聊一聊个人信息保护

网络安全、数据合规和个人信息保护通常不是人们日常生活中的首要考量。然而,随着数据收集变得越来越容易,这些问题也越来越重要。本文将简要讨论与数据保护和隐私相关的法律法规的最新进展。

中国的网络安全

中国网络安全法(“网安法”)于2017年6月1日正式生效,至今已有3年。网安法是中国进行网络安全监督管理的主要法律依据,重点保护关乎社会公共利益的“关键信息基础设施(CII)”和关乎公民利益及组织利益的“个人信息”。

网安法及其配套制度,不仅仅是纸上谈兵的文字,而是切实应用在了社会生活中,对各类网络运营主体提出了高合规要求。

尽管大家都知道Covid-19爆发后诞生的“绿码”,但在我们的日常生活中还会产生很多其他的个人背景数据,而这些数据都能够被网站、政务软件和一些公司收集并进行处理与分析,甚至还能以此生成新的信息。

而这一点显然让很多人感到担忧。最常见的问题就是,政府和企业的这类数据收集行为合法吗?我的信息在被处理后还安全吗?我的信息会在我不知情的情况下被泄露吗?

这些问题的答案在网安法的框架下都能够找到。现行的网络安全法律框架可以总结为四大方面:网络运营管理、网络产品与服务、在线信息管理及个人信息保护。

目前,配套的法律、法规和标准已有数十部,且各层级的规则制定者都在对这些文件进行更新和解读。下文中,我们将着重介绍近期有关个人数据处理的主要进展之一:民法典。

个人信息保护2.0时代

在具有开创性的民法典中,专门针对“人格权”开辟了一个章节,其中详细地阐述并扩充了一些法律定义,同时对个人信息及其收集与使用设置了界线。

例如,民法典第1034条扩大了个人信息的定义,使得个人信息包含了“电子邮箱、健康信息、行踪信息”。这一规定与当下的疫情有着直接的联系。

第1035条再次强调了收集个人信息的一些限制,包括征得实际同意的要求和数据使用范围的明确。虽然这并非是一个巨大的改变,但值得注意的是,民法典在征得同意方面比网安法的规定更加细致,对于哪些人可以对哪些内容进行同意,尤其是针对未成年人等民事行为能力不足的群体,增加了进一步的限制。

关于上述的两个条款,第1036条列举了收集个人信息时行为人能够避免承担责任的三个例外情形:

  1. 在该自然人或者其监护人同意的合理范围内;
  2. 合理处理自然人自行公开的或其他已经合法公开的信息,但是该自然人明确拒绝或处理该信息侵害其重大利益的除外;及
  3. 其他为维护公共利益或自然人合法利益合理实施的行为。

第1037条为前文提出的问题作出了进一步解答,其通过允许人们向信息处理者查阅、更正、删除信息等方式,隐性增加了人们对个人信息进行收集、储存、使用或处理等行为的控制权。

要点提示

尽管本文只是对民法典中相关更新的简要概述,但可以肯定的是,个人信息保护在中国已经成为了一个非常重要的概念。对个人信息的必要收集受到网安法框架和民法典的约束,对于任何违反相关法律法规的行为,监管机构都将以日渐严格的措施进行处理。在极端情况下,例如个人信息发生大范围泄露时,可能会追究相关人员的刑事责任。

值得一提的是,新版《个人信息安全规范》将于2020年10月1日生效,并取代2017年公布的旧版规范。其中的重大更新包括:增加了“授权同意”的定义,新增了有关个人生物识别信息的特殊规定,并对第三方接入行为进行了深入规范。对于这些更新,我们将在日后进一步探讨。

上述更新只是有关中国个人信息保护的风向标。即使有些相关的法律法规仍在起草阶段,我们仍建议您密切关注相关规则的变化,并及时调整相应的合规计划。如您对本文中的信息有任何疑问,欢迎随时咨询达沃律师事务所。

如需获取个人意见,请
拨打电话+86.21.6288.8682
或发送电子邮件至info@dawo-lf.com与我们联系