ChinaWin 2019-07-02
【网络安全法及个人信息法律解读 笔记】
目前涉及个人信息的法律比较零散,散落在刑法、民法总则、消费者权益保护法、网络安全法中。
2013年工信部出台《电信和互联网用户个人信息保护规定》,立法层级低,不算法规,仅有23条描述,以原则性规定为主,并不具体。
目前欧盟的GDRP的全球范围内最健全的个人信息保护法。
===================================================
【关于开展App违法违规收集使用个人信息专项治理的公告】
1月25日,中央网信办、工业和信息化部、公安部、市场监管总局在北京举行“App违法违规收集使用个人信息专项治理”新闻发布会,
正式对外发布《关于开展App违法违规收集使用个人信息专项治理的公告》。
确立合法、正当、必要的原则,不收集与所提供服务无关的个人信息;收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则,
并经个人信息主体自主选择同意;不以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得违反法律法规和与用户的约定收集使用个人信息。
App运营者在定向推送新闻、时政、广告时,为用户提供拒绝接收定向推送的选项。
===================================================
【网络安全法】
2016年11月7日由全国人大通过,并与2017年6月1日实施。共7章,79条,其中个人信息保护相关的在40-45条。
第四十条网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
---用户信息包含自然人的个人信息、隐私及法人和组织的商业机密
---《用户信息保护制度》应至少包含:获取用户信息的方法与公示,用户信息获取和使用管理流程,用户信息接触人员范围,用户信息保密方法
用户信息泄露及应急预案,处罚措施。
---在企业:制度上看得见、防得住、查得到
------看得见:数据存在哪些系统?哪些人有权限访问数据?数据流向哪些系统?
------防得住:控制用户访问数据;敏感数据使用动静态、水印脱敏
------查得到:批量查询能否及时发现?发现数据泄漏时,通过水印或者审计能否数据溯源?
第四十一条网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
----合法原则:有合法依据,收集和使用的方法合法;即用户同意收集数据,数据的收集和使用不损害用户利益。
----正当必要原则:个人信息的收集和处理与利用应当依据特定、明确的目的进行。即收集、处理与利用个人信息,应当与提供的服务相关,限定在必要的最低限度内。
----公开透明原则:公开收集、处理、使用个人信息的规划,包含收集、处理、使用个人信息的目的、方式、范围,确保用户知情权。
----公开方式:APP或网络中发布声明或在签订的用户协议中告知,也包括在屏幕中滚动提示。
----知情同意原则:网络运营者收集、使用个人信息必须高柱用户手机个人信息的目的、方式、范围,并经过用户的明示同意,方可进行收集和使用。
第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
----在发生或者可能发生个人信息泄露、损毁、丢失的情况,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
----确保安全原则:发生个人信息泄露、损毁、丢失时,先向公司法务报备,再通过公司法务部向网信、电信、工商等部门报告。
报告内容:事故总体描述,涉及个人主体信息的总量和信息类型,数据的总量,泄露可能导致的后果,企业已采取的措施。
如果企业采取了适当的保护措施如加密,则可免除报告义务,但企业要予以证明。
----双重同意原则:向他人提供个人信息属于对个人信息进行处理、使用行为,必须取得个人同意。他人再次使用个人信息时,必须再次取得个人同意。
【特例】:经过处理的无法识别特定个人并且不能复原的数据除外。
----匿名化、数据脱敏原则:此类数据提供给合作方应当与其签订合同,要求合作方不得再次对洗洗进行身份识别。
第四十三条个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
----个人信息删除权:个人信息主体在具备法定理由的前提下,请求删除个人信息的权利,如停止使用某服务时。
----个人信息更正权:个人信息不完整,或不准确时,个人有权要求及时改正及补充。
【提示】企业须有个人信息变更/删除的渠道,不限于邮箱,电话,微博,公众号等。
第四十四条任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
----交换数据属于非法行为。
第七十六条
个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,
包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码、账号密码、财产状况,行踪信息、MAC地址等。
--展开如下:
根据《网络安全法》等相关法律法规规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者
反映特定自然人活动情况的各种信息。本政策中涉及的个人信息包括:基本信息(包括个人姓名、生日、性别、住址、个人电话号码、电子邮箱等);
个人身份信息(包括身份证、军官证、护照、驾驶证等);面部特征;网络身份标识信息(包括系统账号、IP地址、邮箱地址等);
个人财产信息(交易和消费记录、业务订购关系、余额、积分、流量等);通讯信息(信令、话单、通讯消息等)通讯录;
个人上网记录(包括网站浏览记录、软件使用记录等);个人常用设备信息(包括硬件型号、设备MAC地址、操作系统类型、软件列表唯一设备识别码等);
个人位置信息(包括基站信息、精准定位信息、经纬度等);
===================================================
网络安全法对应的法律责任
分民事责任、行政责任、刑事责任
【民事责任】
民法总则第111条:
第一百一十一条 自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、
传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
【行政责任】
网络安全法第64条
第六十四条网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得【一倍以上十倍以下罚款】,没有违法所得的,处一百万元以下罚款。
【刑事责任】
刑法
情节严重的:3年以下有期徒刑,拘役,并处或者单处罚金
情节特别严重:3年以上七年以下有期徒刑,并处罚金。
===================================================
App违法违规收集使用个人信息行为认定方法(征求意见稿)解读
一、没有公开收集使用规则的情形
1.没有隐私政策、用户协议,或者隐私政策、用户协议中没有相关收集使用规则的内容;
2.在App安装、使用等过程中均未通过弹窗、链接等方式提示用户阅读隐私政策,或隐私政策链接无效、文本无法正常显示;
【3.进入App主功能界面后,多于4次点击、滑动才能访问到隐私政策;】
4.其他违反公开收集使用规则要求的情形。
二、没有明示收集使用个人信息的目的、方式和范围的情形
1.收集使用信息的目的违反合法、正当、必要原则,如仅仅以改善程序功能、提高用户体验、定向推送等为目的收集用户个人信息;
2.没有逐一列出收集个人信息的类型、频率,特别是针对个人敏感信息;
【3.收集使用个人信息的目的、方式和范围发生变化,未以适当方式通知用户,适当方式包括更新隐私政策并提醒用户重新阅读授权等;】
4.在申请可收集个人信息的权限时,未告知收集使用的目的,如在申请调阅通讯录时没有说明原因;
5.每次要求用户提供个人敏感信息时,如身份证号、银行卡号等,未同步实时说明原因;
6.有关收集使用规则的内容晦涩难懂、冗长繁琐;
7.其他没有明示收集使用个人信息的目的、方式和范围的情形。
三、未经同意收集使用个人信息的情形
1.未经同意就开始收集个人信息,如App首次运行、提示用户阅读隐私政策前就开始收集个人信息;
2.用户明确拒绝后,仍收集个人信息,如用户不同意被收集地理位置信息时仍然收集;
3.实际收集使用的个人信息超出用户授权的范围;
【4.利用用户信息和算法定向推送新闻、广告等,未提供终止定向推送的选项;】
5.未经用户同意,私自调用可收集用户个人信息权限;
6.在未打开或使用App时,App后台调用用户个人信息;
7.未经用户同意私自更改用户设置的权限,包括App更新时将用户设置的权限恢复到默认状态;
8.用户明确拒绝App收集个人信息请求,App仍频繁征求用户同意,干扰用户正常使用;
9.违背与用户约定,不按隐私政策中的收集使用规则收集使用个人信息;
10.其他未经同意收集使用个人信息的情形。
四、违反必要性原则,收集与其提供的服务无关的个人信息的情形
1.实际收集的个人信息类型与现有业务功能无关,无关是指该类信息并非实现现有业务功能所必需;
2.在用户使用业务功能时,收集个人信息的频率等超出所使用的业务功能需要;
【3.捆绑多项业务功能一揽子征求用户同意,不同意则不提供任何单一服务;】
4.当用户拒绝某一业务功能收集个人信息的请求时,App停止提供其他业务功能;
5.如提供未经注册即可使用(如支持浏览、游客模式)的业务功能,用户若不同意收集此类业务功能所需以外的个人信息,App拒绝提供所有服务;
6.新增业务功能时,需收集的个人信息超出原有同意范围,如用户不同意收集,则拒绝提供原有业务功能,新增业务功能将取代原有业务功能的除外;
7.申请打开可收集无关信息的权限;
8.其他收集与其提供的服务无关的个人信息的情形。
五、未经同意向他人提供个人信息的情形
【1.未经同意,且未做匿名化处理,从客户端直接向第三方提供个人信息,包括App客户端嵌入第三方代码、插件(如sdk)等方式向第三方提供;】
【2.数据传输至App服务器后,未经同意,且未经匿名化处理,向第三方提供其收集的个人信息;】
3.其他未经同意向他人提供个人信息的情形。
六、未按法律规定提供删除或更正个人信息功能的情形
1.未提供更正、删除个人信息,注销用户账号的功能;
2.对于提供在线操作方式、客=服==电=话、电子邮件等方式的,进行相关操作未响应的;
3.需人工处理的,受理后未在承诺时限内(无承诺时限的,以15个工作日为限)完成核查和处理的;
4.更正、删除或注销操作提示完成后,依然未能更正、删除个人信息,注销用户账号的;
5.其他未采取措施予以删除或者更正的情形。
七、侵犯未成年人在网络空间合法权益的情形
【1.未经监护人同意,收集使用14 周岁以下(含)未成年人个人信息;】
【2. 未经监护人同意,利用14 周岁以下(含)未成年人信息和算法开展个性化推送新闻、时政信息、广告等定向推送活动。】