智联·西岸|数据立法迫在眉睫,这些内容你必须知道!
在大数据时代,你是不是经常因碰到下列情况而担忧?
1、登录一些APP或网站,在不知情的情况下,APP或网站会获取个人好友信息;
2、下载的某些APP,必须通过“捆绑”收集个人数据才能正常使用其功能;
3、在购物网站上买了一个东西,第二天打开全是类似产品的推荐;
4、在公共场所,若是安装了人脸识别设备,个人的隐私会不会泄露;
……
以上种种可能存在侵犯个人信息数据安全的风险!
现在《上海市数据条例(草案)》
(征求意见稿)问世啦!
小伙伴们不用担心数据安全保护问题了
让我们一起来研读这部
与我们工作与生活息息相关的
数据保护法规~
2021年9月30日,经上海市人大常委会办公厅公告,《上海市数据条例(草案)》(征求意见稿)(以下简称“条例”)向社会广泛征求意见。作为一部数据领域的综合性地方法规,条例在数据权益保护、数据流通利用、数据安全管理等方面制定了一系列规范,为上海全面推进城市数字化转型提供基础性制度保障。
让我们一起来看看这部法规针对
公民个人信息保护有哪些亮点?
一
内容亮点
对于数据权益权属问题,一直存在着较大的争议。随着数据的价值性日益凸显,基于对新型权益及时回应和规范的需求,出现了更多支持数据具有财产属性的观点。因此,出于对于数据安全保护的需要,条例明确规定了个人数据的人格权益与数据处理者的产品及服务的财产权益。
(二)设立专节加强个人信息保护
01收集个人非公开信息,以遵循“告知—同意”前置程序为原则
互联网时代,一些APP、网站过度收集个人信息的现象令人深感厌恶却又无可奈何,针对此现象,条例规定:
- 收集自然人非公开数据的,均应当以有效方式告知自然人,并取得其同意,在法定情形下才无须征得事先同意;
- 禁止过度收集或超出用途范畴处理信息;
- 自然人具有请求数据处理者进行更正、补充、删除涉及其个人信息的权利等。
02拒绝“捆绑”协议损害公民对个人信息的决定权长期以来,一些APP通过“捆绑”将收集个人数据与使用APP功能进行绑定,用户不同意全面授权,就无法使用该APP。不少用户往往被迫接受“捆绑”,这严重损害了用户的自主选择权。为此,条例规定,数据处理者不得以自然人不同意为由拒绝提供相关产品或服务,除非该个人信息为提供产品或服务所必需。
03用户有权拒绝被个性化推荐人脸识别、指纹验证、声控解锁等生物识别技术极具便利性,使得其在出现之后就在大范围的生活场景中被频繁使用,包括公民日常的移动支付、门禁出入等等。但是由于生物识别数据具有唯一性、终身性、不可更改性,一旦泄露或者被滥用,将造成较一般个人数据更为严重的损害后果。为此,条例规定:
- 生物识别数据仅在为处理个人数据目的所必需且不能替代外的情况下使用;
- 在公共场所安装人脸识别设备须明示告知有关信息;
- 处理通过人脸识别技术获取生物识别信息的,应当限于告知范围。
04生物识别数据不得滥用针对在购物网站等购买东西进行产品推送的情况,《条例》规定,通过自动化决策向自然人进行信息推送、商业营销的,应当同时提供不针对其个人特征的选项,或者向自然人提供便捷的拒绝方式。
(三)建立数据交易制度条例规定,本市支持数据交易服务机构有序发展,建立健全数据交易服务机构管理制度。除条例规定的情形外,市场主体以合法方式获取的数据,以及合法处理数据形成的数据产品和服务,可以依法交易。
(四)强调数据安全保护
条例确定了数据安全责任制,数据处理者是数据安全责任主体,并就责任主体应当履行的数据安全保护义务进行了罗列,给市场主体的数据安全合规指引了方向。
(五)确立了数据领域的公益诉讼制度
条例规定,对于数据处理者违反本条例规定处理个人信息,侵害众多个人权益的,人民检察院、市消费者权益保护委员会,以及由网信部门确定的组织,可以依法向人民法院提起诉讼。
《数据条例》明确规定了
企业在公民个人信息数据保护中
需要承担相应的法律责任
然而一些不法分子却“盯”上
数据的巨大价值
非法获取数据信息
让我们通过具体案例来了解
典型案例
案例1
未及时处理离职人员账号管理权限
服务器数据被篡改案
犯罪嫌疑人周某向其任职的某网络科技公司提出离职申请后,周某利用其身为编程员的VIP账号登陆公司后台服务器,将脚本文件分别植入该公司代理游戏的专门服务器和公司中转服务器。周某在离职后利用其植入在游戏服务器中的脚本文件,为游戏账号随意添加游戏币,进而在网上出售游戏账号非法获利。
案例2
违规出售求职者简历
侵犯公民个人信息案
犯罪嫌疑人方某进入某网聘公司工作,负责向招聘企业提供销售服务。陈某通过QQ结识方某,并提出以个人名义从网聘公司购买简历。此后,方某从网聘公司内部资料库中找到相关企业信息,通过网络PS企业公章的方式制作虚假的服务合同,进而违规向陈某个人出售招聘企业账号,供陈某用于下载求职者简历。经统计,方某违规出售求职者简历数量共计52115条。
案例3
以DDoS方式攻击网站IP地址
破坏计算机信息系统案
王某某发出攻击指令与攻击目标IP,张某某使用搭建在网络上的攻击平台采取DDoS方式攻击某网站旗下的三个IP 地址,导致三个IP对应的网站无法正常使用2小时以上,经查该网站旗下有不重复注册用户16万余个。
面对上述情况
企业又该如何合规
收集和使用个人信息
同时加强企业数据的安全性?
徐汇区检察院的检察官
为大家献上八条建议
让我们来一探究竟!
企业合规收集、使用、管理
个人信息数据的建议
及时识别适用的数据安全保护义务
数据领域创新性强、变化快,相关领域立法文件也必然会不断更新,对于企业提出的要求亦会随之发展,因此企业必须定期对应履行的合规义务及风险进行梳理、识别和更新适用。
2建立健全全流程数据安全管理制度
企业应根据自身情况,建立健全并有效执行符合法律法规要求的数据安全管理制度,包括必要的数据安全部门组织架构、公司内部安全管理制度、管理权限划分、各环节操作规程、安全设备采购记录、定期安全运维、数据库的备份恢复机制、数据安全投诉反馈制度、数据安全事件应急预案等。
3完善技术措施,确保数据安全
企业应根据所处行业及收集数据的特点等,采取相匹配的数据安全技术措施,包括防范计算机病毒、插件等外来渗透的技术措施,用于对数据安全监测预警和安全事件通报的技术措施,用于数据处理、备份恢复和加密的技术措施等。利用互联网等信息网络开展数据处理活动,应使用符合规定网络设备,遵守网络安全等级制度。
4全面履行个人信息保护义务
各企业均应严格按照法律规定,健全完善个人信息告知、同意规则;遵循数据收集必要且最小化原则;畅通与信息主体的沟通渠道,建立途径充分保障公民对其个人信息使用的知情权、补充更正权、删除权等。
数据处理全流程的风险管理控制
企业应对数据的收集、存储、使用、加工、传输、共享、开放、流通等所有环节做好合规性审查。比如,数据采集环节,企业需关注数据授权范围、数据来源的可追溯性、数据权属情况、收集程序合法性等。数据使用过程中,使用、加工的方式与用途、数据存储地点和时限需确保合法妥当,对敏感数据进行脱敏和加密处理。数据流动环节,内部应合理设置管理权限;外部应确保数据接收方的有效资质和安全保障能力;涉及数据跨境传输的,应当遵守国家相关规定,且履行相应前置程序。
6建立数据分级分类管理制度
企业应根据自身行业特点,参照国家有关部门颁布的不同行业的数据分类分级指引、指南、数据管理工作办法等文件,根据法律及自身情况将数据进行分类,并在分类的基础上,根据不同类别的重要程度及假设发生事故的严重程度,实施分级管理措施。
7完善应急预案响应和线索移送机制
当发生数据安全事件,相关方应按照应急预案第一时间启动应急处置机制,提高防护级别最大程度减少损失,同时规范固定完整电子数据,及时移送司法机关。
8有序参与数据要素市场竞争
随着各地鼓励利用数据产品参与市场交易,企业针对自己的核心数据产品,应相应制定规范的市场竞争策略,避免使用不正当竞争或者违反公平交易原则的手段破坏市场秩序而受到处罚。
稿件来源|第三检察部
文字编辑|苏莹莹、沈佳青
排版|沈佳青
图片|网络