来源 | 徐汇检察
在大数据时代,你经常担心以下情况吗?
1、登录一些APP或网站,在不知情的情况下,APP或者网站会获取个人朋友信息;
2.下载一些APP,其功能必须通过捆绑收集个人数据才能正常使用;
3.在购物网站上买东西,第二天打开所有类似产品的推荐;
4.如果在公共场所安装人脸识别设备,个人隐私是否会泄露;
……
以上可能存在侵犯个人信息数据安全的风险!
《上海市数据条例(草案)》
(征求意见稿)来了
不用担心数据安全保护。
让我们一起研究这个
与我们的工作和生活密切相关
数据保护法规~
2021年9月30日,《上海市数据条例(草案)》(征求意见稿)(以下简称《条例》)经上海市人大常委会办公厅公告,广泛征求社会意见。本条例作为数据领域的综合地方法规,在数据权益保护、数据流通利用、数据安全管理等方面制定了一系列规范,为上海全面推进城市数字化转型提供了基本的制度保障。本条例作为数据领域的综合地方法规,在数据权益保护、数据流通利用、数据安全管理等方面制定了一系列规范,为上海全面推进城市数字化转型提供了基本的制度保障。
让我们来看看这个法规
公民个人信息保护的亮点是什么?
一 内容亮点
(一)明确数据权益保护
数据权益的所有权一直存在很大争议。随着数据价值的日益突出,基于对新股及时响应和规范的需求,对数据具有财产属性的支持越来越多。因此,由于数据安全保护的需要,该条例明确规定了个人数据的人格权益和数据处理器的产品和服务的财产权益。
(二)加强个人信息保护
01
收集个人非公开信息,遵循通知-同意的原则
互联网时代,有些APP、针对这一现象,网站过度收集个人信息的现象令人深感厌恶,无奈,条例规定:
-收集自然人非公开数据的,应当以有效的方式通知自然人并取得其同意,法律情况下不需要事先同意;
-禁止过度收集或处理超出使用范围的信息;
-自然人有权要求数据处理者更正、补充和删除涉及其个人信息。
02 拒绝捆绑协议损害公民决定个人信息的权利
长期以来,一些APP个人数据的收集和使用通过捆绑APP绑定功能,如果用户不同意全面授权,则无法使用该功能APP。
02 拒绝捆绑协议损害公民决定个人信息的权利
长期以来,一些APP个人数据的收集和使用通过捆绑APP绑定功能,如果用户不同意全面授权,则无法使用该功能APP。许多用户往往被迫接受捆绑为此,该条例规定,除非个人信息是提供产品或服务所必需的,否则数据处理者不得以自然人不同意为由拒绝提供相关产品或服务。
03 用户有权拒绝个性化推荐
人脸识别、指纹验证、声控解锁等生物识别技术非常方便,出现后经常在广泛的生活场景中使用,包括公民日常移动支付、门禁等。但由于生物识别数据是独一无二的、终身的、不可改变的,一旦泄露或滥用,就会造成比一般个人数据更严重的损害。为此,条例规定:
-生物识别数据仅用于处理个人数据的必要性和不可替代性;
-在公共场所安装人脸识别设备,必须明确告知相关信息;
-通过人脸识别技术获取生物识别信息的处理应限于通知范围。
04 不得滥用生物识别数据
根据购物网站和其他购物产品推送的情况,本条例规定,通过自动决策向自然人推送信息和商业营销的,应当同时提供不符合其个人特征的选择,或者为自然人提供方便的拒绝方式。
(三)建立数据交易系统
本条例规定,本市支持数据交易服务机构有序发展,建立健全数据交易服务机构管理制度。除条例规定的情形外,市场主体依法获取的数据,以及数据产品和服务的合法处理,可以依法交易。
(四)强调数据安全保护
本条例确定了数据安全责任制,数据处理者是数据安全责任主体,列出了责任主体应履行的数据安全保护义务,为市场主体的数据安全合规指明了方向。
(五)在数据领域建立公益诉讼制度
不断完善措施 保住民生底线
本条例规定,数据处理人违反本条例处理个人信息,侵犯多项个人权益的,人民检察院、市消费者权益保护委员会和网络信息部门确定的组织可以依法向人民法院提起诉讼。
《数据条例》明确规定
公民个人信息数据保护企业
承担相应的法律责任
然而,一些分子却盯
数据的巨大价值
非法获取数据信息
让我们通过具体的案例来理解
二 典型案例
案例1
离职人员账户管理权未及时处理
篡改服务器数据
嫌疑人周某向其网络科技公司申请离职后,周利用他作为编程员的作用VIP账户登录公司后台服务器,将脚本文件植入公司代理游戏的专用服务器和公司中转服务器。离职后,周利用自己植入游戏服务器的脚本文件,随意将游戏币添加到游戏账号中,然后在网上销售游戏账号非法盈利。
案例2
非法出售求职者简历
侵犯公民个人信息案
嫌疑人方某进入某网络公司工作,负责向招聘企业提供销售服务。
案例2
非法出售求职者简历
侵犯公民个人信息案
嫌疑人方某进入某网络公司工作,负责向招聘企业提供销售服务。陈某通过QQ认识方某,并提议以个人名义从网聘公司购买简历。此后,方从网络雇佣公司的内部数据库中找到了相关的企业信息,并通过网络PS企业公章制作虚假服务合同,然后非法将招聘企业账户出售给陈某下载求职者简历。据统计,方某非法出售了5万多份求职者简历。
案例3
以DDoS攻击网站IP地址
破坏计算机信息系统案例
王某发出攻击指令,攻击目标IP,张利用网络上搭建的攻击平台DDoS攻击某个网站旗下的三个方法IP 地址,导致三个IP相应的网站不能正常使用2小时以上,经查,该网站下有16万多名用户不重复注册。
面对上述情况
企业应如何合规?
个人信息的收集和使用
同时加强企业数据的安全性?
徐汇区检察院检察官
给大家八条建议
让我们来看看!
三 企业合规收集、使用、管理
建议个人信息数据
1 及时识别适用的数据安全保护义务
数据领域创新性强、变化快,相关领域立法文件也必然会不断更新,对于企业提出的要求亦会随之发展,因此,企业必须定期梳理、识别和更新相应的合规义务和风险。
2 建立健全流程数据安全管理体系
企业应当根据自身情况,建立健全有效地执行符合法律法规要求的数据安全管理制度,包括必要的数据安全部门组织结构、公司内部安全管理体系、管理权限划分、各环节操作规程、安全设备采购记录、定期安全运行维护、数据库备份恢复机制、数据安全投诉反馈系统、数据安全事件应急预案等。
3 完善技术措施,确保数据安全
企业应根据行业和数据收集特点,采取相应的数据安全技术措施,包括防止计算机病毒、插件等外部渗透技术措施、数据安全监控预警和安全事件通知、数据处理、备份恢复和加密技术措施等。利用互联网等信息网络开展数据处理活动,应使用符合规定的网络设备,遵守网络安全等级制度。
4 全面履行个人信息保护义务
各企业应严格按照法律规定完善个人信息通知和同意规则;遵循数据收集必要、最小化的原则;与信息主体畅通沟通渠道,建立充分保护公民知情权、补充更正权、删除个人信息使用权的途径。
5 数据处理全流程的风险管理控制
对数据收集、存储、使用、加工、传输、共享、开放、流通等环节进行合规审查。 5 整个数据处理过程的风险管理控制 企业应对数据收集、存储、使用、处理、传输、共享、开放、流通等环节进行合规审查。例如,在数据采集环节中,企业应注意数据授权范围、数据源的可追溯性、数据所有权、收集程序的合法性等。在数据使用过程中,应保证敏感数据的合法性和适当性,并对其进行脱敏和加密。在数据流程环节,内部应合理设置管理权限;外部应确保数据接收人的有效资质和安全能力;涉及跨境数据传输的,应当遵守国家有关规定,并履行相应的预程序。 6 建立数据分级管理制度 企业应根据自身行业特点,参照国家有关部门发布的数据分类指南、指南、数据管理方法等文件,根据法律和自身情况对数据进行分类,根据不同类别的重要性和事故的严重程度,实施分级管理措施。 7 完善应急预案响应和线索移动机制 数据安全事件发生时,相关方应根据应急预案首次启动应急处置机制,提高保护水平,最大限度地减少损失,规范完整电子数据的固定,并及时移送司法机关。 7 完善应急预案响应和线索移动机制 数据安全事件发生时,相关方应根据应急预案首次启动应急处置机制,提高保护水平,最大限度地减少损失,规范完整电子数据的固定,并及时移送司法机关。 8 有序参与数据要素市场竞争
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。
标签:
评论