金融科技英译为Fintech, 是 Financial Technology 的缩写,可以简单理解成为Finance(金融)+Technology(科技),金融科技主要是指由大数据、区块链、云计算、人工智能等新兴前沿技术带动,对金融市场以及金融服务业务供给产生重大影响的新兴业务模式、新技术应用、新产品服务等。大数据与金融科技相结合,有助于金融企业不断提升效率和服务能力。大数据的发展促进了数据本身价值的提升,所面临的网络空间安全问题也日益剧增。个人信息作为一种大数据,直接涉及到个人的权利及安全,对相关数据的保护提出了更高的要求。网络安全、大数据、个人信息保护三者不可分割,相互交织,紧密相连。
目前,我国在网络安全、大数据、个人信息保护三个领域的法律法规均不完善,在实践中出现了一些新问题、新现象,立法缺失的弊端日益突显。为及时解决相关问题,明确方向,促进金融科技与保护个人权利同步发展,我国相关主管部门于近期先后出台了一系列与之相关的法规规定的征求意见稿,正逐步完善相关立法。为从整体上把握网络安全、大数据、个人信息保护的立法趋势,更好的服务客户,笔者将目前的法律法规(包括处于草案及征求意见稿阶段的法律法规)予以小结,以期抛转引玉。本文共分为四个部分,分别为:与网络安全、数据安全、个人信息保护相关的法律法规、网络安全部分、数据安全部分及个人信息保护部分。
一、与网络安全、数据安全、个人信息保护相关的法律法规
|
序号 |
法律法规名称 |
领域 |
立法状态 |
生效日期 |
|
1 |
《中华人民共和国网络安全法》 |
网络安全 |
生效执行 |
2017.6.1施行 |
|
2 |
《网络安全实践指南—移动互联网应用业务功能个人信息收集必要性规范》 |
生效执行 |
2019.5.31 |
|
|
3 |
《网络安全审查办法(征求意见稿)》 |
征求意见稿 |
待定 |
|
|
4 |
《网络安全漏洞管理规定(征求意见稿)》 |
征求意见稿 |
待定 |
|
|
5 |
《网络关键设备安全检测实施办法(征求意见稿)》 |
征求意见稿 |
待定 |
|
|
6 |
《数据安全法》 |
数据安全 |
“条件比较成熟、任期内拟提请审议”草案 |
待定 |
|
7 |
《数据安全管理办法(征求意见稿)》 |
征求意见稿 |
待定 |
|
|
8 |
《个人信息保护法》(草案) |
个人信息保护 |
列入十三届全国人大立法规划 |
待定 |
|
9 |
《儿童个人信息网络保护规定(征求意见稿)》 |
征求意见稿 |
待定 |
|
|
10 |
《个人信息出境安全评估办法(征求意见稿)》 |
征求意见稿 |
待定 |
|
|
11 |
《App违法违规收集使用个人信息行为认定方法(征求意见稿)》 |
征求意见稿 |
待定 |
|
|
12 |
《信息安全技术个人信息安全规范(草案)》 |
草案 |
待定 |
|
|
13 |
《侵权责任法》(隐私权) |
生效执行 |
2010.7.1施行 |
|
|
14 |
《中华人民共和国民法总则》(隐私权和个人信息) |
生效执行 |
2017.10.1施行 |
二、网络安全部分
据资料显示,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全的主要特征体现为:保密性、完整性、可用性、可控性和可审查性。
现阶段我国有关网络安全的立法并不完善。目前我国确定的已经生效的或列入立法日程的有关网络安全的法律或法规主要包括:《中华人民共和国网络安全法》、《网络安全审查办法》、《网络安全漏洞管理规定》、《网络关键设备安全检测实施办法》。其中,已经颁布实施的只有《中华人民共和国网络安全法》,其他法规尚处于公开征求意见阶段。
(一)《中华人民共和国网络安全法》
|
序号 |
项目 |
主要内容 |
|
|
1 |
总
则 |
1.1立法宗旨 |
保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。 |
|
1.2适用范围 |
境内建设、运营、维护和使用网络,以及网络安全的监督管理。 |
||
|
1.3主管部门 |
国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。 |
||
|
1.4基本要求 |
建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。 |
||
|
1.5保护未成年人成长 |
国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。 |
||
|
2 |
网络安全支持与促进 |
2.1国家建立和完善网络安全标准体系。 |
|
|
2.2国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。 |
|||
|
2.3国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。 |
|||
|
2.4 国家支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平。 |
|||
|
3 |
网络运行安全 |
3.1等级保护制度 |
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。 |
|
3.2 强制要求 |
网络产品、服务应当符合相关国家标准的强制性要求。 |
||
|
3.3安全维护 |
网络产品、服务的提供者应当为其产品、服务持续提供安全维护。 |
||
|
3.4 取得同意 |
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应依法保护个人信息。 |
||
|
3.5网络关键设备和网络安全专用产品认证 |
网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。 |
||
|
3.6真实身份信息 |
网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。 |
||
|
国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。 |
|||
|
3.7依法保护 |
开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。 |
||
|
3.8尽职行为 |
任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。 |
||
|
3.9关键信息基础设施重点保护 |
国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。 |
||
|
3.10 重要信息境内储存 |
关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。 |
||
|
4 |
网络信息安全 |
4.1用户信息保密 |
网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。 |
|
4.2收集、使用个人信息经被收集者同意 |
网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。 |
||
|
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。 |
|||
|
4.3向他人提供信息 |
网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。 |
||
|
4.4保护个人信息 |
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 |
||
|
4.5 个人权利 |
个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。 |
||
|
4.6 法律责任 |
侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 |
||
|
4.7禁止行为 |
任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。 |
||
|
4.8主管机构职责 |
国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录;对来源于中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断传播。 |
||
|
5 |
监测预警与应急处置 |
国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。 |
|
|
发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。 |
|||
|
释义 |
网络 |
是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。 |
|
|
网络安全 |
是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。 |
||
|
网络运营者 |
是指网络的所有者、管理者和网络服务提供者。 |
||
|
网络数据 |
是指通过网络收集、存储、传输、处理和产生的各种电子数据。 |
||
|
个人信息 |
是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 |
||
简析:《中华人民共和国网络安全法》从网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任等几方面对网络安全问题予以了规范,其中,在实务中遇到较多的情况包括:(1)网络运营者在处理个人数据信息时如果把握尺寸的问题。上表格中4.3明确了具体的判断原则,“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”也可以理解为,原则上未经个人同意,网络运营者不得直接提供个人信息,但如将个人信息予以处理变成“产品”,以至于无法识别特定个人信息且不能复原的情形除外。如直接出售或使用个人的私人信息(手机号、身份证信息),是违法的,但如将该等信息制作为“产品”,如通过收集信息的处理,判断某个地区某类产品畅销、消费群体等信息,不再直接体现为私人信息,则是允许的。
(二)《网络安全审查办法(征求意见稿)》
为提高关键信息基础设施安全可控水平,维护国家安全,国家互联网信息办公室于2019年5月21日发布了《网络安全审查办法(征求意见稿)》,向社会公开征求意见。该办法主要规范的是关键信息基础设施运营者(以下简称运营者)采购可能影响或可能影响国家安全的网络产品和服务的行为。运营者采购网络产品和服务时,应预判产品和服务上线运行后带来的潜在安全风险,形成安全风险报告。对于包括可能导致关键信息基础设施整体停止运转或主要功能不能正常运行及大量个人信息和重要数据泄露、丢失、毁损或出境等行为的,需网络安全审查办公室申报网络安全审查。
三、数据安全部分
据资料显示,大数据(big data)指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合,是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。大数据技术的战略意义不在于掌握庞大的数据信息,而在于对这些含有意义的数据进行专业化处理。换而言之,如果把大数据比作一种产业,那么这种产业实现盈利的关键,在于提高对数据的“加工能力”,通过“加工”实现数据的“增值”。随着云时代的来临,大数据也吸引了越来越多的关注。
大数据的应用离不开相关数据安全的保护,但目前我国有关数据安全的立法并不完善,更谈不上相关法律法规的执行。当前我国确定的列入立法日程的有关大数据保护的法律或法规主要包括:《数据安全法》及《数据安全管理办法》,前者已被列入“条件比较成熟、拟提请审议”草案阶段,后者目前正在征求意见阶段。
(一)《数据安全管理办法》(征求意见稿)
为了维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全,国家互联网信息办公室于2019年5月28日发布了《数据安全管理办法(征求意见稿)》。
|
序号 |
项目 |
内容 |
|
|
1 |
总则 |
适用范围 |
内利用网络开展数据收集、存储、传输、处理、使用等活动(以下简称数据活动),以及数据安全的保护和监督管理。 |
|
主管机关 |
国家网信部门统筹协调、指导监督个人信息和重要数据安全保护工作。地(市)及以上网信部门依据职责指导监督本行政区内个人信息和重要数据安全保护工作。 |
||
|
2 |
数据收集 |
收集使用原则 |
网络运营者通过网站、应用程序等产品收集使用个人信息,应当分别制定并公开收集使用规则。收集使用规则可以包含在网站、应用程序等产品的隐私政策中,也可以其他形式提供给用户。 |
|
收集使用规则应当明确具体、简单通俗、易于访问。 |
|||
|
如果收集使用规则包含在隐私政策中,应相对集中,明显提示,以方便阅读。另仅当用户知悉收集使用规则并明确同意后,网络运营者方可收集个人信息。 |
|||
|
网络运营者义务 |
网络运营者应当严格遵守收集使用规则,不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。 网络运营者不得依据个人信息主体是否授权收集个人信息及授权范围,对个人信息主体采取歧视行为,包括服务质量、价格差异等。 |
||
|
【针对现象】不给“一揽子授权”就不让用APP,或者在某个不起眼的选项前设置“默认勾选”等 |
|||
|
个人信息主体同意收集保证网络产品核心业务功能运行的个人信息后,网络运营者应当向个人信息主体提供核心业务功能服务。 |
|||
|
营利为目的备案 |
网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案。备案内容包括收集使用规则,收集使用的目的、规模、方式、范围、类型、期限等,不包括数据内容本身。 |
||
|
【针对现象】如:社交平台心理测试需要提交手机号,线上办理会员卡要提供姓名和身份证号等个人敏感信息越来越多地被不同渠道广泛收集。 |
|||
|
数据安全责任人 |
网络运营者以经营为目的收集重要数据或个人敏感信息的,应当明确数据安全责任人。 |
||
|
3 |
数据处理使用 |
加强保护 |
网络运营者应当参照国家有关标准,采用数据分类、备份、加密等措施加强对个人信息和重要数据保护。 |
|
保存期限 |
网络运营者保存个人信息不应超出收集使用规则中的保存期限,用户注销账号后应当及时删除其个人信息,经过处理无法关联到特定个人且不能复原(以下称匿名化处理)的除外。 |
||
|
查询、更正、删除信息 |
网络运营者收到有关个人信息查询、更正、删除以及用户注销账号请求时,应当在合理时间和代价范围内予以查询、更正、删除或注销账号。 |
||
|
【针对现象】注销APP账号不容易,并且之前登记的个人信息难以消除;消费者在购物网站完成交易后删除相关信息等。 |
|||
|
征得同意 |
网络运营者不得违反收集使用规则使用个人信息。因业务需要,确需扩大个人信息使用范围的,应当征得个人信息主体同意。 |
||
|
定向推送 |
网络运营者利用用户数据和算法推送新闻信息、商业广告等(以下简称“定向推送”),应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能;用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。 |
||
|
【针对现象】APP叫外卖,就在浏览资讯APP时收到相关广告。 |
|||
|
除外情形 |
网络运营者向他人提供个人信息前,应当评估可能带来的安全风险,并征得个人信息主体同意。下列情况除外:(1)从合法公开渠道收集且不明显违背个人信息主体意愿;(2)个人信息主体主动公开;(3)经过匿名化处理;(4)执法机关依法履行职责所必需;(5)维护国家安全、社会公共利益、个人信息主体生命安全所必需。 |
||
|
第三方应用 |
网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的,网络运营者应当承担部分或全部责任,除非网络运营者能够证明无过错。 |
||
|
【针对现象】一些社交类和支付类APP大量接入第三方小程序服务,这些小程序经常向用户收集个人信息。 |
|||
|
兼并、重组、破产 |
网络运营者兼并、重组、破产的,数据承接方应承接数据安全责任和义务。没有数据承接方的,应当对数据作删除处理。 |
||
|
4 |
数据安全监督管理 |
国家鼓励网络运营者自愿通过数据安全管理认证和应用程序安全认证,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的应用程序。 |
|
|
国家网信部门会同国务院市场监督管理部门,指导国家网络安全审查与认证机构,组织数据安全管理认证和应用程序安全认证工作。 |
|||
|
发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时以电话、短信、邮件或信函等方式告知个人信息主体,并按要求向行业主管监管部门和网信部门报告。 |
|||
|
网络运营者违反规定的,由有关部门依照相关法律、行政法规的规定,根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚;构成犯罪的,依法追究刑事责任。 |
|||
|
5 |
释义 |
网络运营者 |
是指网络的所有者、管理者和网络服务提供者。 |
|
网络数据 |
是指通过网络收集、存储、传输、处理和产生的各种电子数据。 |
||
|
个人信息 |
是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 |
||
|
个人信息主体 |
是指个人信息所标识或关联到的自然人。 |
||
|
重要数据 |
是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。 |
||
简析:通过整理《数据安全管理办法》(征求意见稿),我们发现,该规定与我们日常生活息息相关,如我们日常使用APP经常遇到的“定向推送”广告,强制“一揽子授权”等现象,在该办法中均有相应的规范。当该办法生效后,前述现象将受到规范与约束。
四、个人信息保护部分
隐私权为个人民事权利中的人身权利的一种,依法受法律保护。个人信息受法律保护,任何组织和个人不得非法收集、使用、加工、传输、非法买卖、提供或者公开他人个人信息。同时,隐私权列为民事权益的一种,侵害民事权益,应当依法承担侵权责任;被侵权人有权请求侵权人承担侵权责任。隐私权及个人信息的保护主要体现在《民法总则》及《侵权责任法》中。
附:相关条款
《侵权责任法》第二条 侵害民事权益,应当依照本法承担侵权责任。
本法所称民事权益,包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。
被侵权人有权请求侵权人承担侵权责任。
《民法总则》第一百零九条 自然人的人身自由、人格尊严受法律保护。
第一百一十条 自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利。
第一百一十一条 自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
而随着网络、大数据的发展,个人隐私、个人信息的保护受到了巨大的挑战。目前我国有关个人信息保护的法律法规并不完善,当前我国确定的列入立法日程的有关个人信息保护的法律或法规主要包括:《个人信息保护法》、《儿童个人信息网络保护规定》、《个人信息出境安全评估办法》。前者处于草案阶段;后两者处于公开征求意见阶段。
(一)《儿童个人信息网络保护规定》(征求意见稿)
为了保护儿童(此处指不满十四周岁的未成年人)个人信息安全,促进儿童健康成长,2019年5月,国家互联网信息办公室发布《儿童个人信息网络保护规定》征求意见稿。该意见稿共28条,规定更为严格,其中,特别规定:设立设立个人信息保护专员、征得儿童监护人的明示同意、最小授权等方面。具体体现为:
|
序号 |
项目 |
内容 |
|
1 |
原则 |
网络运营者收集、存储、使用、转移、披露儿童个人信息的,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。 |
|
2 |
专门规则、协议及保护专员 |
网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并设立个人信息保护专员或者指定专人负责儿童个人信息保护。适用于儿童的用户协议应当简洁、易懂。 |
|
3 |
征得监护人的明示同意 |
网络运营者收集、使用儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的明示同意。明示同意应当具体、清楚、明确,基于自愿。 |
|
网络运营者和第三方共同使用儿童个人信息的,应当征得儿童监护人的明示同意。 |
||
|
网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估,并征得儿童监护人的明示同意。 |
||
|
4 |
最小授权 |
网络运营者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。 |
(二)《个人信息出境安全评估办法》(征求意见稿)
为保障数据跨境流动中的个人信息安全,国家互联网信息办公室于2019年6月13日发布了《关于<个人信息出境安全评估办法(征求意见稿)>公开征求意见的通知》,对《个人信息出境安全评估办法(征求意见稿)》公开征求意见。该征求意见稿全文共22条,重点强调了个人信息出境申报评估、申报材料、个人信息出境记录、出境合同内容及权利义务要求、分析报告内容要求等内容:
|
序号 |
项目 |
内容 |
|
1 |
安全评估 |
网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境),应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。 |
|
个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。 |
||
|
2 |
申报资料 |
网络运营者申报个人信息出境安全评估应当提供以下材料,并对材料的真实性、准确性负责:(1)申报书。(2)网络运营者与接收者签订的合同。(3)个人信息出境安全风险及安全保障措施分析报告。(4)国家网信部门要求提供的其他材料。 |
|
3 |
出境记录 |
网络运营者应当建立个人信息出境记录并且至少保存5年。 |
|
网络运营者应当每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门。 |
||
|
省级网信部门应当定期组织检查运营者的个人信息出境记录等个人信息出境情况,重点检查合同规定义务的履行情况、是否存在违反国家规定或损害个人信息主体合法权益的行为等。 |
||
|
4 |
合同 |
网络运营者应与个人信息接收者签订合同或者其他有法律效力的文件(统称合同)。合同应当明确网络运营者、接收者承担的责任和义务。 |
|
5 |
不得将接收到的个人信息传输给第三方的例外 |
合同应当明确接收者不得将接收到的个人信息传输给第三方,除非满足以下条件:(1)网络运营者已经通过电子邮件、即时通信、信函、传真等方式将个人信息传输给第三方的目的、第三方的身份和国别,以及传输的个人信息类型、第三方保留时限等通知个人信息主体。(2)接收者承诺在个人信息主体请求停止向第三方传输时,停止传输并要求第三方销毁已经接收到的个人信息。(3)涉及到个人敏感信息时,已征得个人信息主体同意。(4)因向第三方传输个人信息对个人信息主体合法权益带来损害时,网络运营者同意先行承担赔付责任。 |
|
6释义 |
网络运营者 |
是指网络的所有者、管理者和网络服务提供者。 |
|
个人信息 |
是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 |
|
|
个人敏感信息 |
是指一旦被泄露、窃取、篡改、非法使用可能危害个人信息主体人身、财产安全,或导致个人信息主体名誉、身心健康受到损害等的个人信息。 |
(三)《App违法违规收集使用个人信息行为认定方法》(征求意见稿)
App专项治理工作组于2019年5月5日发布了《App违法违规收集使用个人信息行为认定方法(征求意见稿)》,向社会公开征求意见。该办法将违法违规收集使用个人信息行为分为七大类,在每一类里又具体列举了几类情形。这七类情形主要包括:(1)没有公开收集使用规则的情形;(2)没有明示收集使用个人信息的目的、方式和范围的情形;(3)未经同意收集使用个人信息的情形;(4)违反必要性原则,收集与其提供的服务无关的个人信息的情形;(5)未经同意向他人提供个人信息的情形;(6)未按法律规定提供删除或更正个人信息功能的情形;(7)侵犯未成年人在网络空间合法权益的情形。
