這部分條款,提出了個人信息保護的基本原則和要求,可以說是一部小型的“個人信息保護法”。主要規定了在網絡信息安全特別是個人信息保護方面,網絡運營者、任何個人和組織、網絡安全監管人員必須承擔的責任和義務。相應地也要承擔法律責任。
【第四十條】 網絡運營者應當對其收集的用戶信息嚴格保密,并建立健全用戶信息保護制度。
解讀:本條款的核心是用戶信息保護;這里需要注意的是“用戶信息”和“個人信息”是有區別的,具體內容請參考前面的“重要概念”中對個人信息和用戶信息的解釋。
【第四十一條】 網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。
網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,并應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。
解讀:本條款強化了個人信息保護的知情同意和特定目的原則;確定了網絡運營者收集個人信息必須遵循合法、正當、必要原則,強調了個人信息收集過程中的透明度,和用戶自主選擇權,同時強調了信息采集者必須合法使用和保存個人信息。那些利用其“壟斷地位”或“霸王條款”強制用戶同意采集信息的網絡運營者需要注意啦,再這樣任性可就違法啦。
適用法律責任:【第六十四條】
【第四十二條】 網絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。
網絡運營者應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告。
解讀:本條款也被稱作“大數據條款”;在強調保護個人信息的同時,有建設性的提出了“經過處理無法識別特定個人且不能復原的”除外,為個人信息數據在使用、交換和交易過程的合法性提供了法律依據,并要求:個人信息數據匿名化處理,技術上就是通過采用數據脫敏產品或技術手段,將涉及個人隱私的敏感數據進行脫敏處理,保證脫敏后的數據不能再識別出特定個人,并且信息不可逆(不可通過技術手段復原)。
另外,脫敏技術也可以被應用在日常的數據維護過程中,對于金融、醫療健康、零售、游戲等需要收集大量用戶個人信息的網絡系統,在系統數據庫日常維護過程中同樣需要防止個人隱私數據的泄漏,通過采用具有動態脫敏能力的產品或技術手段,可以有效地避免數據泄露,降低運維安全風險,更為運維者提供了免責的技術保障。
同時,本條款作為個人信息保護的核心內容,明確了網絡運營者對個人信息保護的責任:有必要采取技術措施保護個人信息,確保其收集的個人信息安全,通過采用監控、審計等技術手段及時發現和記錄異常行為,為主管部門進行追責和定責提供數據依據。
建議網絡運營者采用專門的安全產品保護個人信息:數據脫敏系統(最好具有動態脫敏能力)、數據安全運維系統(最好具有監控和審計能力)
適用法律責任:【第六十四條】
【第四十三條】 個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網絡運營者刪除其個人信息;發現網絡運營者收集、存儲的其個人信息有錯誤的,有權要求網絡運營者予以更正。網絡運營者應當采取措施予以刪除或者更正。
解讀:本條款的核心是法律明確賦予公民個人具有刪除權和更正權;如果發現網絡運營者不當使用個人信息,有權要求刪除,有錯誤的有權要求其改正。
特別要提醒網絡運營者,有義務采取措施予以刪除或更正;否則面臨違法。
適用法律責任:【第六十四條】
【第四十四條】 任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。
解讀:本條款的核心是不得非法獲取、非法出售和提供個人信息。這里說到非法出售,那么關鍵的問題是如何做才是合法呢?我們認為從法律層面需要結合前面的第四十二條條款中的“經過處理無法識別特定個人且不能復原的”除外這句話來解讀,合法的數據交易的前提是個人信息必須經過符合要求的脫敏處理,只有這樣的數據在進行交易時才有可能是合法的。
適用法律責任:【第六十四條】第二款
【第四十五條】 依法負有網絡安全監督管理職責的部門及其工作人員,必須對在履行職責中知悉的個人信息、隱私和商業秘密嚴格保密,不得泄露、出售或者非法向他人提供。
解讀:本條款規定了執法部門和執法人員必須履行的保密責任。
【第四十六條】 任何個人和組織應當對其使用網絡的行為負責,不得設立用于實施詐騙,傳授犯罪方法,制作或者銷售違禁物品、管制物品等違法犯罪活動的網站、通訊群組,不得利用網絡發布涉及實施詐騙,制作或者銷售違禁物品、管制物品以及其他違法犯罪活動的信息。
解讀:本條款規定了網絡犯罪的范疇。
適用法律責任:【第六十七條】
【第四十七條】 網絡運營者應當加強對其用戶發布的信息的管理,發現法律、行政法規禁止發布或者傳輸的信息的,應當立即停止傳輸該信息,采取消除等處置措施,防止信息擴散,保存有關記錄,并向有關主管部門報告。
解讀:本條款規定了網絡運營者承擔對違法信息傳播的阻斷義務,是網絡運營者必須履行的義務之一。
適用法律責任:【第六十八條】
【第四十八條】 任何個人和組織發送的電子信息、提供的應用軟件,不得設置惡意程序,不得含有法律、行政法規禁止發布或者傳輸的信息。
電子信息發送服務提供者和應用軟件下載服務提供者,應當履行安全管理義務,知道其用戶有前款規定行為的,應當停止提供服務,采取消除等處置措施,保存有關記錄,并向有關主管部門報告。
解讀:本條款提出任何個人、軟件開發商承擔禁止傳播違法信息的責任;同時要求信息發布服務和軟件下載服務提供者承擔對違法信息傳播的阻斷義務。
適用法律責任:【第六十條】,【第六十八條】第二款
【第四十九條】 網絡運營者應當建立網絡信息安全投訴、舉報制度,公布投訴、舉報方式等信息,及時受理并處理有關網絡信息安全的投訴和舉報。
網絡運營者對網信部門和有關部門依法實施的監督檢查,應當予以配合。
解讀:本條款規定網絡運營者應及時處理網絡安全的投訴和舉報,并特別強調了配合有關部門監督檢查的義務。
【第五十條】 國家網信部門和有關部門依法履行網絡信息安全監督管理職責,發現法律、行政法規禁止發布或者傳輸的信息的,應當要求網絡運營者停止傳輸,采取消除等處置措施,保存有關記錄;對來源于中華人民共和國境外的上述信息,應當通知有關機構采取技術措施和其他必要措施阻斷傳播。
解讀:本條款向執法部門提出了信息保護的要求,特別強調了采取技術措施阻斷傳播。
產品咨詢:4000 258 365 
