关于加强个人信息数据使用与保护的几点思考 – 作者:沃行山水369-安全小百科

随着互联网的发展，尤其是5G时代，移动互联网的普及，各种云应用及大数据的建立，个人信息数据的使用与保护尤其迫切。近期，中国互联网协会对外公布了《中国网民权益保护调查报告》，引发了外界对中国网民个人信息安全的关注。报告显示，近一年来，因个人信息泄露、垃圾信息、诈骗信息等原因，导致网民总体损失约805亿元。

当前，我国个人信息数据使用与保护方面主要有以下三个方面的问题。

一是“大数据”和“个人信息”概念界定模糊。

很多人用大数据做幌子，散播或者倒买倒卖个人信息数据。目前贩卖个人信息数据、精准推销或精准诈骗，已形成一条地下灰色链条。

二是缺少单独立法。

我国迄今尚未制定一部完整、统一的公民个人信息保护法。虽然在个别法律法规中也有关于保护个人信息的内容规定，但总体看，这些规定内容散乱，缺乏系统性、完整性。正因为个人信息保护机制的这种现状，导致了我国目前社会生活中个人信息频频遭受各种威胁。

汇总国内目前涉及的相关法律如下：

1、《网络安全法》第七十六条

（五）个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、shenfenzheng件号码、个人生物识别信息、住址、电话号码等。

2、全国人大常委《关于加强网络信息保护的决定》第一条

一、国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。

3、“两高一部”的《惩处公民个人信息犯罪通知》

公民个人信息包括公民的姓名、年龄、有效zheng件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。

4、“两高”关于侵犯公民个人信息刑事案件适用法律若干问题的解释

第一条刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、shenfenzheng件号码、通信通讯联系方式、住址、账号mima、财产状况、行踪轨迹等。

5、中华人民共和国民法典

第四编人格权

第六章隐私权和个人信息保护

第一千零三十四条自然人的个人信息受法律保护。

个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、shenfenzheng件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。

6、中华人民共和国刑法

第二百五十三条之一侵犯公民个人信息罪

违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

7、《中华人民共和国数据安全法》

将于2021年9月1日起施行。这部法律是数据领域中关于国家如何保护公民、组织与数据有关权益的基础性法律，其明确开展数据活动的组织、个人的数据安全保护义务，落实数据安全保护责任；

第四十二条明确指出，针对组织和个人不履行、违反“数据安全保护义务”等本法条款规定，将受到警告、整改、罚款等法律制裁。

三是多数互联网企业“隐私政策”透明度不高。

2018南都智库产品发布周“互联网法治论坛（北京）”发布了《2018年度常用APP隐私政策透明度排行榜》，公民对个人信息逾七成APP的隐私政策不合格，甚至出现了盗用别家隐私政策的现象。泄露用户数据信息事件时有发生。此外，为防控疫情需要，近期我们开展了扫码登记个人信息和现场采集个人信息工作。这些信息包含健康、住址、人脸信息等重要个人隐私信息，通过征集，被物业、商店、社区、企业等各种平台大量掌握。如何保护这些信息不被泄露和非法利用的问题，也亟待关注。

四、制定出台个人信息保护法的意义。

当今世界各国都将个人信息保护置于重要地位,不少国家对个人信息的保护都有专门立法。例如GDPR《一般数据保护法案》，欧盟成员国关于数据保护的法律法规，被视为当前最为全面、严格的数据保护法案。借鉴世界各国的经验，对个人信息保护进行专门立法，使个人信息保护工作有法可依，保障自然人的合法权益，促进信息的合理流通和利用，这是构建完善的个人信息保护机制最重要的一环。在立法层面，强调对个人敏感信息和个人一般信息的概念进行明确，并在法律保护上区别对待。个人敏感信息应限定为个人敏感隐私信息，对此应实施高强度保护，限制收集、加工、流动，及时删除。个人一般信息应强化利用，最大程度地发挥促进其商业和公共管理的作用，但也应防止不当使用。此外，个人信息立法的保护主体不是法人和其他非法人组织，而仅包括自然人。法人以及其他非法人组织的信息应由知识产权法和商业秘密等制度规制。

千呼万唤始出来，2020年10月22日第十三届全国人大常委会第二十二次会议审议了《中华人民共和国个人信息保护法(草案)》。本法共八章七十条，仅限个人对本法的解读：

第一章总则

综述：

《个人信息保护法（草案）》确立了“告知——同意”为核心的个人信息处理一系列规则，明确了国家机关对个人信息的保护义务，明确了适用范围、个人信息的定义、个人信息处理的过程和个人信息使用的原则。

具体关键点如下：

适用范围：组织、个人在中华人民共和国境内处理自然人个人信息的活动。
个人信息定义：是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。（匿名化是一种数据处理技术，是指个人信息经过处理无法识别特定自然人且不能复原的过程；经过匿名化处理的数据无法用来与任何个人关联到一起。实际在企业的应用方式主要是加密或脱敏）
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。（定义数据安全关注的重点）
原则：
1、合法、正当、诚信
2、有明确、合理的目的，限制实现处理目的的最小范围
3、公开、透明

第二章个人信息处理规则

第一节一般规定

综述：

规定个人信息处理者的责任和要求，强调个人存在许可权、拒绝权和访问权，强调受托方与个人信息处理者之间的责任关系。

具体关键点如下：

符合下列情形之一的,个人信息处理者方可处理个人信息：

(一)取得个人的同意;

(二)为订立或者履行个人作为一方当事人的合同所必需;

(三)为履行法定职责或者法定义务所必需;

(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

(五)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息;

(六)法律、行政法规规定的其他情形。

个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言向个人告知下列事项:

(一)个人信息处理者的身份和联系方式;

(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;

(三)个人行使本法规定权利的方式和程序;

(四)法律、行政法规规定应当告知的其他事项。

解读：本章对数据处理者的要求基本为管理性要求，组织在落实的时候，不仅要考虑自身业务隐私协议或与三方组织签署的协议上是否满足此部分内容要求，也要切实从技术上进行满足和定期验证。

第二节敏感个人信息的处理规则

综述：

对个人信息进一步细化，定义敏感个人信息的内容，规定基于个人同意处理敏感个人信息的，个人信息处理者应当取得个人的单独同意

具体关键点：

敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。

第三节国家机关处理个人信息的特别规定

略。

第三章个人信息跨境提供规则

综述：

近期的tiktok和WeChat事件，让我们切实感受到，美国对美国公民数据的管理严格；其实反过来看，我国对国内数据的跨境访问也同样严格，从网络安全法发布以来，国家越来越关注国内数据的跨境传输，很多国外的大公司相继在国内建立单独的公司或数据中心，用以管理中国国内的数据，本章节内容对我国境外提供个人需求的组织，需满足国家相关的评估、认证和备案等要求，且国家层面有权限制或者禁止此类行为。

具体关键点：

个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当至少具备下列一项条件:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
解读：此处可以参考国家已发布的《个人信息和重要数据出境安全评估办法（征求意见稿）》和《个人信息出境安全评估办法（征求意见稿）》
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准；
(四)法律、行政法规或者国家网信部门规定的其他条件。

关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。
2019年的《个人信息出境安全评估办法（征求意见稿）》对个人信息出境的限制做了收紧，未在量化定义哪些数据需要进行评估，个人信息出境前即需要申报评估具体如下：
第三条个人信息出境前，网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。
向不同的接收者提供个人信息应当分别申报安全评估，向同一接收者多次或连续提供个人信息无需多次评估。每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。

第四章个人在个人信息处理活动中的权利

综述：

本章节强调个人对个人信息存在知情权、决定权、访问权、拒绝权、被遗忘权和删除权。

解读：为了便与GDPR对别，综述中我引用了GDPR的部分词语。本章节中，国内的要求相对于GDPR的要求宽松一些，具体有点：(GDPR《一般数据保护法案》欧盟成员国关于数据保护的法律法规，被视为当前最为全面、严格的数据保护法案)

1、被遗忘权，GDPR是一对多的，不仅包含传统的删除权的权利要求，还包括要求数据控制者负责将其已经扩散出去的和提供给第三方的个人数据，采取必要的措施予以消除。而本章节未提及委托方的数据被遗忘权。

2、删除权，本文提到“法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止处理个人信息”，此句话相对于给个人信息删除留有缓和余地的，而GDPR的要求是物理删除，且为强制性要求；具体内容为：数据主体有权要求控制者无不当延误地删除有关其的个人数据；为遵守控制者所受制的联盟或成员国法律规定的法定义务，个人数据必须被删除。

第五章个人信息处理者的义务

综述：

个人信息处理者要采取相应的保护措施、指定个人信息保护负责人、定期做审计、风险评估等方式防治未授权的访问；境外公司在国内要设立专门机构或者指定代表；如出现人信息泄露的，应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。

具体关键点：

采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分级分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
解读：上述内容从技术和管理层面指导组织内的个人信息防护工作。
个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向第三方提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人有重大影响的个人信息处理活动。
风险评估的内容应当包括:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人的影响及风险程度;
(三)所采取的安全保护措施是否合法、有效并与风险程度相适应。
风险评估报告和处理情况记录应当至少保存三年。
解读：风险评估从网络安全法开始就一直被要求，且由监管方落实到日常管理中，企业务必重视定期开展内部的风险评估工作。
个人信息处理者发现个人信息泄露的，应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:
(一)个人信息泄露的原因；
(二)泄露的个人信息种类和可能造成的危害；
(三)已采取的补救措施；
(四)个人可以采取的减轻危害的措施；
(五)个人信息处理者的联系方式。

第六章履行个人信息保护职责的部门

规定个人信息保护职责的部门需要履行的责任，第56条规定，国家网信办负责统筹和协调个人信息保护工作和监督管理，及国务院有关部门、县级以上地方人民政府有关部门，统称为“履行个人信息保护职责的部门”。

解读：从全文看，我国采用的是分散管理的模式，这与一些国家设置统一的数据保护机构有所不同。监管机构的设置和权限划分是比较模糊的，会导致企业在执行的过程中无所适从。这增加了企业合规的难度和潜在风险。考虑到《网络安全法》，《数据安全法》等，均对网络及数据安全保护义务设定了处罚条款，在具体执行中企业还可能面临法律适用、多头监管，甚至监管及处罚口径不统一的困境。一旦出现重复执法，或执法不当等情况，企业将囧途堪言。

第七章法律责任

综述：

对违背个人信息安全法的人员、组织采取一定的惩罚。

具体关键点：

违反本法规定处理个人信息，或者处理个人信息未按照规定采取必要的安全保护措施的，由履行个人信息保护职责的部门责令改正，没收违法所得,给予警告;拒不改正的, 并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为，情节严重的,由履行个人信息保护职责的部门责令改正，没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

第八章附则

综述：

对关键词语进行定义和解释。

具体关键点：

(一)个人信息处理者,是指自主决定处理目的、处理方式等个人信息处理事项的组织、个人。

(二)自动化决策,是指利用个人信息对个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,通过计算机程序自动分析、评估并进行决策的活动。

(三)去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。

(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。

五、在个人信息保护法实施中，建议相关行业部门加强监管，建立企业网络信息安全管理制度，并实现备案制度。

对采集或者涉及接入个人信息的运营平台进行备案使用制度，对个人信息采集渠道、使用个人信息的属性（如姓名，联系信息，健康信息，生物信息等）、使用个人信息的用途、使用信息的平台名称、运营平台的服务器地址、运营平台的信息负责人、运营平台对个人信息保护措施或方案等都进行登记备案，定期对企业进行检查，通过建立对网站上传信息的审查机制和投诉举报机制等督促落实，不良信用记录共享，敦促企业提高对个人信息的保护力度。

六、扩大开展第三方网络信息安全评测范围。

目前，针对网络信息安全规定的内容，主要是依据《中华人民共和国网络安全法》（简称网络安全法）和《网络安全等级保护条例》（简称等保条例）。其中，网络安全法规定，网络运营主体要按照等保条例实现等保制度。鉴于当前一半平台企业是等保条例的第一级，不需要直接进行等保测评，所以出现了多数互联网企业“隐私政策”透明度不高的问题。建议针对个人信息采集或涉及接入超过5万的平台或系统，由政府主导，开展第三方等保服务机构网络安全评测，从而排查出不具备网络安全能力的系统和平台，及早发现问题，补救漏洞。并降低评价费用，实行平价评测，减轻企业费用压力，提高企业实行网络安全评测的积极性，对行业的良性发展起到积极作用。

七、加强个人信息保护安全教育。

加大对个人信息保护的宣传力度，借助广播、电视、网络等媒介，营造良好的舆论氛围，提高全民的信息安全意识。重点加强青少年的个人信息保护教育。我国目前青少年网民数量已愈3亿，网络是他们成长和生活的重要内容，其生活方式甚至思想意识都与互联网息息相关。要开展相关法律进校园活动，进行学校普及性学，甚至可以摘取部分写进教材，在学生学习阶段就打下基础，提高全民个人信息安全意识。