2020-07-28
“歐盟數(shù)據(jù)憲章”-通用數(shù)據(jù)保護(hù)條例 2018 年 5 月 25 日,歐盟通用數(shù)據(jù)保護(hù)條例(Generall Data Protection Regulation, GDPR)正式實(shí)施,在全球范圍內(nèi)產(chǎn)生廣泛影響。GDPR提出了個(gè)人數(shù)據(jù)保護(hù)六大原則:合法合理透明性原則、目的限制原則、最小化數(shù)據(jù)處理原則、數(shù)據(jù)準(zhǔn)確性原則、限制存儲(chǔ)期限原則、數(shù)據(jù)的完整性和保密性原則,在六大原則的指導(dǎo)下,通過(guò)一系列嚴(yán)格的問(wèn)責(zé)機(jī)制,從系統(tǒng)設(shè)計(jì)和默認(rèn)設(shè)置著手的隱私保護(hù)(Data protection by design and by default)、保留處理活動(dòng)記錄、實(shí)施安全保障措施、數(shù)據(jù)泄露報(bào)告與通知、數(shù)據(jù)保護(hù)影響評(píng)估、事先協(xié)商、設(shè)置數(shù)據(jù)保護(hù)官等措施,對(duì)數(shù)據(jù)主體的知情權(quán)、訪問(wèn)權(quán)、糾正券、刪除權(quán)(被遺忘權(quán))、限制處理權(quán)、可移植權(quán)(可攜帶權(quán))、拒絕權(quán)和與自動(dòng)化個(gè)人決策相關(guān)權(quán)利進(jìn)行保護(hù)。
GDPR要求數(shù)據(jù)控制者和處理者實(shí)施適當(dāng)?shù)募夹g(shù)和管理措施,并在必要時(shí)進(jìn)行審查和更新,盡管全文并未給出詳細(xì)的控制措施實(shí)施要求,但仍指出需對(duì)以下因素進(jìn)行著重考慮:
需特別注意的是,GDPR關(guān)于“同意”的認(rèn)定標(biāo)準(zhǔn)較以往更為嚴(yán)格,且對(duì)兒童個(gè)人信息的保護(hù)更為注重。
國(guó)內(nèi)數(shù)據(jù)安全法律法規(guī)、政策標(biāo)準(zhǔn)
我國(guó)在多項(xiàng)法律中關(guān)注和強(qiáng)化對(duì)個(gè)人信息的保護(hù)。如2012年全國(guó)人大常委會(huì)通過(guò)了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》;2015年《中華人民共和國(guó)刑法修正案(九)》中明確了對(duì)個(gè)人信息保護(hù)的規(guī)定;2016年《中華人民共和國(guó)網(wǎng)絡(luò)安全法》確定了個(gè)人信息保護(hù)的基本規(guī)則。2017年《中華人民共和國(guó)民法總則》中也明確規(guī)定了自然人的個(gè)人信息受法律保護(hù)。2019年《中華人民共和國(guó)電子商務(wù)法》中也納入了保護(hù)消費(fèi)者個(gè)人信息等規(guī)定。除此以外《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見(jiàn)稿)》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見(jiàn)稿)》中也對(duì)個(gè)人信息保護(hù)進(jìn)行了相關(guān)規(guī)定,要求網(wǎng)絡(luò)運(yùn)營(yíng)者落實(shí)重要數(shù)據(jù)和個(gè)人信息安全保護(hù)制度,采取保護(hù)措施,保障數(shù)據(jù)和信息在收集、存儲(chǔ)、傳輸、使用、提供、銷毀過(guò)程中的安全。
其中《中華人民共和國(guó)網(wǎng)絡(luò)安全法》在第四章 網(wǎng)絡(luò)信息安全部分,較大篇幅的對(duì)個(gè)人信息安全進(jìn)行了規(guī)定,并且明確規(guī)定了“任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息,不得非法出售或者非法向他人提供個(gè)人信息”。為了落實(shí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保障法》,2019年1月25日,中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局正式對(duì)外發(fā)布《關(guān)于開(kāi)展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》。從中我們也看出政府治理違規(guī)收集使用個(gè)人數(shù)據(jù)方面的決心,專項(xiàng)治理公告中明確要求:
在個(gè)人信息安全標(biāo)準(zhǔn)方面,2018年5月1日,信安標(biāo)委組織制定的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》正式實(shí)施,并于2019年1月30號(hào)公布二次修訂草案。這是國(guó)內(nèi)在個(gè)人信息安全保障方面的提升,在這部重磅的個(gè)人信息安全標(biāo)準(zhǔn)中明確了個(gè)人信息安全的基本原則,個(gè)人信息的收集、保存、使用、委托處理、共享、轉(zhuǎn)讓、公開(kāi)披露的要求,個(gè)人信息安全事件處置和對(duì)組織的管理要求。同時(shí)相關(guān)的配套法規(guī)、標(biāo)準(zhǔn)也在陸續(xù)制定當(dāng)中,相信推出時(shí)間指日可待。
雖然國(guó)內(nèi)針對(duì)個(gè)人信息安全保護(hù)有一系列的法律法規(guī)、政策標(biāo)準(zhǔn)。但是總體而言法規(guī)、標(biāo)準(zhǔn)依然不完善,缺少總體規(guī)劃,碎片化明顯,同時(shí)存在落地執(zhí)行不到位等情況。需要我們?cè)诹⒎▽用婕訌?qiáng)頂層設(shè)計(jì),統(tǒng)一規(guī)劃,緊密銜接,加強(qiáng)監(jiān)管和處罰措施,不斷完善現(xiàn)有管理機(jī)制,從國(guó)家層面為個(gè)人信息安全提供法律保障。
對(duì)個(gè)人信息安全的幾點(diǎn)建議
個(gè)人信息安全不單純是技術(shù)問(wèn)題或者法律問(wèn)題,需要統(tǒng)籌結(jié)合,上下聯(lián)動(dòng),綜合防御。各組織單位、行業(yè)客戶需要梳理清楚自身數(shù)據(jù)資產(chǎn),識(shí)別個(gè)人敏感信息,加強(qiáng)內(nèi)部安全管理措施,數(shù)據(jù)在哪里,安全保障就要覆蓋到哪里。
在個(gè)人信息安全防護(hù)方面,行業(yè)單位需要落實(shí)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。在安全合規(guī)建設(shè)中及時(shí)整改、落實(shí)管理,構(gòu)建動(dòng)態(tài)防御體系。加強(qiáng)數(shù)據(jù)安全動(dòng)態(tài)監(jiān)測(cè)預(yù)警機(jī)制,加強(qiáng)信息收集、分析研判,個(gè)人信息安全事件發(fā)生時(shí)及時(shí)預(yù)警、迅速處置。對(duì)接觸到個(gè)人敏感信息的人員,進(jìn)行鑒權(quán)控制、行為審計(jì),并定期組織安全培訓(xùn),強(qiáng)化素質(zhì)教育、安全意識(shí)教育、安全技能教育,減少敏感數(shù)據(jù)從內(nèi)部泄露的風(fēng)險(xiǎn)。敏感數(shù)據(jù)定期備份,備份信息定期離線保存,避免數(shù)據(jù)勒索事件發(fā)生。加強(qiáng)普法教育,個(gè)人信息安全從身邊的小事做起,不隨意丟棄快遞單、不隨便參加掃描抽獎(jiǎng)活動(dòng)、使用App謹(jǐn)慎放權(quán)。
