“摇钱树”还是“烫手山芋”——企业应如何处理个人敏感m88 live casino
2020.03.31M88 game APK ,下载 VCard,北京绿化基金会与君合共同发起的“高健
在新冠疫情防控持续向好的态势下,作为加快复工复产的重要抓手,加快5G网络、数据中心、人工智能等新基础设施建设再次成为全国上下的焦点。“新基建”的升级将促进万物互联和大数据经济发展,而作为大数据经济的“血液”及“石油”,自然人的交易记录、健康生理、生物识别、行踪轨迹等个人敏感m88 live casino,对经济社会转型发展的重要性不言而喻。但相关法律法规对个人敏感m88 live casino的保护及违法处罚作出严格规定,给企业经营管理中的个人敏感m88 live casino处理行为设定了一条无形的“高压线”。对企业而言,个人敏感m88 live casino既有可能是“摇钱树”,又有可能是“烫手山芋”。本文拟梳理有关个人敏感m88 live casino保护的特殊规则,以期对企业合法处理个人敏感m88 live casino提供参考。
一、主要法域下的个人敏感m88 live casino界定
鉴于个人敏感m88 live casino的特殊性和重要性,个人m88 live casino的主要执法法域均对个人敏感m88 live casino作出了规定。在欧盟法下,《一般数据保护条例》(简称“GDPR”)第9条规定了“个人敏感m88 live casino”范围,涉及以下一种或一种以上类别的个人数据,包括种族或民族背景、政治观念、宗教或哲学信仰、工会成员身份、能够识别特定个人的生物识别数据、以及与自然人健康、性生活或性取向有关的数据。而日本的《个人m88 live casino保护法》将个人敏感m88 live casino称为“需要注意的个人m88 live casino”,是指政令(相当于行政法规)规定的、为避免造成不公正的歧视、偏见和其他不利情况而就其处理需要特别注意的m88 live casino,例如种族、信仰、社会身份、病历、犯罪经历、因犯罪而被害的事实及其他方面个人m88 live casino。
根据2020年3月6日发布的新版《m88 live casino安全技术 个人m88 live casino安全规范》(GB/T 35273—2020、以下简称“《安全规范》”),我国的个人敏感m88 live casino是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人m88 live casino。虽然《安全规范》仅是推荐性国家标准,并非强制性标准,但已经成为相关政府监管部门执法的重要依据,也是企业个人m88 live casino合规要求的重要指南。
《安全规范》还列举了以下个人敏感m88 live casino的参考类型:
| 个人财产m88 live casino | 银行账户、鉴别m88 live casino(口令)、存款m88 live casino(包括资金数量、支付收款记录等)、房产m88 live casino、信贷记录、征信m88 live casino、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产m88 live casino |
| 个人健康生理m88 live casino | 个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏m88 live casino、生育m88 live casino、以往病史、诊治情况、家族病史、现病史、传染病史等 |
| 个人生物识别m88 live casino | 个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等 |
| 个人身份m88 live casino | 身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等 |
| 其他m88 live casino | 性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通讯录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿m88 live casino、精准定位信息等 |
对比欧盟、日本等域外法,可以看出我国对个人敏感m88 live casino的界定借鉴了GDPR的立法思路。但在保护对象的范围方面,GDPR主要面向对种族、信仰、性别取向等可能导致伦理方面受歧视性待遇的m88 live casino,中国除了保护个人免受名誉、精神、歧视性待遇外,还保护人身、财产免受损害。日本的规定比较折中,既防止歧视对待、偏见,也注意到了其他不利情况。从界定范围来看,中国规定的个人敏感m88 live casino范围比GDPR、日本广泛。
二、个人敏感m88 live casino的特别处理规则
对于个人敏感m88 live casino的保护,除了适用个人m88 live casino安全的基本原则(权责一致、目的明确、选择同意、最小必要、公开透明、确保安全、主体参与)以及关于一般个人m88 live casino的处理规则之外,还应注意《安全规范》以及其他行业法规规定中的特殊保护要求。
1、“明示同意”原则
对于企业等个人m88 live casino控制者收集、处理个人敏感m88 live casino的行为,《安全规范》规定了应事先获得个人m88 live casino主体(用户)的“明示同意”原则。《安全规范》规定的“同意”方式包括“授权同意”、“明示同意”等,其中对“明示同意”的要求更高。
“明示同意”是指,个人m88 live casino主体(比如APP用户)通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作,对其个人m88 live casino进行特定处理作出明确授权的行为。肯定性动作包括用户主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”、主动填写。
值得注意的是,实务中存在通过隐性方式获得用户“默示”同意的做法(包括仅展示预先勾选的“同意”、“下一步”等唯一选项,引导用户直接做出同意;强制捆绑、一次性获得用户关于收集其多种类型个人m88 live casino的综合同意),不能满足上述获取个人敏感m88 live casino的“明示同意”要求,存在违规风险。
2、处理个人敏感m88 live casino的特别规则
《安全规范》除规定了一般个人m88 live casino的处理规则之外,还着重强调了对个人敏感m88 live casino的特别处理要求。
(1) 收集、存储与传输
企业在通过手机APP等收集个人敏感m88 live casino前,应征得个人m88 live casino主体的明示同意;传输和存储个人敏感m88 live casino,应采用加密等安全措施(采用密码技术时应遵循密码管理相关国家标准)。
(2) 共享、转让
企业在向第三方共享及转让其控制的个人敏感m88 live casino前,应向个人m88 live casino主体告知涉及的个人敏感m88 live casino类型、数据接收方的身份和数据安全能力,并事先取得个人m88 live casino主体的明示同意。
(3) 访问控制
企业对个人敏感m88 live casino的访问、修改等操作行为,应在对角色权限控制的基础上,按照业务流程的需求触发操作授权。例如,不是主动访问,而是当收到用户投诉时,投诉处理人员才可访问该个人m88 live casino主体的相关m88 live casino。
(4) 内部机构设置、人员管理及安全事件处置
处理超过10万人的个人敏感m88 live casino的企业,应设立专职的个人m88 live casino保护负责人和个人m88 live casino保护工作机构,负责个人m88 live casino安全工作;对于从事个人m88 live casino处理岗位上的相关人员,企业应当与其签署保密协议,并对大量接触个人敏感m88 live casino的人员进行背景审查,以了解其犯罪记录、诚信状况等,防止出现个人敏感m88 live casino违法行为;万一企业发生个人敏感m88 live casino泄露事件时,应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人m88 live casino主体。
3、对个人生物识别m88 live casino的加重保护
由于基因、指纹、面部等个人生物识别m88 live casino具有不可逆性,无法通过常规的变更密码等方式修改弥补,一旦发生安全事件,将给个人带来严重损害,对此《安全规范》专门列出了应当遵守的加重保护要求。
(1) 收集环节:单独告知、明示同意
企业在收集个人生物识别m88 live casino前,应单独向个人m88 live casino主体告知收集、使用个人生物识别m88 live casino的目的、方式和范围,以及存储时间等规则,征得个人m88 live casino主体的明示同意;
(2) 原则上禁止存储
企业原则上不应存储原始个人生物识别m88 live casino(如样本、图像等),可采取的措施包括但不限于:a)仅存储个人生物识别m88 live casino的摘要m88 live casino;b) 在采集终端中直接使用个人生物识别m88 live casino实现身份识别、认证等功能;c)在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别m88 live casino的原始图像;企业确需存储个人生物识别m88 live casino的,应当与个人身份m88 live casino分开存储。
(3) 禁止共享、转让、公开披露
企业原则上不应共享或转让、公开披露个人生物识别m88 live casino,确需共享和转让的,仍应当单独向用户告知目的、m88 live casino类型等内容,并征得个人m88 live casino主体的明示同意。
4、特殊行业的专门规则
除上述对于个人敏感m88 live casino的共通保护规则外,在与儿童保护、医疗资源、金融m88 live casino等有关的特殊行业,还存在专门的保护规则,从事该等领域的企业需满足该等领域的特殊合规要求。
《儿童个人m88 live casino网络保护规定》对14周岁以下的儿童个人m88 live casino进行特殊监管,在收集、使用、转移、共享、存储、披露、删除等全生命周期的各个环节保护儿童个人m88 live casino;
《人类遗传资源管理条例》、《国家健康医疗大数据标准、安全和服务管理办法(试行)》《健康医疗m88 live casino安全指南(征求意见稿)》,则对个人健康生理m88 live casino、医疗数据、人类遗传资源材料及人类遗传资源m88 live casino等的收集、使用、共享等做出特别规定。
全国金融标准化技术委员会于2020年2月20日公布的《个人金融m88 live casino保护技术规范》,将《安全规范》的规定落实到个人金融m88 live casino保护的各个环节。
5、与GDPR、日本处理规则的比较
如第一部分所述,欧盟GDPR规定的个人敏感m88 live casino范围比我国的范围窄,但是在个人敏感m88 live casino的处理方面,GDPR原则上不允许处理个人敏感m88 live casino,规制要求更加严格。而日本的《个人m88 live casino保护法》,则规定处理个人敏感m88 live casino必须事先取得用户的同意,与中国规定类似;但是日本对于一般个人m88 live casino的收集及使用,没有明确要求取得用户的事先“同意”,仅以限制滥用为原则,比中国的个人m88 live casino保护规则宽松。
我们注意到实践中很多跨国公司的在华投资企业,由于接受境外母公司的全球统一管理,往往简单地复制粘贴该境外母公司的个人m88 live casino保护制度或者直接适用母公司的制度,考虑到各法域存在明显的监管差异,这种做法可能存在中国法下的个人m88 live casino合规风险,建议企业依据中国法梳理其个人m88 live casino保护相关制度。
三、侵害个人敏感m88 live casino的法律责任及执法动向
对侵害个人敏感m88 live casino的违法行为,主要包括处理个人m88 live casino时未履行保护义务、未依法保护网络安全等,根据《网络安全法》关于侵害个人m88 live casino的相关规定,将受到责令改正、罚款、停业整顿或者吊销营业执照等行政处罚。
特别需要注意的是,刑法对于个人敏感m88 live casino予以高度保护,即使从一般角度来看侵犯的敏感m88 live casino数量较少,也有可能被追究刑事责任。比如,根据最高法、最高检《关于办理侵犯公民个人m88 live casino刑事案件适用法律若干问题的解释》第五条,非法获取、出售或者提供“行踪轨迹m88 live casino、通信内容、征信m88 live casino、财产m88 live casino五十条以上的”或者“住宿m88 live casino、通信记录、健康生理m88 live casino、交易m88 live casino等其他可能影响人身、财产安全的公民个人m88 live casino五百条以上的”,即达到刑事立案的追诉标准。此外,从事金融、电信、交通、教育、医疗等行业的工作人员如果将履行职责或者提供服务过程中获得的个人敏感m88 live casino出售或者非法提供给他人的,将会受到“从重处罚”。
我们注意到,近期发生了“连锁酒店5亿条个人m88 live casino(包括用户身份证、入住酒店的行踪、消费记录等)泄露”、“保险公司员工销售1000万条用户m88 live casino营利”、“医疗机构未经许可向境外传输人类遗传资源”等涉及个人敏感m88 live casino的重大违法案件,再次引起全社会对保护个人敏感m88 live casino的关注。相关政府监管部门在依法打击的同时,针对企业利用APP处理个人m88 live casino等多次发动联合检查。我们建议企业及时制定并完善个人m88 live casino保护制度,根据最新规范的要求设置相应的个人m88 live casino保护部门或负责人员,健全企业内部网络安全建设,以不断满足强化“新基建”大形势下充分利用“个人敏感m88 live casino”的合规要求。
