当前位置:主页 > 城市资讯 > 《个人信息安全规范》史上最内行解读

城市资讯:《个人信息安全规范》史上最内行解读
作者:浑博延  发布日期:2018-08-30   浏览:55

《个人信息安全规范》史上最内行解读,

(原标题:《个人信息安全规范》史上最内行解读

2018年1月,国家尺度《信息安全技巧 个人信息安全规范》(以下简称“规范”)获批发布全文。尽管这是一部推荐性的国家尺度,不具有强制力,但仍引起了学界与实务界的广泛关注。

在关于规范的各类解读中,有声音以为规范的发布及时地填补了现今个人信息保护中诸多技巧细节与实操领域的规范空缺;也有声音以为,这部国家尺度规范比欧洲与美国对于个人信息保护的要求更为严格,可能会影响行业的发展。


洪延青:

对“《个人信息安全规范》比欧盟与美国更严格”观点的几点回应


对于种种懂得,规范的起草人之一、北京大学互联网发展研究中心高级参谋洪延青近日在由中国互联网协会研究中心主办的“网络产业与《个人信息安全规范》国家尺度研讨会”上做出了几点回应。

微信图片_20180205225350.jpg

1、《个人信息安全规范》比欧洲更严格吗?

-用户“同意”在规范中处于核心地位,但并非没有考虑“正当利益”


在近日发布的《个人信息安全规范》中,对于个人信息的收集、转让、共享等各个环节中,都对用户的“昭示同意”做出了要求。

洪延青表现,个人信息所谓全生命周期每个环节,个人都是能参与到过程中往的,这些权利是《网络安全法》赋予的。

洪延青先容,《网络安全法》(以下简称“网安法”)对个人信息保护的规定有一个非常明显的特征,就是给个人特别强的把持权。比如说,收集使用需要个人的同意,即经被收集者同意;处理和保留必需遵循与用户的协定;假如违反用户的协定处理或者保留个人信息,用户有删除和更正的权利。当发生安全事件之后,还需要通知到用户。

从这个方向来看的话,个人的“同意”,在处理个人信息过程中处于核心的地位

因此,有观点以为,这份尺度中对于“同意”的要求甚至比欧洲GDPR(《一般数据保护条例》)更为严格,理由是 GDPR有六个正当正当处理个人信息的事由,同意是第一项,后面五项不需要同意。第六项是正当利益。

洪延青对此持不同意见,他解释,GDPR中有两种同意的方法,一种是昭示同意(explicit consent),指明确写着“我同意”的字样让用户点击或勾选。而另一种是授权同意(unambiguous consent),指通过点击“发送”或者点击“拨打”等动作表明同意,但并不出现明文“同意”。

洪延青先容,在此次发布的《个人信息安全规范》中,是将以上两种情况合并为“昭示同意”,同时也为“授权同意”留下了空间

“为什么规范中没有提及默示同意?”,洪延青解释,首先,这样写怕企业会滥用默示同意。其次,目前承认“授权同意”,是希看互联网企业做到昭示同意,但假如现实大批的场景做不到昭示同意的话,还是需要用到授权同意的。“从这一点上我们的尺度实际上比欧盟松得多,跟相对宽松的美国相对是看齐的”,洪延青说。

而对于一些看法以为,欧盟GDPR中还考虑到“正当利益”的状况,即个人信息对某个组织来说非常重要,有重大的利益,但是处理个人信息对个人正当权益的影响非常小的情况下,通过利益衡量,答应组织不经过同意处理个人信息的做法。

洪延青表现,首先,“同意”的要求没有任何例外情况,这是遵循了网安法的要求,在其第41条的第一款中写“经被收集者同意”,这里没有给任何例外,假如网安法想给例外,这一条就完全另外一种写法,比如说,“有法律法规授权或者其他正当事由或者经被收集者同意”, 但是,(终极的网安法)没有“或”字,原文是“经被收集者同意”,字面上懂得的话,遵循法律原意就是各个环节被收集者同意。包含后面条款说到,“未经被收集者同意,不能向他人供给”。这也是法律的原话,同意是供给的主要事由之一。当然后面提了一句假如匿名化不需要个人同意。

其次,洪延青指出,在现实中有什么样的场景经常用到正当利益,法院或者行政机关认可的站得住脚的对正当利益的使用实例,那么我们考虑写到“征得授权同意的例外”中。比如说产品出了一个故障,肯定需要回传一些信息做调试,再比如说需要计费,为了计费的目的肯定要收集个人信息。这时候,固然在国外,这叫正当利益的具体表现,但是我们没有写“正当利益”四个字,而是尽量把它放到“征得授权同意的例外”当中往。

AI智能 大数据 物联网 新科技 城市资讯
Copyright © 2012-2018 版权所有  亚洲城娱乐_亚洲城国际娱乐_ca88亚洲城游戏官网 网站首页 | 网站地图1 | 网站地图2