版权声明:本文版权归文章作者所有,仅代表作者观点,本文不用于商业用途,仅为学习交流之用,如文中的内容、图片、音频、视频等如有侵权,请及时联系本站站长删除。
本文来源于微信公众号【国瓴合规研究院】
【编者按】
本讲义由上海国瓴律师事务所名誉主任、上海交通大学网络空间治理研究中心主任寿步教授撰写,内容取材于2016年11月我国网络安全法发布以来至2023年2月底期间的相关规范性文件,权威性高,实用性强,可供关心网络安全法律政策的读者阅读。连载共13篇。
目录
网络安全法第四章网络信息安全包含第四十条至第五十条,其中第四十条至第四十五条是关于个人信息保护制度的规定,第四十六条至第五十条是关于违法信息监管制度的规定。
我国个人信息保护法自2021年11月1日起施行。
本章讨论个人信息保护制度,具体包括我国个人信息保护的法律体系、个人信息保护制度概述、《个人信息保护法》概述、个人信息保护的具体规则、移动互联网应用程序(App)收集使用个人信息的专项治理等。
本书另设专章讨论违法信息监管制度。
第一节 我国个人信息保护规范体系
一、个人信息保护立法进程
个人信息被誉为二十一世纪最有价值的资源。推动个人信息的合理、合法收集和使用,保障个人和企业之间形成良好的互动关系,对于形成数字经济健康发展的制度环境至关重要。同时,大数据技术及相关产业的发展,正前所未有地改变着个人信息的收集和使用方式,对现有的个人信息保护制度带来新的问题和挑战。如何有效平衡个人信息的利用与保护,是各国经济发展所面临的共同问题。
欧盟将个人信息作为公民的一项基本人权加以保护,主张统一的严格立法,强化政府部门对于个人信息保护的监管职权。美国则采用分散立法加行业自律的模式,以实现信息保护与产业发展、政府监管与公民表达自由之间的平衡。
我国已制定《中华人民共和国个人信息保护法》。法律、行政法规、部门规章、地方性法规、地方政府规章、国家标准等不同层次和不同法律效力的规范性文件组成我国的个人信息保护法律体系。
2000年12月28日通过的《全国人民代表大会常务委员会关于维护互联网安全的决定》第四条规定,为了保护个人、法人和其他组织的人身、财产等合法权利,对有非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密行为,构成犯罪的,依照刑法有关规定追究刑事责任。该决定是以法律规范互联网的开端,其中将信息安全视为互联网安全的重要内容,采用刑事制裁手段维护信息主体权利。
2009年2月28日通过并施行的《刑法修正案(七)》增设刑法第二百五十三条之一,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。
2009年12月26日通过、自2010年7月1日起实施的《侵权责任法》第三十六条规定,网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。
2012年12月28日通过并施行的《全国人民代表大会常务委员会关于加强网络信息保护的决定》明确规定国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息,收集使用个人信息的原则与义务,侵害个人信息的责任承担。其为个人信息保护工作的开展提供了法律依据。
2013年9月1日起施行的、工业和信息化部发布的《电信和互联网用户个人信息保护规定》具体规定了电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则和信息安全保障措施等要求。
2014年3月15日起实施的、由全国人大常委会修订的新版《消费者权益保护法》对特别重视消费者的个人信息保护,规定了经营者对个人信息的保护义务和侵害消费者个人信息的侵权责任。
2015年11月1日起实施的《刑法修正案(九)》,修改刑法第二百五十三条之一的规定,通过扩大犯罪主体的范围和扩充侵犯个人信息行为的范围,统一规定侵犯公民个人信息罪,加强对个人信息安全的保护。
2017年6月1日起实施的网络安全法,设“网络信息安全”专章,将个人信息纳入保护范围,规定网络运营者个人信息保护的基本原则和行为规范。
2017年1月1日《民法总则》实施,单列个人信息保护条款,明确自然人的个人信息受法律保护。
2018年9月10日《十三届全国人大常委会立法规划》公布,《个人信息保护法》列入立法规划,属于“条件比较成熟、任期内拟提请审议”的法律草案。
2020年5月28日民法典颁布,人格权编第六章规定“隐私权和个人信息保护”。
2020年10月13日《个人信息保护法(草案)》首次提请第十三届全国人大常委会第二十二次会议审议。2021年4月26日全国人大常委会第二十八次会议对《个人信息保护法(草案二次审议稿)》进行审议。2021年8月20日全国人大常委会第三十次会议表决通过《个人信息保护法》。2021年11月1日起施行。
此外,《征信业管理条例》(2013)、《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(2014)、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017)等分别从行政、民事、刑事各个方面补充健全个人信息保护法律体系。
为配合相关法律的实施,个人信息保护相关的国家标准正在逐步制订完善。2020年10月1日实施的《信息安全技术 个人信息安全规范》(GB/T 35273-2020)代替(GB/T 35273-2017)(以下简称“《个人信息安全规范》”)是基础性的国家标准。
根据2022年10月12日国家市场监督管理总局、国家标准化管理委员会发布的《中华人民共和国国家标准公告》(2022年第13号),全国信息安全标准化技术委员会归口的14项网络安全国家标准获批发布,其中12项涉及数据安全与个人信息保护。
二、个人信息安全规范
2020年10月1日实施的《个人信息安全规范》具体界定了个人信息的内涵和外延、规范了个人信息处理原则,就个人信息控制者在个人信息的收集、存储、使用、共享、转让、公开披露等信息处理过程中的操作规范和准则提出了具体要求。在现有法律法规的规定过于原则的情况下,该标准弥补了实践中的诸多操作规范空白,为优化政府监管、推动企业合规提供了符合行业发展需求的规范性指引。
(一)个人信息安全规范是推荐性国家标准(性质层面)
根据《标准化法》,标准是指农业、工业、服务业以及社会事业等领域需要统一的技术要求。标准包括国家标准、行业标准、地方标准和团体标准、企业标准。国家标准分为强制性标准、推荐性标准,行业标准、地方标准是推荐性标准。强制性标准必须执行。国家鼓励采用推荐性标准。
对保障人身健康和生命财产安全、国家安全、生态环境安全以及满足经济社会管理基本需要的技术要求,应当制定强制性国家标准。强制性国家标准由国务院批准发布或者授权批准发布。法律、行政法规和国务院决定对强制性标准的制定另有规定的,从其规定。
对满足基础通用、与强制性国家标准配套、对各有关行业起引领作用等需要的技术要求,可以制定推荐性国家标准。推荐性国家标准由国务院标准化行政主管部门制定。
强制性国家标准的代码为“GB”,推荐性国家标准的代码为“GB/T”。
由信安标委组织制定和归口管理,经国家质量监督检验检疫总局、国家标准化管理委员会批准的《信息安全技术 个人信息安全规范》(GB/T 35273-2017),为推荐性国家标准,于2017年12月29日发布,2018年5月1日实施。为因应形势发展的需要,信安标委积极组织开展对该标准的修订工作。2019年2月1日,信安标委秘书处发布《信息安全技术 个人信息安全规范(草案)》。2019年6月25日,信安标委秘书处发布《信息安全技术 个人信息安全规范(征求意见稿)》。2020年3月6日,国家市场监督管理总局、国家标准化管理委员会发布《中华人民共和国国家标准公告(2020年第1号)》,由中国电子技术标准化研究院组织修订的《信息安全技术 个人信息安全规范》(GB/T 35273-2020)发布,实施时间为2020年10月1日,代替GB/T 35273-2017版本国标。
下文将主要介绍现行有效的《个人信息安全规范》。
(二)个人信息安全规范为个人信息保护实践提供标准化指引(内容层面)
网络安全法原则规定了个人信息保护制度。《个人信息安全规范》作为网络安全法配套的规范性文件,比较完整地规定了个人信息保护领域的术语,规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求,为网络运营者构建和完善个人信息安全管理制度及制定隐私政策提供了指引。
此后,《互联网个人信息安全保护指南》《App违法违规收集使用个人信息自评估指南》《移动互联网应用程序(App)安全认证实施规则》《App违法违规收集使用个人信息行为认定方法》《信息安全技术 移动互联网应用(App)收集个人信息基本规范(征求意见稿)》等文件的相继出台,都在各自的规范性文件引用部分提及《个人信息安全规范》。
《个人信息安全规范》所规定的个人信息安全基本原则和安全要求已在个人信息保护实践中得到充分应用。
(三)个人信息安全规范为个人信息保护监管提供规范性参考(效力层面)
《个人信息安全规范》在“范围”中指出:“本标准适用于规范各类组织的个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。”
2019 年1月,中央网信办、工业和信息化部、公安部、市场监管总局四部门联合发布《关于开展 APP 违法违规收集使用个人信息专项治理的公告》,在全国范围组织开展 APP 违法违规收集使用个人信息专项治理。一年来,专项治理工作成效显著,《个人信息安全规范》在实践运用中不断修订、完善。
《个人信息安全规范》既是衡量网络运营者个人信息保护水平的标尺,也是监管机构行政执法的重要参考。各方主体都应将其落实在管理实践中。
第二节 个人信息保护制度概述
一、个人信息保护的规范性表述
关于网络相关的个人信息保护,网络安全法第四十条规定:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”
《民法总则》第一百一十一条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”
民法典第一千零三十四条规定:“自然人的个人信息受法律保护。……个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”
《中华人民共和国个人信息保护法》第二条规定:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”
二、个人信息的定义
网络安全法第七十六条规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
《中华人民共和国民法典》第一千零三十四条规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”
《个人信息保护法》第四条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
采用“识别+关联”型定义的其他文件有:
《电信和互联网用户个人信息保护规定》第四条规定:“本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。”
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适 用法律若干问题的解释》第一条规定:“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
《信息安全技术 公共及商用服务信息系统个人信息保护指南》(GB/Z 28828-2012)第3.2项关于个人信息的定义是:“可为信息系统所处理、与特定自然人相关、能够单独或通过其他信息结合识别该特定自然人的计算机数据。”
《个人信息安全规范》第3.1项规定,“个人信息”是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
注1:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
注2:关于个人信息的范围和类型可参见附录 A。”
现将《个人信息安全规范》“附录A(资料性附录):个人信息示例”的内容介绍如下:
“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
判定某项信息是否属于个人信息,应考虑以下两条路径:
一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。
二是关联,即从个人到信息,如已知特定自然人,则由该特定自然人在其活动中产生的信息 (如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。
表A.1为个人信息举例。
资料来源:《个人信息安全规范》
三、个人信息处理的定义
《信息安全技术 公共及商用服务信息系统个人信息保护指南》中,有如下规定:
“3.9个人信息处理
处置个人信息的行为,包括收集、加工、转移、删除。”
“5.1概述
信息系统中个人信息的处理过程可分为收集、加工、转移、删除4个主要环节。对个人信息的保护贯穿于4个环节中:
a)收集指对个人信息进行获取并记录。
b)加工指对个人信息进行的操作,如录入、存储、修改、标注、比对、挖掘、屏蔽等。
c)转移指将个人信息提供给个人信息获得者的行为,如向公众公开、向特定群体披露、由于委托他人加工而将个人信息复制到其他信息系统等。
d)删除指使个人信息在信息系统中不再可用。”
《信息安全技术 个人信息安全规范》的“1 范围”部分规定,“本标准规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求。”
民法典第一千零三十五条规定,“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”
《个人信息保护法》第四条规定,“个人信息的处理包括个人信息的收集、存储、 使用、 加工、传输、 提供、 公开、删除等。
四、相关术语的定义
(一)《个人信息安全规范》中的相关术语
●个人敏感信息
《个人信息安全规范》中关于“个人敏感信息”规定为,“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
注1:个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等。
注2:关于个人敏感信息的范围和类型可参见附录 B。”
《信息安全技术 公共及商用服务信息系统个人信息保护指南》中关于“个人敏感信息”规定为,“一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。”
现将《个人信息安全规范》“附录B(资料性附录):个人敏感信息判定”的内容介绍如下:
个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含) 儿童的个人信息和自然人的隐私信息属于个人敏感信息。可从以下角度判定是否属于个人敏感信息:
泄露:个人信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。某些个人信息在泄漏后,被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析,可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。
非法提供:某些个人信息仅因在个人信息主体授权同意范围外扩散,即可对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,性取向、存款信息、传染病史等。
滥用:某些个人信息在被超出授权合理界限时使用(如变更处理目的、扩大处理范围等),可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,在未取得个人信息主体授权时,将健康信息用于保险公司营销和确定个体保费高低。
表B.1给出了个人敏感信息的示例。”
表B.1 个人敏感信息举例
◙对比《个人信息保护法》的“敏感个人信息”
《个人信息保护法》第二十八条规定,“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、 金融账户、 行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”
●个人信息主体:个人信息所标识或者关联的自然人。
●个人信息控制者:有能力决定个人信息处理目的、方式等的组织或个人。
◙对比《个人信息保护法》中“个人信息处理者”的定义
《个人信息保护法》第七十三条规定,“个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。”
◙对比欧盟《一般数据保护条例》(GDPR)中“控制者”“处理者”的定义
GDPR: Article 4 Definitions(7):‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data.
(8):‘processor’means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller.
GDPR明确了若干定义,包括“个人信息主体”“个人信息控制者”和“个人信息处理者”。我国《个人信息保护法》借鉴GDPR,同时将这三个概念的名称修改为“个人”“个人信息处理者”和“接受委托处理个人信息的受托人”。
●告知:将与个人信息处理活动相关信息提供给个人信息主体,使其了解个人信息处理活动的有关规则。(《信息安全技术 个人信息告知同意指南》 3.5)
●告知同意界面:个人信息告知同意界面通常包括移动和PC端交互式界面、IoT终端、海报、签字页等。(《信息安全技术 个人信息告知同意指南》 3.9)
●收集
获得个人信息的控制权的行为。
注1:包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集行为,以及通过共享、转让、搜集公开信息等间接获取个人信息等行为。
注 2:如果产品或服务的提供者提供工具供个人信息主体使用,提供者不对个人信息进行访问的,则不属于本标准所称的收集。例如,离线导航软件在终端获取个人信息主体位置信息后,如果不回传至软件提供者,则不属于个人信息主体位置信息的收集。
●明示同意
个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。
注:肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。
●授权同意
个人信息主体对其个人信息进行特定处理作出明确授权的行为。
注:包括通过积极的行为作出授权(即明示同意),或者通过消极的不作为而作出授权(如信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域)
●用户画像
通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成其个人特征模型的过程。
注:直接使用特定自然人的个人信息,形成该自然人的特征模型,称为直接用户画像。使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型,称为间接用户画像。
●个人信息安全影响评估:针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。
●删除:在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。
●公开披露:向社会或不特定人群发布信息的行为。
●转让:将个人信息控制权由一个控制者向另一个控制者转移的过程。
●共享:个人信息控制者向其他控制者提供个人信息,且双方分别对个人信息拥有独立控制权的过程。
对外提供:个人信息控制者通过共享、转让、公开披露等方式将个人信息传输或披露给第三方的过程。(《信息安全技术 个人信息告知同意指南》 3.8)
●匿名化:通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能被复原的过程。
注:个人信息经匿名化处理后所得的信息不属于个人信息。
●去标识化
通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程。
注:去标识化建立在个体基础之上,保留了个体颗粒度,采用假名、加密、哈希函数等技术手段替代对个人信息的标识。
◙对比《个人信息保护法》中“匿名化”“去标识化”的定义:
《个人信息保护法》第七十三条规定,“去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。”
“匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。”
●个性化展示
基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,向该个人信息主体展示信息内容、提供商品或服务的搜索结果等活动。
●业务功能
满足个人信息主体的具体使用需求的服务类型。
注:如地图导航、网络约车、即时通讯、网络社区、网络支付、新闻资讯、网上购物、快速配送、交通票务等。
(二)《互联网个人信息安全保护指南》中的相关术语
●个人信息持有:对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为
●个人信息持有者:对个人信息进行控制和处理的组织或个人。
●个人信息使用:通过自动或非自动方式对个人信息进行操作,例如记录、组织、排列、存储、改编或变更、检索、咨询、披露、传播或以其他方式提供、调整或组合、限制、删除等。(◙比较GDPR中“处理”的定义,极其类似)
●个人信息生命周期:包括个人信息持有者收集、保存、应用、委托处理、共享、转让和公开披露、删除个人信息在内的全部生命历程。
●个人信息处理系统:处理个人信息的计算机信息系统,涉及个人信息生命周期一个或多个阶段(收集、保存、应用、委托处理、共享、转让和公开披露、删除)。
(三)《信息安全技术 移动互联网应用(App)收集个人信息基本规范(征求意见稿)》中的相关术语
●智能移动终端:安装有开放式操作系统,能使用无线移动通信技术实现互联网接入,通过下载、安装应用软件和数字内容为用户提供服务的终端产品。
●移动互联网应用:安装、运行在移动智能终端上的应用程序,简称App。
●服务类型:移动互联网应用程序所提供的满足个人信息主体具体使用需求的业务功能。
●最少必要信息:保障某一服务类型正常运行所最少够用的个人信息,包括一旦缺少将导致该类型服务无法实现或无法正常运行的个人信息,以及法律法规要求必须收集的个人信息。
●最小必要权限范围:用于收集某一服务类型最小必要信息且需要个人信息主体授予的智能移动终端操作系统权限。
●移动互联网应用程序运营者:移动互联网应用程序的所有者、管理者和移动互联网应用程序服务的提供者,简称App运营者。
五、个人信息安全的基本原则
个人信息控制者开展个人信息处理活动应遵循合法、正当、必要的原则,具体包括:
a)权责一致——采取技术和其他必要的措施保障个信息的安全,对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任。
b)目的明确——具有明确、清晰、具体的个人信息处理目的;
c) 选择同意——向个人信息主体明示个人信息处理目的、方式、范围等规则,征得其授权同意;
d)最小必要——只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息;
e) 公开透明——以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督。
f) 确保安全——具有与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性;
g)主体参与——向个人信息主体提供能够查询、更正、删除其个人信息,以及撤回同意、注销账户、投诉等方法。
作者简介 PROFILE
寿步 国瓴名誉主任
寿步教授现为上海交通大学法学院教授、博士生导师,上海交通大学知识产权研究中心主任、网络空间治理研究中心主任,中国法学会网络与信息法学研究会副会长,中国科学技术法学会副会长、网络空间法专业委员会主任,中国法学会知识产权法学研究会常务理事,中国法学会案例法学研究会常务理事,中华全国律师协会信息网络与高新技术法律专业委员会顾问,上海知识产权法院特邀知识产权专家。
寿步教授长期从事法学与新技术交叉领域的法学研究、法学教育、法律实务工作,尤其是与计算机软件、网络游戏、云计算、网络安全、数据安全、个人信息保护等相关的领域。
寿步教授已出版个人专著5部、合著4部、主编著作21部。代表性论著有《中国软件版权诉讼实务》、《 计算机软件著作权保护》、《软件网络和知识产权》、《软件网络诉讼代理实务》、《信息时代知识产权教程》等。
发表评论 取消回复