普法 | 關於個人資訊保護，這些內容你必須知道！

在大資料時代，你是不是經常因碰到下列情況而擔憂？

1、登入一些app或網站，在不知情的情況下，app或網站會獲取個人好友資訊；

2、下載的某些app，必須透過“捆綁”收集個人資料才能正常使用其功能；

3、在購物網站上買了一個東西，第二天開啟全是類似產品的推薦；

4、在公共場所，若是安裝了人臉識別裝置，個人的隱私會不會洩露；

……

以上種種可能存在侵犯個人資訊資料安全的風險！

現在《上海市資料條例（草案）》

（徵求意見稿）來了

小夥伴們不用擔心資料安全保護問題了

讓我們一起來研讀這部

與我們工作與生活息息相關的

資料保護法規~

2021年9月30日，經上海市人大常委會辦公廳公告，《上海市資料條例（草案）》（徵求意見稿）（以下簡稱“條例”）向社會廣泛徵求意見。作為一部資料領域的綜合性地方法規，條例在資料權益保護、資料流通利用、資料安全管理等方面制定了一系列規範，為上海全面推進城市數字化轉型提供基礎性制度保障。

讓我們一起來看看這部法規針對

公民個人資訊保護有哪些亮點？

一

內容亮點

（一）明確資料權益保障

對於資料權益權屬問題，一直存在著較大的爭議。隨著資料的價值性日益凸顯，基於對新型權益及時迴應和規範的需求，出現了更多支援資料具有財產屬性的觀點。因此，出於對於資料安全保護的需要，條例明確規定了個人資料的人格權益與資料處理者的產品及服務的財產權益。

（二）設立專節加強個人資訊保護

01

收集個人非公開資訊，以遵循“告知—同意”前置程式為原則

網際網路時代，一些app、網站過度收集個人資訊的現象令人深感厭惡卻又無可奈何，針對此現象，條例規定：

- 收集自然人非公開資料的，均應當以有效方式告知自然人，並取得其同意，在法定情形下才無須徵得事先同意；

- 禁止過度收集或超出用途範疇處理資訊；

- 自然人具有請求資料處理者進行更正、補充、刪除涉及其個人資訊的權利等。

02

拒絕“捆綁”協議損害公民對個人資訊的決定權

長期以來，一些app透過“捆綁”將收集個人資料與使用app功能進行繫結，使用者不同意全面授權，就無法使用該app。不少使用者往往被迫接受“捆綁”，這嚴重損害了使用者的自主選擇權。為此，條例規定，資料處理者不得以自然人不同意為由拒絕提供相關產品或服務，除非該個人資訊為提供產品或服務所必需。

03

使用者有權拒絕被個性化推薦

人臉識別、指紋驗證、聲控解鎖等生物識別技術極具便利性，使得其在出現之後就在大範圍的生活場景中被頻繁使用，包括公民日常的移動支付、門禁出入等等。但是由於生物識別資料具有唯一性、終身性、不可更改性，一旦洩露或者被濫用，將造成較一般個人資料更為嚴重的損害後果。為此，條例規定：

- 生物識別資料僅在為處理個人資料目的所必需且不能替代外的情況下使用；

- 在公共場所安裝人臉識別裝置須明示告知有關資訊；

- 處理透過人臉識別技術獲取生物識別資訊的，應當限於告知範圍。

04

生物識別資料不得濫用

針對在購物網站等購買東西進行產品推送的情況，《條例》規定，透過自動化決策向自然人進行資訊推送、商業營銷的，應當同時提供不針對其個人特徵的選項，或者向自然人提供便捷的拒絕方式。

（三）建立資料交易制度

條例規定，本市支援資料交易服務機構有序發展，建立健全資料交易服務機構管理制度。除條例規定的情形外，市場主體以合法方式獲取的資料，以及合法處理資料形成的資料產品和服務，可以依法交易。

（四）強調資料安全保護

條例確定了資料安全責任制，資料處理者是資料安全責任主體，並就責任主體應當履行的資料安全保護義務進行了羅列，給市場主體的資料安全合規指引了方向。

（五）確立了資料領域的公益訴訟制度

條例規定，對於資料處理者違反本條例規定處理個人資訊，侵害眾多個人權益的，人民檢察院、市消費者權益保護委員會，以及由網信部門確定的組織，可以依法向人民法院提起訴訟。

《資料條例》明確規定了

企業在公民個人資訊資料保護中

需要承擔相應的法律責任

然而一些不法分子卻“盯”上

資料的巨大價值

非法獲取資料資訊

讓我們透過具體案例來了解

二

典型案例

案例1

未及時處理離職人員賬號管理許可權

伺服器資料被篡改案

犯罪嫌疑人周某向其任職的某網路科技公司提出離職申請後，周某利用其身為程式設計員的vip賬號登陸公司後臺伺服器，將指令碼檔案分別植入該公司代理遊戲的專門伺服器和公司中轉伺服器。周某在離職後利用其植入在遊戲伺服器中的指令碼檔案，為遊戲賬號隨意新增遊戲幣，進而在網上出售遊戲賬號非法獲利。

案例2

違規出售求職者簡歷

侵犯公民個人資訊案

犯罪嫌疑人方某進入某網聘公司工作，負責向招聘企業提供銷售服務。陳某透過qq結識方某，並提出以個人名義從網聘公司購買簡歷。此後，方某從網聘公司內部資料庫中找到相關企業資訊，透過網路ps企業公章的方式製作虛假的服務合同，進而違規向陳某個人出售招聘企業賬號，供陳某用於下載求職者簡歷。經統計，方某違規出售求職者簡歷數量共計5萬餘條。

案例3

以ddos方式攻擊網站ip地址

破壞計算機資訊系統案

王某某發出攻擊指令與攻擊目標ip，張某某使用搭建在網路上的攻擊平臺採取ddos方式攻擊某網站旗下的三個ip 地址，導致三個ip對應的網站無法正常使用2小時以上，經查該網站旗下有不重複註冊使用者16萬餘個。

面對上述情況

企業又該如何合規

收集和使用個人資訊

同時加強企業資料的安全性？

徐彙區檢察院的檢察官

為大家獻上八條建議

讓我們來一探究竟！

三

企業合規收集、使用、管理

個人資訊資料的建議

1

及時識別適用的資料安全保護義務

資料領域創新性強、變化快，相關領域立法檔案也必然會不斷更新，對於企業提出的要求亦會隨之發展，因此企業必須定期對應履行的合規義務及風險進行梳理、識別和更新適用。

2

建立健全全流程資料安全管理制度

企業應根據自身情況，建立健全並有效執行符合法律法規要求的資料安全管理制度，包括必要的資料安全部門組織架構、公司內部安全管理制度、管理許可權劃分、各環節操作規程、安全裝置採購記錄、定期安全運維、資料庫的備份恢復機制、資料安全投訴反饋制度、資料安全事件應急預案等。

3

完善技術措施，確保資料安全

企業應根據所處行業及收集資料的特點等，採取相匹配的資料安全技術措施，包括防範計算機病毒、外掛等外來滲透的技術措施，用於對資料安全監測預警和安全事件通報的技術措施，用於資料處理、備份恢復和加密的技術措施等。利用網際網路等資訊網路開展資料處理活動，應使用符合規定網路裝置，遵守網路安全等級制度。

4

全面履行個人資訊保護義務

各企業均應嚴格按照法律規定，健全完善個人資訊告知、同意規則；遵循資料收集必要且最小化原則；暢通與資訊主體的溝通渠道，建立途徑充分保障公民對其個人資訊使用的知情權、補充更正權、刪除權等。

5

資料處理全流程的風險管理控制

企業應對資料的收集、儲存、使用、加工、傳輸、共享、開放、流通等所有環節做好合規性審查。比如，資料採集環節，企業需關注資料授權範圍、資料來源的可追溯性、資料權屬情況、收集程式合法性等。資料使用過程中，使用、加工的方式與用途、資料儲存地點和時限需確保合法妥當，對敏感資料進行脫敏和加密處理。資料流動環節，內部應合理設定管理許可權；外部應確保資料接收方的有效資質和安全保障能力；涉及資料跨境傳輸的，應當遵守國家相關規定，且履行相應前置程式。

6

建立資料分級分類管理制度

企業應根據自身行業特點，參照國家有關部門頒佈的不同行業的資料分類分級指引、指南、資料管理工作辦法等檔案，根據法律及自身情況將資料進行分類，並在分類的基礎上，根據不同類別的重要程度及假設發生事故的嚴重程度，實施分級管理措施。

7

完善應急預案響應和線索移送機制

當發生資料安全事件，相關方應按照應急預案第一時間啟動應急處置機制，提高防護級別最大程度減少損失，同時規範固定完整電子資料，及時移送司法機關。

8

有序參與資料要素市場競爭

隨著各地鼓勵利用資料產品參與市場交易，企業針對自己的核心資料產品，應相應制定規範的市場競爭策略，避免使用不正當競爭或者違反公平交易原則的手段破壞市場秩序而受到處罰。

上觀號作者：上海檢察