说明:
1、本篇博客撰写于2021年2月
,因此博主只汇总了截止到2021年2月
的相关文件
2、对于没有正式发布的文件,标注了征求意见稿
或草案
字样
一、数据保护相关的重要法律、法规、规章及规范性文件
序号 | 文件名称 | 发布机构 | 生效时间 |
---|---|---|---|
1 | 《消费者权益保护法》第14条、第29条、第50条、第56条 | 全国人大常委会 | 2014年3月15日 |
2 | 《刑法修正案(七)》 | 全国人大常委 | 2009年2月28日 |
3 | 《刑法修正案(九)》第17条、第28条 | 全国人大常委会 | 2015年11月1日 |
4 | 《网络安全法》 | 全国人大常委会 | 2017年6月1日 |
5 | 《民法典》第111条、第1032-1039条 | 全国人大 | 2021年1月1日 |
6 | 《电子商务法》第5条、第23条、第25条、第32条 | 全国人大常委会 | 2019年1月1日 |
7 | 《密码法》 | 全国人大常委会 | 2020年1月1日 |
8 | 《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》 | 最高人民法院 | 2014年10月10日 |
9 | 《侵犯公民个人信息刑事案件解释》 | 最高人民法院、最高人民检察院 | 2017年6月1日 |
10 | 《网络犯罪解释》 | 最高人民法院、最高人民检察院 | 2019年11月1日 |
11 | 《征信业管理条例》 | 国务院 | 2013年3月15日 |
12 | 《电信和互联网用户个人信息保护规定》 | 工信部 | 2013年9月1日 |
13 | 《中国人民银行金融消费者权益保护实施办法》 | 中国人民银行 | 2016年12月14日 |
14 | 《儿童个人信息网络保护规定》 | 国家网信办 | 2019年10月1日 |
15 | 《APP违法违规认定办法》 | 国家互联网信息办公室秘书局 | 2019年11月28日 |
16 | 《网络安全审查办法》 | 国家网信办 | 2020年6月1日 |
17 | 《APP违法违规收集使用个人信息自评估指南》 | APP违法违规收集使用个人信息专项治理工作组 | 2019年3月3日 |
18 | 《数据安全法(草案)》 | 全国人大常委会 | 2020年7月3日 |
19 | 《CII保护条例(征求意见稿)》 | 国家网信办 | 2017年7月10日 |
20 | 《网络安全等级保护条例(征求意见稿)》 | 公安部 | 2018年6月27日 |
21 | 《数据安全管理办法(征求意见稿)》 | 国家网信办 | 2019年5月28日 |
22 | 《个人信息出境办法(征求意见稿)》 | 国家网信办 | 2019年6月13日 |
23 | 《网络安全漏洞管理规定》 | 工信部 | 2019年6月18日 |
二、数据保护相关的重要国家标准
序号 | 文件名称 | 发布机构 | 生效时间 |
---|---|---|---|
1 | 《网络安全等级保护基本要求》 | 市场监管总局、国家标准化委员会 | 2019年12月1日 |
2 | 《信息安全技术 网络安全等级保护测评要求》 | 市场监管总局、国家标准化委员会 | 2019年12月1日 |
3 | 《个人金融信息保护技术规范》 | 中国人民银行 | 2020年2月13日 |
4 | 《个人信息去标识化指南》 | 市场监管总局、国家标准化委员会 | 2020年3月1日 |
5 | 《大数据安全管理指南》 | 市场监管总局、国家标准化委员会 | 2020年3月1日 |
6 | 《信息安全技术 网络安全等级保护实施指南》 | 市场监管总局、国家标准化委员会 | 2020年3月1日 |
7 | 《个人信息安全规范》 | 市场监管总局、国家标准化委员会 | 2020年10月1日 |
8 | 《个人信息安全影响评估指南(征求意见稿)》 | 信安标委 | 2018年6月11日 |
9 | 《信息技术 安全技术 生物特征识别信息的保护要求(征求意见稿)》 | 信安标委 | 2019年6月25日 |
10 | 《个人信息告知同意指南(征求意见稿)》 | 信安标委 | 2020年1月20日 |
11 | 《信息安全技术 移动互联网APP收集个人信息基本规范(征求意见稿)》 | 信安标委 | 2020年1月20日 |
12 | 《网络安全标准实践指南-移动互联网APP收集使用个人信息自评估指南(征求意见稿)》 | 信安标委 | 2020年3月19日 |
三、数据保护相关法律规范介绍
3.1、网络安全法
2015年6月26日,第十二届全国人大常委会第十五次会议对《网络安全法(草案)》进行了首次审议,2016年11月7日第十二届全国人大常委会第二十四次会议表决通过,且于2016年11月7日正式公布,2017年6月1日网络安全法正式实施。作为我国网络安全领域的基本法,《网络安全法》的出台具有里程碑式的意义。
《网络安全法》中关于个人信息保护的规定主要涉及如下内容:
1、明确了个人信息收集、使用的相关原则
2、规定了网络运营者在维护网络信息安全方面的相关义务
3、明确了网络用户享有的个人信息相关权利
4、规定了违反个人信息保护相关要求的法律责任承担
3.2、刑法
《刑法》是保护公民权利、维护社会稳定发展的有力武器,在《刑法》中设置网络信息安全保护的相关条款,一方面有利于增强民众的防范意识,明确涉及信息安全的相关行为边界。另一方面随着信息化社会的发展,侵害公民个人信息的犯罪行为也随之增加,因此,通过《刑法》的规定明确对该类犯罪行为的打击也十分有必要。
《刑法》中涉及信息安全保护的主要罪名有:
1、第177条:窃取、收买、非法提供信用卡信息罪
2、第219条:侵犯商业秘密罪
3、第253条:侵犯公民个人信息罪
4、第285条:非法侵入计算机信息系统罪
5、第285条:非法获取计算机信息系统数据、非法控制计算机信息系统罪
6、第285条:提供侵入、非法控制计算机信息系统程序、工具罪
7、第286条:破坏计算机信息系统罪
8、第286条:拒不履行信息网络安全管理义务罪
9、第287条:非法利用信息网络罪
10、第287条:帮助信息网络犯罪活动罪
11、第308条:泄露不应公开的案件信息罪
12、第308条:披露、报道不应公开的案件信息罪
3.3、民法典
《民法典》在2020年5月28日正式发布,于2021年1月1日正式实施。《民法典》在第四编人格权编的第六章规定了隐私和个人信息保护,明确了个人信息的定义、个人信息的处理原则和条件、处理个人信息的免责事由、自然人查阅、复制、更正删除个人信息的权利、信息处理者的信息安全保护义务、未经同意不得对外提供个人信息等内容。
总体而言,《民法典》中个人信息保护相关的规定多是在《网络安全法》规定的基础上加以完善,整体规定偏原则性,具体适用仍然需要结合后续出台的个人信息保护相关立法和标准的规定。
3.4、消费者权益保护法
《消费者权益保护法》明确了消费者享有个人信息依法得到保护的权利,同时,对经营者收集、使用消费者个人信息提出了合法、正当、必要的原则性要求,明确了经营者收集使用消费者个人信息的原则,同时,要求经营者及其工作人员对消费者数据予以保密,采取必要的措施保障信息安全。
《消费者权益保护法》偏向于原则性规定,在实际实施过程中,经营者收集、使用消费者个人信息的制度过于原则,执法主体不明确,法律责任不到位,消费者个人信息被违法收集使用的势头还在蔓延。目前情况是消费者举证难、监管部门和消费者组织取证难、即使查实的案件也存在追责难、处罚轻的情况,难以起到震慑作用。
3.5、电子商务法
《电子商务法》于2018年8月31日正式发布,2019年1月1日正式实施,全文围绕电子商务经营者、电子商务用户以及有关主管部门各自的权利义务对个人信息保护相关的内容进行了规定,主要包括:
1、个人信息的收集、使用
2、关于个人信息的保存期限
3、个性化推荐中的个人合法权益
4、用户的相关权利
5、主管部门的权利义务
3.6、APP违法违规认定方法
《APP违法违规认定方法》采用罗列的方式列举了包括:
1、未公开收集使用规则
2、未明示收集使用个人信息的目的、方式和范围
3、未经用户同意收集使用个人信息
4、违反必要原则,收集与其提供的服务无关的个人信息
5、未经同意向他人提供个人信息
6、未按法律规定提供删除或更正个人信息功能
7、未公布投诉、举报方式等信息
七大类共计三十一中违法违规行为,为APP运营者收集、使用个人信息的行为划定了红线。
尽管《APP违法违规认定方法》涉及APP嵌入的第三方代码、插件隐瞒收集的相关问题,但由于其适用对象主要为APP运营者而非第三方服务的相关方(如SDK提供者),也并未为第三方服务相关方设定相应的披露义务从而实现对第三方服务相关方的约束,实践中仅仅依靠APP运营方,或许不足以解决第三方代码、插件隐瞒收集的问题。
3.7、个人信息安全规范
《个人信息安全规范》是由信安标委于2017年12月29日正式发布,并于2018年5月1日正式实施,《个人信息安全规范》是贯彻《网络安全法》中针对个人信息安全相关规定的重要配套规范之一。尽管其仅为推荐性国家标准而并非法律,但其精神却经常在监管部门的监管中所体现。
根据实践中个人信息收集、使用的变化以及《个人信息安全规范(2017)》在实施过程中出现的问题,信安标委分别于2019年2月1日、6月25日、10月22日发布了《个人信息安全规范(草案)》和两次征求意见稿,并于2020年3月6日发布了《个人信息安全规范》正式版。
几次修订一方面不断融合增加了实践中新出现的问题,另一方面也不断就现有的规定进行了调整,如不再强调个人信息跨境传输需进行安全评估、除新闻信息服务外不再强制要求向信息主体提供关闭个性化展示的选项
3.8、大数据安全管理指南
《大数据安全管理指南》于2017年5月开始征求意见,正式版于2019年8月30日发布,2020年3月1日正式开始实施。
《大数据安全管理指南》旨在通过提升掌握数据的组织的技术和管理能力的建设,加强数据采集、存储、处理、分发等环节的技术和管理措施,实现数据的有效保护,降低大数据应用过程中面临的安全风险。同时也明确了开展大数据活动的组织应当开展大数据安全管理工作,并对大数据安全管理的目标、内容和基本原则做出了具体的规定。
为了满足大数据安全管理的要求,开展大数据活动的组织需要满足保密性、完整性、可用性等要求,且需根据科学性、稳定性、实用性和扩展性的原则针对数据进行分类分级,并需遵循大数据生命周期中的采集、存储、处理、分发、删除等活动的安全要求。
四、总结感悟
现阶段我国对数据保护的立法中,已经有相当一部分较为具体、可操作的规定。但是由于缺少较高阶的法律加以统一,整体的法规和规范性文件依然处在一个较为分散和松散的状态,缺少系统性。当下,《个人信息保护法》和《数据安全法》等法律已经提上发布日程,可以预见,在不远的将来,立法对数据的保护会进一步完善,覆盖的广度和深度会进一步加强,数据和个人信息保护的重要性将会进一步提升。