版權聲明:本文版權歸文章作者所有,僅代表作者觀點,本文不用於商業用途,僅為學習交流之用,如文中的內容、圖片、音頻、視頻等如有侵權,請及時聯系本站站長刪除。
本文來源於微信公眾號【國瓴合規研究院】
【編者按】
本講義由上海國瓴律師事務所名譽主任、上海交通大學網絡空間治理研究中心主任壽步教授撰寫,內容取材於2016年11月我國網絡安全法發布以來至2023年2月底期間的相關規範性文件,權威性高,實用性強,可供關心網絡安全法律政策的讀者閱讀。連載共13篇。
目錄
網絡安全法第四章網絡信息安全包含第四十條至第五十條,其中第四十條至第四十五條是關於個人信息保護制度的規定,第四十六條至第五十條是關於違法信息監管制度的規定。
我國個人信息保護法自2021年11月1日起施行。
本章討論個人信息保護制度,具體包括我國個人信息保護的法律體系、個人信息保護制度概述、《個人信息保護法》概述、個人信息保護的具體規則、移動互聯網應用程序(App)收集使用個人信息的專項治理等。
本書另設專章討論違法信息監管制度。
第一節 我國個人信息保護規範體系
一、個人信息保護立法進程
個人信息被譽為二十一世紀最有價值的資源。推動個人信息的合理、合法收集和使用,保障個人和企業之間形成良好的互動關系,對於形成數字經濟健康發展的制度環境至關重要。同時,大數據技術及相關產業的發展,正前所未有地改變著個人信息的收集和使用方式,對現有的個人信息保護制度帶來新的問題和挑戰。如何有效平衡個人信息的利用與保護,是各國經濟發展所面臨的共同問題。
歐盟將個人信息作為公民的一項基本人權加以保護,主張統一的嚴格立法,強化政府部門對於個人信息保護的監管職權。美國則采用分散立法加行業自律的模式,以實現信息保護與產業發展、政府監管與公民表達自由之間的平衡。
我國已制定《中華人民共和國個人信息保護法》。法律、行政法規、部門規章、地方性法規、地方政府規章、國家標準等不同層次和不同法律效力的規範性文件組成我國的個人信息保護法律體系。
2000年12月28日通過的《全國人民代表大會常務委員會關於維護互聯網安全的決定》第四條規定,為了保護個人、法人和其他組織的人身、財產等合法權利,對有非法截獲、篡改、刪除他人電子郵件或者其他數據資料,侵犯公民通信自由和通信秘密行為,構成犯罪的,依照刑法有關規定追究刑事責任。該決定是以法律規範互聯網的開端,其中將信息安全視為互聯網安全的重要內容,采用刑事制裁手段維護信息主體權利。
2009年2月28日通過並施行的《刑法修正案(七)》增設刑法第二百五十三條之一,規定了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪。
2009年12月26日通過、自2010年7月1日起實施的《侵權責任法》第三十六條規定,網絡用戶、網絡服務提供者利用網絡侵害他人民事權益的,應當承擔侵權責任。
2012年12月28日通過並施行的《全國人民代表大會常務委員會關於加強網絡信息保護的決定》明確規定國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息,收集使用個人信息的原則與義務,侵害個人信息的責任承擔。其為個人信息保護工作的開展提供了法律依據。
2013年9月1日起施行的、工業和信息化部發布的《電信和互聯網用戶個人信息保護規定》具體規定了電信業務經營者、互聯網信息服務提供者收集、使用用戶個人信息的規則和信息安全保障措施等要求。
2014年3月15日起實施的、由全國人大常委會修訂的新版《消費者權益保護法》對特別重視消費者的個人信息保護,規定了經營者對個人信息的保護義務和侵害消費者個人信息的侵權責任。
2015年11月1日起實施的《刑法修正案(九)》,修改刑法第二百五十三條之一的規定,通過擴大犯罪主體的範圍和擴充侵犯個人信息行為的範圍,統一規定侵犯公民個人信息罪,加強對個人信息安全的保護。
2017年6月1日起實施的網絡安全法,設“網絡信息安全”專章,將個人信息納入保護範圍,規定網絡運營者個人信息保護的基本原則和行為規範。
2017年1月1日《民法總則》實施,單列個人信息保護條款,明確自然人的個人信息受法律保護。
2018年9月10日《十三屆全國人大常委會立法規劃》公布,《個人信息保護法》列入立法規劃,屬於“條件比較成熟、任期內擬提請審議”的法律草案。
2020年5月28日民法典頒布,人格權編第六章規定“隱私權和個人信息保護”。
2020年10月13日《個人信息保護法(草案)》首次提請第十三屆全國人大常委會第二十二次會議審議。2021年4月26日全國人大常委會第二十八次會議對《個人信息保護法(草案二次審議稿)》進行審議。2021年8月20日全國人大常委會第三十次會議表決通過《個人信息保護法》。2021年11月1日起施行。
此外,《征信業管理條例》(2013)、《關於審理利用信息網絡侵害人身權益民事糾紛案件適用法律若幹問題的規定》(2014)、《關於辦理侵犯公民個人信息刑事案件適用法律若幹問題的解釋》(2017)等分別從行政、民事、刑事各個方面補充健全個人信息保護法律體系。
為配合相關法律的實施,個人信息保護相關的國家標準正在逐步制訂完善。2020年10月1日實施的《信息安全技術 個人信息安全規範》(GB/T 35273-2020)代替(GB/T 35273-2017)(以下簡稱“《個人信息安全規範》”)是基礎性的國家標準。
根據2022年10月12日國家市場監督管理總局、國家標準化管理委員會發布的《中華人民共和國國家標準公告》(2022年第13號),全國信息安全標準化技術委員會歸口的14項網絡安全國家標準獲批發布,其中12項涉及數據安全與個人信息保護。
二、個人信息安全規範
2020年10月1日實施的《個人信息安全規範》具體界定了個人信息的內涵和外延、規範了個人信息處理原則,就個人信息控制者在個人信息的收集、存儲、使用、共享、轉讓、公開披露等信息處理過程中的操作規範和準則提出了具體要求。在現有法律法規的規定過於原則的情況下,該標準彌補了實踐中的諸多操作規範空白,為優化政府監管、推動企業合規提供了符合行業發展需求的規範性指引。
(一)個人信息安全規範是推薦性國家標準(性質層面)
根據《標準化法》,標準是指農業、工業、服務業以及社會事業等領域需要統一的技術要求。標準包括國家標準、行業標準、地方標準和團體標準、企業標準。國家標準分為強制性標準、推薦性標準,行業標準、地方標準是推薦性標準。強制性標準必須執行。國家鼓勵采用推薦性標準。
對保障人身健康和生命財產安全、國家安全、生態環境安全以及滿足經濟社會管理基本需要的技術要求,應當制定強制性國家標準。強制性國家標準由國務院批準發布或者授權批準發布。法律、行政法規和國務院決定對強制性標準的制定另有規定的,從其規定。
對滿足基礎通用、與強制性國家標準配套、對各有關行業起引領作用等需要的技術要求,可以制定推薦性國家標準。推薦性國家標準由國務院標準化行政主管部門制定。
強制性國家標準的代碼為“GB”,推薦性國家標準的代碼為“GB/T”。
由信安標委組織制定和歸口管理,經國家質量監督檢驗檢疫總局、國家標準化管理委員會批準的《信息安全技術 個人信息安全規範》(GB/T 35273-2017),為推薦性國家標準,於2017年12月29日發布,2018年5月1日實施。為因應形勢發展的需要,信安標委積極組織開展對該標準的修訂工作。2019年2月1日,信安標委秘書處發布《信息安全技術 個人信息安全規範(草案)》。2019年6月25日,信安標委秘書處發布《信息安全技術 個人信息安全規範(征求意見稿)》。2020年3月6日,國家市場監督管理總局、國家標準化管理委員會發布《中華人民共和國國家標準公告(2020年第1號)》,由中國電子技術標準化研究院組織修訂的《信息安全技術 個人信息安全規範》(GB/T 35273-2020)發布,實施時間為2020年10月1日,代替GB/T 35273-2017版本國標。
下文將主要介紹現行有效的《個人信息安全規範》。
(二)個人信息安全規範為個人信息保護實踐提供標準化指引(內容層面)
網絡安全法原則規定了個人信息保護制度。《個人信息安全規範》作為網絡安全法配套的規範性文件,比較完整地規定了個人信息保護領域的術語,規定了開展收集、存儲、使用、共享、轉讓、公開披露、刪除等個人信息處理活動應遵循的原則和安全要求,為網絡運營者構建和完善個人信息安全管理制度及制定隱私政策提供了指引。
此後,《互聯網個人信息安全保護指南》《App違法違規收集使用個人信息自評估指南》《移動互聯網應用程序(App)安全認證實施規則》《App違法違規收集使用個人信息行為認定方法》《信息安全技術 移動互聯網應用(App)收集個人信息基本規範(征求意見稿)》等文件的相繼出臺,都在各自的規範性文件引用部分提及《個人信息安全規範》。
《個人信息安全規範》所規定的個人信息安全基本原則和安全要求已在個人信息保護實踐中得到充分應用。
(三)個人信息安全規範為個人信息保護監管提供規範性參考(效力層面)
《個人信息安全規範》在“範圍”中指出:“本標準適用於規範各類組織的個人信息處理活動,也適用於主管監管部門、第三方評估機構等組織對個人信息處理活動進行監督、管理和評估。”
2019 年1月,中央網信辦、工業和信息化部、公安部、市場監管總局四部門聯合發布《關於開展 APP 違法違規收集使用個人信息專項治理的公告》,在全國範圍組織開展 APP 違法違規收集使用個人信息專項治理。一年來,專項治理工作成效顯著,《個人信息安全規範》在實踐運用中不斷修訂、完善。
《個人信息安全規範》既是衡量網絡運營者個人信息保護水平的標尺,也是監管機構行政執法的重要參考。各方主體都應將其落實在管理實踐中。
第二節 個人信息保護制度概述
一、個人信息保護的規範性表述
關於網絡相關的個人信息保護,網絡安全法第四十條規定:“網絡運營者應當對其收集的用戶信息嚴格保密,並建立健全用戶信息保護制度。”
《民法總則》第一百一十一條規定:“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得並確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。”
民法典第一千零三十四條規定:“自然人的個人信息受法律保護。……個人信息中的私密信息,適用有關隱私權的規定;沒有規定的,適用有關個人信息保護的規定。”
《中華人民共和國個人信息保護法》第二條規定:“自然人的個人信息受法律保護,任何組織、個人不得侵害自然人的個人信息權益。”
二、個人信息的定義
網絡安全法第七十六條規定:“個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”
《中華人民共和國民法典》第一千零三十四條規定:“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。”
《個人信息保護法》第四條規定:“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理後的信息。
采用“識別+關聯”型定義的其他文件有:
《電信和互聯網用戶個人信息保護規定》第四條規定:“本規定所稱用戶個人信息,是指電信業務經營者和互聯網信息服務提供者在提供服務的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息。”
《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適 用法律若幹問題的解釋》第一條規定:“刑法第二百五十三條之一規定的‘公民個人信息’,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。”
《信息安全技術 公共及商用服務信息系統個人信息保護指南》(GB/Z 28828-2012)第3.2項關於個人信息的定義是:“可為信息系統所處理、與特定自然人相關、能夠單獨或通過其他信息結合識別該特定自然人的計算機數據。”
《個人信息安全規範》第3.1項規定,“個人信息”是指“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。
注1:個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯系方式、通信記錄和內容、賬號密碼、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。
注2:關於個人信息的範圍和類型可參見附錄 A。”
現將《個人信息安全規範》“附錄A(資料性附錄):個人信息示例”的內容介紹如下:
“個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,如姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯系方式、通信記錄和內容、賬號密碼、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。
判定某項信息是否屬於個人信息,應考慮以下兩條路徑:
一是識別,即從信息到個人,由信息本身的特殊性識別出特定自然人,個人信息應有助於識別出特定個人。
二是關聯,即從個人到信息,如已知特定自然人,則由該特定自然人在其活動中產生的信息 (如個人位置信息、個人通話記錄、個人浏覽記錄等)即為個人信息。符合上述兩種情形之一的信息,均應判定為個人信息。
表A.1為個人信息舉例。
資料來源:《個人信息安全規範》
三、個人信息處理的定義
《信息安全技術 公共及商用服務信息系統個人信息保護指南》中,有如下規定:
“3.9個人信息處理
處置個人信息的行為,包括收集、加工、轉移、刪除。”
“5.1概述
信息系統中個人信息的處理過程可分為收集、加工、轉移、刪除4個主要環節。對個人信息的保護貫穿於4個環節中:
a)收集指對個人信息進行獲取並記錄。
b)加工指對個人信息進行的操作,如錄入、存儲、修改、標注、比對、挖掘、屏蔽等。
c)轉移指將個人信息提供給個人信息獲得者的行為,如向公眾公開、向特定群體披露、由於委托他人加工而將個人信息複制到其他信息系統等。
d)刪除指使個人信息在信息系統中不再可用。”
《信息安全技術 個人信息安全規範》的“1 範圍”部分規定,“本標準規定了開展收集、存儲、使用、共享、轉讓、公開披露、刪除等個人信息處理活動應遵循的原則和安全要求。”
民法典第一千零三十五條規定,“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。”
《個人信息保護法》第四條規定,“個人信息的處理包括個人信息的收集、存儲、 使用、 加工、傳輸、 提供、 公開、刪除等。
四、相關術語的定義
(一)《個人信息安全規範》中的相關術語
●個人敏感信息
《個人信息安全規範》中關於“個人敏感信息”規定為,“一旦泄露、非法提供或濫用可能危害人身和財產安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。
注1:個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內容、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14 歲以下(含)兒童的個人信息等。
注2:關於個人敏感信息的範圍和類型可參見附錄 B。”
《信息安全技術 公共及商用服務信息系統個人信息保護指南》中關於“個人敏感信息”規定為,“一旦遭到泄露或修改,會對標識的個人信息主體造成不良影響的個人信息。各行業個人敏感信息的具體內容根據接受服務的個人信息主體意願和各自業務特點確定。例如個人敏感信息可以包括身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋等。”
現將《個人信息安全規範》“附錄B(資料性附錄):個人敏感信息判定”的內容介紹如下:
個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。通常情況下,14歲以下(含) 兒童的個人信息和自然人的隱私信息屬於個人敏感信息。可從以下角度判定是否屬於個人敏感信息:
泄露:個人信息一旦泄露,將導致個人信息主體及收集、使用個人信息的組織和機構喪失對個人信息的控制能力,造成個人信息擴散範圍和用途的不可控。某些個人信息在泄漏後,被以違背個人信息主體意願的方式直接使用或與其他信息進行關聯分析,可能對個人信息主體權益帶來重大風險,應判定為個人敏感信息。例如,個人信息主體的身份證複印件被他人用於手機號卡實名登記、銀行賬戶開戶辦卡等。
非法提供:某些個人信息僅因在個人信息主體授權同意範圍外擴散,即可對個人信息主體權益帶來重大風險,應判定為個人敏感信息。例如,性取向、存款信息、傳染病史等。
濫用:某些個人信息在被超出授權合理界限時使用(如變更處理目的、擴大處理範圍等),可能對個人信息主體權益帶來重大風險,應判定為個人敏感信息。例如,在未取得個人信息主體授權時,將健康信息用於保險公司營銷和確定個體保費高低。
表B.1給出了個人敏感信息的示例。”
表B.1 個人敏感信息舉例
◙對比《個人信息保護法》的“敏感個人信息”
《個人信息保護法》第二十八條規定,“敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、 金融賬戶、 行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。”
●個人信息主體:個人信息所標識或者關聯的自然人。
●個人信息控制者:有能力決定個人信息處理目的、方式等的組織或個人。
◙對比《個人信息保護法》中“個人信息處理者”的定義
《個人信息保護法》第七十三條規定,“個人信息處理者,是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。”
◙對比歐盟《一般數據保護條例》(GDPR)中“控制者”“處理者”的定義
GDPR: Article 4 Definitions(7):‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data.
(8):‘processor’means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller.
GDPR明確了若幹定義,包括“個人信息主體”“個人信息控制者”和“個人信息處理者”。我國《個人信息保護法》借鑒GDPR,同時將這三個概念的名稱修改為“個人”“個人信息處理者”和“接受委托處理個人信息的受托人”。
●告知:將與個人信息處理活動相關信息提供給個人信息主體,使其了解個人信息處理活動的有關規則。(《信息安全技術 個人信息告知同意指南》 3.5)
●告知同意界面:個人信息告知同意界面通常包括移動和PC端交互式界面、IoT終端、海報、簽字頁等。(《信息安全技術 個人信息告知同意指南》 3.9)
●收集
獲得個人信息的控制權的行為。
注1:包括由個人信息主體主動提供、通過與個人信息主體交互或記錄個人信息主體行為等自動采集行為,以及通過共享、轉讓、搜集公開信息等間接獲取個人信息等行為。
注 2:如果產品或服務的提供者提供工具供個人信息主體使用,提供者不對個人信息進行訪問的,則不屬於本標準所稱的收集。例如,離線導航軟件在終端獲取個人信息主體位置信息後,如果不回傳至軟件提供者,則不屬於個人信息主體位置信息的收集。
●明示同意
個人信息主體通過書面、口頭等方式主動作出紙質或電子形式的聲明,或者自主作出肯定性動作,對其個人信息進行特定處理作出明確授權的行為。
注:肯定性動作包括個人信息主體主動勾選、主動點擊“同意”“注冊”“發送”“撥打”、主動填寫或提供等。
●授權同意
個人信息主體對其個人信息進行特定處理作出明確授權的行為。
注:包括通過積極的行為作出授權(即明示同意),或者通過消極的不作為而作出授權(如信息采集區域內的個人信息主體在被告知信息收集行為後沒有離開該區域)
●用戶畫像
通過收集、匯聚、分析個人信息,對某特定自然人個人特征,如職業、經濟、健康、教育、個人喜好、信用、行為等方面作出分析或預測,形成其個人特征模型的過程。
注:直接使用特定自然人的個人信息,形成該自然人的特征模型,稱為直接用戶畫像。使用來源於特定自然人以外的個人信息,如其所在群體的數據,形成該自然人的特征模型,稱為間接用戶畫像。
●個人信息安全影響評估:針對個人信息處理活動,檢驗其合法合規程度,判斷其對個人信息主體合法權益造成損害的各種風險,以及評估用於保護個人信息主體的各項措施有效性的過程。
●刪除:在實現日常業務功能所涉及的系統中去除個人信息的行為,使其保持不可被檢索、訪問的狀態。
●公開披露:向社會或不特定人群發布信息的行為。
●轉讓:將個人信息控制權由一個控制者向另一個控制者轉移的過程。
●共享:個人信息控制者向其他控制者提供個人信息,且雙方分別對個人信息擁有獨立控制權的過程。
對外提供:個人信息控制者通過共享、轉讓、公開披露等方式將個人信息傳輸或披露給第三方的過程。(《信息安全技術 個人信息告知同意指南》 3.8)
●匿名化:通過對個人信息的技術處理,使得個人信息主體無法被識別或者關聯,且處理後的信息不能被複原的過程。
注:個人信息經匿名化處理後所得的信息不屬於個人信息。
●去標識化
通過對個人信息的技術處理,使其在不借助額外信息的情況下,無法識別或者關聯個人信息主體的過程。
注:去標識化建立在個體基礎之上,保留了個體顆粒度,采用假名、加密、哈希函數等技術手段替代對個人信息的標識。
◙對比《個人信息保護法》中“匿名化”“去標識化”的定義:
《個人信息保護法》第七十三條規定,“去標識化,是指個人信息經過處理,使其在不借助額外信息的情況下無法識別特定自然人的過程。”
“匿名化,是指個人信息經過處理無法識別特定自然人且不能複原的過程。”
●個性化展示
基於特定個人信息主體的網絡浏覽曆史、興趣愛好、消費記錄和習慣等個人信息,向該個人信息主體展示信息內容、提供商品或服務的搜索結果等活動。
●業務功能
滿足個人信息主體的具體使用需求的服務類型。
注:如地圖導航、網絡約車、即時通訊、網絡社區、網絡支付、新聞資訊、網上購物、快速配送、交通票務等。
(二)《互聯網個人信息安全保護指南》中的相關術語
●個人信息持有:對個人信息及相關資源、環境、管理體系等進行計劃、組織、協調、控制的相關活動或行為
●個人信息持有者:對個人信息進行控制和處理的組織或個人。
●個人信息使用:通過自動或非自動方式對個人信息進行操作,例如記錄、組織、排列、存儲、改編或變更、檢索、諮詢、披露、傳播或以其他方式提供、調整或組合、限制、刪除等。(◙比較GDPR中“處理”的定義,極其類似)
●個人信息生命周期:包括個人信息持有者收集、保存、應用、委托處理、共享、轉讓和公開披露、刪除個人信息在內的全部生命曆程。
●個人信息處理系統:處理個人信息的計算機信息系統,涉及個人信息生命周期一個或多個階段(收集、保存、應用、委托處理、共享、轉讓和公開披露、刪除)。
(三)《信息安全技術 移動互聯網應用(App)收集個人信息基本規範(征求意見稿)》中的相關術語
●智能移動終端:安裝有開放式操作系統,能使用無線移動通信技術實現互聯網接入,通過下載、安裝應用軟件和數字內容為用戶提供服務的終端產品。
●移動互聯網應用:安裝、運行在移動智能終端上的應用程序,簡稱App。
●服務類型:移動互聯網應用程序所提供的滿足個人信息主體具體使用需求的業務功能。
●最少必要信息:保障某一服務類型正常運行所最少夠用的個人信息,包括一旦缺少將導致該類型服務無法實現或無法正常運行的個人信息,以及法律法規要求必須收集的個人信息。
●最小必要權限範圍:用於收集某一服務類型最小必要信息且需要個人信息主體授予的智能移動終端操作系統權限。
●移動互聯網應用程序運營者:移動互聯網應用程序的所有者、管理者和移動互聯網應用程序服務的提供者,簡稱App運營者。
五、個人信息安全的基本原則
個人信息控制者開展個人信息處理活動應遵循合法、正當、必要的原則,具體包括:
a)權責一致——采取技術和其他必要的措施保障個信息的安全,對其個人信息處理活動對個人信息主體合法權益造成的損害承擔責任。
b)目的明確——具有明確、清晰、具體的個人信息處理目的;
c) 選擇同意——向個人信息主體明示個人信息處理目的、方式、範圍等規則,征得其授權同意;
d)最小必要——只處理滿足個人信息主體授權同意的目的所需的最少個人信息類型和數量。目的達成後,應及時刪除個人信息;
e) 公開透明——以明確、易懂和合理的方式公開處理個人信息的範圍、目的、規則等,並接受外部監督。
f) 確保安全——具有與所面臨的安全風險相匹配的安全能力,並采取足夠的管理措施和技術手段,保護個人信息的保密性、完整性、可用性;
g)主體參與——向個人信息主體提供能夠查詢、更正、刪除其個人信息,以及撤回同意、注銷賬戶、投訴等方法。
作者簡介 PROFILE
壽步 國瓴名譽主任
壽步教授現為上海交通大學法學院教授、博士生導師,上海交通大學知識產權研究中心主任、網絡空間治理研究中心主任,中國法學會網絡與信息法學研究會副會長,中國科學技術法學會副會長、網絡空間法專業委員會主任,中國法學會知識產權法學研究會常務理事,中國法學會案例法學研究會常務理事,中華全國律師協會信息網絡與高新技術法律專業委員會顧問,上海知識產權法院特邀知識產權專家。
壽步教授長期從事法學與新技術交叉領域的法學研究、法學教育、法律實務工作,尤其是與計算機軟件、網絡遊戲、雲計算、網絡安全、數據安全、個人信息保護等相關的領域。
壽步教授已出版個人專著5部、合著4部、主編著作21部。代表性論著有《中國軟件版權訴訟實務》、《 計算機軟件著作權保護》、《軟件網絡和知識產權》、《軟件網絡訴訟代理實務》、《信息時代知識產權教程》等。
發表評論 取消回複