当前位置:主页 > 城市资讯 > 中国个人信息安全国家尺度严格程度介于美欧之间

城市资讯:中国个人信息安全国家尺度严格程度介于美欧之间
作者:九高爽  发布日期:2018-08-30   浏览:183

中国个人信息安全国家尺度严格程度介于美欧之间,信息安全 互联网 网络安全法 法律 推荐性

(原标题:国家尺度《个人信息安全规范》发布,核心起草者权威解读)

中国个人信息安全国家尺度严格程度介于美欧之间

中国个人信息安全国家尺度严格程度介于美欧之间

中国个人信息安全国家尺度严格程度介于美欧之间


2018年1月,国家尺度《个人信息安全规范》(GB/T35273-2017)(以下简称规范)获批发布全文。尽管这是一部推荐性的国家尺度,不具有强制力。但仍引起了学界与实务界的广泛关注。2月2日下午,“网络产业与《个人信息安全规范》国家尺度研讨会”在北京举行。会议由中国互联网协会指导,中国互联网协会研究中心、互联网实验室、美国信息产业机构主办。会议从产业监管、安全治理、产业合规三方面解读了规范出台的影响和意义。

起草人之一、北京大学互联网发展研究中心高级参谋洪延青:

以为规范比欧盟更严格是误读

在关于规范的各类解读中,有声音以为规范的发布及时填补了现今个人信息保护中诸多技巧细节与实操领域的规范空缺;也有声音以为,这部国家尺度规范比欧洲与美国对于个人信息保护的要求更为严格,可能会影响行业的发展。

对于种种懂得,规范的起草人之一、北京大学互联网发展研究中心高级参谋洪延青近日在由中国互联网协会研究中心主办的“网络产业与《个人信息安全规范》国家尺度研讨会”上做出了几点回应。

用户“同意”处于核心地位

但并非没有考虑“正当利益”

在近日发布的《个人信息安全规范》中,对于个人信息的收集、转让、共享等各个环节,都对用户的“昭示同意”做出了要求。

洪延青表现,个人信息所谓全生命周期每个环节,个人都是能参与到过程中往的,这些权利是《网络安全法》赋予的。

洪延青先容,《网络安全法》(以下简称网安法)对个人信息保护的规定有一个非常明显的特征,就是给个人特别强的把持权。比如说,收集使用信息需要个人的同意,即经被收集者同意;处理和保留必需遵循与用户的协定;假如违反用户的协定处理或者保留个人信息,用户有删除和更正的权利。当发生安全事件之后,还需要通知到用户。

从这个方向来看的话,个人的“同意”,在处理个人信息过程中处于核心的地位。

因此,有观点以为,这份尺度中对于“同意”的要求甚至比欧洲GDPR(《一般数据保护条例》)更为严格,理由是GDPR有六个正当正当处理个人信息的事由,同意是第一项,后面五项不需要同意。第六项是正当利益。

洪延青对此持不同意见。他解释,GDPR中有两种同意的方法,一种是昭示同意(explicit consent),指明确写着“我同意”的字样让用户点击或勾选。而另一种是授权同意(unambigu-ousconsent),指通过点击“发送”或者点击“拨打”等动作表明同意,但并不出现明文“同意”。

洪延青先容,在此次发布的《个人信息安全规范》中,是将以上两种情况合并为“昭示同意”,同时也为“授权同意”留下了空间。

“为什么规范中没有提及默示同意?”洪延青解释,首先,这样写怕企业会滥用默示同意。其次,目前承认“授权同意”,是希看互联网企业做到昭示同意,但假如现实大批的场景做不到昭示同意的话,还是需要用到授权同意的。“从这一点上我们的尺度实际上比欧盟松得多,跟相对宽松的美国相对是看齐的,”洪延青说。

而对于一些看法以为,欧盟GDPR中还考虑到“正当利益”的状况,即个人信息对某个组织来说非常重要,有重大的利益,但是处理个人信息对个人正当权益的影响非常小的情况下,通过利益衡量,答应组织不经过同意处理个人信息的做法。

洪延青表现,首先,“同意”的要求没有任何例外情况,这是遵循了网安法的要求。其次,在现实中有什么样的场景经常用到正当利益,法院或者行政机关认可的站得住脚的对正当利益的使用实例,那么我们考虑写到“征得授权同意的例外”中。比如说产品出了一个故障,肯定需要回传一些信息做调试,再比如说需要计费,为了计费的目的肯定要收集个人信息。这时候,,固然在国外这叫正当利益的具体表现,但是我们没有写“正当利益”四个字,而是尽量把它放到“征得授权同意的例外”当中往。

AI智能 大数据 物联网 新科技 城市资讯
Copyright © 2012-2018 版权所有  亚洲城娱乐_亚洲城国际娱乐_ca88亚洲城游戏官网 网站首页 | 网站地图1 | 网站地图2