第六章 个人信息保护制度(下) ——《网络安全法合规讲义》连载9
【编者按】本讲义由上海国瓴律师事务所名誉主任、上海交通大学信息内容分析技术国家工程研究中心网络空间治理研究中心主任、中国科学技术大学知识产权研究院人工智能与网络空间治理研究中心主任寿步教授撰写,是在寿步主编《网络安全法实用教程》(上海交通大学出版社2019年12月版)的基础上,全面收集整理2016年11月网络安全法发布至2024年6月期间的网络安全相关规范性文件,按照网络安全法制度设计的内在结构进行章节划分而编撰的。本讲义分为十章,同时收录2020年以来涉及网络运行安全和网络信息安全的52个案例。本讲义的内容取材于规范性文件或官方媒体,权威性高,实用性强,可供关心网络安全法律问题的读者阅读。连载共13篇。
连载目录
连载目录
9第六章 个人信息保护制度(下)
10第七章 违法信息监管制度
11第八章 数据出境安全管理制度
12第九章 网络安全监测预警与应急处置制度
13第十章 网络安全法律责任制度
第六章 个人信息保护制度(下)
第五节 个人信息的存储、委托处理、共享、转让、公开披露规则
一、相关规定
关于网络运营者的个人信息保护义务,网络安全法第四十二条规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”
关于禁止非法获取、出售、提供个人信息,网络安全法第四十四条规定:“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”
关于网络安全监管部门及其工作人员的保密义务,网络安全法第四十五条规定:“依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。”
民法典第一千零三十八条规定:“信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。
信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。”
第一千零三十九条规定:“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”
个人信息保护法“第五章 个人信息处理者的义务”部分,规定如下:
【安全保障义务】 第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
【信息保护负责人】第五十二条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
个人信息处理者应当公开个人信息保护负责人的联系方式等,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
【境外处理者处理中国公民信息的条件】第五十三条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
【合规审计】第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
【个人信息保护影响评估】第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
第五十六条 个人信息保护影响评估应当包括下列内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存三年。
GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》于 2020年11月19日发布,2021年6月1日实施。
【泄露补救措施】第五十七条 发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:
(一) 发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;
(三)个人信息处理者的联系方式。
个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。
【大型互联网平台的特殊义务】第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(四)定期发布个人信息保护社会责任报告,接受社会监督。
【受托人义务】第五十九条 接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。
二、个人信息的存储
个人信息安全规范的“6 个人信息的存储”部分有如下规定:
“6.1 个人信息存储时间最小化
对个人信息控制者的要求包括:
a) 个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间,法律法规另有规定或者个人信息主体另外授权同意的除外;
b) 超出上述个人信息存储期限后,应对个人信息进行删除或匿名化处理
6.2 去标识化处理
收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理。
6.3 敏感个人信息的传输和存储
对个人信息控制者的要求包括:
a) 传输和存储敏感个人信息时,应采用加密等安全措施;
注:采用密码技术时宜遵循密码管理相关国家标准。
b) 个人生物识别信息应与个人身份信息分开存储;
c) 原则上不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但不限于:
1)仅存储个人生物识别信息的摘要信息;
2)在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;
3) 在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。
注1:摘要信息通常具有不可逆特征,无法回溯到原始信息。
注2:个人信息控制者履行法律法规规定的义务相关的情形除外。
6.4 个人信息控制者停止运营
当个人信息控制者停止运营期产品或服务时,应:
a) 及时停止继续收集个人信息;
b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;
c) 对其所持的个人信息进行删除或匿名化处理。
三、个人信息的委托处理
个人信息安全规范的“9 个人信息的委托处理、共享、转让、公开披露”部分有如下规定:
“9.1 委托处理
个人信息控制者委托第三方处理个人信息时,应符合以下要求:
a) 个人信息控制者作出委托行为,不应超出已征得个人信息主体授权同意的范围或应遵守5.6所列情形;
b) 个人信息控制者应对为委托行为进行个人信息安全影响评估,确保受委托者达到11.5的数据安全能力要求;
c) 受委托者应:
1) 严格按照个人信息控制者的要求处理个人信息。受委托者因特殊原因未按照个人信息控制者的要求处理个人信息的,应及时向个人信息控制者反馈;
2)受托者确需再次委托时,应事先征得个人信息控制者的授权;
3)协助个人信息控制者响应个人信息主体基于8.1-8.6提出的请求;
4) 受委托者在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件的,应及时向个人信息控制者反馈;
5) 在委托关系解除时不再存储相关个人信息。
d) 个人信息控制者应对受委托者进行监督,方式包括但不限于:
1) 通过合同等方式规定受托者的责任和义务;
2)对受托者进行审计。
e) 个人信息控制者应准确记录和存储委托处理个人信息的情况;
f) 个人信息控制者得知或者发现受托者未按照委托要求处理个人信息,或未能有效履行个人信息安全保护责任的,应立即要求受托者停止相关行为,且采取或要求受托者采取有效补救措施(如更改口令、回收权限、断开网络连接等)控制或消除个人信息面临的安全风险。必要时个人信息控制者应终止与受托者的业务关系,并要求受托者及时删除从个人信息控制者获得的个人信息。”
四、个人信息的共享、转让
个人信息安全规范的“9 个人信息的委托处理、共享、转让、公开披露”部分有如下规定:
“9.2 个人信息共享、转让
个人信息控制者共享、转让个人信息时,应充分重视风险。共享转让个人信息,非因收购、兼并、重组、破产原因的,应符合以下要求:
a) 事先开展个人信息安全影响评估,并依据评估结果采取有效的保护个人信息主体的措施;
b) 向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别或者关联个人信息主体的除外;
c) 共享、转让敏感个人信息前,除b)中告知的内容外,还应向个人信息主体告知涉及的敏感个人信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;
d) 通过合同等方式规定数据接收方的责任和义务;
e) 准确记录和存储个人信息的共享、转让情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等;
f) 个人信息控制者发现数据接收方违反法律法规要求或双方约定处理个人信息的,应立即要求数据接收方停止相关行为,并采取或要求数据接收方采取有效补救措施(如更改口令、回收权限、断开网络链接等)控制或消除个人信息面临的安全风险;必要时个人信息控制者应解除与数据接收方的业务关系,并要求数据接收方及时删除从个人信息控制者获取的个人信息;
g) 因共享、转让个人信息发生安全事件对个人信息主体合法权益造成损害的,个人信息控制者应承担相应的责任。
h) 帮助个人信息主体了解数据接收方对个人信息的存储、使用等情况,以及个人信息主体的权利,例如,访问、更正、删除、注销账户等;
i) 个人生物识别信息原则上不应共享、转让。因业务需要,确需共享、转让的,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。
9.3收购、兼并、重组、破产时的个人信息转让
当个人信息控制者发生收购、兼并、重组、破产等变更时,对个人信息控制者的要求包括:
a) 向个人信息主体告知有关情况;
b) 变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务,如变更个人信息使用目的后,应重新取得个人信息主体的明示同意。
c) 如破产且无承接方的,对数据做删除处理。”
五、个人信息公开披露
个人信息安全规范的“9个人信息的委托处理、共享、转让、公开披露”部分有如下规定:
“9.4 个人信息公开披露
个人信息原则上不应公开披露。个人信息控制者经法律授权或具备合理事由确需公开披露时,应符合以下要求:
a) 事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
b) 向个人信息主体告知公开披露个人信息的目的、类型,并事先征得个人信息主体明示同意;
c) 公开披露敏感个人信息前,除b)中告知的内容外,还应向个人信息主体告知涉及的敏感个人信息的内容;
d) 准确记录和存储个人信息的公开披露情况,包括公开披露的日期、规模、目的、公开范围等;
e) 承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任;
f) 不应公开披露个人生物识别信息;
g) 不应公开披露我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果。”
六、共享、转让、公开披露个人信息时事先征得授权同意的例外
个人信息安全规范的“9个人信息的委托处理、共享、转让、公开披露”部分有如下规定:
“9.5 共享、转让、公开披露个人信息时事先征得授权同意的例外
以下情形中,个人信息控制者共享、转让、公开披露个人信息不必事先征得个人信息主体的授权同意:
a) 与个人信息控制者履行法律法规规定的义务相关的;
b) 与国家安全、国防安全直接相关的;
c) 与公共安全、公共卫生、重大公共利益直接相关的;
d) 与刑事侦查、起诉、审判和判决执行等直接相关的;
e) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;
f) 个人信息主体自行向社会公众公开的个人信息;
g) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;”
七、共同个人信息控制者
个人信息安全规范对“共同个人信息控制者”有如下规定:
“9.6 共同个人信息控制者
对个人信息控制者的要求包括:
a) 当个人信息控制者与第三方为共同个人信息控制者时,个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知;
b) 如未向个人信息主体明确告知第三方身份,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,个人信息控制者应承担因第三方引起的个人信息安全责任。
注:如个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件(例如,网络经营者与在其网页或应用程序中部署统计分析工具、软件开发工具包SDK、调用地图API接口),且该第三方并未单独向个人信息主体征得收集个人信息的授权同意,则个人信息控制者与该第三方在个人信息收集阶段为共同个人信息控制者。”
八、第三方接入管理
个人信息安全规范对“第三方接入管理”规定如下:
“9.7 第三方接入管理
当个人信息控制者在其产品或服务中接入具有收集个人信息功能的第三方产品或服务且不适用9.1-9.6时,对个人信息控制者的要求包括:
a) 建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件;
b) 应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施;
c) 应向个人信息主体明确标识产品或服务由第三方提供;
d) 应妥善留存平台第三方接入有关合同和管理记录,确保并供相关方查阅;
e) 应要求第三方根据本标准相关要求向个人信息主体征得收集个人信息的授权同意,必要时核验其实现的方式;
f) 应要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制,以供个人信息主体查询、使用;
g) 应监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入;
h) 产品或服务嵌入或接入第三方自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜采取以下措施:
1)开展技术监测确保其个人信息收集、使用行为符合约定要求;
2)对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定的行为,及时切断接入。”
第六节 个人信息的查询、更正、删除规则
一、相关规定
关于个人信息的删除和更正,网络安全法第四十三条规定:“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”
民法典第一千零三十七条规定:“自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。
自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。”
第一千零三十八条 信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。
信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
个人信息保护法“第四章 个人在个人信息处理活动中的权利”部分,规定如下:
【知情权、决定权、限制权、拒绝权】第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。
【查阅权和复制权】第四十五条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。
个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。
个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
【更正权】第四十六条 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。
个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。
【删除权】第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
(一)处理目的已实现、无法实现或者为实现处理目的不再必要;
(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;
(三)个人撤回同意;
(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
(五)法律、行政法规规定的其他情形。
法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
【解释权】第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。
【死者个人信息权利】 第四十九条 自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。
【请求权处理机制】第五十条 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。
二、个人信息查询
个人信息安全规范在“8 个人信息主体的权利”部分,有如下规定:
“8.1 个人信息查询
个人信息控制者应向个人信息主体提供查询下列信息的方法:
a) 其所持有的关于该主体的个人信息或个人信息的类型;
b) 上述个人信息的来源、所用于的目的;
c) 已经获得上述个人信息的第三方身份或类型;
注:个人信息主体提出查询非其主动提供的个人信息时,个人信息控制者可在综合考量不响应请求可能对个人信息主体合法权益带来的风险和损害,以及技术可行性、实现请求的成本等因素后,作出是否响应的决定,并给出解释说明。”
三、个人信息更正
个人信息安全规范“8 个人信息的权利”项下对个人信息更正规定如下:
“8.2 个人信息更正
个人信息主体发现个人信息控制者所持有的该主体的个人信息有错误或不完整的,个人信息控制者应为其提供请求更正或补充信息的方法。”
四、个人信息删除
个人信息安全规范“8 个人信息主体的权利”部分,有如下规定:
“8.3 个人信息删除
对个人信息控制者的要求包括:
a) 符合以下情形,个人信息主体要求删除的,应及时删除个人信息:
1)个人信息控制者违反法律法规规定,收集、使用个人信息的;
2)个人信息控制者违反与个人信息主体的约定,收集、使用个人信息的。
b) 个人信息控制者违反法律法规规定或违反与个人信息主体的约定向第三方共享、转让个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止共享、转让的行为,并通知第三方及时删除。
c) 个人信息控制者违反法律法规规定或违反与个人信息主体的约定,公开披露个人信息的,且个人信息主体要求删除的,个人信息控制者应立即停止公开披露的行为,并发布通知要求相关接收方删除相应的信息。”
五、个人信息主体撤回授权同意
个人信息安全规范在“8 个人信息主体的权利”部分,有如下规定:
“8.4 个人信息主体撤回授权同意
对个人信息控制者的要求包括:
a) 应向个人信息主体提供撤回收集、使用其个人信息的授权同意的方法。撤回授权同意后,个人信息控制者后续不应再处理相应的个人信息;
b) 应保障个人信息主体拒绝接收基于其个人信息推送商业广告的权利。对外共享、转让、公开披露个人信息,应向个人信息主体提供撤回授权同意的方法。
注:撤回授权同意不影响基于授权同意的个人信息处理。”
六、个人信息主体注销账户
个人信息安全规范在“8 个人信息主体的权利”部分,有如下规定:
“8.5 个人信息主体注销账户
对个人信息控制者的要求包括:
a) 通过注册账户提供产品或服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且方法简便易操作;
b) 受理注销账户请求后,需要人工处理的,应在承诺时限内(不超过15个工作日)完成核查和处理;
c) 注销过程如需进行身份核验,要求个人信息主体再次提供的个人信息类型不应多于注册、使用等服务环节收集的个人信息类型;
d) 注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务,如注销单个账户视同注销多个产品或服务,要求个人主体填写精确的历史操作记录作为注销的必要条件等;
注1:多个产品或服务之间存在必要业务关联关系的,例如,一旦注销某个产品或服务的账户,将会导致其他产品或服务的必要业务功能无法实现或者服务质量明显下降的,需向个人信息主体进行详细说明。
注2:产品或服务没有独立的账户体系的,可采取对该产品或服务账号以外其他个人信息进行删除,并切断账户体系与产品或服务的关联等措施实现注销。
e) 注销账户的过程需收集敏感个人信息核验身份时,应明确对收集敏感个人信息后的处理措施,如达成目的后立即删除或匿名化处理等;
f) 个人信息主体注销账户后,应及时删除其个人信息或匿名化处理。因法律法规规定需要留存个人信息的,不能再次将其用于日常业务活动中。
七、个人信息主体获取个人信息副本
个人信息安全规范在“8 个人信息主体的权利”项下规定个人信息主体获取个人信息副本的规则:
“8.6个人信息主体获取个人信息副本
根据个人信息主体的请求,个人信息控制者宜为个人信息主体提供获取以下类型个人信息副本的方法,或在技术可行的前提下直接将以下类型个人信息的副本传输给个人信息主体指定的第三方:
a) 本人的基本资料、身份信息;
b) 本人的健康生理信息、教育工作信息。”
八、响应个人信息主体的请求
个人信息安全规范在“8 个人信息主体的权利”部分,有如下规定:
“8.7 响应个人信息主体的请求
对个人信息控制住的要求包括:
a) 在验证个人信息主体身份后,应及时响应个人信息主体基于8.1-8.6提出的请求,应在三十天内或法律法规规定的期限内作出答复及合理解释,并告知个人信息主体外部纠纷解决途径;
b) 采用交互式页面(如网站、移动互联网应用程序、客户端软件等)提供产品或服务的,宜直接设置便捷的交互式页面提供功能或选项,便于个人信息主体在线行使其访问、更正、删除、撤回授权同意、注销账户等权利;
c) 对合理的请求原则上不收取费用,但对一定时期内多次重复的请求,可视情况收取一定成本费用;
d) 直接实现个人信息主体的请求需要付出高额成本或存在其他显著困难的,个人信息控制者应向个人信息主体提供替代方法,以保障个人信息主体的合法权益;
e) 以下情形可不响应个人信息主体基于8.1-8.6提出的请求,包括:
1) 与个人信息控制者履行法律法规规定的义务相关的;
2)与国家安全、国防安全直接相关的;
3)与公共安全、公共卫生、重大公共利益直接相关的;
4)与刑事侦查、起诉、审判和执行判决等直接相关的;
5)个人信息控制者有充分证据表明个人信息主体存在主观恶意或滥用权利的;
6)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;
7)响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的;
8)涉及商业秘密的。
f) 如决定不响应个人信息主体的请求,应向个人信息主体告知该决定的理由,并向个人信息主体提供投诉的途径。”
九、投诉管理
个人信息安全规范在“8 个人信息主体的权利”部分,有如下规定:
“8.8 投诉管理
个人信息控制者应建立投诉管理机制和投诉跟踪流程,并在合理的时间内对投诉进行响应。”
第七节 案例介绍
【案例1】2020年7月起,四川绵阳部分手机用户接到“客服人员”打来的电话。通话中称用户现在有多少多少手机积分并且即将过期,可以帮用户使用积分兑换精美礼品。于是,用户在所谓“客服人员”的引导下,把接收到的积分兑换验证码、收货地址、联系人这些信息全给了对方。骗子团伙根据手中掌握的用户手机号码、消费积分、家庭住址等公民个人信息,挨个打电话,骗走受害人积分。但要达成这样的效果,骗子团伙手里必然掌握了大量的公民个人信息。四川绵阳公安机关迅速成立专案组,顺藤摸瓜,终于撬开了一条贩卖公民个人信息的黑色产业链。根据嫌疑人的交代,专案组先是抓获了周某、张某等15名贩卖公民个人信息的“中间商”。专案组在勘验犯罪嫌疑人周某作案使用的电子设备时,提取到了一款外挂软件,这款软件可以实现在运营商系统内进行数据快速筛选、分类、批量下载等功能。同时,四川网安部门启动“一案双查”发现,中国移动通信集团公司绵阳分公司存在未采取必要措施防止个人信息泄露的问题,根据《网络安全法》第四十二条第二款、第六十四条第一款,给予该公司罚款3万元的处罚,同时给予该公司相关责任人员罚款1万元的处罚。
【案例2】2020年10月,贵州贵阳市公安局网安支队接上级通报,贵州某教育科技有限公司注册及使用的三款APP存在不同程度侵犯公民个人信息行为。接报后贵阳网安支队高度重视,立即到该公司现场进一步调查处置。经现场检查发现,该APP无隐私政策及收集使用个人信息规则,在用户首次登陆时以默认选择隐私政策等非明示方式征求用户同意、未逐一列出APP收集、使用个人信息的目的、方式、范围;没有提供有效的更正、删除个人信息及注销用户账号功能。上述行为违反了《网络安全法》第四十一条、四十三条,按照《网络安全法》第六十四条,对贵州某教育科技有限公司给予警告,对主要负责人孙某处以一万元罚款。
【案例3】2021年2月,大庆网警分局对某大型商超进行网络安全检查。检查中发现,该商超存在不履行个人信息保护义务行为,对收集的包含姓名、手机号码等公民个人信息管理混乱,未落实管理制度,未采取技术防护措施和其他必要措施,无法确保其收集的近20余万条公民个人信息不被泄露。大庆网警分局依据《网络安全法》第四十二条、第六十四条,对该大型商超给予警告行政处罚并责令限期整改。
【案例4】2021年3月,江苏省无锡市公安局网安支队了解到无锡市某公司疑似存在违规“刷脸”情况,遂前往调查。经查,该公司为统计店内客流量,于2020年12月底在某淘宝店购买了带有人脸识别功能的摄像头并安装使用。经查看后台数据,该摄像头及配套系统确有抓取保存人脸识别数据以及比对的功能。该公司在未经用户明示并取得同意的情况下收集客户信息的行为违反了《网络安全法》第四十一条、第六十四条第一款,被公安机关处以行政处罚并责令改正。
【案例5】2021年5月,自贡公安机关工作发现,辖区某公司片区负责人经公司同意后,以7000元的价格非法购买公民个人信息14000余条,后分发给公司工作人员,使用非法获取的公民个人信息开展招生工作,涉嫌非法获取个人信息。自贡公安机关根据《网络安全法》第四十四条、六十八条,对该公司作出罚款三十万元的行政处罚。
【案例6】2021年6月,南宁网安支队在网络安全监督检查中发现,广西某科技有限公司的南宁市机动车驾驶员计时培训系统采集了110多万驾驶员的个人信息并明文存储,未采取任何加密措施。根据《网络安全法》第四十二条、第六十四条,网安部门对该公司不履行个人信息保护义务的违法行为处以警告,责令其限期改正。
【案例7】2021年6月,南宁网安支队在排查中发现,广西某人力资源有限公司的求职招聘类APP存在超范围采集公民个人信息的情况。根据《网络安全法》第四十一条、第四十二条、第六十四条,网安部门对该公司不履行个人信息保护义务的违法行为处以警告,责令其限期改正。
【案例8】2021年6月,南宁网安支队在排查中发现,广西某文化传媒有限责任公司的房产中介APP中明文存储了20万公民个人信息,未采取任何加密措施、未公开收集使用规则。根据《网络安全法》第四十一条、第四十二条、第六十四条,网安部门对该公司不履行个人信息保护义务的违法行为处以警告,责令其限期改正。
【案例9】2021年6月,南宁网安支队在网络安全监督检查中发现,广西某婚姻服务有限公司的婚恋APP明文存储个人敏感信息,未采取任何加密措施、未公开收集使用规则。根据《网络安全法》第四十一条、第四十二条、第六十四条,网安部门对该公司不履行个人信息保护义务的违法行为处以警告,责令其限期改正。
【案例10】2021年6月,南宁网安支队在网络安全监督检查中发现,广西某科技有限公司的短视频APP明文存储公民个人信息,未采取任何加密措施、未公开收集使用规则,还存在超范围采集公民个人信息等情况。根据《网络安全法》第四十一条、第四十二条、第六十四条,网安部门对该公司不履行个人信息保护义务的违法行为处以警告,责令其限期改正。
【案例11】2021年7月,广元公安机关在工作中发现某企业未按约加强对签约代理商的安全培训和日常监管,未采取必要的监管和技术措施保护公民个人信息,致使签约代理商员工利用职务之便,在为客户办理手机号开卡及其他通讯业务时,违规向他人提供客户手机号码和短信验证码,恶意注册、出售网络账号,并非法获利,造成公民个人信息严重受损,该企业涉嫌不履行个人信息保护义务。广元公安机关根据《网络安全法》第二十二条、第四十一条和第六十四条,对该企业处行政警告处罚,对该企业签约代理商员工李某某、违法行为人赵某某、罗某某、舒某某分别立为刑事案件和行政案件进行侦查和查处。
【案例12】2021年7月,江苏省张家港市公安局接到群众反映,张家港市某房地产公司销售中心非法采集人脸信息。公安机关对该房地产公司的销售中心进行互联网安全监督检查,对摄像头及相关信息系统进行了重点检查。检查发现,该销售中心安装的摄像设备有识别并采集人脸信息的功能,人脸信息存储在相关信息系统内,由销售人员对客户个人信息进行完善。该销售中心在采集客户人脸信息前,未按照法律规定征得被采集人的明示同意,属于侵害个人信息依法得到保护的权利的违法行为。公安机关根据《网络安全法》第四十一条第一款、第六十四条第一款,对该房地产公司作出责令改正并处警告的行政处罚,对该单位直接负责人予以罚款。
【案例13】2022年1月,南昌公安机关在侦办陈某等人非法获取计算机信息系统数据案时,发现江西某单位信息系统中大量公民个人信息被非法窃取。该单位信息系统发生个人信息泄露时,存在未立即采取补救措施和向有关主管部门报告等违法行为。南昌公安机关同步对该单位启动“一案双查”,根据《网络安全法》第四十二条、第六十四条,对该单位给予行政警告并责令限期改正处罚。
【案例14】2022年1月,南昌公安机关工作发现辖区内某科技有限公司运营的交通类APP违法违规收集使用个人信息的违法行为。经调查,该APP存在未明示收集使用个人信息的目的、方式和范围,未经用户同意收集使用个人信息,违反必要原则,收集与其提供的服务无关的个人信息等问题。南昌公安机关根据《网络安全法》第四十一条、第六十四条,对该公司给予责令限期改正并处10万元罚款、对直接责任人处1万元罚款处罚。
【案例15】2022年3月,网安部门前往广西某实业集团有限公司进行网络安全检查时发现,该公司使用“某优品APP”向用户提供购物优惠信息。该APP在未向用户明示的情况下获取了手机精准定位、存储空间、电话、相机、麦克风等8项权限,并收集相关用户信息。民警通过调取APP客户端与服务器端交互数据发现,该APP在未向用户明示的情况已经采集了2万余人的身份证信息和手机号码、IMEI号等个人信息且上述数据未经过加密存储处理。网安部门依据《网络安全法》对其作出警告的行政处罚,并责令限期整改。
【案例16】2022年5月,赣州公安机关在侦办刑事案件中,发现辖区内某网络科技有限公司负责人李某某非法获取大量公民个人信息用于公司游戏实名认证,存在非法获取公民个人信息违法行为。赣州公安机关对该公司启动“一案双查”,根据《网络安全法》第四十四条、第六十四条,对该公司给予没收违法所得4.9万余元并处25.2万元罚款处罚。
【案例17】2022年7月,上饶公安机关在侦办欧某侵犯公民个人信息案件中,发现上饶市某单位职工高某某 (已另案处理) 利用工作便利获取公民个人信息并非法向他人提供。经查,该单位未对信息管理系统采取技术措施确保个人信息安全,不履行内部管理规章制度要求,导致网络安全责任制形同虚设。上饶公安机关对该单位启动“一案双查”,根据《网络安全法》第四十二条、第六十四条,对该单位给予行政警告并处30万元罚款处罚。
