(fan)(fan)公(gong)民(min)个(ge)人(ren)信(xin)息犯(fan)(fan)罪,将处有(you)期徒(tu)刑、拘役,并处或者单(dan)处罚金。[注5]

细读最高人民法(fa)院(yuan)、最高人民检察院(yuan)《关(guan)于办理侵犯公民个人信息刑(xing)事案(an)件适(shi)用法(fa)律若干问题(ti)的(de)解释(shi)》(法(fa)释(shi)〔2017〕10号,以下简(jian)称《两高解释(shi)》),会(hui)发现(xian)该罪的(de)定罪量刑(xing)的(de)起点非常低,表现(xian)在:

(1) “违(wei)反法律、行政(zheng)法规、部门规章”有关规定的(de)都属于“违(wei)反国家有关规定”,尤其是“部门规章”的(de)加(jia)(jia)入加(jia)(jia)宽定罪(zui)的(de)范围;

(2) 非(fei)(fei)法获取、出(chu)(chu)售或(huo)(huo)(huo)者提(ti)供行踪轨(gui)迹信(xin)(xin)(xin)息、通(tong)信(xin)(xin)(xin)内(nei)容、征信(xin)(xin)(xin)信(xin)(xin)(xin)息、财(cai)产(chan)信(xin)(xin)(xin)息五十(shi)条(tiao)以(yi)(yi)上(shang)(shang)的(de)(de)(de)(de)(de);非(fei)(fei)法获取、出(chu)(chu)售或(huo)(huo)(huo)者提(ti)供住宿(su)信(xin)(xin)(xin)息、通(tong)信(xin)(xin)(xin)记录、健康生(sheng)理(li)信(xin)(xin)(xin)息、交(jiao)易(yi)信(xin)(xin)(xin)息等其他可能影响人身、财(cai)产(chan)安全的(de)(de)(de)(de)(de)公(gong)民(min)个(ge)人信(xin)(xin)(xin)息五百条(tiao)以(yi)(yi)上(shang)(shang)的(de)(de)(de)(de)(de);非(fei)(fei)法获取、出(chu)(chu)售或(huo)(huo)(huo)者提(ti)供前(qian)述规定(ding)以(yi)(yi)外(wai)的(de)(de)(de)(de)(de)公(gong)民(min)个(ge)人信(xin)(xin)(xin)息五千条(tiao)以(yi)(yi)上(shang)(shang)的(de)(de)(de)(de)(de);或(huo)(huo)(huo)者违法所得五千元以(yi)(yi)上(shang)(shang)的(de)(de)(de)(de)(de)即构成“情节严重(zhong)”,是(shi)上(shang)(shang)述标准(zhun)十(shi)倍以(yi)(yi)上(shang)(shang)的(de)(de)(de)(de)(de),即“情节特别严重(zhong)”;如果(guo)是(shi)在履行职(zhi)责或(huo)(huo)(huo)者提(ti)供服务过程(cheng)中讲获得的(de)(de)(de)(de)(de)公(gong)民(min)个(ge)人信(xin)(xin)(xin)息出(chu)(chu)售或(huo)(huo)(huo)者提(ti)供给他人,数(shu)量或(huo)(huo)(huo)者数(shu)额标准(zhun)则只是(shi)前(qian)述标准(zhun)的(de)(de)(de)(de)(de)一半;

(3) 向不同单位或者个(ge)人(ren)(ren)分别出售、提供同一公民(min)个(ge)人(ren)(ren)信息(xi)的(de),公民(min)个(ge)人(ren)(ren)信息(xi)的(de)条数累计计算。

在(zai)互联网环境下,五(wu)十条(tiao)、五(wu)百(bai)条(tiao)、五(wu)千(qian)(qian)条(tiao)、五(wu)千(qian)(qian)元是非常(chang)容(rong)易突破的(de)数值。换(huan)句话讲,无论(lun)是企业还是个人(ren),一旦存(cun)在(zai)违法出售或提供(gong)公民个人(ren)信息行为的(de),其责任极(ji)(ji)易突破民事和行政(zheng),扩展到刑事层面(mian),风险极(ji)(ji)大。

(六) 公开

个(ge)(ge)人(ren)信(xin)(xin)息(xi)(xi)的(de)公(gong)开(kai)指向社(she)会(hui)或不特定(ding)(ding)(ding)人(ren)群发布(bu)信(xin)(xin)息(xi)(xi)的(de)行为。《个(ge)(ge)人(ren)信(xin)(xin)息(xi)(xi)保护法(fa)》《个(ge)(ge)人(ren)信(xin)(xin)息(xi)(xi)安(an)全(quan)规范》均规定(ding)(ding)(ding)了个(ge)(ge)人(ren)信(xin)(xin)息(xi)(xi)公(gong)开(kai)的(de)规则,但《个(ge)(ge)人(ren)信(xin)(xin)息(xi)(xi)保护法(fa)》的(de)规定(ding)(ding)(ding)较(jiao)为原(yuan)则,在(zai)落(luo)实相关规则时可(ke)以参考《个(ge)(ge)人(ren)信(xin)(xin)息(xi)(xi)安(an)全(quan)规范》的(de)规定(ding)(ding)(ding)。

(七) 删除

删除(chu)在(zai)最终版的(de)《个(ge)(ge)人信(xin)息(xi)(xi)保(bao)护法》中(zhong)被(bei)当做信(xin)息(xi)(xi)处理(li)中(zhong)一个(ge)(ge)独(du)立的(de)阶(jie)段,不过在(zai)之前的(de)二(er)次(ci)审议稿(gao)以及《特区条例》等其他文件(jian)中(zhong)均有(you)相关(guan)规定,是指在(zai)出现特定情形(xing)时,个(ge)(ge)人信(xin)息(xi)(xi)处理(li)者(zhe)应当主(zhu)动删除(chu)个(ge)(ge)人信(xin)息(xi)(xi);个(ge)(ge)人信(xin)息(xi)(xi)处理(li)者(zhe)未删除(chu)的(de),个(ge)(ge)人有(you)权请求(qiu)删除(chu):

1. 处理目的已实(shi)现、无(wu)法(fa)实(shi)现或者为实(shi)现处理目的不(bu)再必要(yao);

2. 个人(ren)信息(xi)处理(li)者(zhe)停止提供(gong)产品或者(zhe)服务,或者(zhe)保存期限(xian)已(yi)届满;

3. 个人撤回同意;

4. 个(ge)人信息处理者违反(fan)法律(lv)、行政法规或者违反(fan)约定处理个(ge)人信息;

5. 法律、行政法规规定的其他情形(xing)。

如果(guo)法(fa)律、行政法(fa)规规定的(de)(de)保(bao)存期限未届满,或者删(shan)除个(ge)人信息(xi)从(cong)技术上难以实现的(de)(de),个(ge)人信息(xi)处理(li)(li)者应当停止除存储和(he)采取必(bi)要的(de)(de)安全(quan)保(bao)护措施之外的(de)(de)处理(li)(li)。

需要(yao)(yao)(yao)注意的(de)(de)是,处理敏(min)感个(ge)(ge)(ge)人(ren)信(xin)息(xi)时(shi)。除(chu)了(le)要(yao)(yao)(yao)遵守前述一(yi)般个(ge)(ge)(ge)人(ren)信(xin)息(xi)的(de)(de)处理规则之外(wai),《个(ge)(ge)(ge)人(ren)信(xin)息(xi)保护法》还(hai)规定(ding)了(le)更为严格的(de)(de)要(yao)(yao)(yao)求,如要(yao)(yao)(yao)取(qu)得个(ge)(ge)(ge)人(ren)的(de)(de)单独(du)同(tong)意、向个(ge)(ge)(ge)人(ren)告(gao)知处理敏(min)感个(ge)(ge)(ge)人(ren)信(xin)息(xi)的(de)(de)必要(yao)(yao)(yao)性以及对个(ge)(ge)(ge)人(ren)权益的(de)(de)影(ying)响等。

“从(cong)2019年初启动(dong)APP违法(fa)(fa)(fa)违规(gui)收集使用个人信(xin)息专项整治行动(dong),至今已经过去了两年半的(de)时间,企业对于个人信(xin)息处理(li)的(de)合规(gui)问题已不(bu)陌(mo)生(sheng),J9九游会AG 相信(xin)监管(guan)实践中积累的(de)宝贵(gui)经验必将在(zai)《个人信(xin)息保(bao)护法(fa)(fa)(fa)》生(sheng)效之初,对该(gai)法(fa)(fa)(fa)的(de)理(li)解和落地起到重要(yao)的(de)指引作用;而《个人信(xin)息保(bao)护法(fa)(fa)(fa)》的(de)出台和生(sheng)效,也会成为执法(fa)(fa)(fa)部门持续监管(guan)的(de)重要(yao)依据。”


注释及参考文献:

[1]《民法典》第1034条规定(ding):“自(zi)然(ran)人(ren)的(de)(de)(de)个(ge)人(ren)信(xin)息(xi)受法律保(bao)护。个(ge)人(ren)信(xin)息(xi)是以电子(zi)(zi)或(huo)者其他方式(shi)记(ji)录的(de)(de)(de)能够单(dan)独或(huo)者与其他信(xin)息(xi)结合识别特(te)定(ding)自(zi)然(ran)人(ren)的(de)(de)(de)各种(zhong)信(xin)息(xi),包(bao)括自(zi)然(ran)人(ren)的(de)(de)(de)姓名、出生(sheng)日(ri)期、身份(fen)证件号码(ma)、生(sheng)物识别信(xin)息(xi)、住址、电话号码(ma)、电子(zi)(zi)邮(you)箱(xiang)、健康信(xin)息(xi)、行踪信(xin)息(xi)等。个(ge)人(ren)信(xin)息(xi)中的(de)(de)(de)私密信(xin)息(xi),适(shi)用(yong)有(you)关(guan)隐私权的(de)(de)(de)规定(ding);没有(you)规定(ding)的(de)(de)(de),适(shi)用(yong)有(you)关(guan)个(ge)人(ren)信(xin)息(xi)保(bao)护的(de)(de)(de)规定(ding)。”

[2] 之前(qian)的二次(ci)审议(yi)稿以及相关的法规中(zhong)(zhong)均存在数(shu)据(ju)删(shan)除的内(nei)容,只是未将“删(shan)除”作为处理活动中(zhong)(zhong)单独的一项而已(yi)。

[3] 《APP下架压力(li)大,合规整改(gai)怎么做?(附(fu)自查整改(gai)清单)》http://mp.weixin.qq.com/s/wG8jph2BpE9z7DNo2poL-A

[4] 《深圳经济特区数据保护条(tiao)例》第六十(shi)九(jiu)条(tiao) 市(shi)场主体不(bu)得利用数据分析,对交(jiao)易条(tiao)件相(xiang)同的(de)交(jiao)易相(xiang)对人实施(shi)差别待(dai)遇,但(dan)是有下列情(qing)形之一的(de)除外:

(一(yi))根据(ju)交(jiao)(jiao)易相对人的实际需(xu)求,且符合正当的交(jiao)(jiao)易习惯(guan)和行业惯(guan)例(li),实行不同交(jiao)(jiao)易条(tiao)件的;

(二(er))针对新用户在合理期限内(nei)开展优(you)惠活(huo)动的;

(三)基于公平、合理、非歧视规则实施随机(ji)性交易的(de);

(四(si))法律、法规规定的其他情形。

[5]《刑法》第二百五十三条之一 【侵(qin)犯公民个人信(xin)息罪(zui)】

违反国家(jia)有(you)关规定,向他人(ren)出售或(huo)者提(ti)供公(gong)民个人(ren)信(xin)息,情节严重(zhong)的(de),处(chu)三年(nian)以(yi)下有(you)期(qi)徒(tu)刑或(huo)者拘役,并处(chu)或(huo)者单(dan)处(chu)罚金(jin);情节特别严重(zhong)的(de),处(chu)三年(nian)以(yi)上(shang)七年(nian)以(yi)下有(you)期(qi)徒(tu)刑,并处(chu)罚金(jin)。

违反国家有关规定(ding),将在履行(xing)职责或者提供服(fu)务过程(cheng)中(zhong)获得的(de)公民(min)个人信息,出售(shou)或者提供给他(ta)人的(de),依照前款的(de)规定(ding)从重处罚(fa)。

窃取或者以其他方法非法获取公民个人信息的,依(yi)照(zhao)第一款的规定处罚。

单(dan)位(wei)犯(fan)前三款罪的,对单(dan)位(wei)判处(chu)罚金,并对其直(zhi)接负责的主管(guan)人员和其他直(zhi)接责任人员,依照(zhao)各(ge)该款的规定处(chu)罚。

  • 作者简介

    你可能感兴趣