新法解读 | 6月1日起,企业要如何应对公民个人信息的保护?
2017年6月1日起,《中华人民共和国网络安全法》(以下简称“《网络安全法》”)和《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“《两高解释》”)将正式实施。这标志着中国关于网络安全和个人信息保护力度提高到了新水平。
实际上最近几年,中国在网络安全和个人信息保护领域的新立法不断。各项行政、民事和刑事配套法律法规和司法解释的密集颁布,对企业提出更严格的网络安全和个人信息保护要求。因此,企业对公民个人信息和数据的保护应当特别关注,确保经营活动的合规性。借新法实施机会,我们结合自己的研究学习,就企业如何应对公民个人信息的保护事宜,整理此文供大家参考。
中国目前没有一部专门的个人信息保护方面的法律,对于个人信息的保护散落在不同的法律法规和规范性文件当中。例如,工业和信息化部发布的《规范互联网信息服务市场秩序若干规定》、《中华人民共和国消费者权益保护法》和《全国人大常委会关于加强网络信息保护的决定》等。为维护网络空间主权与社会公共利益,夯实个人信息保护的法律基础,全国人大常委会于2016年11月7日正式通过了《网络安全法》。此外,为满足互联网和大数据时代的要求,2017年3月15日通过的《中华人民共和国民法总则》(以下简称“《民法总则》”),将个人信息权从隐私权中分离,确立了个人信息权的独立地位。(可参见以下《个人信息保护相关法律法规一览表》)
| 序号 | 法规名称 |
| 1 | 《民法总则》 |
| 2 | 《网络安全法》 (2017年6月1日施行) |
| 3 | 《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》 (2017年6月1日施行) |
| 4 | 《网络预约出租汽车经营服务管理暂行办法》 (2016年11月1日施行) |
| 5 | 《移动互联网应用程序信息服务管理规定》 (2016年8月1日施行) |
| 6 | 《国务院办公厅关于深化改革推进出租汽车行业健康发展的指导意见》 (2016年7月26日施行) |
| 7 | 《国务院办公厅关于印发互联网金融风险专项整治工作实施方案的通知》 (2016年4月12日施行) |
| 8 | 《地图管理条例》 (2016年1月1日施行) |
| 9 | 《中国人民共和国刑法修正案(九)》 (2015年11月1日施行) |
| 10 | 《国务院关于印发促进大数据发展行动纲要的通知》 (2015年8月31日施行) |
| 11 | 《通信短信息服务管理规定》 (2015年6月30日施行) |
| 12 | 《网络零售第三方平台交易规则制定程序规定(试行)》 (2015年4月1日施行) |
| 13 | 《网络交易管理办法》 (2014年3月15日施行) |
| 14 | 《中国人民共和国消费者权益保护法(2013年修订)》 |
| 15 | 《电信和互联网用户个人信息保护规定》 |
| 16 | 《关于依法惩处侵害公民个人信息犯罪活动的通知》 (2013年4月23日施行) |
| 17 | 《全国人民代表大会关于加强网络信息保护的决定》 (2012年12月28日施行) |
| 18 | 《规范互联网信息服务市场秩序若干规定》 (2012年3月15日施行) |
| 19 | 《网络游戏管理暂行办法》 (2010年8月1日施行) |
| 20 | 《关于维护互联网安全的决定》 (2000年12月28日施行) |
通过对现有法律法规、部门规章的规定的分析,并参考司法审判和实践,我们认为,相关企业需尽快进行自查、充分掌握企业对内和对外关系中涉及网络安全、个人信息保护、重要数据保护的业务场景和合规需求,并在此基础上建立和完善相关管理制度、流程和法律文件,以满足日益严格的法律要求。
1了解公民个人信息的范围
《网络安全法》 | 《电信和互联网用户 | 《关于办理侵犯公民 |
第26条 个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 | 第4条 本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。 | 第1条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。 |
通过上表简要对比可知,不同法律法规对个人信息的定义有一定的差异。《两高解释》较之《网络安全法》扩大了适用知情同意原则的信息范围,不仅是“识别特定自然人身份”类信息,也包括“反应特定自然人活动情况的信息”。
2合法获取、使用公民个人信息
对企业而言,在生产经营过程中涉及的公民个人信息的主体(即特定自然人)主要有两类:一类是公司员工,另一类是客户或消费者。相较之下,客户或消费者信息的合法获取、使用通常是企业需要关注的重点。中国现有法律法规要求,个人信息的收集以信息主体的知情和同意为前提,原则上禁止未明示信息主体或未取得其同意而收集其个人信息。这一规定与世界上大多数国家的规定基本一致。
参考:
《网络安全法》第四十一条
网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
《中华人民共和国消费者权益保护法(2013年修订)》第二十九条
经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
3安全存储、管理公民个人信息
中国网络信息安全采用“谁收集,谁负责”的基本原则。《网络安全法》第四十条规定:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”保护制度包括技术、管理和其他必要措施。此次《两高解释》对“拒不履行信息网络安全管理义务罪”进行了进一步的明确,以此规范网络服务提供者更严格履行个人信息安全保护义务。
此外,网络服务提供者之外的一般信息收集、存储主体,如传统的生产制造业,对其收集的公民个人信息也同样有安全管理、保护的责任,需要采取必要的措施,确保信息安全。
参考:
《网络游戏管理暂行办法》第二十八条
网络游戏运营企业应当按照国家规定采取技术和管理措施保证网络信息安全,包括防范计算机病毒入侵和攻击破坏,备份重要数据库,保存用户注册信息、运营信息、维护日志等信息,依法保护国家秘密、商业秘密和用户个人信息。
《网络安全法》第四十二条
网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
4不得非法提供公民个人信息
对于向他人提供公民个人信息的处理原则,《两高解释》第三条与《网络安全法》第四十二条规定一致,均要求是被收集者的知情同意或对信息进行匿名处理(去可识别化)二选一。此次,非法“提供”包括向特定人提供和不特定人提供两种情形,即“向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息”。
对于非法获取、出售或者提供公民个人信息,符合“情节严重”或“情节特别严重”情形的,将被认定为刑事犯罪,而被追究刑事责任。如,“违法所得五千元以上的”,属于“情节严重”,可以“处三年以下有期徒刑或者拘役,并处或者单处罚金”; “造成被害人死亡、重伤、精神失常或者被绑架等严重后果的”,或者违法所得五万元以上的,属于“情节特别严重”,可以“处三年以上七年以下有期徒刑,并处罚金”。
参考:
《中华人民共和国消费者权益保护法(2013年修订)》第二十九条
经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
5注意个人信息的本地化
网络服务提供者通常掌握大量用户个人信息,这些信息一旦泄露将可能造成恶劣社会影响和严重危害后果,甚至影响国家安全。例如,网络游戏运营企业按照法律的规定,要求所有的网络游戏用户使用有效身份证件进行实名注册,获得大量的用户个人身份信息。
需要注意的是,2017年4月11日,中国国家互联网信息办公室发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“《办法》”),并向社会公众征求意见。《办法》在《网络安全法》的基础上,形成了一个大范围实施个人信息和重要数据储存本地化与个人信息及重要数据出境传输规范化的法律框架。概括的说,国家对在中国境内收集和产生的个人信息和重要数据以限制在境内存储为原则,确有业务需要,向境外提供为例外。
参考:
《网络安全法》第三十七条
关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
(完)
*本微信公众号发布的【原创】文章,均代表作者个人观点,不作为里格律师事务所及/或里格劳动合规团队出具的正式法律意见或建议。欢迎非营利性质的转载和引用,请注明作者和出处,未经许可不得改编其内容。如需正式咨询或商业合作,请和我们联系。
*关注本公众号并回复xxkd可以获取最新一期《劳动合规信息快递》。
*历史文章(点击文字即可阅读):
上海工会 | 虚假病假 | 病假审批 | 广东省劳动人事争议处理办法 | 广东省简易劳动合同范本 | 上海最低月工资标准 | 外国人来华工作许可 | 残疾人就业保障金调整 | 反不正当竞争法 | 禁烟令·劳动合同解除 | 劳动合同法修改 | 劳务合同/劳动合同 | 微信记录 | 公车私用 | 停工怠工 | 裁员/分公司解散 | 工会主席 | 职务侵占 | 职场性骚扰 | 带薪年休假 | 股权转让/停工怠工 | 社保审计 | 选举假工资 | 不定时工作制(三) | 不定时工作制 (二) | 不定时工作制 (一) | 企业解散 | 提前离职 | 加班时间 | 残疾人就业保障金 | 外国人来华工作许可 | 孝老假 | 就业歧视 | 《消费者权益保护法实施条例》 | 离婚vs.劳动关系 | 运动员劳动合同·社保·工伤 | 劳动争议解决 | 职业中暑 | 工资支付 | 解除劳动合同 ……
(关注我们可以持续获得文章推送)