行业前沿

【数据合规】从新个人信息保护法谈敏感信息

分类:行业前沿 阅读:154 时间:2021-05-19 17:44:53



前言:




《个人信息保护法(草案)》于今天正式发布,公开征求大众意见,草案确立了个人信息处理应遵循的原则,强调处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等,并将上述原则贯穿于个人信息处理的全过程、各环节。

从信息处理的规则来看,与企业等商主体直接相关的便是“敏感个人信息处理”的详细规定,对于敏感个人信息,新法特开列一节做详细规定,就其原因在于“敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。”敏感信息极易被他人复原出当事人的生活画像,除了精准投送广告而可使其遭受信息轰炸外,更容易被有心人找到当事人的生活弱点,进而实行诈骗、恐吓、勒索等行为,这一类信息的泄露也能够为“人肉”提供了便利,导致严重后果。




一、敏感信息的定义





我国2016 年《网络安全法》规定“个人信息”是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。2017 年,《解释》在此基础上将“公民个人信息”界定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”。

在个人信息中,又进一步区分为敏感信息和一般信息。国家标准《信息安全技术 个人信息安全规范》第3.2条规定,个人敏感信息指“一旦泄漏、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”。二者区分的功能在于:对前者法律上更强调对用户的保护和“自决”,对后者则侧重于数据的开发利用。
综上可知,“敏感信息”的首要定义是信息的“可识别性”,

【Regulation ( EU) 2016 /679 General Data Protection Regulation,Article 4.】

即能否通过信息识别个人,对于其中种族、 民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等人身财产关键信息优先认定为敏感信息,后续的信息划分类似。



图片
image.png
图片




二、敏感信息的处理



图片

1、强调知情与同意的同步性

图片


2012 年颁布的《规范互联网信息服务市场秩序若干规定》第一次以立法的形式做出“经用户同意,互联网信息服务提供者才能够收集、转让用户个人信息”的规定。随后,《关于加强网络信息保护的决定》、《信息安全技术公共及商用服务信息系统个人信息保护指南》、《电信和互联网用户个人信息保护规定》、《网络交易平台经营者履行社会责任指引》等规范先后确立了知情同意原则。本次新法发布再次强调了同意原则:基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

个人信息处理者处理已公开的个人信息,应当符合该个人信息被公开时的用途;超出与该用途相关的合理范围的,应当依照本法规定向个人告知并取得其同意。个人信息被公开时的用途不明确的,个人信息处理者应当合理、谨慎地处理已公开的个人信息;利用已公开的个人信息从事对个人有重大影响的活动,应当依照本法规定向个人告知并取得其同意

图片

2、对“告知”方法做详细规定

图片


个人信息处理者处理敏感个人信息的,除本法第十八条规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人的影响

个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言向个人告知下列事项:
(一)个人信息处理者的身份和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种 类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。

其中,个人信息处理者知道或者应当知道其处理的个人信息为不满十四周岁未成年人个人信息的,应当取得其监护人的同意。


图片

3、增强个人对于敏感信息的控制

图片


信息同意可撤回:基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。

信息可删除:有下列情形之一的,个人信息处理者应当主动 或者根据个人的请求,删除个人信息:
(一)约定的保存期限已届满或者处理目的已实现;
(二)个人信息处理者停止提供产品或者服务;
(三)个人撤回同意;
(四)个人信息处理者违反法律、行政法规或者违反约定处 理个人信息;
(五)法律、行政法规规定的其他情形。

信息同意非强制性:个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。



图片
image.png
图片




三、敏感信息的合规意义



一般来说,强监管必然带来一个全新的法律业务领域,劳动法如此,今天发布的《个人信息保护法(草案)》标志了企业数据合规的新开端,强监管是全球趋势,中国、欧盟和美国都是如此。数据合规由下涉及公民隐私,由上可至国家安全,今年9月由特朗普政府发起的TikTok封禁事件的起因之一便是特朗普政府认为TikTok对于公民信息的收集与处理违规,“严重影响国家安全”,美国联邦贸易委员会也称TikTok违反了隐私法《儿童在线隐私保护法案》,该法案要求网站运营商在未经父母的许可的情况下,不能收集13岁以下的儿童的个人身份信息(比如邮箱地址、IP地址和地理位置)。对此,企业不得不防患于未然,数据合规,合则生,不合则死

美国联邦贸易委员会( Federal Trade Commission,FTC),在2012年报告中细化了“合理链接性标准”,可以作为企业数据合规的标准之一,即
第一,公司必须采取合理措施保证这些数据去识别化;
第二,公司必须公开承诺以去识别化的方式保存和使用数据,并且放弃重新识别这些数据;
第三,公司如果将这些去识别化的信息提供给其他公司,不论这些公司是服务提供商还是第三方,公司都应当签订合同禁止这些实体重新识别个人数据。

当企业需要处理涉及客户安全或一些商业性敏感数据时,在不违反系统规则前提下,需对真实数据改造并提供测试,如身份证号、手机号、卡号、客户号等个人信息都需进行数据脱敏处理,只有通过脱敏处理后方可使用。




热点新闻

【实务总结】诉讼中律师费转付问题考

2021-05-19 17:49:53

当事人聘请律师的费用如何承担,在国际上主要有两种模式:其一为律师费自负模式,即当事人无论胜诉或败诉均自行承担律师费,其二为律师费转付模式,即败诉方当事人除了须承担自身律师费之外,还应承担胜诉方的合理的律师费。从1979 年律师费制度恢复重建开始,律师费负担问题就成为我国学界关注的焦点。

更多 

【前沿总结】民法典照耀下的劳动者保护

2021-05-19 17:51:12

从理论角度上来看,很多学者认为劳动法属于一个独立的部门法,劳动法是一种特别的私法,在法律适用范围内,劳动法案件不适合应用民法规则进行界定。但是也有学者认为劳动法和民法之间是特殊和一般的关系,劳动法的制定参考私法制定模范。

更多 

专业领域


联系我们

上海市xxxxxx律师事务所

地址: 上海市xxxxxx
电话: 021-123456
传真: 86-21-123456
邮箱: 123456.com