LCOUNCIL推荐 | 电子商务与信息技术(二)《个人信息安全规范》出台后企业收集、使用、分享个人信息的合规要求及体系构建
本期互动背景
2017年12月29日,中国国家标准化管理委员会正式发布《个人信息安全规范》,并将于2018年5月1日起正式实施,其中,基于《网络安全法》中对于个人信息保护的基础、原则性条款进行了更加明确的规定,对企业个人信息合规具有重要的指引作用。
2017年,上海市公安局侦破个人信息犯罪案件超过1000起。2018年1月2日,江苏省消保委起诉北京百度网讯科技有限公司涉嫌违法获取消费者个人信息及相关问题一事正式立案审查;2018年1月6日,国家网信办网络安全协调局约谈“支付宝年度账单事件”当事企业负责人时,也强调了《个人信息安全规范》的准据效力。
《个人信息安全规范》通过清晰相关法律概念的界定,帮助企业明确个人信息的认定范围,对企业在个人信息的收集、保存和处理、转让和共享以及删除的过程提出合规要求。对于企业而言,完善内部管理制度,建立内部岗位及人员责任刻不容缓。
鉴于上述背景,LCOUNCIL聚焦于《个人信息安全规范》出台后企业收集、使用、分享个人信息的合规要求,特别邀请到在互联网领域具有丰富经验的合伙人律师,帮助企业完善内部管理,提出合规的策略与建议,以应对趋于严格的监管形势。
本期LCOUNCIL特邀专家
董潇律师是君合律师事务所北京办公室合伙人,业务领域包括外商投资、收购兼并、一般公司事务,以及电信互联网、信息及技术法。她代表的客户包括跨国公司、外商投资企业及内资企业。
在公司法及收购兼并领域,董律师为客户在运营的各个阶段提供法律咨询及服务,包括客户设立各种类型的法律实体、运营中的各种法律事务、业务许可及登记申请、业务重组、股权并购、资产并购及各项公司合规业务。她所服务的客户涉及各种行业,特别是钢铁行业、制造业、互联网、信息和高科技行业、教育行业等。在为客户提供法律支持的过程之中,董律师不仅对于处理结构复杂的各类跨境交易具有丰富的经验,同时她对于中国法律、政策和实践具有深厚的理解和判断,从而能为客户提供具有战略和实践意义的法律意见。
本期报告精选
一、什么是个人信息?
个人信息(Personal Information):以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
个人基本资料:
个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮箱。
个人身份信息:
身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等。
个人生物识别信息:
个人基因、指纹、声纹、耳廓、虹膜、面部特征等。
网络身份标识信息:
系统账号、IP地址、邮箱地址及与前述有关的密码、口令、口令保护答案、用户个人数字证书等。
个人健康生理信息:
个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、医治情况、家族病史、现病史、传染病史等、以及与个人身体健康状况产生的相关信息,及体重、身高、肺活量等。
个人教育工作信息:
个人职业、职位、工作单位、学历、学位、教育经历、工作经历、培训记录、成绩单。
个人财产信息:
银行账号、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息。
个人通信信息:
通信记录和内容、短信、彩信、电子邮件、以及描述个人通信的数据(通常成为元数据)等。
联系人信息:
通讯录、好友列表、群列表、电子邮件地址列表等。
个人上网记录:
指通过日志储存的用户操作记录、包括网站浏览记录、软件使用记录、点击记录等。
个人常用设备信息:
包括硬件序列号、设备Mac地址、软件列表,唯一设备识别码(如IMEI/Android ID/IDFA/OPENUDID/GUID、SIM卡IMSI信息等)在内的描述个人常用设备基本情况的信息。
个人位置信息:
包括行踪轨迹、精准定位信息、住宿信息、经纬度。
其他信息:
婚史、宗教信仰、性取向、未公开的违法犯罪记录等。
对于个人信息的定义,实践中公司的法务部门、业务部门、IP(Intellectual Property)部门、公司的Headquarter或是其他美国或欧盟的同行,会有不同的认识。在《消费者权益保护法》和工商总局《关于侵犯消费者权益的规定》中,对消费者的个人信息有所定义;工信部《关于电信互联网行业的信息保护规定》中,对于用户的个人信息也有所规定。
从《网络安全法》,包括《个人信息安全规范》角度来看,沿袭了一直以来各立法,特别是部门规章当中关于个人信息的定义。包括与工信部、国家工商总局还有一些其他的部门不断沟通的结果,基本趋于一致,只是在某些具体项目上的认识会稍有变化。共识即是:只需单独或能够结合其他信息来识别个人特定的自然人身份,或者反映特定自然人活动的各种信息,实际上都属于个人信息的范围。
综合整个立法的角度,包括在现阶段政府部门解释当中,对于个人信息的定义采取了比较开放的定义。个人的基本信息,如姓名、联系方式、邮箱地址,这些是没有异议的。这些在实践一致被认为是个人信息,对其采取若干保护的措施。在公司业务当中更多的是和设备相关的信息,以及使用此类电子设备、智能设备收集到的各类个人行为及轨迹的信息,这一类信息在实践中是否属于个人信息,是否需要匹配上述“能够真正去识别身份的个人信息”仍存在疑问。
在《个人信息安全规范》附件当中就明确做了个人信息举例,这与工信部此前对个人信息的定义以及分级,是一脉相承的。个人通信类的信息有很多,不光是通信的内容,也包括所谓的通信数据、通信的时间、时长等等。对于比较受关注的设备类信息,上网记录,个人位置信息,使用位置的轨迹和动作等都划分在个人信息之内。
在实践中,不光是合规的项目,还有很多收购类的项目当中,目标公司若是从事广告类的业务,或者是有大数据的业务,或者是在业务当中会使用这种大数据的工具,甚至包括可能会跟第三方的数据公司、数据平台合作,不管是提供还是会利用他方的数据来获得一些信息,都会面临同样的问题。在中国的实践当中,对于这类信息,有些是过SAI收集的,有些通过网页收集的各类行为、轨迹和设备信息,有一些离线工具收集的信息到底是不是完全的合规,还有待商榷。
二、什么是个人敏感信息?
个人敏感信息(Personal Sensitive Information):一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
个人财产信息:
银行账号、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息。
个人健康生理信息:
个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、医治情况、家族病史、现病史、传染病史等、以及与个人身体健康状况产生的相关信息,及体重、身高、肺活量等。
个人生物识别信息:
个人基因、指纹、声纹、耳廓、虹膜、面部特征等。
个人身份信息:
身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等。
网络身份标识信息:
系统账号、IP地址、邮箱地址及与前述有关的密码、口令、口令保护答案、用户个人数字证书等。
其他信息:
婚史、宗教信仰、性取向、未公开的违法犯罪记录、通信记录和内容、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等。
在个人信息的范围以外,《个人信息安全规范》也是第一次提出了“个人敏感信息”的概念。在2012年的工信部的《关于个人信息保护的国家标准》里也有,但是并没有做这样明确的示例,而且在《个人信息安全规范》当中对于敏感信息一些具体处理和操作的方式,相对于一般的个人信息而言所要采取的更进一步保护措施都进行了更加细节的规定。
其中把财产的信息、健康生理的信息、生物识别信息、个人身份信息,包括将网络身份的标识信息及其他可能会对个人产生身心损害或者歧视性待遇的信息,都归入了敏感信息的范围之内。这实际上是借鉴了欧盟的立法,但是在实践当中关于敏感信息怎样处理,是一个很大的难题。
长期以来,中国并没有对敏感信息的一些具体规定。所以不管是从收集端,还是公司内部的保存保管,以及向第三方转移、转让的过程中都未对敏感信息进行区分。现有实践当中,在整个公司规则制定,特别是和第三方的合作项目当中,敏感信息在安全措施上与收集、处理规则上需要加强、加严相应的措施,公司也需要考虑基本的处理规则和应对方式。
LCOUNCIL推荐
最新互动福利 | 中国企业征战海外:国际贸易出口、再出口管制危机的合规补救
最新互动福利 | 第一届企业反不正当竞争及品牌保护维权执法、司法峰会
最新互动福利 | 针对药品缺陷及医疗器械缺陷导致的产品责任纠纷及损害责任承担
最新互动福利 | 设备进口合同履行中的法律问题——关于迟延交货、设备接受、安装、调试、验收及索赔等事项
无论是时事热评、专业研究还是实务工作思考,诚挚邀请各位法律界资深人士投稿。一经投稿,即视为您授权文章在LCOUNCIL平台上进行发布,您的文章我们将会进行原创作者的署名,对您的内容进行原创保护。
投稿邮箱:editor@lcouncil.com
内容编辑:Cloe
排版编辑:Cathy