个人客户信息保护的法律法规及标准综述
个人信息保护的法律法规有哪些
个人信息保护的法律法规有哪些个人信息保护是当今社会中备受关注的一个重要问题。
随着科技的发展和互联网的普及,个人信息的泄露和滥用问题日益突出。
为了保护公民的个人隐私权,维护社会的信息安全,各国纷纷制定了相应的法律法规来规范个人信息的收集、管理和使用。
本文将介绍一些国内外的个人信息保护法律法规。
1. 国内法律法规在中国,保护个人信息的法律法规主要包括以下几个方面。
1.1 《中华人民共和国网络安全法》该法于2017年6月1日施行,是我国网络安全领域的基本法律。
其中第42条明确规定网络运营者应当按照法律法规的规定,采取技术措施和其他必要措施,保护个人信息的安全。
1.2 《中华人民共和国个人信息保护法(草案)》该法草案于2020年10月21日提交全国人民代表大会常务委员会审议。
该法草案对个人信息保护作出了更为具体的规定,包括对个人信息的收集、存储、使用、转移、披露等方面进行了详细的规范。
1.3 《中华人民共和国消费者权益保护法》该法明确规定,经营者在提供商品或者服务时,应当保护消费者的个人信息安全,不得违反法律、行政法规的规定收集、使用个人信息,不得泄露、出售或者非法向他人提供个人信息。
2. 国际法律法规除了国内的法律法规,国际上也有一些相关的法律规范。
2.1 《欧洲通用数据保护条例(GDPR)》该条例于2018年5月25日起生效,针对欧洲经济区内的个人数据保护提出了更为严格的要求。
该条例规定,个人数据必须经过明确的、正当的和合法的处理,并且必须事先获得数据主体的同意。
2.2 《加拿大个人信息保护与电子文件法》该法于2000年实施,保护加拿大公民的个人信息安全。
该法规定,在未经授权的情况下,个人信息不得被收集、使用或披露。
同时,该法还规定了个人信息处理的具体权限和义务。
2.3 《澳大利亚个人信息保护与相关法律法规》澳大利亚个人信息保护和相关法律法规通过一系列法律规定,明确了个人数据的收集、使用和披露应遵循的规定。
保护隐私的法律法规介绍
保护隐私的法律法规介绍随着互联网和信息技术的快速发展,个人隐私面临越来越大的挑战和威胁。
为了保护个人隐私,各国都制定了一系列的法律法规。
在本文中,我将对保护隐私的法律法规进行介绍和解析。
一、个人信息保护的法律法规1. 欧盟《通用数据保护条例》(GDPR)欧盟的《通用数据保护条例》于2018年5月25日正式生效。
该法规强调了个人数据的保护,要求所有处理个人数据的组织都必须遵守一系列的规定,包括对个人数据的合法性、透明性和安全性等方面进行保障。
2. 美国《加利福尼亚消费者隐私法》(CCPA)美国加利福尼亚州于2020年1月1日实施了《加利福尼亚消费者隐私法》。
该法案授予消费者更多的控制权,要求企业提供一系列用户隐私保护的选项和措施,并规定了对于个人数据的披露和销售要求。
3. 中国《个人信息保护法》中国正在制定《个人信息保护法》,该法旨在规范和保护个人信息的收集、存储、处理等活动。
该法将设立个人信息保护机构,加大对违规行为的处罚力度,以确保个人隐私得到更好的保护。
二、隐私保护的原则和措施1. 合法性原则隐私保护的首要原则是合法性。
个人信息的收集、使用和处理必须在法律法规的允许范围内进行,并且必须获得个人的同意。
2. 事先告知和明示同意原则个人信息的收集和使用需要提前告知个人并获得其明示同意。
告知内容必须清晰明了,包括收集信息的目的、使用方式和范围等。
3. 最小必要原则个人信息的收集和处理应尽量精确、完整,且仅限于实现特定目的所必要的范围。
不得收集和处理与预定目的无关的信息。
4. 安全保障措施保护个人信息安全是隐私保护的重要环节。
组织应采取必要的技术和管理措施,保障个人信息的安全,防止信息泄露、丢失或损毁。
5. 主体权利保护法律法规还规定了个人的权利保护措施,包括权利知情、访问和更正信息、删除和销毁信息等。
三、隐私保护的挑战和前景展望尽管各国都已经制定了相应的隐私保护法律,但随着技术的不断进步和应用的广泛推广,隐私保护面临着诸多挑战。
民法典下的个人信息保护法规
民法典下的个人信息保护法规在以信息技术为核心的数字时代,个人信息的保护问题引起了广泛的关注和重视。
为了更好地维护个人信息的合法权益,保护个人隐私,我国于2020年全面实施了民法典。
民法典下的个人信息保护法规成为保护个人信息安全的法律基础。
本文将从个人信息的概念、个人信息的保护原则以及相关的违法行为等方面进行阐述。
第一部分:个人信息的概念个人信息是指能够单独或者与其他信息结合识别特定自然人身份的各种信息。
个人信息包括但不限于姓名、出生日期、身份证号码、电话号码、住址等。
个人信息的保护是一项基本权利,个人有权决定自己的个人信息被谁获取、存储、使用以及分享的范围。
第二部分:个人信息的保护原则(一)合法性原则个人信息的获取、存储、使用以及分享必须遵循法律法规的规定,以及信息主体的明示同意原则。
只有在个人信息提供者明示同意的情况下,个人信息的收集和使用才是合法的。
个人信息处理者应当明确告知信息主体个人信息的用途、方式以及范围,并取得其同意。
(二)必要性原则个人信息处理者获取和使用个人信息必须是出于合法、正当的目的,并且在达到目的后立即停止获取和使用。
个人信息处理者不得过度收集和使用个人信息,不得违背信息主体明确表示拒绝或者撤回同意的意愿。
(三)安全性原则个人信息处理者应当采取合理的安全措施,防止个人信息的泄露、损毁、篡改或者丢失。
个人信息处理者应当严格履行信息保密义务,确保个人信息的安全性和保密性。
第三部分:相关的违法行为在民法典下,对于个人信息的非法收集、使用和泄露等违法行为,法律予以了明确的规定,并对违法者进行相应的制裁。
(一)非法收集个人信息个人信息处理者未经收集人明示同意,非法获取个人信息的行为被视为违法行为。
个人信息处理者在收集个人信息时,必须遵守合法性原则和必要性原则,确保收集的个人信息合法、正当,并且不超过必要范围。
(二)非法使用个人信息个人信息处理者将收集到的个人信息用于与收集目的不相符的用途,或者超出了信息主体明示同意的范围,都属于非法使用个人信息的行为。
个人信息保护法律法规汇总
个人信息保护法律法规汇总1、中华人民共和国宪法第三十三条凡具有中华人民共和国国籍的人都是中华人民共和国公民。
中华人民共和国公民在法律面前一律平等。
国家尊重和保障人权。
第三十八条中华人民共和国公民的人格尊严不受侵犯。
禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。
第三十九条中华人民共和国公民的住宅不受侵犯。
禁止非法搜查或者非法侵入公民的住宅。
第四十条中华人民共和国公民的通信自由和通信秘密受法律的保护。
除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。
第四十一条中华人民共和国公民对于任何国家机关和国家工作人员,有提出批评和建议的权利;对于任何国家机关和国家工作人员的违法失职行为,有向有关国家机关提出申诉、控告或者检举的权利,但是不得捏造或者歪曲事实进行诬告陷害。
对于公民的申诉、控告或者检举,有关国家机关必须查清事实,负责处理。
任何人不得压制和打击报由于国家机关和国家工作人员侵犯公民权利而受到损失的人,有依照法律规定取得赔偿的权利。
第四十七条中华人民共和国公民有进行科学研究、文学艺术创作和其他文化活动的自由。
国家对于从事教育、科学、技术、文学、艺术和其他文化事业的公民的有益于人民的创造性工作,给以鼓励和帮助。
第五十一条中华人民共和国公民在行使自由和权利的时候,不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利。
中华人民共和国宪法修正案(2004年)第二十四条宪法第三十三条增加一款,作为第三款:“国家尊重和保障人权。
”第三款相应地改为第四款。
2、中华人民共和国民法通则第九十九条公民享有姓名权,有权决定、使用和依照规定改变自己的姓名,禁止他人干涉、盗用、假冒。
法人、个体工商户、个人合伙享有名称权。
企业法人、个体工商户、个人合伙有权使用、依法转让自己的名称。
第一百条公民享有肖像权,未经本人同意,不得以营利为目的使用公民的肖像。
客户隐私保护的法律法规解析
客户隐私保护的法律法规解析随着数字经济的快速发展,客户隐私保护越来越被重视。
为了保护客户的个人信息安全,各国纷纷制定了相关法律法规。
本文将对客户隐私保护的法律法规进行详细的分析解析。
一、数据保护法数据保护法是客户隐私保护的基石。
该法规制定了企业收集、存储、处理和传输客户个人信息的合规要求。
例如,欧盟的《通用数据保护条例》(GDPR)要求企业获取客户同意、明示收集目的、保护信息安全等。
在美国,有通过《加州消费者隐私法案》和《个人信息保护与电子文档法》来保护客户隐私。
二、电子商务法随着电子商务的兴起,客户在线购物和支付已成为常态。
电子商务法重点关注客户个人信息的获取与使用。
例如,中国的《电子商务法》要求电商平台明确告知及保护客户的个人信息,不得未经授权泄露或非法销售。
同时,电子商务法还规定了对于违规行为的处罚措施,以确保客户权益得到有效保护。
三、金融隐私法金融隐私法主要应用于银行、保险和金融机构。
该法规旨在保护客户的财务信息免受未经授权的访问和利用。
例如,美国的《格兰斯利·莱奇》法案规定银行和金融机构必须保护客户的个人和财务信息,并明确了泄露信息的违规行为将面临相应的法律责任。
四、个人信息保护法个人信息保护法旨在保护客户的个人信息不被滥用、泄露或非法收集。
例如,日本的《个人信息保护法》明确规定了个人信息的收集和使用必须在客户明示同意的基础上进行,并规定了违反法规的行为将受到行政处罚或刑事处罚。
五、行业自律规范除了上述法律法规外,不同行业还制定了一些自律规范,以提高客户隐私保护的标准。
例如,互联网行业制定了《个人信息安全规范》,要求企业对客户个人信息进行加密处理、定期进行安全评估等措施,保障客户数据的安全性。
综上所述,客户隐私保护的法律法规在全球范围内得到了广泛关注和制定。
各国通过数据保护法、电子商务法、金融隐私法、个人信息保护法等法律法规,加强对客户个人信息的保护。
同时,行业自律规范的制定也对客户隐私保护起到了积极的推动作用。
个人信息保护法规解读(个人信息保护法全文解读)
个人信息保护法规解读1. 近年来,随着互联网技术的迅速发展,个人信息保护成为越来越热门的话题。
针对这一问题,国家也陆续出台了一系列法规和政策,其中关键的一项就是《中华人民共和国个人信息保护法》。
2. 该法规于2021年6月1日正式实施,旨在加强对个人信息的保护,维护公民的合法权益,促进信息化与经济社会发展的协调发展。
它是我国个人信息保护领域的第一部综合性法律,具有里程碑意义。
3. 该法规共五章四十条,其中包括了个人信息保护的基本原则、个人信息处理者的义务与责任、个人信息出境等方面的规定。
下面我们来具体解读其中的重点内容。
4. 首先,个人信息保护的基本原则包括了合法、正当、必要、明确的原则。
这意味着个人信息的收集、使用、存储必须在法律允许的范围内进行,并且需要事先得到个人的同意。
同时,个人信息处理者需要明确告知个人信息的目的、方式、范围等内容。
5. 其次,个人信息处理者的义务与责任也是该法规关注的重点。
个人信息处理者必须遵循法律法规的要求,保障个人信息的安全,防止信息泄露、滥用等行为。
对于违反规定造成的损害,个人信息处理者需要承担相应的法律责任。
6. 此外,该法规还对个人信息的出境进行了规定。
在个人信息出境前,处理者必须获得个人的明确同意,并且需要经过国家相关部门的审核和批准。
对于未经许可私自将个人信息出境的行为,个人信息处理者将受到处罚。
7. 除此之外,该法规还对敏感个人信息的收集、使用进行了特别规定。
敏感个人信息包括了身份证件号码、个人财产信息、健康生育等方面的信息。
个人信息处理者在进行敏感个人信息的收集、使用时,必须符合法律法规的规定,同时需要得到个人的明确同意。
8. 总之,个人信息保护法规的实施,将对我国信息化与经济社会的发展起到积极的促进作用。
个人信息处理者需要加强对个人信息的管理与保护,尊重个人隐私权。
同时,公民也需要增强自我保护意识,注意个人信息的保密与安全。
个人信息保护的法律法规
个人信息保护的法律法规在数字化和网络化的时代,个人信息的泄露和滥用已经成为一种严重的社会问题。
为了保护个人信息的隐私和安全,各国都制定了相应的法律法规。
本文将对个人信息保护的法律法规进行介绍和分析。
一、数据保护法数据保护法是保护个人信息的基础性法律。
它旨在为个人信息的处理和使用提供法律依据,并保障个人信息主体的权益。
该法律规定了个人信息的收集、存储、使用和处理的条件和限制,以及个人信息主体的权利和义务。
在欧洲,最具代表性的数据保护法是《欧盟通用数据保护条例》(GDPR)。
该法规定了个人信息主体的权利,包括知情权、访问权、修改权和删除权。
同时,该法还规定了个人信息处理者的义务,包括明确目的、保证安全和事后监督等。
在亚洲,许多国家也颁布了相应的数据保护法。
例如,中国的《个人信息保护法》旨在规范个人信息的收集和使用,明确了个人信息主体的权益和个人信息处理者的义务。
此外,韩国、日本、新加坡等国家也颁布了类似的法律。
二、隐私权保护法隐私权保护法是保护个人信息隐私和尊严的法律。
它规定了个人信息的使用和披露的条件和限制,并明确了个人隐私的保护范围和权利。
例如,在美国,最重要的隐私权法律是《个人隐私保护法》(Privacy Act)。
该法律规定了联邦政府机构对个人信息的收集和使用必须符合特定目的,且必须获得个人的明确同意。
在欧洲,个人隐私的保护采用了更为严格的措施。
《欧洲人权公约》明确规定了个人的隐私权,并规定了国家机关对个人信息的收集和使用必须符合法律的要求。
三、网络安全法随着互联网的快速发展,网络安全成为了个人信息保护的重要问题。
各国都相继颁布了网络安全法,以保障网络环境的安全和稳定。
例如,中国的《网络安全法》规定了网络运营者的责任和义务,要求他们采取合理的措施保护网络安全,并及时采取应急措施应对网络安全事件。
在欧洲,个人信息保护与网络安全的法律法规相互关联。
根据《欧盟通用数据保护条例》,个人信息处理者必须采取合理的安全措施,以保护个人信息免受黑客和网络攻击的侵害。
保护用户个人信息法规
保护用户个人信息法规随着数字化时代的到来,用户个人信息的泄露和滥用问题日益突出,各国政府纷纷立法制定保护用户个人信息的法规,以确保公民的隐私权和个人信息安全。
本文将重点探讨保护用户个人信息的法规,并分析其对用户和企业的影响。
一、背景介绍随着互联网的快速发展,人们在日常生活中越来越依赖网络,个人信息也成为互联网时代最重要的资源之一。
然而,个人信息泄露和滥用已经成为严重的社会问题,危害到用户的隐私权,甚至导致身份盗窃等经济损失和社会不安。
为了解决这一问题,各国政府相继制定了保护用户个人信息的法规,旨在规范企业的数据收集和处理行为,保护用户的个人信息安全。
二、保护用户个人信息的法律法规1. 欧洲通用数据保护条例(GDPR)GDPR是欧盟于2018年5月25日生效的一项重要法规,被誉为“个人数据的宪法”。
该法规要求企业必须明确收集和处理个人信息的目的,并得到用户的明示同意。
用户还有权利要求企业删除或更正其个人信息,以及选择是否接收广告推送。
GDPR的实施对全球企业产生了深远影响,不仅影响欧盟成员国的企业,还要求与欧盟有业务往来的其他国家的企业遵守相关规定。
它为用户提供了更广泛的个人信息保护权益,同时也对企业的数据处理流程提出了更高的要求。
2. 美国加州消费者隐私法案(CCPA)CCPA于2020年1月1日生效,是美国迄今为止最严格的个人信息保护法律之一。
该法案规定了企业必须向用户披露其收集的个人信息,并提供选择拒绝共享个人信息的权利。
用户还可以要求企业删除其个人信息,并禁止在未经授权的情况下销售其个人信息。
CCPA的实施对全球科技巨头如谷歌、Facebook等产生了重大影响,也引起了其他美国州以及其他国家立法机构的关注,为全球个人信息保护奠定了基础。
3. 中国个人信息保护法草案随着中国互联网的快速发展,个人信息泄露和滥用问题给社会造成了严重损害。
为了保护个人信息权益,中国国家人大常委会于2020年10月提出了《中华人民共和国个人信息保护法(草案)》。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
个人客户信息保护的法律法规及标准综述作者:刘佳张琳来源:《网络空间安全》2018年第10期摘要:论文针对个人客户信息保护相关的重要法律法规及标准进行分析,指出了各个标准的应用范围、关注重点和亮点,并针对移动运营商企业的客户数量庞大、客户信息种类多和客户信息敏感的特点,为移动运营商企业提出了客户信息保护的实施建议。
关键词:个人信息;法律法规;国际标准中图分类号:TP 393.08 文献标识码:A1 引言近年来,Facebook、阿里巴巴、京东等大型互联网公司均曾陷入过客户信息泄露风波。
随着数据泄露事件的增多,各国政府及标准化组织,出台了一系列相关的法律法规及标准规范,对客户信息提出了明确的保护要求和建议。
2017年6月《网络安全法》[1]正式实施,2018年5月欧盟《通用数据保护规范》[2]正式实施,这都标志着国际和国内政府对客户信息安全的保护要求提到了新的高度。
在越来越多、越来越严格的客户信息保护制度下,作为客户信息“集散地”之一的电信运营商,该如何保护自己的“数据资产”,是运营商企业非常重视的问题。
本文从国际和国内的个人信息保护相关的主要标准规范入手,对其内容特点分别做了深入分析,并提出了电信运营商企业的客户信息保护建议。
2 国际标准国际标准化组织对个人隐私数据的保护起步较早,国际标准化组织(International Organization for Standardization,ISO)、美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)等组织在2011年前后出台了个人隐私数据保护的系列标准,尤其是欧盟近期出台的通用数据保护规范(General Data Protection Regulation,GDPR),被认为史上最严的个人数据保护条例。
2.1 ISO 29100系列国际标准化组织在2011年和2013年分别出台了安全技术隐私保护框架ISO 29100[3]和隐私保护体系架构ISO 29101[4],标准中提出了隐私信息保护的要素、架构、原则及全生命周期等内容,旨在提供隐私保护的标准保护框架。
ISO 29100对隐私框架的基本要素进行了定义,列举了隐私保护遵守的原则。
标准中认为,隐私保护框架的基本要素包括参与者、角色、交互、对隐私信息的识别、隐私防护要求、隐私策略和隐私控制等,并对隐私数据的采集、使用、存储三个阶段提出了规范性要求,对数据保障措施和监督审查两个环节进行了重点描述,并建议涉及隐私保护的服务和应用均在此标准架构的基础上进行标准开发。
ISO 29101在隐私数据的全生命周期环节上,比ISO29100要求更加全面,描述了信息采集、传输、使用、存储和销毁五个阶段的要求,并提出了组件、角色和交互三种结构视图,与ISO 29100中的隐私保护原则进行对应。
同时,ISO 29101中提出了对隐私数据进行分级保护的概念,可分为敏感和非敏感级,但是并未对各类数据做明确的保护要求。
2.2 NIST出台的相关标准美国国家标准与技术研究院针对个人隐私数据也进行了研究,并出台了一系列标准和报告,NIST SP 800系列为风险控制类标准,其中与客户信息相关的标准包括NIST SP 800-53[5]、NIST SP 800-122[6]等。
NIST SP 800-53为联邦信息系统的安全和隐私控制规范,提出了隐私风险评估的具体流程、步骤和风险计算方法,制定了隐私控制目录,包含8类26个控制措施,每一个控制措施均分为一般要求和增强要求,并对应了不同的隐私保护级别,更便于组织机构在实施安全控制措施的同时,实施隐私控制措施的要求。
NIST SP 800-122为个人身份信息机密性指南,标准中提出对个人身份信息要从技术、管理、物理防护等多维度采取有效防护和控制措施,建议组织机构应使用基于风险管理的方法保护个人身份信息,也是对NIST SP 800-53附录中提出的“隐私控制”内容的细化。
2.3 通用数据保护规范2018年5月25日,欧盟的《通用数据保护规范》(General Data Protection Regulation,GDPR)正式生效。
较之前的个人数据保护标准,GDPR在管辖范围、个人数据范围、保护实施要求、监管惩罚力度等方面都提出了非常高的要求和标准,因此被称为“史上最严数据保护法案”。
(1)管辖范围更宽泛GDPR采用了“长臂管辖”原则,指出所有设立在欧盟境内的数据控制或者处理机构,其个人用户数据处理行为无论是否发生在欧盟境内均受GDPR约束管控;而对于设立在欧盟境外的数据控制或者处理机构,如果其向欧盟境内用户服务过程中存在个人数据处理行為,那么该机构也要遵守GDPR的规范要求。
(2)个人数据范围广GDPR中明确规定,与一个确定的或可识别的自然人相关的任何信息,如姓名、身份证号码、位置数据、在线身份识别等标识符,或自然人的身体、生理、遗传、心理、经济、文化或社会身份有关的一个或多个因素均纳入“个人数据”,同时,对以上信息进行的任何操作例如挖掘分析的结果数据也应纳入GDPR管辖的个人数据范围。
(3)保护实施要求高GDPR在“用户权利”“数据处理”等方面提出了更加严格的要求。
“数据处理”环节,需要对数据处理行为进行全面记录,确保数据处理过程的安全,并要实施个人数据保护影响评估;在“用户权利”环节,在“用户知情权”方面强调用户必须对个人数据的收集使用作出具体明晰的同意行为,而沉默、默认勾选等方式均不能作为同意依据,除此之外,在用户权利方面针对用户的更正权、被遗忘权、拒绝权等都做了明确规定,加强了用户主体权利的保护。
(4)监管惩罚力度大GDPR对违规数据处理的行为采取了分级处罚方式。
针对未做好数据处理记录、未进行数据保护影响评估等要求的数据处理机构,设定了最低1000万欧元或全球年营业额2%(取高)的罚款标准;如果数据处理机构违反了“用户知情同意权”、个人数据跨境传输等要求,则要面临 2000 万欧元或其全球年营业额 4%(取高)的巨额罚款。
2.4 小结ISO 29100系列标准强调隐私保护原则和隐私的全生命周期保护;而NIST SP 800-53和SP 800-122则是从风险管理、访问控制、职责分离等安全管理和控制手段方面来要求客户信息保护,二者均非强制性要求,但是为行业标准和企业标准的制定提供了很好的参考和对标标准。
GDPR则是上升到了法律层面,尤其是“长臂原则”使得欧盟范围外的很多企业都受其影响,必须严格遵守其条款,否则将会受到严厉的制裁。
除了以上标准外,还有一些限定领域的标准规范,例如ISO 29190、ISO 27018和ISO29134 及NIST SP 800-144等也属于隐私保护相关的标准范畴,分别用于规范企业级隐私保护等级的评价标准、公共云计算环境下的隐私保护标准和隐私信息管理影响评估标准等,本文将不再赘述。
3 国家法律法规3.1 电信和互联网用户个人信息保护规定《电信和互联网用户个人信息保护规定》[7]是为了保护电信和互联网用户的合法权益,维护网络信息安全而制定的法规,由中华人民共和国工业和信息化部令第24号公布,于2013年9月1日起施行。
规定中强调电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则,明确了其管辖范围包括在中华人民共和国境内提供的电信服务和互联网信息服务过程中收集、使用个人信息的活动。
同时,规定也提出了用户个人信息的涵盖范畴包括用户姓名、出生日期、身份证号码、住址、电话号码、账号密码等信息,并重点阐述了这些个人信息的收集、使用环节的执行要求和标准。
3.2 中华人民共和国网络安全法《中华人民共和国网络安全法》(简称《网络安全法》)由全国人民代表大会常务委员会发布,于2017年6月1日起施行。
适用于所有在中华人民共和国境内建设、运营、维护和使用的网络及网络运营者。
针对用户个人信息的保护,《网络安全法》在第四十一至四十五条进行了明确阐述,规范了网络运营者在用户个人信息收集、使用、存储等环节需要遵循的法律条款。
也在法律层面明确了用户个人信息收集、使用的用户告知权利,并首次明确提出所有的个人信息重要数据要境内存储。
4 国家标准4.1 公共及商用服务信息系统个人信息保护指南《公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)[8]于2013年2月起实施。
《指南》对个人信息保护遵循的原则进行了重点阐述,提出了人信息保护的八项原则,包括目的明确原则、最少够用原则、公开告知原则、个人同意原则、质量保证原则、安全保障原则、诚信履行原则和责任明确原则,这也为相关行业、企业标准制定的原则提供了标杆性参考。
其中公开告知原则、个人同意原则均在强调用户个人主体明确授权的权利,也是该《指南》最显著的特点,这两项原则在信息采集和传输环节又多次被强调和提出。
4.2 个人信息安全规范《信息安全技术个人信息安全规范》[9]于2017年12月发布,2018年5月1日开始实施。
规范重新归纳总结了责任原则、目的明确原则、最少够用原则、同意和选择原则、质量保证原则、确保安全原则、主体参与原则和公开透明原则的新八项原则,将《公共及商用服务信息系统个人信息保护指南》中的内容进行了重新归纳和排序,但原则内容基本保持一致。
规范中对个人信息的全生命周期的收集、传输、使用等环节进行了明确要求,并创新性的强调了用户信息收集频率、用户明示同意、信息存储期限等问题,作出了重点要求。
此外,规范的另外一个亮点,就是对个人信息提出了分类保护的概念,建议把个人信息分为个人身份和鉴别信息、个人服务和数据内容信息、个人服务相关信息三类,采取相应的技术手段进行保护。
5 影响及建议对于移动运营商企业来说,客户群体庞大,掌握的客户信息种类、渠道繁多,信息内容较为敏感,因此需要更加严格的遵守客户信息相关的规定,做好认真梳理,谨慎核查,以防疏漏。
对移动运营商企业的客户信息保护工作提出几点建议。
5.1 深入学习和研究国际国内法律法规针对国际和国内的法律法规,企业法务部门要进行相关条款的分析和解读,尤其像GDPR 这类具有“长臂原则”的国际法规,需要认真研究其管辖范围,协调公司内部各部门梳理涉及相关条款的子公司、部门、业务、设备、数据、人员等,预先做好法律风险评估和规避风险方案。
5.2 对标国际国内标准,制定行业或企业标准与国际、国内标准严格对标,并结合自身行业或业务特点,制定符合移动运营商业务特点的客户信息保护行业或企业标准。
从保护原则、保护框架上,要满足国际国内标准要求。
同时要从管理和技术上,做好客户信息分级防护,确保客户信息安全无死角。