这部分条款,提出了个人信息保护的基本原则和要求,可以说是一部小型的“个人信息保护法”。主要规定了在网络信息安全特别是个人信息保护方面,网络运营者、任何个人和组织、网络安全监管人员必须承担的责任和义务。相应地也要承担法律责任。
【第四十条】 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
解读:本条款的核心是用户信息保护;这里需要注意的是“用户信息”和“个人信息”是有区别的,具体内容请参考前面的“重要概念”中对个人信息和用户信息的解释。
【第四十一条】 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
解读:本条款强化了个人信息保护的知情同意和特定目的原则;确定了网络运营者收集个人信息必须遵循合法、正当、必要原则,强调了个人信息收集过程中的透明度,和用户自主选择权,同时强调了信息采集者必须合法使用和保存个人信息。那些利用其“垄断地位”或“霸王条款”强制用户同意采集信息的网络运营者需要注意啦,再这样任性可就违法啦。
适用法律责任:【第六十四条】
【第四十二条】 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
解读:本条款也被称作“大数据条款”;在强调保护个人信息的同时,有建设性的提出了“经过处理无法识别特定个人且不能复原的”除外,为个人信息数据在使用、交换和交易过程的合法性提供了法律依据,并要求:个人信息数据匿名化处理,技术上就是通过采用数据脱敏产品或技术手段,将涉及个人隐私的敏感数据进行脱敏处理,保证脱敏后的数据不能再识别出特定个人,并且信息不可逆(不可通过技术手段复原)。
另外,脱敏技术也可以被应用在日常的数据维护过程中,对于金融、医疗健康、零售、游戏等需要收集大量用户个人信息的网络系统,在系统数据库日常维护过程中同样需要防止个人隐私数据的泄漏,通过采用具有动态脱敏能力的产品或技术手段,可以有效地避免数据泄露,降低运维安全风险,更为运维者提供了免责的技术保障。
同时,本条款作为个人信息保护的核心内容,明确了网络运营者对个人信息保护的责任:有必要采取技术措施保护个人信息,确保其收集的个人信息安全,通过采用监控、审计等技术手段及时发现和记录异常行为,为主管部门进行追责和定责提供数据依据。
建议网络运营者采用专门的安全产品保护个人信息:数据脱敏系统(最好具有动态脱敏能力)、数据安全运维系统(最好具有监控和审计能力)
适用法律责任:【第六十四条】
【第四十三条】 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
解读:本条款的核心是法律明确赋予公民个人具有删除权和更正权;如果发现网络运营者不当使用个人信息,有权要求删除,有错误的有权要求其改正。
特别要提醒网络运营者,有义务采取措施予以删除或更正;否则面临违法。
适用法律责任:【第六十四条】
【第四十四条】 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
解读:本条款的核心是不得非法获取、非法出售和提供个人信息。这里说到非法出售,那么关键的问题是如何做才是合法呢?我们认为从法律层面需要结合前面的第四十二条条款中的“经过处理无法识别特定个人且不能复原的”除外这句话来解读,合法的数据交易的前提是个人信息必须经过符合要求的脱敏处理,只有这样的数据在进行交易时才有可能是合法的。
适用法律责任:【第六十四条】第二款
【第四十五条】 依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
解读:本条款规定了执法部门和执法人员必须履行的保密责任。
【第四十六条】 任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。
解读:本条款规定了网络犯罪的范畴。
适用法律责任:【第六十七条】
【第四十七条】 网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
解读:本条款规定了网络运营者承担对违法信息传播的阻断义务,是网络运营者必须履行的义务之一。
适用法律责任:【第六十八条】
【第四十八条】 任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。
电子信息发送服务提供者和应用软件下载服务提供者,应当履行安全管理义务,知道其用户有前款规定行为的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。
解读:本条款提出任何个人、软件开发商承担禁止传播违法信息的责任;同时要求信息发布服务和软件下载服务提供者承担对违法信息传播的阻断义务。
适用法律责任:【第六十条】,【第六十八条】第二款
【第四十九条】 网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。
解读:本条款规定网络运营者应及时处理网络安全的投诉和举报,并特别强调了配合有关部门监督检查的义务。
【第五十条】 国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录;对来源于中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断传播。
解读:本条款向执法部门提出了信息保护的要求,特别强调了采取技术措施阻断传播。
试用申请