【VK技术分享】数据安全怎么做—个人信息保护法解读
前言
本次文章不仅是对《个人信息保护法(草案)》的解读,也对个人信息安全相关法律的梳理,范围包括国内外,希望在整个个人信息合规层面不会有遗漏。如有遗漏,欢迎共识补充。
2020年10月13日,十三届全国人大常委会委员长会议提出了关于提请审议《个人信息保护法(草案)》的议案,也是继今年6月28日的《数据安全法(草案)》后的又一数据安全类的重要法案,本法在数据安全法的基础上,将数据细化至个人信息层面,整体的适用范围、原则和要求等基本相同,强调个人信息数据在组织或个人处理时的安全性。
公民个人信息定义
本次草案是针对个人信息层面的立法,解读开始之前,先整体看下国内外法律对“公民个
人信息”的定义说明:
国内
虽然《个人信息保护法(草案)》近期才发布,但是我国从很早就开始致力于构建个人信息保护法律的体系,相关整理如下:
序号
法律
时间
1
《刑法修正案(五)》
2005年
2
《刑法修正案(七)》
2009年
3
《侵权责任法》
2009年
4
全国人大常委《关于加强网络信息保护的决定》
2012年
5
《消费者权益保护法》
2013年
6
《刑法修正案(九)》
2015年
7
《网络安全法》
2016年
8
“两高”关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释
2017年
9
中华人民共和国民法典
2020年
10
数据安全保护法(草案)
2020年
11
个人信息保护法(草案)
2020年
其中明确对个人信息给出明确定义的相关内容如下:
1、《网络安全法》第七十六条
(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
2、全国人大常委《关于加强网络信息保护的决定》第一条
一、国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。
3、“两高一部”的《惩处公民个人信息犯罪通知》
公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。
4、“两高”关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释
第一条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
5、中华人民共和国民法典
第四编 人 格 权
第六章 隐私权和个人信息保护
第一千零三十四条 自然人的个人信息受法律保护。
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
国外
NIST 800-122中对个人信息的定义:
个人识别信息是“由代理机构维护的有关个人的任何信息,包括:
(1)任何可用于区分或追踪个人身份的信息,例如姓名,社会保险号,出生日期和地点,母亲的姓氏或生物特征记录;
(2)与个人链接或可链接的任何其他信息,例如医学,教育,财务和就业信息。PII的示例包括但不限于:
名称,例如全名,娘家姓,母亲的娘家姓或别名;
个人识别号,例如社会安全号(SSN),huzhao号,jiazhao号,纳税人识别号或金融帐户或xinyongka号;
地址信息,例如街道地址或电子邮件地址;
个人特征,包括照片图像(尤其是面部或其他识别特征),指纹,笔迹或其他生物特征数据(例如,视网膜扫描,语音签名,面部几何形状);
与上述内容之一相关或可链接的个人信息(例如,出生日期,出生地点,种族,宗教,体重,活动,地理指标,就业信息,医疗信息,教育信息,财务信息)。
GDPR中对个人数据的定义:
“个人数据”是指与已识别或可识别的自然人(以下简称“数据主体”)有关的所有信息;可以将自然人视为可识别的人,可以直接或间接地对其进行识别,特别是通过分配给诸如姓名,识别号,位置数据,在线标识符或一个或多个表示身体的特殊特征的标识符,该自然人的生理,遗传,心理,经济,文化或社会身份;
CCPA:
具体参见另一篇文章《数据安全怎么做:合规篇之CCPA》
相关法律责任
国内
1、中华人民共和国刑法
第二百五十三条之一 侵犯公民个人信息罪
违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
2、数据安全法草案
具体参见另一篇文章《数据安全怎么做:合规篇之数据安全法(草案)》
国外
GDPR:
根据不同的验证程度,处于一下两种罚款,详情可参见:https://dsgvo-gesetz.de/art-83-dsgvo/
处以最高10,000,000欧元的罚款,或者对公司而言,处以其上一财政年度全球年度总营业额的2%(以较高者为准)以下的罚款;
处以最高20,000,000欧元的罚款,或者对公司而言,处以其上一财政年度全球年度总营业额的4%(以较高者为准)以下的罚款。
CCPA:
具体参见另一篇文章《数据安全怎么做:合规篇之CCPA》
《个人信息保护法(草案)》解读
本法共八章七十条,下述内容是结合个人企业安全经验,对本法的解读:
第一章 总则
综述:
本章节明确了适用范围、个人信息的定义、个人信息处理的过程和个人信息使用的原则。
具体关键点如下:
适用范围:组织、个人在中华人民共和国境内处理自然人个人信息的活动。
个人信息定义:是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
注解:匿名化是一种数据处理技术,是指个人信息经过处理无法识别特定自然人 且不能复原的过程;经过匿名化处理的数据无法用来与任何个人关联到一起。实际在企业的应用方式主要是加密或脱敏。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。(定义数据安全关注的重点)
原则:
1、合法、正当、诚信
2、有明确、合理的目的,限制实现处理目的的最小范围
3、公开、透明
第二章 个人信息处理规则
第一节 一般规定
综述:
规定个人信息处理者的责任和要求,强调个人存在许可权、拒绝权和访问权,强调受托方与个人信息处理者之间的责任关系。
具体关键点如下:
符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立或者履行个人作为一方当事人的合同所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息;
(六)法律、行政法规规定的其他情形。
个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言向个人告知下列事项:
(一)个人信息处理者的身份和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
注解:本章对数据处理者的要求基本为管理性要求,组织在落实的时候,不仅要考虑自身业务隐私协议或与三方组织签署的协议上是否满足此部分内容要求,也要切实从技术上进行满足和定期验证。
举例:基于2019年底的关于印发《App违法违规收集使用个人信息行为认定方法》的通知,今年相关监管方已经针对国内主流的32万款app进行了技术检测,并针对未满足要求的公司发文公示和限期整改。
第二节 敏感个人信息的处理规则
综述:
对个人信息进一步细化,定义敏感个人信息的内容,规定基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意
具体关键点:
敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。
第三节 国家机关处理个人信息的特别规定
略。
第三章 个人信息跨境提供规则
综述:
近期的tiktok和WeChat事件,让我们切实感受到,美国对美国公民数据的管理严格;其实反过来看,我国对国内数据的跨境访问也同样严格,从网络安全法发布以来,国家越来越关注国内数据的跨境传输,很多国外的大公司相继在国内建立单独的公司或数据中心,用以管理中国国内的数据,本章节内容对我国境外提供个人需求的组织,需满足国家相关的评估、认证和备案等要求,且国家层面有权限制或者禁止此类行为。
具体关键点:
个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当至少具备下列一项条件:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
注解:此处可以参考国家已发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》和《个人信息出境安全评估办法(征求意见稿)》
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准;
(四)法律、行政法规或者国家网信部门规定的其他条件。
关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
注解:关于网信部门的规定数量在“《个人信息和重要数据出境安全评估办法(征求意见稿)》2017年”中有提及和定义,具体如下:
第七条网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责。
第九条出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估:
(一)含有或累计含有50万人以上的个人信息;
(二)数据量超过1000GB;
(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;
(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;
(五)关键信息基础设施运营者向境外提供个人信息和重要数据;
(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。
行业主管或监管部门不明确的,由国家网信部门组织评估。
但是在2019年的《个人信息出境安全评估办法(征求意见稿)》对个人信息出境的限制做了收紧,未在量化定义哪些数据需要进行评估,个人信息出境前即需要申报评估具体如下:
第三条 个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。
向不同的接收者提供个人信息应当分别申报安全评估,向同一接收者多次或连续提供个人信息无需多次评估。
每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。
第四章 个人在个人信息处理活动中的权利
综述:
本章节强调个人对个人信息存在知情权、决定权、访问权、拒绝权、被遗忘权和删除权。
注解:为了便与GDPR对别,综述中我引用了GDPR的部分词语。本章节中,国内的要求相对于GDPR的要求宽松一些,具体如下:
1、被遗忘权,GDPR是一对多的,不仅包含传统的删除权的权利要求,还包括要求数据控制者负责将其已经扩散出去的和提供给第三方的个人数据,采取必要的措施予以消除。而本章节未提及委托方的数据被遗忘权。
2、删除权,本文提到“法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止处理个人信息”,此句话相对于给个人信息删除留有缓和余地的,而GDPR的要求是物理删除,且为强制性要求;具体内容为:数据主体有权要求控制者无不当延误地删除有关其的个人数据;为遵守控制者所受制的联盟或成员国法律规定的法定义务,个人数据必须被删除。
第五章 个人信息处理者的义务
综述:
个人信息处理者要采取相应的保护措施、指定个人信息保护负责人、定期做审计、风险评估等方式防治未授权的访问;境外公司在国内要设立专门机构或者指定代表;如出现人信息泄露的,应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。
具体关键点:
采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分级分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
注解:上述内容从技术和管理层面指导组织内的个人信息防护工作。
个人信息处理者应当对下列个人信息处理活动 在事前进行风险评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向第三方提供个人信息、公开个 人信息;
(四)向境外提供个人信息;
(五)其他对个人有重大影响的个人信息处理活动。
风险评估的内容应当包括:
(一)个人信息的处理目的、处理方式等是否合法、正当、 必要;
(二)对个人的影响及风险程度;
(三)所采取的安全保护措施是否合法、有效并与风险程度 相适应。
风险评估报告和处理情况记录应当至少保存三年。
注解:风险评估从网络安全法开始就一直被要求,且由监管方落实到日常管理中, 企业务必重视定期开展内部的风险评估工作。
个人信息处理者发现个人信息泄露的,应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:
(一)个人信息泄露的原因;
(二)泄露的个人信息种类和可能造成的危害;
(三)已采取的补救措施;
(四)个人可以采取的减轻危害的措施;
(五)个人信息处理者的联系方式。
第六章 履行个人信息保护职责的部门
规定个人信息保护职责的部门需要履行的责任,相关略。
第七章 法律责任
综述:
对违背个人信息安全法的人员、组织采取一定的惩罚。
具体关键点:
违反本法规定处理个人信息,或者处理个人信 息未按照规定采取必要的安全保护措施的,由履行个人信息保护 职责的部门责令改正,没收违法所得,给予警告;拒不改正的, 并处一百万元以下罚款;对直接负责的主管人员和其他直接责任 人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由履行个人信息保护 职责的部门责令改正,没收违法所得,并处五千万元以下或者上 一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停 业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执 照;对直接负责的主管人员和其他直接责任人员处十万元以上一 百万元以下罚款。
第八章 附则
综述:
对关键词语进行定义和解释。
具体关键点:
(一)个人信息处理者,是指自主决定处理目的、处理方式 等个人信息处理事项的组织、个人。
(二)自动化决策,是指利用个人信息对个人的行为习惯、 兴趣爱好或者经济、健康、信用状况等,通过计算机程序自动分 析、评估并进行决策的活动。
(三)去标识化,是指个人信息经过处理,使其在不借助额 外信息的情况下无法识别特定自然人的过程。
(四)匿名化,是指个人信息经过处理无法识别特定自然人 且不能复原的过程。
总结
随着数据级别的相关要求逐渐上升到立法阶段,不仅更好的维护了国家、组织和个人的合法权益,也帮助组织和数据安全工作者指明了方向、提出了要求,让企业安全建设工作有抓手。
这是【vk技术分享】的第11期
后续我们将持续输出优秀的技术文章
如果您有任何希望交流讨论问题
欢迎在文末或后台进行留言
我们期待与您的技术交流和思想碰撞
点击下方图片
阅读【VK技术分享】往期精彩文章
[
【VK技术分享】Docker安全实践
[
【VK 技术分享】数据安全怎么做——数据防泄漏
[
【VK技术分享】数据安全怎么做——数据分类分级
关于VIPKID SRC
VIPKID安全响应中心(VIPKID Security Response Center)--简称VKSRC,隶属于VIPKID信息安全部,于2017年10月25日正式上线。VKSRC的上线,旨在建立一个连接白帽子、安全团队和安全爱好者们的官方渠道和沟通桥梁,主动收集、发现潜在的安全威胁,全方位保障VIPKID公司、用户及合作伙伴的信息和隐私数据安全,共建互联网安全生态。
点击上方蓝字关注我们
