四、国家标准
(一)《个人信息安全规范》
《个人信息安全规范》由信安标委于2017年12月29日正式发布,并于2018年5月1日正式实施。《个人信息安全规范》是贯彻《网络安全法》中针对个人信息安全相关规定的重要配套规范之一。尽管其仅为推荐性国家标准而并非法律,但其精神却经常在监管部门的监管中所体现。
例如,早在2018年1月10日,在《个人信息安全规范》正式实施前,网信办网络安全协调局在因“支付宝年度账单事件”约谈支付宝时,便曾指出支付宝、芝麻信用收集使用个人信息的方式,不符合《个人信息安全规范》国家标准的精神。可见,在《个人信息保护法》出台前,作为推荐性国家标准的《个人信息安全规范》事实上成了监管部门执法活动中的重要参考依据,并为企业就个人信息的收集、使用、对外提供等一系列活动提供了行为规范方面的有益指导。
从具体内容上看,《个人信息安全规范》(2017)在借鉴国际立法实践和我国个人信息保护研究成果的基础上,对个人信息全生命周期的相关活动进行了规制,涵盖了个人信息的收集、存储、使用、委托处理、共享、转让、公开披露等环节,重申了收集、使用个人信息的前提是信息主体的同意,并基于此搭建起了一系列个人信息保护制度。其不仅可以作为企业个人信息合规治理的指导,弥补了实际操作层面的不足。同时,《个人信息安全规范》的出台还具有一定的信号功能[14],释放出“中国竭力保护个人信息安全”的声音。
根据实践中个人信息收集、使用的变化及《个人信息安全规范》(2017)在实施过程中出现的问题,信安标委分别于2019年2月1日、6月25日及10月22日发布了《个人信息安全规范(草案)》和两次征求意见稿,并于2020年3月6日发布了《个人信息安全规范》正式版。几次修订一方面不断融合增加了实践中新出现的问题,例如明确用户画像属于个人信息、补充对注销机制的具体要求、新增“通讯录、好友列表、群组列表”作为个人敏感信息举例、新增对生物识别信息收集、使用的规范等新的规定;另一方面也不断就现有的规定进行调整,如不再强调个人信息跨境传输需进行安全评估、除新闻信息服务外不再强制要求向信息主体提供关闭个性化展示的选项等。从某种程度上说,正是由于推荐性国家标准的属性,《个人信息安全规范》反而具有了充分的灵活性,可以及时根据实践的发展变化灵活调整对企业的规范要求,从而更好地实现对个人信息的保护。
(二)《个人信息去标识化指南》
1.出台背景
可识别性是个人信息的核心特性。从比较法的角度出发,各国数据立法均将可识别性作为个人信息的重要特征。例如,欧盟GDPR第4条明确规定,个人数据,是指与已识别或可识别的自然人(数据主体)相关的任何数据;可识别的自然人是指尤其通过姓名、身份证号、定位数据、网络标识符等标识符,或通过特定的身体、心理、基因、精神状态、经济、文化、社会等方面个人属性能够被直接或间接识别的自然人。[15]法国《数据处理、数据文件及个人自由法》明确,“个人数据是指可通过身份证件号码、一项或多项个人特有因素被直接或间接识别的自然人相关的任何信息”。我国台湾地区“个人资料保护法”认为个人资料系“自然人之姓名、出生年月日……及其他得以直接或间接方式识别该个人之资料”。换而言之,一旦丧失可识别性,无法用于识别到个人,该等信息就不再构成法律意义上的个人信息,也不再受到个人信息保护相关法律、法规的保护。
早在2017年8月25日,出于为个人信息处理相关方提供去标识化指导及为第三方机构测评提供参考依据的目的,信安标委针对去标识化问题发布了《个人信息去标识化指南(征求意见稿)》。2019年8月30日,市场监管总局国家标准化委员会发布了《个人信息去标识化指南》正式版,为企业开展去标识化操作提供了有益指引。
2.具体内容
所谓去标识化,按《个人信息去标识化指南》的定义,即通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别个人信息主体的过程。[16]因而,采用技术手段对个人信息去识别化,保留不具有可识别性的信息进行处理和挖掘便成为许多企业收集、使用个人信息的重要方式。
《个人信息去标识化指南》关注的待去标识化的数据集是微数据,涵盖了去标识化的目标、原则、技术、模型、过程和组织措施,目的是提出能科学有效地抵御安全风险、符合信息化发展需要的个人信息去标识化的实践指引。其明确了去标识化工作的重点不仅在于对数据集中的标识符进行删除或变换,也在于避免去标识化后的结合后期应用场景评估有关数据集被重标识的风险。
具体内容上,《个人信息去标识化指南》将共享行为按照可能的重标识风险和对去标识化的要求区分为完全公开共享、受控公开共享和领地公开共享,[17]并要求企业在开展去标识化工作前须根据应用需求确定数据的公开共享类型。同时,《个人信息去标识化指南》还针对去标识化的具体过程提供了详细的操作指引,并针对确定目标、识别标识、处理标识、验证审批、监控审查等不同的去标识化步骤提出了不同的操作要点。此外,《个人信息去标识化指南》还针对性地规定了数据控制者在开展去标识化工作时应筹划的人员安排,明确了规划管理者、执行者和监督者在去标识化过程中的具体职责,并对去标识化过程中数据控制者的人员管理提出了相应的要求。
(三)《大数据安全管理指南》
1.出台背景
大数据技术早已渗透入社会生活的方方面面,无论是国家治理、企业决策还是个人生活中,大数据都得到了广泛的应用。但在大数据技术普遍推广和运用的过程中,也暴露出了不少安全问题。大数据技术运用的前提是具备海量的可供使用的数据,而大数据服务的提供者往往倾向于获取更多的数据以提高其提供的服务的质量,这某种程度上也导致更多的数据处于被暴露的风险之中。同时,行业的快速发展也使得参与到大数据产业的实体越来越多。但部分实体或由于技术水平相对有限,或由于安全保障措施和技术不够完备,其管理或控制的数据被窃取或泄露的风险也相对升高,使得大数据安全问题愈发受到重视。《大数据安全管理指南》便是在该等背景下出台的。其于2017年5月开始征求意见,正式版于2019年8月30日发布并于2020年3月1日正式实施。
2.具体内容
在大数据的生命周期中,不同类型的组织都可能参与其中并针对数据作出不同的操作。因而《大数据安全管理指南》旨在通过提升掌握数据的组织的技术和管理能力的建设,加强数据采集、存储、处理、分发等环节的技术和管理措施,实现数据的有效保护,降低大数据应用过程中面临的安全风险。
《大数据安全管理指南》明确了开展大数据活动的组织应当开展大数据安全管理工作,并对大数据安全管理的目标、内容和基本原则作出了具体的规定。为满足大数据安全管理的要求,开展大数据活动的组织需要满足保密性、完整性、可用性等要求,且需根据科学性、稳定性、实用性和扩展性的原则针对数据进行分类分级,并需遵循大数据生命周期中的采集、存储、处理、分发、删除等活动的安全要求。此外,《大数据安全管理指南》还要求相关组织识别并评估大数据安全风险,并对大数据安全风险的类型进行了分别列举,以备相关组织进行针对性防范。
(四)《信息安全技术 个人信息安全影响评估指南(征求意见稿)》
1.出台背景
《个人信息安全规范》明确在汇聚融合个人信息、使用信息系统自动决策机制、委托处理、共享、转让、公开披露等处理个人信息的场景下,个人信息控制者需要事先开展个人信息安全影响评估,并针对个人信息安全影响评估作出了原则性规定。作为《个人信息安全规范》的配套标准,《信息安全技术 个人信息安全影响评估指南(征求意见稿)》(以下简称《个人信息安全影响评估指南(征求意见稿)》)在继承《个人信息安全规范》基本精神的情况下,对企业如何开展个人信息安全影响评估进行了细致的规定。
《个人信息安全规范》第3.8条明确,个人信息安全影响评估是指针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。作为在国际实践中被普遍采用的合规评估方式,个人信息安全影响评估是个人信息控制者实施风险管理的重要组成部分。可帮助企业确定遵守数据保护义务并满足信息主体对隐私保护的期望。对于企业而言,个人信息安全影响评估有利于其有效识别个人信息相关活动中面临的安全风险,并及时根据评估结果采取合理手段调整与修正。
2.具体内容
针对评估的开展,《个人信息安全影响评估指南(征求意见稿)》在第四部分“评估基本原理和框架”分别规定了评估价值、评估报告的使用对象、评估责任主体、评估规模、评估原理图、实施流程、评估活动方法、评估工作形式等内容。就评估方法,其介绍了访谈、检查与测试三种基本评估活动,并分别对开展访谈、检查与测试的具体方法进行了规定。在第五部分,《个人信息安全影响评估指南(征求意见稿)》为组织开展个人信息安全影响评估提供了详尽的流程指引,包括必要性分析、评估准备工作、组建评估团队、制定评估计划、确定评估对象和范围、相关方咨询等。
同时,《个人信息安全影响评估指南(征求意见稿)》进一步丰富了《个人信息安全规范》中规定的评估场景,将包括“需要对去标识化后的数据重标识使用时”“通过购买、从合作伙伴获得方式收集、使用个人信息时”“使用‘征得同意例外’条款收集、使用个人信息时”“使用‘默示同意’方式收集个人信息时”等场景作为评估的典型场景予以规定。
对于具体评估过程中可供参考的具体方法,《个人信息安全影响评估指南(征求意见稿)》在附录A中进行了详细的描述。例如,附录A指出,在采用定性方式对个人权益影响程度进行评价时,应当从“影响个人自主决定权”“引发差别性待遇”“个人名誉受损和遭受精神压力”“个人财产受损”四个维度,依据附录A规定的判定原则,对个人信息主体的权益进行影响程度评价。
3.不足之处
在现行立法框架较为粗糙的情况下,《个人信息安全影响评估指南(征求意见稿)》针对个人信息安全影响评估提出了许多细化要求,但其中部分要求由于缺乏足够的理论和立法支撑而可能引发争议。例如,附录A中提出可以从“影响个人自主决定权”的维度对个人权益受影响程度进行分析和评价,但个人自主决定权并非法定权利,在立法层面缺乏相应的权利基础。这导致企业在判定相关行为对自由意志的影响时可能缺乏相应的标准,且也很难评估影响了个人信息主体的自由意志会对其个人信息安全产生何等程度的影响。
(五)《个人信息告知同意指南(征求意见稿)》
《个人信息告知同意指南(征求意见稿)》作为推荐性国家标准,于2020年1月22日由信安标委发布。《个人信息告知同意指南(征求意见稿)》回应了当前监管执法实践中发现的问题,并力图通过更为细致的规定,指导企业在告知信息主体并取得其同意方面的实践。
1.出台背景
规模日益庞大的个人信息处理行为给信息与隐私安全带来了隐患。在这样的大背景下,个人信息主体的隐私保护意识愈发高涨,对网络运营者及其收集、处理个人信息行为的质疑情绪也相应“水涨船高”。在国际层面,欧盟《一般数据保护条例》的个人信息保护规则体系是围绕告知同意这一根本原则构建的,而欧盟29工作组于2018年4月26日发布了《对第2016/679号条例(GDPR)下同意的解释指南》(以下简称《29工作组同意指南》),较为细致地阐述了其对于GDPR项下“同意”的理解,并针对“自愿作出”“具体的”“知情的”“明确的意思表示”等关于有效同意的要素逐一加以分析,专门讨论了GDPR中特别关注的领域中与“同意”相关的问题。更具普适性的则是ISO 29100隐私保护标准体系,其将“同意和选择”列为其核心原则之一,并针对此提出了一整套非常翔实的实践指引,正在制定中的《ISO 29184—线上隐私告知与同意指南》(ISO 29184 -Guidelines for online privacy notices and consent,以下简称《ISO 29184指南》)即是该体系下针对个人信息告知同意的专门标准。
《网络安全法》《消费者权益保护法》均明确要求处理个人信息需告知个人信息主体并获得其同意,而《个人信息安全规范》则围绕《网络安全法》确立的基本原则,对告知内容、时间、方式以及同意的形式进行了明确,并在附录中为告知的重要工具——隐私政策提供了具体的模板。诚然,在《网络安全法》辅以《个人信息安全规范》所确立的个人信息保护整体规则的框架下,对于互联网采集使用个人信息行为的规范程度较过去已有了较大的进步,但现有的规范总体框架上仍显粗糙,不足以应对多变的互联网场景中不同类型的信息收集、使用行为。在告知同意方面,尽管《网络安全法》及相关法律法规都明确了告知同意作为收集、使用个人信息的必要规则,但并未对告知同意如何实施提出具体的细化要求,难以形成在实践中对企业相关操作的具体指引。此外,在细节层面,现有规范亦存在着些许不足。例如,《个人信息安全规范》虽已经就同意的例外作出了原则性规定,但缺乏针对具体应用场景的细化规定,须进一步细化其适用情形与适用条件。再如,若发生有关个人信息收集、使用的相关纠纷,则往往涉及告知同意行为的证据留存问题。但针对这一实践中颇受关注的环节,现行规定并未对此明确。
基于此,无论是从监管的要求出发,还是根据企业自身合规的需求考虑,在《网络安全法》及《个人信息安全规范》的基础上出台更为细化的告知同意配套规则,都有利于为网络商事环境中企业获取信息主体的有效同意提供有益的指引,使对个人信息的保护落到实处。
2.具体内容
在融入监管实践经验并借鉴《29工作组同意指南》《ISO 29184指南》等国际立法的前提下,《个人信息告知同意指南(征求意见稿)》就告知同意的适用情形、基本原则、内容、方式、展示、时机和频率等方面内容进行了细致化的规定。
(1)告知同意的适用情形
《个人信息告知同意指南(征求意见稿)》明确在收集、使用、对外提供个人信息的情况下,均需要取得个人信息主体的明示同意,较《个人信息安全规范》,其对企业合规提出了更高的要求。同时,由于《个人信息安全规范》仅对同意的例外进行了概括性的规定,《个人信息告知同意指南(征求意见稿)》在设计告知同意的例外情形时,通过举例的方式对有关情形的表现形式进行了细化,并另行规定了使用目的变更时免于告知同意的情形。
(2)告知的内容
就告知的具体内容上,《个人信息告知同意指南(征求意见稿)》依照《个人信息安全规范》中对基本业务和扩展业务的区分,设计了不同的告知同意要求,并区分收集、使用、存储、对外提供等不同行为分别提出了告知同意层面的要求。值得注意的是,由于委托处理和对外提供情景下企业对个人信息的控制权存在较大区别,《个人信息告知同意指南(征求意见稿)》将个人信息的对外共享、转让及公开披露统一为“对外提供”一并进行规定,并将其同委托处理进行了区分。值得关注的是,《个人信息告知同意指南(征求意见稿)》明确在涉及SDK等外部代码的引用时,应告知是否存在SDK等外部代码的引用,以及SDK等外部代码收集处理个人信息的情况,并在附录B中对SDK收集使用个人信息场景下的告知同意进行了细致的规定,第一时间回应了专项治理工作中发现普遍存在的SDK违法违规收集个人信息的乱象,具体如下:
(3)告知和同意的形式
告知的组织形式及其展示方式将对个人信息主体理解告知内容,实现有效告知产生显著的影响,但告知的展示方式和同意的用户界面可能因场景和环境的不同而有很多差异,例如,针对智能手表交互界面和针对网页的告知同意呈现形式将会有很大差异。基于此,《个人信息告知同意指南(征求意见稿)》针对不同应用环境和交互界面规定了不同的展示方式,如允许移动端设备可以采用多层次的告知同意模式,允许IoT设备可以在连接互联网时通过绑定该设备的移动端程序展示告知内容。
就同意模式的选择上,《个人信息告知同意指南(征求意见稿)》主张个人信息控制者应当优先采用明示同意的方式,尽量避免采取授权同意的机制,并列举了几种主要的明示同意模式。当然,《个人信息告知同意指南(征求意见稿)》也并未彻底否定授权同意机制,但仅限于特定情形且经个人信息影响评估后无高风险方可适用。此外,《个人信息告知同意指南(征求意见稿)》亦对同意机制的设计进行了特别规定。
(4)其他
《个人信息告知同意指南(征求意见稿)》还对告知同意过程中的一些其他问题提出了相应的解决方案。收集、使用个人信息的一方在作出告知并获得用户的同意后,应如何保存相关证据以应对可能出现的纠纷和诉讼,是业界在落实告知同意要求过程中所普遍关心的问题。具体来看,证据留存主要涉及三个方面的问题,首先是留存的内容,即个人信息控制者应留存哪些方面的证据;其次是留存的方式,即应以何种形式留存且留存的证据应保存在何种载体之中;最后是留存的时间,即有关证据应留存多长期限。《个人信息告知同意指南(征求意见稿)》分别针对上述问题给出了相关的回应。就留存内容上,明确个人信息控制者应当留存个人信息主体初次选择同意特定个人信息处理活动以及后续变更或撤回同意的证据,包括:时间,事项,目的等。对于留存的方式,《个人信息告知同意指南(征求意见稿)》采用了“原则+举例”的方式进行规定,个人信息控制者可以根据自身情况灵活选择证据留存的方式。而在留存期限上,《个人信息告知同意指南(征求意见稿)》明确,个人信息控制者应在有关的个人信息处理活动持续的过程中始终留存告知同意的相关证据,且在处理活动结束后,个人信息控制者的证据留存不应超过履行法律义务,提起或应对诉讼、纠纷的必要限度,平衡了个人信息控制者和个人信息主体双方的需求。需要指出的是,尽管《个人信息告知同意指南(征求意见稿)》对证据的留存提出了具体的要求,但按照该等方式留存的证据并不具有天然的合法性,其仍需符合电子证据合法性的相关要求方可为法院所认可。
《个人信息告知同意指南(征求意见稿)》的另外一个特色在于其根据不同场景分别设计了获得个人信息主体同意的不同方式。当前,个人信息收集行为可能发生在不同场景下,如IoT场景、公共场合场景(如机场、火车站)、车载场景等。不同端口基于其自身特点有所差别,不宜采用相似的告知方式。例如,许多IoT设备本身并未配备有屏幕,难以通过该设备实现告知。《个人信息告知同意指南(征求意见稿)》在附录中分别列举了IoT、公共场合、车载、个性化推荐、互联网金融、网上购物等多个不同场景下告知同意的实现方式,有益于为相关行业提供有益指引。
3.不足之处
当然,《个人信息告知同意指南(征求意见稿)》在某些规定上仍存在着一定的不足。例如,其并未明确在个人信息主体拒绝提供“同意”的情形下,相关运营者应当采取何种行动;其将委托处理同共享、转让、公开披露相区分,但并未明确个人信息委托处理情形下的告知同意应如何实现;其作为推荐性国家标准在缺乏上位法基础的情况下规定“免于告知同意的情形”,若企业参照其规定的相关情形进行操作,该等行为可能缺乏充足的合法性基础等。
(六)《信息安全技术 移动互联网应用(App)收集个人信息基本规范(征求意见稿)》
1.出台背景
收集是个人信息全生命周期流转的源头。《网络安全法》第41条明确规定,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则”“网络运营者不得收集与其提供的服务无关的个人信息”。对网络运营者收集用户个人信息提出了明确要求。
自四部委开展专项治理工作以来,App违反最小必要原则收集用户个人信息成为在个人信息收集领域监管部门关注的典型问题之一。例如,部分手电筒App要求用户提供地理位置信息权限,部分万年历App要求用户提供通讯录权限。该等App收集的部分信息或所取得部分权限远远超出了保障其服务运行、满足个人信息主体具体使用需求所必须收集的信息。根据最小必要原则的要求,当个人信息主体同意App收集某服务类型的最小必要信息时,App运营者不应因个人信息主体拒绝提供最小必要信息之外的个人信息而拒绝提供该类型服务。实践中,信息收集的最小必要原则业已成为各行业监管部门关注的重点。2018年3月,支付宝便曾因“个人金融信息收集不符合最少、必需原则”为央行杭州支行所处罚。
针对个人信息收集的乱象,信安标委于2019年8月8日发布了《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》,并先后于2019年10月24日和2020年1月15日分别出台了两版《信息安全技术 移动互联网应用(App)收集个人信息基本规范(征求意见稿)》(以下简称《App收集信息基本规范(征求意见稿)》),旨在规范移动App收集用户个人信息的行为。由于其在附录中列举了30类常用服务类型可收集的最小必要信息,故亦可以作为App运营者根据业务类型规划隐私政策时的重要合规指引。
2.具体内容
具体内容上,《App收集信息基本规范(征求意见稿)》第4条从多个维度全面地规定了对App运营者在个人信息收集环节的基本要求,提出了包括“App运营者不应因个人信息主体拒绝提供最小必要信息之外的个人信息而拒绝提供该类型服务”“除用于保障网络安全或运营安全外,不应收集不可变更的设备唯一标识(如IMEI号、MAC地址等)”等细致、具体的合规要求。
《App收集信息基本规范(征求意见稿)》的最大亮点在于其附录A列举了30种常用服务类型收集的最小必要信息,并在附录B中列举了该等常用服务类型的最小必要权限范围。
其中,附录A将不同服务类型所需收集的最小必要信息区分为两类,其一为法律法规要求的个人信息,其二为实现服务所需个人信息。以新闻资讯类服务为例,《App收集信息基本规范(征求意见稿)》梳理了《网络安全法》《移动互联网应用程序信息服务管理规定》《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》等依据相关法律法规规定必须收集的网络访问日志、用户日志信息、手机号码、身份认证信息等个人信息,并明确新闻资讯类所收集的最小必要信息应仅限于其关注的账号。除此之外,附录A亦明确了收集的个人信息的相应使用要求。例如,对于网上购物类App收集的收货人信息(姓名、地址、手机号码),附录A强调该等信息仅可以用于用户使用第三方支付方式对网上购物订单付款,通常包括支付时间、支付金额、支付渠道等。
同时,附录B则基于Android 6.0及以上的个人信息相关系统权限列示了相应的最小必要权限。其中,包括网络社区、新闻资讯、网上购物在内的近20类App,未列举任何权限。这意味着,该等App不得因用户拒绝提供任何权限而拒绝向用户提供服务,否则可能被认定为违反必要性的要求。
3.不足之处
《App收集信息基本规范(征求意见稿)》充分结合了目前监管和互联网行业实践,针对不同的互联网服务场景提出了不同的信息收集要求,一定程度上有利于各App自查自纠,推动个人信息收集的规范化。但其本身亦存在一定的不足之处,例如,《App收集信息基本规范(征求意见稿)》仅强调了SDK运营方针对收集行为应承担的义务和责任,但并未明确App运营者对其使用的SDK收集个人信息行为应承担的义务和责任;再如,附录A在列举最小必要信息时,明确列明了法律法规要求的个人信息,涉及了大量不同层级、不同行业的法律法规。一旦后续相关法律法规调整,规范可能也需要进行相应调整,无形中增加了立法负担,后续如何操作以确保同相关法律法规的协调,还有待其正式落地后进一步观察。
[1] 《全国人大常委会组成人员:制定网络安全法十分必要和紧迫》,http://www.npc.gov.cn/zgrdw/npc/xinwen/lfgz/2015-06/28/content_1939640.htm,最后访问时间:2020年2月17日。
[2] 《网络安全法》第76条第5项:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
[3] 杨合庆:《中华人民共和国网络安全法释义》,中国民主法制出版社2017年版,第107页。
[4] 周光权:《拒不履行信息网络安全管理义务罪的司法适用》,载《人民检察》2018年第9期。
[5] 《全国人民代表大会常务委员会执法检查组关于检查〈中华人民共和国消费者权益保护法〉实施情况的报告》,http://www.npc.gov.cn/npc/c12491/201511/b3833048ca4b4ca88c5b8d02dbe20b70.shtml。最后访问时间:2019年2月17日。
[6] 《电子商务法》第24条规定,电子商务经营者应当明示用户信息查询、更正、删除以及用户注销的方式、程序,不得对用户信息查询、更正、删除以及用户注销设置不合理条件。电子商务经营者收到用户信息查询或者更正、删除的申请的,应当在核实身份后及时提供查询或者更正、删除用户信息。用户注销的,电子商务经营者应当立即删除该用户的信息;依照法律、行政法规的规定或者双方约定保存的,依照其规定。
[7] 《个人信用信息基础数据库管理暂行办法》第4条规定,本办法所称个人信用信息包括个人基本信息、个人信贷交易信息以及反映个人信用状况的其他信息。前款所称个人基本信息是指自然人身份识别信息、职业和居住地址等信息;个人信贷交易信息是指商业银行提供的自然人在个人贷款、贷记卡、准贷记卡、担保等信用活动中形成的交易记录;反映个人信用状况的其他信息是指除信贷交易信息之外的反映个人信用状况的相关信息。
[8] 针对这一问题,《个人信息告知同意指南(征求意见稿)》中设计的告知路径或许更为合理。具体可参见本书“第二部分 四、国家标准(五)《个人信息告知同意指南(征求意见稿)》”。
[9] 《清规|突如其来的〈App违法违规收集使用个人信息行为认定办法〉到底是个什么》,https:// mp.weixin.qq.com/s/sqRp4DV9I7k5FMKj6e60LA,最后访问时间:2020年2月16日。
[10] 指全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。
[11] 一是犯罪持续时间较长、多次实施侵犯公民个人信息犯罪的;二是被侵犯的公民个人信息数量或违法所得巨大的;三是利用公民个人信息进行违法犯罪活动的;四是犯罪手段行为本身具有违法性或者破坏性,即犯罪手段恶劣的,如骗取、窃取公民个人信息,采取胁迫、植入木马程序侵入他人计算机系统等方式非法获取信息。
[12] 《刑法》第286条之一和第287条之一、之二。
[13] 《〈最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释〉新闻发布会》,http://courtapp.chinacourt.org/zixun-xiangqing-193671.html,最后访问时间:2020年3月25日。
[14] 许可:《〈个人信息安全规范〉的效力与功能》,载《中国信息安全》2019年第3期。
[15] “‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person”, See GENERAL DATA PROTECTION REGULATION, Article 4.
[16] 《个人信息去标识化指南》第3.3条。
[17] 根据《个人信息去标识化指南》的相关规定,完全公开共享,指数据一旦发布,很难召回的共享行为,一般通过互联网直接公开发布。受控公开共享,指通过数据使用协议对数据的使用进行约束的共享行为。领地公开共享,指在物理或者虚拟的领地范围内共享,数据不能流出到领地范围外的共享行为。