`

网络安全法及个人信息法律解读

阅读更多

【网络安全法及个人信息法律解读 笔记】

 

目前涉及个人信息的法律比较零散,散落在刑法、民法总则、消费者权益保护法、网络安全法中。

2013年工信部出台《电信和互联网用户个人信息保护规定》,立法层级低,不算法规,仅有23条描述,以原则性规定为主,并不具体。

目前欧盟的GDRP的全球范围内最健全的个人信息保护法。

 

===================================================

  【关于开展App违法违规收集使用个人信息专项治理的公告】

 1月25日,中央网信办、工业和信息化部、公安部、市场监管总局在北京举行“App违法违规收集使用个人信息专项治理”新闻发布会,

 正式对外发布《关于开展App违法违规收集使用个人信息专项治理的公告》。

 

确立合法、正当、必要的原则,不收集与所提供服务无关的个人信息;收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则,

并经个人信息主体自主选择同意;不以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得违反法律法规和与用户的约定收集使用个人信息。

App运营者在定向推送新闻、时政、广告时,为用户提供拒绝接收定向推送的选项。

 

===================================================

  【网络安全法】

  2016年11月7日由全国人大通过,并与2017年6月1日实施。共7章,79条,其中个人信息保护相关的在40-45条。

  

  第四十条网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。

  ---用户信息包含自然人的个人信息、隐私及法人和组织的商业机密

  ---《用户信息保护制度》应至少包含:获取用户信息的方法与公示,用户信息获取和使用管理流程,用户信息接触人员范围,用户信息保密方法

       用户信息泄露及应急预案,处罚措施。

     

  ---在企业:制度上看得见、防得住、查得到

  ------看得见:数据存在哪些系统?哪些人有权限访问数据?数据流向哪些系统?

  ------防得住:控制用户访问数据;敏感数据使用动静态、水印脱敏

  ------查得到:批量查询能否及时发现?发现数据泄漏时,通过水印或者审计能否数据溯源?

  

  第四十一条网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

 

----合法原则:有合法依据,收集和使用的方法合法;即用户同意收集数据,数据的收集和使用不损害用户利益。

----正当必要原则:个人信息的收集和处理与利用应当依据特定、明确的目的进行。即收集、处理与利用个人信息,应当与提供的服务相关,限定在必要的最低限度内。

----公开透明原则:公开收集、处理、使用个人信息的规划,包含收集、处理、使用个人信息的目的、方式、范围,确保用户知情权。

----公开方式:APP或网络中发布声明或在签订的用户协议中告知,也包括在屏幕中滚动提示。

----知情同意原则:网络运营者收集、使用个人信息必须高柱用户手机个人信息的目的、方式、范围,并经过用户的明示同意,方可进行收集和使用。

 

第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

 

----在发生或者可能发生个人信息泄露、损毁、丢失的情况,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

----确保安全原则:发生个人信息泄露、损毁、丢失时,先向公司法务报备,再通过公司法务部向网信、电信、工商等部门报告。

     报告内容:事故总体描述,涉及个人主体信息的总量和信息类型,数据的总量,泄露可能导致的后果,企业已采取的措施。

   如果企业采取了适当的保护措施如加密,则可免除报告义务,但企业要予以证明。

----双重同意原则:向他人提供个人信息属于对个人信息进行处理、使用行为,必须取得个人同意。他人再次使用个人信息时,必须再次取得个人同意。

【特例】:经过处理的无法识别特定个人并且不能复原的数据除外。

----匿名化、数据脱敏原则:此类数据提供给合作方应当与其签订合同,要求合作方不得再次对洗洗进行身份识别。

 

第四十三条个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

----个人信息删除权:个人信息主体在具备法定理由的前提下,请求删除个人信息的权利,如停止使用某服务时。

----个人信息更正权:个人信息不完整,或不准确时,个人有权要求及时改正及补充。

 

【提示】企业须有个人信息变更/删除的渠道,不限于邮箱,电话,微博,公众号等。

 

第四十四条任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

----交换数据属于非法行为。

 

第七十六条

个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,

包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码、账号密码、财产状况,行踪信息、MAC地址等。

--展开如下:

根据《网络安全法》等相关法律法规规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者

反映特定自然人活动情况的各种信息。本政策中涉及的个人信息包括:基本信息(包括个人姓名、生日、性别、住址、个人电话号码、电子邮箱等);

个人身份信息(包括身份证、军官证、护照、驾驶证等);面部特征;网络身份标识信息(包括系统账号、IP地址、邮箱地址等);

个人财产信息(交易和消费记录、业务订购关系、余额、积分、流量等);通讯信息(信令、话单、通讯消息等)通讯录;

个人上网记录(包括网站浏览记录、软件使用记录等);个人常用设备信息(包括硬件型号、设备MAC地址、操作系统类型、软件列表唯一设备识别码等);

个人位置信息(包括基站信息、精准定位信息、经纬度等);

===================================================

  网络安全法对应的法律责任

分民事责任、行政责任、刑事责任

 

【民事责任】

民法总则第111条:

第一百一十一条 自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、

传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。

 

【行政责任】

网络安全法第64条

第六十四条网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得【一倍以上十倍以下罚款】,没有违法所得的,处一百万元以下罚款。

 

【刑事责任】

刑法

情节严重的:3年以下有期徒刑,拘役,并处或者单处罚金

情节特别严重:3年以上七年以下有期徒刑,并处罚金。

 

===================================================

  App违法违规收集使用个人信息行为认定方法(征求意见稿)解读

 

一、没有公开收集使用规则的情形

1.没有隐私政策、用户协议,或者隐私政策、用户协议中没有相关收集使用规则的内容;

2.在App安装、使用等过程中均未通过弹窗、链接等方式提示用户阅读隐私政策,或隐私政策链接无效、文本无法正常显示;

【3.进入App主功能界面后,多于4次点击、滑动才能访问到隐私政策;】

4.其他违反公开收集使用规则要求的情形。

 

二、没有明示收集使用个人信息的目的、方式和范围的情形

1.收集使用信息的目的违反合法、正当、必要原则,如仅仅以改善程序功能、提高用户体验、定向推送等为目的收集用户个人信息;

2.没有逐一列出收集个人信息的类型、频率,特别是针对个人敏感信息;

【3.收集使用个人信息的目的、方式和范围发生变化,未以适当方式通知用户,适当方式包括更新隐私政策并提醒用户重新阅读授权等;】

4.在申请可收集个人信息的权限时,未告知收集使用的目的,如在申请调阅通讯录时没有说明原因;

5.每次要求用户提供个人敏感信息时,如身份证号、银行卡号等,未同步实时说明原因;

6.有关收集使用规则的内容晦涩难懂、冗长繁琐;

7.其他没有明示收集使用个人信息的目的、方式和范围的情形。

  

三、未经同意收集使用个人信息的情形

1.未经同意就开始收集个人信息,如App首次运行、提示用户阅读隐私政策前就开始收集个人信息;

2.用户明确拒绝后,仍收集个人信息,如用户不同意被收集地理位置信息时仍然收集;

3.实际收集使用的个人信息超出用户授权的范围;

【4.利用用户信息和算法定向推送新闻、广告等,未提供终止定向推送的选项;】

5.未经用户同意,私自调用可收集用户个人信息权限;

6.在未打开或使用App时,App后台调用用户个人信息;

7.未经用户同意私自更改用户设置的权限,包括App更新时将用户设置的权限恢复到默认状态;

8.用户明确拒绝App收集个人信息请求,App仍频繁征求用户同意,干扰用户正常使用;

9.违背与用户约定,不按隐私政策中的收集使用规则收集使用个人信息;

10.其他未经同意收集使用个人信息的情形。

  

 

四、违反必要性原则,收集与其提供的服务无关的个人信息的情形

1.实际收集的个人信息类型与现有业务功能无关,无关是指该类信息并非实现现有业务功能所必需;

2.在用户使用业务功能时,收集个人信息的频率等超出所使用的业务功能需要;

【3.捆绑多项业务功能一揽子征求用户同意,不同意则不提供任何单一服务;】

4.当用户拒绝某一业务功能收集个人信息的请求时,App停止提供其他业务功能;

5.如提供未经注册即可使用(如支持浏览、游客模式)的业务功能,用户若不同意收集此类业务功能所需以外的个人信息,App拒绝提供所有服务;

6.新增业务功能时,需收集的个人信息超出原有同意范围,如用户不同意收集,则拒绝提供原有业务功能,新增业务功能将取代原有业务功能的除外;

7.申请打开可收集无关信息的权限;

8.其他收集与其提供的服务无关的个人信息的情形。

 

 

五、未经同意向他人提供个人信息的情形

【1.未经同意,且未做匿名化处理,从客户端直接向第三方提供个人信息,包括App客户端嵌入第三方代码、插件(如sdk)等方式向第三方提供;】

【2.数据传输至App服务器后,未经同意,且未经匿名化处理,向第三方提供其收集的个人信息;】

3.其他未经同意向他人提供个人信息的情形。

 

六、未按法律规定提供删除或更正个人信息功能的情形

1.未提供更正、删除个人信息,注销用户账号的功能;

2.对于提供在线操作方式、客=服==电=话、电子邮件等方式的,进行相关操作未响应的;

3.需人工处理的,受理后未在承诺时限内(无承诺时限的,以15个工作日为限)完成核查和处理的;

4.更正、删除或注销操作提示完成后,依然未能更正、删除个人信息,注销用户账号的;

5.其他未采取措施予以删除或者更正的情形。

 

七、侵犯未成年人在网络空间合法权益的情形

【1.未经监护人同意,收集使用14 周岁以下(含)未成年人个人信息;】

【2. 未经监护人同意,利用14 周岁以下(含)未成年人信息和算法开展个性化推送新闻、时政信息、广告等定向推送活动。】

分享到:
评论

相关推荐

    网络安全法及安全意识培训.pptx

    目录 立法的背景、目的 01 法律框架与条款解读 02 网络安全威胁&事件 03 网络安全法及安全意识培训全文共69页,当前为第2页。 网络安全法 – 国际背景 网络冲突和攻击成为国家间对抗的主要形式。 网络空间战略和...

    网络安全法解读.pptx

    目 录 2、网络安全支持与促进 1、总则 3、网络运行安全 一般规定 关键信息基础设施的运行安全 4、网络信息安全 5、监控预警与应急处置 6、法律责任 7、附则 网络安全法解读全文共24页,当前为第8页。 开明宗义:...

    网络安全法解读(2).ppt

    《网络安全法》是中国网络安全领域的基础性法律,旨在保障网络空间主权和国家安全,维护公共利益,保护个人、法人和其他组织的合法权益,促进信息化健康发展。该法于2016年11月7日发布,2017年6月1日正式实施,包含7...

    网络安全法主题班会.pptx

    对个人 从源头杜绝个人信息泄露,违法必究 《网络安全法》进一步完善了个人信息保护规则,可从源头杜绝个人信息泄露,如规定网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,...

    网络安全法概述.pptx

    《网络安全法》整体解读 一、立法背景与立法意义 (一)《网络安全法》立法背景 1、时代背景 当前我国面临的国内和国际信息安全形势相当复杂和严峻,境外敌对势力的网络浸透日益泛化,国内各种极端势力进行的网络...

    云安全 《网络安全法》大数据安全案例解读与风控 - flume.zip

    《网络安全法》的出台旨在规范网络空间的行为,保护个人信息和重要数据的安全,为企业和公众提供了法律保障。在这个背景下,理解和实践云安全策略以及大数据的风险控制显得尤为重要。 首先,我们要理解云安全的概念...

    《网络安全法》大数据安全案例解读与风控.pdf

    其内容包括个人信息安全、数据存储的关键信息基础设施安全、跨境数据传输、网络安全等级保护制度等等,基本覆盖了大数据安全的方方面面,改变了我国网络安全领域长期以来缺乏权威上位法的现状。随之而来的,是对...

    网络安全法警示语安全警示语.docx

    《网络安全法》旨在保障网络...综上所述,这些网络安全法警示语旨在提醒公众,网络安全不仅关乎个人隐私,还关系到社会稳定和国家安全。我们应积极学习网络安全知识,提高防范意识,共同营造一个安全、健康的网络环境。

    网络安全标准实践指南-网络数据安全风险评估实施指引解读

    为指导网络数据安全风险评估工作,发现数据安全隐患,防范数据安全风险,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,参照数据安全相关国家标准,...

    结合网络安全法的内网安全审计.pptx

    《网络安全法》是我国网络安全领域的基础性法律,旨在规范网络空间安全管理,确保国家网络空间安全和发展。该法明确了信息基础设施安全的重要性,对防范网络入侵、网络攻击等非法活动,以及打击宣扬恐怖主义、极端...

    网络安全解读和实施 安全技术资料汇总(共2份).zip

    网络安全法解读及安全建设交流.pdf 文件则更侧重于如何将法律法规转化为实际操作,提供了网络安全实施的策略和方法。文件可能涵盖了网络安全等级保护制度、数据安全治理、网络应急响应机制等方面。这些内容包括但不...

    网络安全培训课程.rar

    1. **《网络安全法解读》**:由广和律师事务所的丁振赣律师主讲,该系列分为三个部分,从法律的角度全面解析了《网络安全法》的相关规定。学员将了解网络安全法的基本原则、法律责任以及对企业和个人的具体要求,为...

    个人信息安全管理制度.zip

    一个完善的个人信息安全管理制度是保障公民隐私权、维护网络安全和社会稳定的关键。本文将深入探讨这个主题,通过对压缩包文件“个人信息安全管理制度.zip”中的核心文档——《个人信息安全管理制度.docx》的解读,...

    从标准化视角解读《数据安全法(草案)》.pptx

    从标准化视角来看,这部法律与现有的《网络安全法》和《密码法》一起构成了我国在这个领域的三足鼎立的法律框架。《网络安全法》主要关注网络基础设施的安全,而《密码法》则专注于密码技术的管理和控制。《数据安全...

    网络安全等级保护解读.pptx

    2017年出台的《网络安全法》将网络安全等级保护制度提升到了法律层面,明确了网络运营者的责任,要求其按照等级保护制度的要求执行安全保护义务。若未履行这些义务,将面临警告、罚款甚至停业整顿等处罚。同时,对于...

    解读计算机网络安全.doc

    解读计算机网络安全 摘 要:网络上信息内容的安全侧重于保护信息的保密性、真实性和完整性。避免攻击者利 用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是保护用户 的利益和隐私。 关键词:...

    数据安全法解读.pptx

    《数据安全法》是中国在数字化时代为保护国家数据安全、促进数据开发利用而出台的一项重要法律。该法于2021年6月10日由十三届全国人大常委会通过,并于同年9月1日正式实施。它的出台反映了在全球数据保护趋势增强、...

    中国医院信息安全白皮书解读.pptx

    - 在法律层面,《中华人民共和国网络安全法》明确了国家对网络安全的重视,规定了网络运营者的责任和义务,特别是关键信息基础设施的保护,如医疗卫生机构。 2. 关键信息基础设施: - 医疗卫生、疾病控制和急救...

    《网络安全知识》答案.doc

    包括配置审查的重要性、信息安全标准、罚款规定、网络安全等级保护制度、社会工程学攻击、《网络安全法》的亮点、信息收集与分析的安全措施、信息安全事件分类以及相关法律法规的解读。以下是对这些知识点的详细解释...

    数据安全法解读及最佳实践-刘海洋.pdf

    《数据安全法》是中国为适应数字化时代发展需求,规范数据处理活动,保障国家安全、公共利益以及公民和组织的合法权益而颁布的一部重要法律。它的出台体现了国家对数据安全问题的高度重视,旨在通过立法手段加强数据...

Global site tag (gtag.js) - Google Analytics