网络空间战略论坛 CNITSEC2018.07 / 41 欧盟通用数据保护条例 (GDPR) 的立法目的是保护隐私权并促进该权利的行使。最大的亮点是从个人数据权利的法律归属上,设置了“个人数据”、“数据主体”和“数据主体权利”,并采用了严格的全球个人隐私保护要求。但是,我国《网络安全法》和《民法通则》并没有对“个人信息权”给出专门的法律定义,但根据上述对“个人信息权”法律边界的法律界定,可以可见,我国“个人信息”保护“知情权”的基础和核心不仅在于“个人信息”本身,更在于如何规范公民个人信息的收集、使用、处理和传输。个人信息的控制者和处理者的个人信息。 一、如何区分“个人数据”和“个人信息” 在互联网时代,信息(Information)和数据(Data)往往被很多政府规范性文件甚至法律视为同一个概念。目前,大多数国家在各国的个人信息保护立法中都将“个人信息”视为“个人资料”。欧盟个人数据保护指令第 2(a) 条将个人数据定义为“与已识别或可识别的自然人(数据主体)有关的任何信息”;法国数据处理、数据文件和《个人自由法》第 2(1) 条将个人数据定义为“与自然人有关的任何信息,这些信息可以被肢解或通过识别号间接识别,一个或多个特定于个人”;德国联邦数据保护法第 3 节将个人数据定义为“关于已识别或可识别个人(数据主体)的私人或特定状态的任何信息”。
GDPR 第 4 条将“个人数据”定义为“个人数据”,即与已识别或可识别的自然人(数据主体)相关的任何信息;可识别的自然人是指可以直接或间接识别的个人,特别是通过姓名、身份证号码、位置数据、在线身份识别等因素或与身体、生理、遗传、心理等相关的一种或多种因素,该自然人的经济、文化或社会身份。可见,GDPR对“个人数据”的定义本身就包括“可识别”和“可识别”自然人的个人信息。一般来说,个人隐私敏感信息被称为个人身份信息 (PII)。总结国家立法和欧盟GDPR,所谓“个人数据”,本质上就是个人的“网络信息”或“电子信息”。笔者一直坚持互联网和信息法中的“个人资料”和“个人信息”要严格区分,即个人信息=个人资料+分析处理。我国《网络安全法》和《民法通则》在立法技术上都使用了“个人信息”的表述,尤其是《网络安全法》第76条中的“网络数据”和“个人信息”的含义。正文解释:“网络数据是指通过网络收集、存储、传输、处理和生成的各种电子数据”; “个人信息是指能够单独或者与其他信息结合识别自然人的电子或者其他记录。”各种身份信息,包括但不限于自然人姓名、出生日期、身份证号码、个人生物特征信息、地址、电话号码等。
《信息安全技术个人信息安全工信部信息通信专家委员会委员、中国法学会网络与信息法学研究会常务理事王春辉》发表于2018年,联合国世界丝绸之路论坛网络空间国际合作委员会主席,南京邮电大学教授GDPR个人数据权与“网络空间战略论坛”个人信息权比较网络空间战略论坛CCNITSEC42/2018.07规范(GB/T 35273-2017)不仅定义了“个人信息主体”,即“个人信息所识别的自然人”,而且对个人信息做了更详细的定义:电子或其他可以单独使用或与其他信息结合使用,用于识别特定自然人身份或各类反映特定自然人活动的信息。可见,我国《网络安全法》及其配套法规从信息通信技术的角度对个人数据和个人信息进行了法律界定。 “个人信息权”的定义更加严谨,易于操作。笔者注意到,在个人信息权的内涵中,我国保护的重点是涉及公民隐私的个人信息。早在2012年,全国人大常委会发布的《互联网信息保护决定》第一条就明确规定,国家保护能够识别公民个人身份、涉及公民个人隐私的电子信息,与GDPR。
我国《民法通则》第五章“公民权利”承认和保护“个人信息权”为一种新型民事权利; GDPR 也将“个人数据权利”视为自然人的一项基本权利并给予特殊保护,根据 GDPR 第 1 条“主体和目标”第 2 款的规定,本条例保护自然人的基本权利和自由,在特别是自然人享有的个人数据权利。 二、欧盟GDPR作为一个整体的个人数据权利,GDPR主要突出数据隐私至上的原则,大大扩展了数据主体的数据权利范围和保护机制,控制了数据对个人数据的使用控制器和处理器。严格的限制增加了数据控制者和处理者对个人数据管理的法律责任网络安全个人信息是指,并对违反 GDPR,特别是监管机构发布的命令的行为实施了极其严厉的处罚。当然,在强调数据隐私保护的基础上,GDPR还明确了一些例外情况,即当数据隐私与数据公权发生冲突时,公权仍优先于私权。 GDPR赋予数据主体七项数据权利,主要包括知情权、访问权、修改权、删除权(被遗忘权)、限制处理权(反对权)、权利可移植性和反对权。 1. 知情权。数据控制者在收集个人信息时必须赋予个人充分的知情权。例如,根据 GDPR 第 14 条的规定,数据控制者在收集与数据主体相关的个人数据时,应当告知数据主体,包括数据控制者的身份和联系方式,以及数据控制者的使用目的等。数据处理中涉及的个人数据。以及处理个人数据等的法律依据。
2. 访问。 GDPR第15条具体规定了“数据主体的访问权”,即数据主体有权从数据控制者处了解其个人数据是否正在被处理,以及其数据是否正在被处理的真实情况。 ,数据主体应有权访问个人数据和知情权,例如处理数据的目的;有关个人资料的类型;已经或将要向数据接收者披露的个人数据的类型或接收者的类型,特别是如果数据的接收者属于第三国或国际组织等。 3. 修改权数据主体有权要求数据控制者及时更正与其相关的不准确个人数据。考虑到处理目的,数据主体有权填写不完整的个人数据,包括提供补充声明。 4. 删除权(被遗忘权)。数据主体有权要求数据控制者及时删除其个人数据。根据 GDPR 第 17 条第 1 款,当出现以下六种情况之一时,数据控制者有义务及时删除其个人数据,包括“个人数据不再需要用于收集或处理的目的” . GDPR 第 17 条第 3 款还规定了数据主体行使“删除权”的例外情况,前提是数据控制者基于公共利益或官方授权执行或执行任务, 欧盟或成员国 数据主体不能对国家法律要求处理的数据以及用于科学或历史研究目的或统计目的的数据行使“删除权”。
5. 限制处理的权利。在某些情况下,数据主体有权限制数据控制者对数据的处理。例如,数据主体对个人数据的准确性提出质疑,允许数据控制者在一定期限内验证个人数据的准确性;数据处理不合法,数据主体反对删除个人数据,并要求限制个人数据的使用;数据控制者不再出于处理目的需要个人数据,但数据主体需要个人数据来建立、行使或捍卫网络空间战略论坛 CNITSEC2018.07 / 43 等的合法权利. 6. 可移植性。数据主体有权以结构化、常用和机器可读的格式接收他提供给数据控制者的与其相关的个人数据,数据主体有权将这些数据传输给另一个数据控制者,并且数据主体需要传输数据。控制者应当配合数据主体的相应请求。根据欧盟数据工作保护组织于 2016 年 12 月公布的《数据可携权指南》,数据可携权不仅赋予用户获取和再利用相关数据的权利,还赋予用户传输的权利这样的数据。 GDPR 赋予数据主体“携带权”的同时,也规定了例外情况,主要是“携带权”不适用于为公共利益而执行的任务所必需的数据处理,也不适用于获得授权的官方数据处理等7. 反对权(right to object)。
数据主体有权随时反对根据第 6 条 (1) GDPR) 的 (e) 或 (f) 点处理与数据主体有关的数据,包括按照在此条款下,数据控制者必须立即停止对这部分个人数据的处理,除非数据控制者证明与数据主体的利益、权利和自由相比,处理存在压倒性的正当理由, 三、中国网络安全法下的个人信息权目前,我们没有具体的《个人信息保护法》,个人信息权仅网络安全法涵盖的范围 从法律属性上看,公民个人信息权保护应严格区分“个人信息权”和“个人隐私权” ”。长期以来,我国的民事立法并未将隐私权视为一项独立的基本权利。公民的隐私权直接受到公民权利的保护,而公民的隐私权则包含在名誉权中进行间接保护。因此,中国公民个人隐私权的保护并未得到有效重视。明确“个人信息权”,明确个人信息权保护规范。笔者认为,当前和未来,中国个人信息安全保护边界的基本含义是确保基本的个人权利和隐私权不被非法侵犯。在此基础上,本着“合法、正当、必要”的法律原则,促进个人信息资源的妥善处理和利用。我国《网络安全法》确立了多项“个人信息权”,但与GDPR相比,规定不够细化,规定更有原则性,一系列配套规范有待细化。
2018年5月实施的《信息安全技术个人信息安全规范》是《网络安全法》第四章的重要配套规范。在制定过程中,规范参考和对标国际最先进的规则和立法标准,也参考了国外个人信息保护最先进的立法,堪称中国的“GDPR”。但是,《个人信息安全规范》与GDPR最大的区别在于有效性级别不同。前者是标准,不是强制性标准,而是推荐性标准;后者的效力等级是欧盟的《条例》(No. EU-DSGVO)。我国《网络安全法》及其配套规定大致规定了七类“个人信息权利”:知情权、删除权、整改权、明示同意权、访问权、知情权。取消和撤回的权利。 1. 知情权。收集、使用公民个人信息,必须遵循合法、正当、必要的原则,目的明确,征得用户知情同意。 《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集的目的、方式和范围网络安全个人信息是指,信息的使用,并征得收集者的同意。 2. 删除权。 《网络安全法》第四十三条规定,个人发现网络运营者违反法律、行政法规的规定或者双方约定的收集个人信息的,有权要求网络运营者删除其个人信息。并使用他们的个人信息。我国网络安全法中的“删除权”与GDPR第17条规定的“删除权(被遗忘权)”基本相似。
数据主体有权要求数据控制者及时删除与其相关的个人数据,在某些情况下数据控制者有义务立即删除该等个人数据。 3. 更正权。 《网络安全法》第四十三条还规定,个人发现网络运营者收集、存储的个人信息有错误的,有权要求网络运营者更正。网络运营者应当采取措施予以删除或更正。我国网络安全法中的“更正权”类似于GDPR的“网络空间战略论坛CCNITSEC44/2018.07修改权”,即数据主体有权要求数据控制者纠正与之相关的不准确的个人数据。我国《网络安全法》中的“个人信息更正权”是指个人信息主体发现网络运营者收集、存储的个人信息错误或者缺失的,有权要求补充或更正。 我国《网络安全法》规定的“删除权”和“更正权”基本采用“避风港”规则,即在通知网络运营者的前提下“删除”或“更正”—— “通知删除或更正”是《网络安全法》中对网络运营者的允许性规定。 4.表示同意。 《个人信息安全规范》明确了“明示同意”的具体内涵,即个人信息主体通过书面声明或积极肯定行动明确授权对其个人信息进行特定处理。
此类肯定行为包括个人信息主体主动做出声明(电子或纸质形式)、主动勾选复选框、主动点击“同意”、“注册”、“发送”和“通话”等。相比我国《个人信息安全规范》的“明示同意”和GDPR严格的个人同意标准,后者更加详细和严谨。 GDPR 的个人同意必须是自愿的、具体的、具体的、知情的和明确的。个人以书面形式表示同意的,同意的内容应当易于理解并与其他事项区别开来,数据控制者不得扩大个人同意的范围。此外,GDPR 授权个人随时撤回事先同意,数据控制者应确保撤回同意与给予同意一样容易。这意味着个人信息主体主动发表声明、主动在格式合同中“核对”、主动点击“同意”等“明示同意”规则,将面临GDPR数据主体随意、方便撤回信息的合规风险。 5. 访问。我国《个人信息安全规范》7.4设置了“个人信息访问权”,要求个人信息控制者向个人信息主体提供三类信息的访问权:一是其持有的有关个人信息的信息。学科。二是上述个人信息的来源和目的;三是获得上述个人信息的第三方的身份或类型。个人信息主体提出访问非自愿提供的个人信息的,个人信息控制者可以综合考虑不响应请求可能给个人信息主体合法权益带来的风险和损害,以及技术可行性和实现请求的成本等因素后,做出是否响应的决定,并给出解释。 6. 取消权。个人信息主体有权注销其账户。我国《个人信息安全规范》7.8 要求个人信息控制者向个人信息主体提供注销账户的方法。一是通过注册账户提供服务的个人信息控制者,应当向个人信息主体提供注销账户的方法,方法应当简单易操作;其次,个人信息主体注销账户后,其个人信息应予以删除或匿名化处理。 7.撤回...