2020-08-04
網絡安全及數據合規動態(2020年1月-6月):監管規則(上)
作者:
傅鵬
前言:
2020年上半年,在我國網絡安全與數據合規監管實踐發展的進程中,是具有里程碑意義的一個時間段。
受新冠疫情影響,許多行業的業務形態和工作方式的“線上化”加速。隨著“新基建”等系列政策的頒布,5G、人工智能、工業互聯網、物聯網等領域的發展享受政策利好。
受上述因素影響,諸多業態對個人信息和其他數據的收集和利用頻率空前頻繁、程度不斷加深,數據流轉需求顯著放大。“數據經濟”的價值進一步釋放。
在此背景下,擅自收集、濫用個人信息的情況也更加普遍,監管需求增大,實際的監管活動不斷加碼,適應“數據經濟”快速發展的全新監管規則頻出。
我們利用兩篇推送文章的篇幅,對2020年上半年網絡安全及數據合規領域的監管新規進行總結;利用一篇推送文章的篇幅,對2020年上半年網絡安全及數據合規領域引人關注的部分事件進行分析。
本動態是2020年1月至6月網絡安全和數據合規的最新監管規則簡述的上篇,主要對App場景下的個人信息保護規則以及綜合性個人信息監管規則進行介紹和簡述。
我們的下一期動態,將展現2020年1月至6月網絡安全和數據合規的最新監管規則簡述的下篇,主要介紹行業細分領域下的個人信息與網絡安全保護規則,包括教育、電商、金融、工業等領域。
本動態僅作為本所對網絡安全及數據合規相關的近期話題的一般性探討,不構成本所正式法律咨詢意見。
監管規則目錄:
一、App場景下的個人信息保護規則
(一)《信息安全技術 移動互聯網應用(App)收集個人信息基本規范(征求意見稿)》
全國信息安全標準化技術委員會(“信安標委”)于2020年1月20日發布了《信息安全技術 移動互聯網應用(App)收集個人信息基本規范(征求意見稿)》(“《App個人信息收集規范》”),對此前國家市場監督管理總局及國家標準化管理委員會于2019年10月24日聯合發布的《信息安全技術 移動互聯網應用程序(App)收集個人信息基本規范(草案)》(“2019年《App個人信息收集規范》草案”)進行了修訂。其中,特別值得關注的是:
(1)個人信息共享和轉讓規定的變化
2019年《App個人信息收集規范》草案中規定,存在共享、轉讓個人信息的情況下,App運營者應向個人信息主體提供實時查詢數據接收方身份的途徑;《App個人信息收集規范》刪去了對App運營者的前述規定。但與此同時,《App個人信息收集規范》要求,通過間接方式收集個人信息的,App運營者應向個人信息主體提供實時查詢數據提供方身份的途徑。
由此可見,在存在個人信息共享和轉讓的情況下,向個人信息主體提供查詢途徑,從數據提供方的義務轉換為了數據接收方的義務,即數據提供方無需向用戶提供查詢其數據對外共享的情況,但是如果數據接收方從第三方處獲得用戶的個人信息,其應對用戶提供查詢途徑,查詢個人信息來源。
(2)明確常見服務類型中收集的、作為最小必要信息的“網絡日志”內容
根據《網絡安全法》第21條的規定,網絡運營者應當采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月,在2019年《App個人信息收集規范》草案中亦基于這一依據,規定在地圖導航、網絡約車、即時通訊等服務類型需收集的最小必要信息中包含“網絡日志”,但是未明確此處“網絡日志”的具體內容和范圍。
在《App個人信息收集規范》中,“網絡日志”被限制在“網絡訪問日志”范圍內,并且明確規定該等信息的收集僅用于滿足《網絡安全法》等相關法律法規要求和網絡安全保障需要,該等“網絡訪問日志”信息通常包括IP地址、用戶登錄時間、用戶退出時間等,并非指用戶操作行為日志。
(3)新增了常見服務類型及相關的最小必要信息
《App個人信息收集規范》增加了9種常見服務類型,并就每一服務類型下最小必要信息作出規定,具體包括:旅游服務、酒店服務、網絡游戲、在線影音、兒童教育、電子圖書、拍攝美化、應用商店和網絡直播。
(二)《網絡安全標準2020自評估指南—移動互聯網應用程序(App)收集使用個人信息自評估指南(征求意見稿)》
信安標委于2020年3月19日發布了《網絡安全標準2020自評估指南—移動互聯網應用程序(App)收集使用個人信息自評估指南(征求意見稿)》(“2020版自評指南”)。在形式上,2020版自評指南基本延用App違法違規收集使用個人信息專項治理工作組于2019年3月1日發布的《App違法違規收集使用個人信息自評估指南》(“2019版自評指南”)的形式。但是,在內容上結合近年執法中的新情況、新問題,作出了修改。其中,特別值得關注的是:
(1)App委托的第三方或嵌入的第三方代碼/插件存在直接將用戶個人信息傳輸至境外的情況時,應明確向用戶告知跨境傳輸個人信息的目的、類型和接收方等。
(2)App接入第三方應用時,應提醒用戶關注第三方應用收集使用個人信息的規則,App運營者不得私自截留第三方應用收集的個人信息。
(3)對App頻繁向用戶詢問是否同意收集其個人信息的頻率劃定了標準,即在用戶明確表示不同意收集后,如果App在48小時內再次詢問用戶則可能被認定為頻繁索權。
(4)App存在利用用戶個人信息和算法提供定向推送功能的(包括信息和商品展示、廣告推送),應向用提供拒絕接受、停止、退出或關閉該功能的機制,或者提供非定制的信息或商品。
(5)在用戶未打開App或后臺運行App時,除業務功能必需的信息外(例如地圖App導航功能在后臺運行時必須收集用戶的位置信息),App不應收集用戶個人信息。
(三)《App個人信息安全防范指引(征求意見稿)》
信安標委于2020年3月30日發布了《App個人信息安全防范指引(征求意見稿)》(“《防范指引》”),基于信安標委相關統計數據和近期疫情防控類App出現的問題,對App個人信息安全保護的常見問題進行了梳理并提供了防范策略。其中,特別值得關注的是:
(1)《防范指引》將小程序明確納入App的監管范疇,規定App是指安裝、運行在移動智能終端上的應用軟件,包括在應用市場上架的軟件、移動智能終端預裝的軟件、小程序等。
在《防范指引》發布前,主管機關在執法過程中已開始要求對小程序違法違規收集個人信息的行為進行整改。例如,中共天津市委網絡安全和信息化委員會辦公室于2020年3月16日發布的對疫情防控App專項治理情況通報中,即指出了4款疫情防控小程序違法違規收集個人信息的情況,并提出整改要求。
從目前監管的態度和執法活動的開展來看,對網絡運營者而言,無論其是通過一般性移動應用(App),還是通過第三方平臺的小程序提供產品或服務,主管機關對該等行為中涉及的用戶個人信息收集和處理行為的合規要求越來越嚴格,并且主管機關該等要求具體適用在哪些類型的終端表現形式上,這些終端表現形式的范圍也會隨著市場上產品和服務的形式而不斷更新。
例如,曾有相當一段時間,市場對于App形式以外的體現形式(例如各類主體提供的小程序)是否需要遵守App收集使用個人信息的規范,產生過廣泛的討論。當前,主管部門的執法實踐以及《防范指引》明確將小程序這一形式納入監管范圍,有利于廣泛的服務提供者明晰自身的合規邊界。市場上目前小程序運營者應當對本次《防范指引》的規定予以重視,并應參照《防范指引》對其產品和服務進行自查并及時對違規行為進行修正。此外,小程序運營者在產品開發過程中也應強化個人信息保護的設計。
(2)針對具有特定用途的疫情防控類App,《防范指引》也指出了需要予以關注的問題并提出了具體解決策略,具體如下:
i. 疫情防控類App宜盡可能縮小身份登記的個人信息填寫范圍,達到可追溯的目的即可。例如,收集個人信息可參考“前臺匿名,后臺實名”等方式,用戶可提供手機號,無需填寫身份證號或上傳身份證圖片。
ii. 通過個人信息的大數據分析等自動化決策機制來判斷用戶個人健康狀態的,應提供反饋渠道,及時處理因自動化決策機制而嚴重影響用戶個人權益的問題。
二、個人信息綜合性監管規則
(一)《信息安全技術 個人信息告知同意指南(征求意見稿)》
信安標委于2020年1月20日發布了《信息安全技術 個人信息告知同意指南(征求意見稿)》(“《告知同意指南》”)。《告知同意指南》從告知和取得用戶同意的適用情形、基本原則、內容方式和具體場景下的特殊規定等方面對網絡運營者對個人信息主體進行告知以及收集同意的行為加以規范。其中,特別值得關注的是:
(1)僅需履行告知義務但不需要獲得用戶明示同意的情形
《告知同意指南》從個人信息的收集使用、使用目的變更、對外提供等數據處理環節對不需要獲得明示同意情形作出了具體規定。相較于最新的《信息安全技術 個人信息安全規范(征求意見稿)》(2019年10月22日版)(“《個人信息安全規范》”)中的規定,主要變化如下:
i. 應當進行告知、但無需獲得明示同意
《告知同意指南》規定在特定的情形下,免除個人信息控制者取得用戶“明示同意”的義務,但不免除“告知義務”。而《個人信息安全規范》則規定在特定的情形下,個人信息控制者無需征得用戶的“授權同意”,未對是否需要對用戶進行告知作出明確要求。
《告知同意指南》對該等情形的規定,為網絡運營者進行個人信息的告知同意提供了更清晰的指導,特別是明確了不免除告知義務,使得網絡運營者在起草用戶協議和隱私政策的過程中繼續注意對這些情形下的個人信息收集和使用進行充分告知。
ii. 新增免除收集使用個人信息時告知同意的情形
《告知同意指南》增加了收集使用個人信息時僅需要進行告知,不需要取得用戶明示同意的情形,主要包括:(i)與商業或職務行為直接相關的個人信息,例如企業依法注冊登記、備案的法定代表人、股東、監事、高管等的個人信息;(ii) 用于維護所提供的產品或服務安全和穩定所必需的個人信息,例如軟件收集用戶的設備類型、網絡運行日志、崩潰報告等;(iii) 個人信息控制者為新聞單位且其在開展合法的新聞報道所必需的信息;(iv) 用人單位收集的與個人信息主體求職、就業直接相關的簡歷等個人信息。
iii. 使用個人信息目的變更時不強制要求取得用戶明示同意的情形
《告知同意指南》增加了在使用個人信息的目的變更時不強制要求取得用戶明示同意的情形,即在不會對個人權益帶來額外影響的前提下,個人信息控制者可以決定是否采取明示同意方式,主要情形包括:(i) 新目的與原目的具有直接或合理的關聯性;(ii) 服務升級、改造導致對用戶個人信息的使用頻率、展現方式及互動方式調整;(iii) 將個人信息用于學術研究且已進行去標識化處理;(iv) 對使用目的變更進行了安全評估后不存在高風險,且對評估結果進行披露。
(2)未成年人個人信息的告知同意
i. 顯著加強未成年人網絡與信息安全保護是監管趨勢的一個重要方面
2019年我國在未成年人網絡與信息安全保護方面顯著加強了監管力度。
在監管規則方面,主管部門出臺了一系列專門針對未成年人網絡與信息安全保護的監管規則。例如,國家互聯網信息辦公室(“網信辦”)于2019年8月22日發布《兒童個人信息網絡保護規定》;全國人民代表大會常務委員會于2019年11月1日發布了《未成年人保護法》,草案中設置了“網絡保護”的專門章節。
在實際監管工作方面,主管部門采取了一系列針對未成年人網絡與信息安全保護的專項監管行動。例如,網信辦于2019年5月28日統籌14家短視頻平臺和4家網絡視頻平臺統一上線“青少年防沉迷系統”;國家新聞出版署于2019年11月5日下發了《關于防止未成年人沉迷網絡游戲的通知》嚴格限制為未成年人提供網絡游戲服務時間。
ii. 進一步細化了對未成年人的監護人進行告知、收集同意的要求
本次公開發布的《告知同意指南》相較于信安標委于2019年10月25日在信安標委成員單位內部發布并征求意見的《信息安全技術 個人信息告知同意指南》草案(“2019年《告知同意指南》草案”),增加了對未成年人的監護人身份的核驗要求和核驗方式,同時明確了取得監護人同意的具體方式。
(3)SDK(Software Development Kit)收集使用個人信息場景下的告知同意
《告知同意指南》相比于2019年《告知同意指南》草案,進一步明確和強調了接入SDK的宿主App的主體責任,具體而言:(i) 當SDK提供者不是個人信息控制者時(即提供的SDK為功能性SDK,所采集的個人信息全部為宿主APP控制),宿主App應告知通過SDK收集個人信息的情形并應征得個人信息主體同意;(ii) 當SDK提供者僅從宿主App間接獲取個人信息時,宿主App就信息的共享應向個人信息主體進行告知并取得同意;(iii) 當SDK提供者是直接個人信息控制者時,SDK提供者應向個人信息主體告知并應征得個人信息主體同意;(iv) 當SDK提供者與宿主App同是個人信息控制者時,宿主App和SDK提供者各自或共同告知個人信息主體并應征得同意。
(4)IoT(Internet of Things)場景下的告知同意
隨著智能設備的廣泛應用,智能設備中個人隱私泄露事件也時有發生,其中,與智能音箱相關的個人隱私泄露和網絡安全事件受到了廣泛的關注。
例如,根據新聞報道,美國某知名互聯網公司在世界各地雇傭了數千名員工,對旗下智能音箱產品收集的用戶語音資料進行標注,但是該公司在其營銷和隱私政策材料中沒有明確表示其雇傭員工收聽該等語音資料。
另外,在國家互聯網應急中心網絡安全應急技術國家工程實驗室聯合相關行業企業發布的《智能音箱隱私與網絡安全分析報告》中提及,在對市場上部分智能音箱開展了7*24小時的流量監控與分析中發現,部分被測智能音箱的上行和下行的絕大部分流量,均為明文數據,未采取嚴格的安全傳輸措施,攻擊者可以通過偽AP等手段,輕易地獲取智能音箱采集和傳輸的各類數據,從而造成用戶的敏感數據泄露。此外,中國信息通信研究院中國泰爾實驗室發布的《互聯網設備-智能音箱安全白皮書(2019年)》也提及,智能音箱在用戶不知情的情況下,過度收集和使用個人信息。智能音箱易出現在用戶不知情情況下,對用戶語音、位置等敏感信息持續收集的現象,尤其是用戶語音,用戶較多不易感知;一些智能音箱并未通過隱私政策或其他途徑明確告知用戶收集使用信息的目的、方式、范圍和頻次,也未向用戶提供明確的允許和拒絕的選擇,這種累積性的權益侵害在日常生活中普遍存在,將會引發用戶的嚴重擔憂。信息過度收集使用的亂象亟待解決。
因此,《告知同意指南》針對智能音箱收集和使用個人信息的應用場景,從告知同意的呈現方式、智能音箱對外傳輸或從其他設備獲取個人信息的告知同意情形等方面作出了明確規范。
(5)車載場景下的告知同意
近年來智能網聯汽車相關服務(“車聯網”)蓬勃發展,在該等業務場景下網絡安全與隱私保護也備受關注。
2019年10月24日,中國信息通信研究院(“中國信通院“)、中國汽車技術研究中心有限公司牽頭,聯合信安標委相關工作組等各單位,啟動車聯網(智能網聯汽車)網絡安全調研及檢測評估工作,對我國車聯網網絡安全現狀進行全面摸底,評估掌握車聯網安全面臨的突出風險及問題,推動健全車聯網(智能網聯汽車)網絡安全管理體系。
2019年12月25日,中國信通院在京組織召開專題研討會,就車聯網網絡安全防護指南(草案)、車聯網數據分類分級及合規應用指南(草案)征求專家意見。
針對車聯網這一新的數據合規熱點監管場景,《告知同意指南》針對車聯設備收集和使用個人信息的情形,從告知同意的呈現方式、同意模式等方面結合車載場景的特殊性作出了明確規范。
(二)《信息安全技術 - 個人信息安全規范》
2020年3月6月,國家市場監督管理總局、國家標準化管理委員會發布了《信息安全技術 - 個人信息安全規范》(“2020年信息安全規范”),并于2020年10月1日起生效。
2020年信息安全規范生效后將替代2018年生效的《信息安全技術 - 個人信息安全規范》(“2018年信息安全規范”),其主要變化如下:增加了“多項業務功能的自主選擇”、“用戶畫像的使用限制”、“個性化展示的使用”、“基于不同業務目所收集個人信息的匯聚融合”、“第三方接入管理”、 “個人信息安全工程”、“個人信息處理活動記錄”等內容板塊,并對“征得授權同意的例外”、“個人信息主體注銷賬戶”、“明確責任部門與人員”、“實現個人信息主體自主意愿的方法”等內容板塊進行了修改。
在2020年信息安全規范發布前,信安標委對2018年信息安全規范進行了多次修改并更新了多版征求意見稿(最新版本為2019年10月24日左右發布,以下簡稱“2019年意見稿”),該等修改中的大部分內容已在本次2020年信息安全規范中被采納,同時也在近年主管部門網絡安全與數據合規的排查和整頓工作中得到貫徹落實,已經反映在2020年信息安全規范頒布前的一系列重要整頓文件中,以及反映在許多APP的隱私政策文本和APP的實際設計當中。
舉例而言,該等修改中要求,不得強迫個人信息主體一次性接受并授權多項業務功能的個人信息收集,在此前國家互聯網信息辦公室等主管機關發布的《App違法違規收集使用個人信息行為認定方法》及App專項治理工作組推進的專項整治行為中都得到了體現和落實。
本文就2020年信息安全規范中體現的對2018年信息安全規范及2019年意見稿的主要修改進行了梳理和分析,其中特別值得關注的有:
(1)刪除了個人信息控制者“不應大規模收集中國公民“種族、民族、政治觀點、宗教信仰等個人敏感信息”的表述
該等刪減可能考慮到在實踐中存在的一些網絡運營者受國家機關委托進行此類信息收集和處理工作的情況,為避免對企業和其它單位的業務和工作開展設置不必要的障礙,進行了這項調整。
同時,2020年信息安全規范也關注到“種族、民族、政治觀點、宗教信仰”等個人敏感信息的重要性,一旦泄露,可能會對國家和社會安全與穩定造成威脅,因此要求個人信息控制者不應披露對前述信息的分析結果。
(2)對收集、存儲、共享和轉讓個人生物識別信息的特殊要求
i. 收集個人生物識別信息應當單獨告知個人信息主體相關規則并獲得其授權
個人生物識別信息包括個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等。
考慮到個人生物識別信息對個人人身和財產安全的重要性及全球范圍內的個人生物識別信息泄露的擔憂,2020年信息安全規范對收集個人生物識別信息的授權提出更為嚴格的要求,要求個人信息控制者“單獨告知”并取得個人信息主體的“明示同意”。
從操作上看,對收集個人生物識別信息的行為制定單獨的隱私政策可能是滿足這一要求的更好的實踐;同時,就該等聲明或規則還應以彈窗等方式向個人信息主體發布并實現個人信息主體以主動勾選等明示同意方式作出授權。
ii .個人生物識別信息的存儲要求
a. 個人生物識別信息應與個人身份信息分開存儲。就此,個人信息控制者應當考慮對分類收集和存儲個人信息,并在內部系統中采用數據隔離墻等技術措施實現該等要求。
b.個人信息控制者原則上不得存儲原始個人生物識別信息,可采取的措施包括:
存儲無法回溯到原始生物識別信息的摘要信息;
在采集終端中使用個人生物識別信息完成身份認證等功能,即個人生物識別信息僅存儲在個人信息主體的采集終端(如手機)上,個人信息控制者僅取得采集終端回傳的個人生物識別信息驗證結果,作為操作的依據,避免對個人生物識別信息直接存儲;
在個人信息控制者完成身份認證等工作后,立即刪除可提取個人生物識別信息的原始圖像。即當因個人信息控制者的技術、系統或設備等各種原因無法在采集終端完成對個人生物識別信息識別或處理時,在個人信息控制者完成對該等信息的處理后,應立即刪除其系統中留存的可提取個人生物識別信息的原始圖像。
iii. 共享和轉讓個人生物識別信息的特殊要求
個人生物識別信息原則上不應共享、轉讓。因業務需要,確需共享、轉讓的,應單獨向個人信息主體告知目的、涉及的個人生物識別信息類型、數據接收方的具體身份和數據安全能力等,并征得個人信息主體的明示同意
(3)對個人信息主體注銷賬戶要求的修改
i.不再要求個人信息控制者必須設置“注銷功能交互式頁面”;
ii. 明確個人信息控制者對注銷賬戶請求的響應時限不得超過15個工作日,該等要求與《App違法違規收集使用個人信息行為認定方法》中關于注銷賬戶的承諾時限基本保持一致;
iii. 對于存在必要業務關聯關系的產品和服務的部分注銷,應當主動提示個人信息主體注銷的詳細后果,包括一旦注銷某個產品或服務的賬戶,將會導致其他產品或服務的必要業務功能無法實現或者服務質量明顯下降等后果的說明;
iv. 在多個產品和服務共用同一賬戶的情況下,注銷賬戶時可能對沒有獨立的賬戶體系的產品或服務產生影響時,可采取對賬號內該等產品或服務以外的其他個人信息刪除的方式,并切斷賬戶體系與該等產品或服務的關聯,從而實現保留產品和服務與待注銷賬戶的分離;
v. 個人信息主體注銷賬戶后,應及時刪除其個人信息或做匿名化處理。因法律規規定需要留存個人信息的,不能再次將其用于日常業務活動中。
(4)采用交互式頁面提供產品或服務的個人信息控制者,宜設置便捷的交互式頁面以響應個人信息主體的請求
2020年信息安全規范對采用如網站、移動互聯網應用程序、客戶端軟件等交互式頁面方式提供產品或服務的企業,響應個人信息主體的訪問、更正、刪除、撤回授權同意、注銷賬戶等各類請求提出了更高的合規要求;但是,在目前的實踐中,該等企業仍存在以交互式頁面提供產品或服務的企業通過郵件、電話等方式響應個人信息主體請求的情況有待改善。
(5)任命專職個人信息保護負責人和個人信息保護工作機構的門檻調整
2020年信息安全規范對需要設置專崗專人進行安全保護的要求進行的調整,其中:(i) 修改了處理個人信息數量的門檻從50萬增加至100萬;(ii) 對處理個人敏感信息需要設立專職的個人信息保護負責人和個人信息保護工作機構的情形,增加了處理超過10萬人的個人敏感信息的門檻。
(三)《中華人民共和國民法典》
全國人民代表大會于2020年5月28日通過了《中華人民共和國民法典》(“《民法典》”),該法典將于2021年1月1日起正式施行。《民法典》“人格權編”第六章延續了《中華人民共和國民法總則》和《網絡安全法》中對個人信息的相關保護規定,并且進一步明確了處理個人信息的原則和條件、自然人的個人信息救濟權利、信息處理者個人信息保護義務、法定機構及其工作人員對個人信息的保密義務等內容。其中,特別值得關注的是:
(1)《民法典》對個人信息與隱私權作出了銜接:根據《民法典》第1034條規定,個人信息中的私密信息,適用有關隱私權的規定;沒有規定的,適用有關個人信息保護的規定。由此可見,當自然人被侵害的信息既屬于個人信息又屬于私密信息時,其可以選擇適用隱私權保護的規定保護其利益,當隱私權無法保護其權益時,也可適用于關于個人信息保護的規定。
(2)個人信息權益的救濟方式:除可以要求侵權主體承擔侵權責任外,《民法典》參考《信息安全技術 個人信息安全規范》的相關要求,規定當自然人的個人信息遭受或可能遭受特定情況的損害時,其還可以向信息處理者查閱或者復制其個人信息;發現信息有錯誤的,有權提出異議并要求更正;信息處理者違反法律、行政法規的規定或者雙方的約定處理其個人信息的,自然人有權要求刪除其個人信息。
(3)信息處理者處理個人信息的免責事由:《民法典》規定,信息處理者處理個人信息的行為在特定條件下可以不承擔民事責任,具體條件包括:該行為是在自然人或者其監護人同意的范圍內合理實施的;該行為是在合理處理該自然人自行公開的或者其他已經合法公開的信息(但是,該自然人明確拒絕或者處理該信息侵害其重大利益的除外);該行為是為維護公共利益或者該自然人合法權益,合理實施的其他行為。
(四)《浙江省公共數據開放與安全管理暫行辦法》
浙江省人民政府于2020年6月12日發布了《浙江省公共數據開放與安全管理暫行辦法》(“《暫行辦法》”),該辦法將于2020年8月1日起正式施行,對浙江省行政區域內的公共數據開放、利用和管理作出了規定。其中,特別值得關注的是:
(1)公共數據的范圍和分類:指各級行政機關以及具有公共管理和服務職能的事業單位,在依法履行職責過程中獲得的各類數據資源。根據數據開放的風險程度,將公共數據分為無條件開放、受限開放、禁止開放三類,并針對不同風險類別設置了有差異的開放方式。
(2)禁止開放的公共數據
i. 依法確定為國家秘密的;
ii. 開放后可能危及國家安全、公共安全、經濟安全和社會穩定的;
iii. 涉及商業秘密、個人隱私的;
iv. 因數據獲取協議或者知識產權保護等禁止開放的;
v. 法律、法規規定不得開放或者應當通過其他途徑獲取的。
前述(i)-(v)款所列的公共數據,依法已經脫敏、脫密等技術處理,符合開放條件的,可以列為無條件開放類或者受限開放類公共數據。
前述(iii)款所列涉及商業秘密、個人隱私的公共數據不開放將會對公共利益造成重大影響的,公共數據開放主體可以將其列為無條件開放類或者受限開放類公共數據。
(3)受限開放的公共數據
i. 涉及商業秘密、個人信息的公共數據,其指向的特定公民、法人和其他組織同意開放,且法律、法規未禁止的;
ii. 開放將嚴重擠占公共數據基礎設施資源,影響公共數據處理運行效率的;
iii. 開放后預計帶來特別顯著的經濟社會效益,但現階段安全風險難以評估的。
公民、法人和其他組織可以向公共數據開放主體提出獲取受限開放類數據的服務需求,但應當符合規定的數據存儲、數據處理、數據安全保護能力等條件并達到相應的信用等級。
后記:
海問在網絡安全、數據合規領域積累豐富的經驗,亦持續關注不斷更新的法律法規及與數據合規有關的時事熱點。您可通過如下鏈接瀏覽此前的《海問觀察:網絡安全及數據合規動態》:
《海問觀察:網絡安全及數據合規動態》(2019年9月上半月)
《海問觀察:網絡安全及數據合規動態》(2019年9月下半月-10月上半月)
京ICP備05019364號-1 
京公網安備110105011258
