敏感个人信息的处理重点
发布时间:2022-01-05 11:15:05 所属栏目:安全 来源:互联网
导读:数字经济方兴未艾, 正在日益与互联网、人工智能、云计算等行业深度融合发展。数据是数字经济的重要支撑, 已成为除土地、劳动力、资本和技术外的第五类生产要素。数据保护与规范亟需法律从个人信息与隐私保护、企业数据权益、国家安全与监管等维度作出系统
|
数字经济方兴未艾, 正在日益与互联网、人工智能、云计算等行业深度融合发展。数据是数字经济的重要支撑, 已成为除土地、劳动力、资本和技术外的第五类“生产要素”。数据保护与规范亟需法律从个人信息与隐私保护、企业数据权益、国家安全与监管等维度作出系统性的制度安排。作为数据保护制度的基础法律, 《个人信息保护法》和《数据安全法》的重要性毋庸置疑。2021年4月29日, 《个人信息保护法(草案二次审议稿)》《数据安全法(草案二次审议稿)》公布。从企业使用数据和合规遵从的视角, 通力网安数据业务小组对审议稿作出系列解读, 本文为第五篇《敏感个人信息的处理要点》。 相比于一般的个人信息, 敏感个人信息一旦遭到泄露或滥用, 可能对个人人身或财产安全造成更大的损害, 因此敏感个人信息亦应受到更加严格的保护。正因如此, 《个人信息保护法(草案二次审议稿)》(以下简称“《二审稿》”)设专节对于敏感个人信息及其处理规则作出了规定。本文试从《二审稿》的规定出发, 梳理现行法律法规下不同行业下敏感个人信息的处理要点, 并结合我们的执业经验就敏感个人信息的处理提供实务见解与建议。 《民法典》和《网络安全法》均对个人信息处理提出了“正当、合法、必要”的原则性要求。但是《民法典》和《网络安全法》均未对处理敏感个人信息时的“充分的必要性”要求进行进一步解释。从文义解释的角度来看, “必要”原则指的是在处理个人信息时应限定于实现目的所需最少个人信息和对个人主体影响最低的方式。在这一方面, 2019年11月发布的《App违法违规收集使用个人信息行为认定方法》(“《违法违规认定方法》”)将“收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关”、“收集个人信息的频度等超出业务功能实际需要”, “因用户不同意收集非必要个人信息或打开非必要权限, 拒绝提供业务功能”, “要求用户一次性同意打开多个可收集个人信息的权限, 用户不同意则无法使用”等行为认定为“违反必要原则, 收集与其提供服务无关的信息”的违法行为。《违法违规认定方法》不仅仅从收集信息的类型这一层面进行“必要性”的认定, 还从处理频率、收集方式等层面考虑, 意味着除了收集个人信息的范围之外, “必要”原则亦对个人信息的处理行为进行限制。2021年5月1日生效的《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称“《必要个人信息规定》”)则进一步规定39类服务收集的“必要个人信息”的范围, 同时《必要个人信息规定》亦对收集“非必要个人信息”的行为作出限制, 不允许因用户不同意提供非必要个人信息而拒绝用户使用其基本功能服务。我们理解, 《必要个人信息规定》亦遵循了《违法违规认定方法》的精神, 从收集个人信息范围和处理个人信息行为两方面对“必要性”原则进行解释。在实践中, 监管部门亦从“范围”和“行为”两方面进行考察, 例如上海市通信管理局在2021年2月25日通报的一批侵害用户权益典型案例中, 曾将“社交类App应用嵌入的SDK插件存在高频率收集读取手机状态和身份等个人隐私信息行为, 收集个人信息的频度超出业务功能实际需要”认定为“违反必要原则, 收集与其提供的服务无关的个人信息”的行为。 而关于如何理解“充分的必要性”以及其具体判断方法, 欧洲数据保护专员公署(European Data Protection Supervisor, 简称“EDPS”)2019年发布的《关于评估限制隐私权和个人数据基本权利的措施必要性的指南》 可资借鉴[1]。依据上述指南的规定, 在判断必要性时, 首先应说明待议的个人信息处理行为如何能实现处理目的, 再将待议方案与对个人信息主体权益侵害更小的替代方案进行比较, 说明侵害更小的替代方案不能同样有效地实现个人信息处理目的, 方可证明必要性的存在。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号