mt logoMyToken
总市值:
0%
恐慌指数:
0%
币种:--
交易所 --
ETH Gas:--
EN
USD
APP
Ap Store QR Code

Scan Download

新法在即,数据合规的核心要点?

收藏
分享

对于数据合规,我们已经写了数篇文章和PPT,咱们继续这个话题,带动大家一起学习研究。今天飒姐将文字版分享给大家,关键词是侵犯公民个人信息罪、数据刑事合规、肖飒,用于搜索使用。好,现在我们开始谈今天的话题。

前提

数据权到底是谁的?

个人信息的所属问题之所以复杂,其主要原因是数据主体和数据控制者的分离。也就是说,个人信息确实是来源于自然人的人格权,但是其一旦被互联网企业抓取、爬取或使用后生产处来的“加权数据”实际上并不由自然人控制而是由互联网企业这样的数据控制者真正支配。

从欧盟《一般数据保护条例》来看,其强调个人信息归属于自然人本身,因此给予多种民事权利,例如:遗忘权、撤回权、修改权等。而美国的司法实践是个人信息以“隐私权”为请求权基础,其更侧重对儿童等特殊群体的立法保护,其他数据多数有行业自律方式完成规制。

我国对个人信息的保护经历了漫长的摸索阶段,自山东徐玉玉案件后,对于公民个人信息的保护提到了很高的层面,近期公开征求意见的《个人信息保护法》(草案)其法律位阶就表明了我国立法者的态度。从草案中对于“被采集人同意”后允许相关企业处理信息,我们清晰地看到,对于自然人个人信息的权属实质上还是归还给了个人本身。也就是说,我们每个人是自己信息的“拥有者”,倘若有人要借用,必须经过明确告知,我们要同意后方可进行。

然而,我国人口众多也必然是数据大国,对于数据这种“生产要素”不可能不开发使用,因此,我们在欧盟和美国之外走出了自己的道路,那就是在承认公民个人信息属于个人的基础上,对于匿名化的信息可以进行市场运用。我认为,这种折中的做法符合当下中国国情。当然,在未来这部法律实施过程中,很可能会出现个人人格权保护与数据财产权保护之争,这几乎是必然会出现的,到那时就会有纠纷甚至刑事案件出现,为了减少侵犯公民个人信息罪对于数据行业的影响,有必要未雨绸缪对公民个人信息法与刑法相结合的要点进行阐述。

一、

公民个人信息的内涵与外延

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定:

公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证号码、通讯联系方式、住址、账户密码、财产状况、行踪轨迹等。

但未来《个人信息保护法》对于个人信息的定义是:以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

个人信息就是公民个人信息,且《个人信息保护法》一旦出台就是效力颇高的法律显然比司法解释位阶更高。飒姐认为,还是应该遵从个人信息保护法对于个人信息的定义,坚决将收集、存储、使用、加工、传输、提供、公开“匿名化处理后的信息”从涉刑的风险中剥离出去。不要小瞧这个点,未来实践中大概率会出现此类争议。认定匿名化的标准指引可参见:《GB/T 37964-2019 信息安全技术 个人信息去标识化指南》。

二、

委托处理个人信息,容易形成信息沉淀

飒姐经手的江苏某市涉嫌侵犯公民个人信息罪的案件中,存在客户委托支付机构从事支付业务,后第三方支付平台沉淀信息,并将信息进行处理流入社会。

三、

对于“提供"公民信息的理解

根据飒姐的办案经验和咨询反馈,我们发现赤裸裸地售卖数据虽然还存在,但相较于之前还是有所收敛。如今使用数据的方式主要集中在利用数据制作“评分类产品”,根据自己沉淀的数据库有偿提供YES or No的类征信服务。

实践中,各地对于有偿提供评分业务的法律定性不一,金融监管部门倾向于宽容,公安办案机关倾向于严格规制。

飒姐认为,在委托处理个人信息的场合,经常出现数据沉淀,根据沉淀多年的数据库进行有偿输出评分类产品还是违法行为,一旦有5000元以上违法所得,即可能构成2017年两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条的定罪标准。(所谓违法所得即从事违法行为的全部实际收入。)

四、

信息处理者向第三方提供匿名化信息是否构成帮助犯?

按照新法规定,个人信息处理者向第三方提供匿名化信息的,第三方不得利用技术等手段重新识别个人身份。但是,个人信息处理者提供的匿名化信息到底能不能被“回溯”为特定自然人,这是有可能的。

实践中,可能会引发这样的刑法问题,向第三方提供匿名化信息到底是中性帮助行为还是帮助犯,详见周光权论文。

五、

经常被忽略的公共场所监控摄像头

以前刑法第253条之一很少提及公共场所的摄像头录像问题,也容易被大家忽视。现在可以明确此种录像录音也属于个人信息,不得被随意公开或出售。一旦违反就是违法,继而进入犯罪圈。

六、

数据合规策略

根据法秩序统一性原则,只需做好数据合规,就能有效避免个人信息的犯罪。

具体做法:

《个人信息保护法》(草案)

第五十条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除:

(一)制定内部管理制度和操作规程;

(二)对个人信息实行分级分类管理;

(三)采取相应的加密、去标识化等安全技术措施;

(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;

(五)制定并组织实施个人信息安全事件应急预案;

(六)法律、行政法规规定的其他措施。

第五十四条 个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录:

(一)处理敏感个人信息;

(二)利用个人信息进行自动化决策;

(三)委托处理个人信息、向第三方提供个人信息、公开个人信息;

(四)向境外提供个人信息;

(五)其他对个人有重大影响的个人信息处理活动。

风险评估的内容应当包括:

(一)个人信息的处理目的、处理方式等是否合法、正当、必要;

(二)对个人的影响及风险程度;

(三)所采取的安全保护措施是否合法、有效并与风险程度相适应。

风险评估报告和处理情况记录应当至少保存三年。

第五十五条 个人信息处理者发现个人信息泄露的,应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:

(一)个人信息泄露的原因;

(二)泄露的个人信息种类和可能造成的危害;

(三)已采取的补救措施;

(四)个人可以采取的减轻危害的措施;

(五)个人信息处理者的联系方式。

个人信息处理者采取措施能够有效避免信息泄露造成损害的,个人信息处理者可以不通知个人;但是,履行个人信息保护职责的部门认为个人信息泄露可能对个人造成损害的,有权要求个人信息处理者通知个人。

注意:若无法履行第五十五条规定的义务,还可能触犯拒不履行信息网络安全管理义务罪。(刑法第二百八十六条之一)

七、

行政调查与刑事侦查的无缝连接

《个人信息保护法》(草案)

第五十九条 履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:

(一)询问有关当事人,调查与个人信息处理活动有关的情况;

(二)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;

(三)实施现场检查,对涉嫌违法个人信息处理活动进行调查;

(四)检查与个人信息处理活动有关的设备、物品;对有证据证明是违法个人信息处理活动的设备、物品,可以查封或者扣押。

履行个人信息保护职责的部门依法履行职责,当事人应当予以协助、配合,不得拒绝、阻挠。

写在最后

《个人信息保护法》(草案)最有杀伤力的一句话:

第六十七条 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。


免责声明:本文版权归原作者所有,不代表MyToken(www.mytokencap.com)观点和立场;如有关于内容、版权等问题,请与我们联系。
相关阅读

DeFi潮流新风口:从链上数据看跨链桥的发展新方向

总锁仓额突破131亿美元,9月独立地址总数超12万个

Bitwise 向美SEC提交比特币策略ETF申请,旨在投资比特币期货和其他金融产品

PANews 9月15日消息,根据一份公开的监管文件,资产管理公司Bitwise 下属部门 Bitwise Index Services 向美国证券交易委员会(SEC)递交了比特币期货交易所交易基金 ETF申请,新基金名为Bitwise Bitcoin Strategy ETF。旨在投资比特币期货和其他金融产品。该文件称:“该基金不会直接投资于比特币,虽然该基金主要通过间接投资于在 CFTC 注册的商品交易所交易的标准化、现金结算的比特币期货合约来获得比特币敞口,但它也可能投资于集合投资工具和加拿大上市的提供比特币敞口的基金”。文件显示,ETF 还可能投资于现金、美国政府证券或货币市场基金。US Bancorp Fund Services 将担任转账代理和管理人,而美国银行将担任托管方。据了解,美国证券交易委员会(SEC)至今还未批准任何比特币 ETF 基金。此外,美证监会主席 Gary Gensler 表示该机构更有可能批准比特币期货 ETF 而不是现货 ETF,因为期货 ETF 将投资于芝加哥商品交易所(CME)提供监管的比特币期货产品,而比特币现货则不受监管。来源链接

知情人士:因需求强烈,Coinbase计划发行的债券或增加至20亿美元

PANews 9月15日消息,有知情人士称,此前计划发行15亿美元债券的Coinbase会将交易规模提升至20亿美元,因为至少已经有70亿美元的订单涌入。其他知情人士表示,等额的7年期和10年期债券将分别以3.375%和3.625%的利率发行,低于最初讨论的借贷成本。彭博社表示,固定收益投资者对该产品的热捧,代表了加密货币不再是一个专属于风险资本的行业,因为养老基金和对冲基金在内的专注投资债务的投资者都希望参与到此次的投资中。此前根据 Coinbase 提交给美国证券交易委员会(SEC)文件显示,Coinbase 将通过私募发行 15 亿美元于 2028 年和 2031 年到期的有担保高级票据,这些票据将由 Coinbase 的全资子公司 Coinbase, Inc. 提供全额无条件担保。来源链接