科技革命正在重塑整個(gè)人類(lèi)社會(huì), 數(shù)字經(jīng)濟(jì)中的個(gè)人信息問(wèn)題已經(jīng)成為關(guān)系到個(gè)人隱私安全�、 網(wǎng)絡(luò)安全、 公共安全����、 國(guó)家安全乃至國(guó)際社會(huì)安全的重要問(wèn)題。 數(shù)字經(jīng)濟(jì)時(shí)代, 如果個(gè)人信息的合規(guī)未能明確落實(shí), 對(duì)自然人而言, 個(gè)人信息泄露導(dǎo)致的風(fēng)險(xiǎn)在于其可能成為網(wǎng)絡(luò)黑灰產(chǎn)下游違法犯罪的受害者, 對(duì)國(guó)家而言, 大量個(gè)人信息在境外被非法利用, 可能危及國(guó)家安全,而視數(shù)據(jù)為核心生產(chǎn)資料的企業(yè), 一旦發(fā)生與個(gè)人信息相關(guān)的安全問(wèn)題, 可能觸及民事�、 行政乃至刑事責(zé)任, 波及正常運(yùn)營(yíng)。 個(gè)人信息保護(hù)事關(guān)未來(lái)數(shù)據(jù)社會(huì)的公平正義問(wèn)題, 為此, 明確個(gè)人信息權(quán)益保障及個(gè)人信息合規(guī)已經(jīng)到了刻不容緩的程度�。 保障信息的可信, 其根本在于確定何種主體是個(gè)人信息的管理者, 企業(yè)作為個(gè)人信息的處理者, 應(yīng)當(dāng)對(duì)個(gè)人信息主體的權(quán)益保障承擔(dān)責(zé)任, 而個(gè)人信息保護(hù)法律法規(guī)體系也確定了企業(yè)的過(guò)錯(cuò)推定責(zé)任, 更加確立了企業(yè)進(jìn)行個(gè)人信息保護(hù)合規(guī)的必要性。
本書(shū)第一章是對(duì)企業(yè)個(gè)人信息保護(hù)合規(guī)體系的概述與整體介紹���。本章首先以個(gè)人信息保護(hù)專(zhuān)門(mén)法律法規(guī)�、 各部門(mén)法中的個(gè)人信息保護(hù)規(guī)定����、個(gè)人信息保護(hù)相關(guān)的司法解釋、個(gè)人信息保護(hù)相關(guān)的規(guī)章及規(guī)范性文件為線索, 概覽我國(guó)現(xiàn)有的個(gè)人信息保護(hù)法律規(guī)范體系的建構(gòu)情況����。從個(gè)人信息保護(hù)合規(guī)的企業(yè)范圍����、 個(gè)人信息保護(hù)合規(guī)管理體系中的合規(guī)措施, 特別是在企業(yè)內(nèi)部管理制度和操作規(guī)程��、企業(yè)相關(guān)崗位設(shè)置與權(quán)限管理方面, 厘清企業(yè)的個(gè)人信息保護(hù)合規(guī)管理體系�。個(gè)人信息保護(hù)合規(guī)應(yīng)遵循的基本原則包括合法���、 正當(dāng)�、 必要�����、誠(chéng)信�����、目的限制����、公開(kāi)透明、質(zhì)量����、安全等原則。這些基本原則貫穿App合規(guī)、個(gè)人信息保護(hù)影響評(píng)估 (PIA)����、個(gè)人信息收集處理的合法性基礎(chǔ)、保障個(gè)人信息權(quán)益���、履行合規(guī)義務(wù)的證明����、隱私設(shè)計(jì)����、跨境提供個(gè)人信息規(guī)則、 未成年人個(gè)人信息處理規(guī)則等個(gè)人信息保護(hù)的合規(guī)重點(diǎn)���。
第二章是關(guān)于個(gè)人信息的界定, 《個(gè)人信息保護(hù)法》出臺(tái)后, 將之前立法中 個(gè)人數(shù)據(jù) 電子信息 等不同用語(yǔ)用詞統(tǒng)一表述為 個(gè)人信息,即以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的與自然人有關(guān)的各種信息, 不包括匿名化處理后的信息�����。 基于此, 有必要研究個(gè)人信息的范圍界定���、 企業(yè)收集個(gè)人信息與企業(yè)數(shù)據(jù)的關(guān)系等, 明確個(gè)人信息保護(hù)中個(gè)人信息、 敏感個(gè)人信息���、 去標(biāo)識(shí)化信息���、 匿名化信息�����、 私密信息�����、 內(nèi)容信息等各種概念之間的關(guān)系, 探究個(gè)人信息保護(hù)的民事權(quán)利基礎(chǔ)。
第三章介紹了個(gè)人信息收集處理的合法性基礎(chǔ)����!秱(gè)人信息保護(hù)法》第十三條第一款規(guī)定了七個(gè)合法性基礎(chǔ), 是企業(yè)自證合規(guī)的重要參考�。 這些合法性基礎(chǔ)均需要滿足目的限制原則, 而且其中均隱含著同意的意思, 具體可以分為授權(quán)同意、 合同附加同意�����、 強(qiáng)制同意��、 推定同意以及混合同意�。 告知同意是目前個(gè)人信息收集�、 處理過(guò)程中最重要的���、 最廣泛適用的合法性基礎(chǔ),屬于授權(quán)同意��。 除了告知同意之外, 其他合法性基礎(chǔ)還包括如下情形: 處理者履行法定義務(wù), 與國(guó)家安全��、 國(guó)防安全���、 公共安全、 公共衛(wèi)生�����、 重大公共利益相關(guān)的義務(wù), 與刑事偵查����、 起訴、 審判和判決執(zhí)行等直接相關(guān)的個(gè)人信息處理, 以及為了維護(hù)個(gè)人信息主體或其他生命�、 財(cái)產(chǎn)等重大合法權(quán)益但難以得到本人授權(quán)同意的, 所涉及的個(gè)人信息是個(gè)人信息主體自行向社會(huì)公眾公開(kāi), 根據(jù)個(gè)人信息主體要求簽訂和履行合同所必要, 新聞報(bào)道、 輿論監(jiān)督所必要等�。
第四章詳細(xì)敘述個(gè)人信息權(quán)益體系, 《個(gè)人信息保護(hù)法》 在立法上首次搭建了一整套個(gè)人信息主體的權(quán)益體系, 包括知情權(quán)、 決定權(quán)���、 查閱復(fù)制權(quán)��、可攜帶權(quán)��、 更正補(bǔ)充權(quán)�、 刪除權(quán)、 要求解釋與說(shuō)明權(quán)等�����。 基于此, 用戶(hù)對(duì)于其個(gè)人信息的權(quán)利通過(guò)操作權(quán)限��、 申訴渠道�、 征得同意過(guò)程等制度得以受到保障。 數(shù)據(jù)知情同意權(quán)是個(gè)人數(shù)據(jù)權(quán)利之起點(diǎn), 范圍包括個(gè)人數(shù)據(jù)的收集方式����、收集內(nèi)容�����、 存儲(chǔ)及處理方式等, 同時(shí)也應(yīng)包括收集的目的�����、 可能對(duì)個(gè)人產(chǎn)生的后果以及明確的同意方式及同意效力的覆蓋階段�����。 個(gè)人信息權(quán)益主要作為人格權(quán)益呈現(xiàn), 《民法典》 中的相關(guān)制度也兼顧了個(gè)人信息中的財(cái)產(chǎn)價(jià)值保護(hù)。
第五章選取兒童���、 雇員���、 死者、 患者���、 消費(fèi)者等對(duì)象探討特殊主體的個(gè)人信息保護(hù)問(wèn)題�。 通過(guò)網(wǎng)絡(luò)從事收集��、 存儲(chǔ)���、 使用���、 轉(zhuǎn)移、 披露兒童個(gè)人信息的網(wǎng)絡(luò)運(yùn)營(yíng)者, 應(yīng)當(dāng)以顯著�、 清晰的方式告知兒童監(jiān)護(hù)人, 并征得兒童監(jiān)護(hù)人的同意, 設(shè)置專(zhuān)門(mén)的兒童個(gè)人信息保護(hù)規(guī)則和用戶(hù)協(xié)議, 并指定專(zhuān)人負(fù)責(zé)兒童個(gè)人信息保護(hù)。 在勞動(dòng)場(chǎng)景中, 具體分析入職過(guò)程中單位能否收集生物識(shí)別打卡��、 婚姻�����、 生育等信息, 用人單位能否對(duì)配發(fā)給員工的電腦實(shí)施監(jiān)控、 可否通過(guò) GPS 監(jiān)控員工位置信息, 能否查詢(xún)員工�、 求職者犯罪記錄等問(wèn)題。 對(duì)死者個(gè)人信息保護(hù)合規(guī)的理解, 應(yīng)當(dāng)把握代為行使死者個(gè)人信息權(quán)利的主體��、 客體�����、 條件, 死者個(gè)人信息保護(hù)的期限, 個(gè)人信息處理者的響應(yīng)機(jī)制等�����。 消費(fèi)者個(gè)人信息保護(hù)的合規(guī)問(wèn)題主要包括 App 過(guò)度索權(quán)���、 消費(fèi)者個(gè)人信息泄露��、 非法推送商業(yè)信息、 大數(shù)據(jù)殺熟���、 敏感個(gè)人信息的非法處理等��。
第六章嘗試?yán)迩鍌(gè)人信息保護(hù)合規(guī)的關(guān)鍵環(huán)節(jié), 首先分析個(gè)人信息的全生命周期, 個(gè)人信息流轉(zhuǎn)的生命周期主要包括個(gè)人信息收集��、 保存��、 使用����、共享以及延伸出的安全事件處理。 個(gè)人信息的處置規(guī)則包括個(gè)人信息的分類(lèi)處置規(guī)則�、 個(gè)人信息處置的授權(quán)規(guī)則等, 一方面是要求各類(lèi)組織切實(shí)承擔(dān)起保障數(shù)據(jù)安全的責(zé)任, 即保密性、 完整性����、 可控性; 另一方面是保障個(gè)人對(duì)其個(gè)人信息的安全可控, 亦不應(yīng)限制用戶(hù)對(duì)于自身個(gè)人信息的操作權(quán)限。 信息主體對(duì)于其個(gè)人信息的權(quán)利通過(guò)操作權(quán)限�����、 申訴渠道�����、 征得同意過(guò)程等制度得以受到保障�����。 在此基礎(chǔ)上, 研究個(gè)人信息權(quán)利行使的申請(qǐng)受理和處理機(jī)制與推薦算法的合規(guī)問(wèn)題, 在企業(yè)合規(guī)中, 隨著自動(dòng)化決策算法的廣泛運(yùn)用, 應(yīng)當(dāng)加強(qiáng)用戶(hù)模型和用戶(hù)標(biāo)簽管理, 不得將違法和不良信息關(guān)鍵詞記入用戶(hù)興趣點(diǎn)或者作為用戶(hù)標(biāo)簽。
第七章針對(duì)特定場(chǎng)景的個(gè)人信息保護(hù)合規(guī), 選定人臉識(shí)別技術(shù)應(yīng)用�、 自動(dòng)駕駛汽車(chē)、 失聯(lián)修復(fù)等場(chǎng)景中的個(gè)人信息保護(hù)問(wèn)題進(jìn)行討論��。 人臉識(shí)別技術(shù)的風(fēng)險(xiǎn)主要在于錯(cuò)誤率���、 種族偏見(jiàn)�����、 公平性和透明度等����。 企業(yè)應(yīng)當(dāng)結(jié)合生物識(shí)別信息的應(yīng)用場(chǎng)景���、 使用目的���、 手段必要性、 授權(quán)同意的真實(shí)意思表示��、 雙方權(quán)利分配等增強(qiáng)合法性基礎(chǔ), 并且在處理行為開(kāi)始之前, 做好個(gè)人信息保護(hù)影響評(píng)估���。 目前的個(gè)人信息保護(hù)法框架中, 失去聯(lián)系的隱匿中的債務(wù)人, 其個(gè)人信息是否能夠修復(fù), 處理債務(wù)人個(gè)人信息是否具備知情、 同意之外的合法性基礎(chǔ), 從而能夠豁免對(duì)于債務(wù)人而言本不可能的征得同意過(guò)程, 值得討論。
第八章介紹個(gè)人信息出境的合規(guī)措施, 考察規(guī)范中的數(shù)據(jù)跨境合規(guī)主體, 出境數(shù)據(jù)的類(lèi)型, 跨境數(shù)據(jù)自評(píng)估的評(píng)估內(nèi)容, 評(píng)估申報(bào)中的受理機(jī)構(gòu)���、 申報(bào)材料��、 受理時(shí)限, 評(píng)估審查中的審查重點(diǎn)��、 審查時(shí)限�����、 有效期等,對(duì)于個(gè)人信息�����、 重要數(shù)據(jù)���、 外國(guó)司法、 執(zhí)法機(jī)構(gòu)要求提供的數(shù)據(jù)等限制出境的數(shù)據(jù)類(lèi)型以及不能出境的數(shù)據(jù)進(jìn)行列舉分析, 區(qū)分屬于個(gè)人信息出境的行為以及不屬于個(gè)人信息出境的行為�。
第九章梳理個(gè)人信息保護(hù)的監(jiān)管部門(mén), 個(gè)人信息保護(hù)監(jiān)管呈現(xiàn)出明顯的部門(mén)區(qū)隔特征, 在一般消費(fèi)領(lǐng)域, 工商行政部門(mén)和其他有關(guān)部門(mén)負(fù)責(zé)保護(hù)消費(fèi)者的個(gè)人信息權(quán)利, 電信和互聯(lián)網(wǎng)領(lǐng)域主要由國(guó)家網(wǎng)信部門(mén)、 電信主管部門(mén)�、 公安部門(mén)和其他有關(guān)機(jī)關(guān)對(duì)個(gè)人信息保護(hù)工作進(jìn)行監(jiān)管, 在征信和郵政快遞等行業(yè)領(lǐng)域,個(gè)人信息保護(hù)監(jiān)管分別由行業(yè)監(jiān)管部門(mén)負(fù)責(zé)。 除了在水平層面上不斷完善 (自然人的) 個(gè)人信息權(quán)利和 (信息處理者的) 個(gè)人信息保護(hù)義務(wù)規(guī)定, 立法還應(yīng)當(dāng)在縱向?qū)用嫔辖⒑侠砗透咝У谋O(jiān)管制度, 確保關(guān)于權(quán)利保護(hù)���、 義務(wù)遵守和救濟(jì)提供的規(guī)定能夠落到實(shí)處�����。
第十章厘清個(gè)人信息保護(hù)相關(guān)法律責(zé)任, 個(gè)人信息保護(hù)的責(zé)任體系包括民事����、 行政、 刑事責(zé)任��。 個(gè)人信息侵權(quán)責(zé)任采取過(guò)錯(cuò)推定原則���。 能夠以自己的名義向人民法院提起個(gè)人信息公益訴訟的主體限于人民檢察院����、 法律規(guī)定的消費(fèi)者組織和由國(guó)家網(wǎng)信部門(mén)確定的組織三種類(lèi)型�����。
