个人信息包括匿名化处理后的信息
匿名化是指个人信息经过处理无法识别特定自然人的过程。并蔽
通过将数据库中的部分敏感信息隐匿,使数据主体难以被识别。数字时代背景下,基于个人信息保护,结合个人信息特质,兼顾个人信息利用价值,探讨匿名化个人信息处理的正当性问题已不可回避。
《个人信息保护法》第四条第一款明确了个人信息的定义:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。《个人信息保护法》中的个人信息定义增加了不包括绝前州匿名化处理后的信息。
在数字化、智能化和网络化的时代,数据正在以前所未有的方式自由流悔纤动和跨境传输,因此个人信息保护立法仅有域内效力的规定根本无法充分保护本国公民的个人信息,所以各国都在推行不同的政策以保护信息。
2018年生效的欧盟GDPR率先确立了个人数据保护的域外效力,目前已有多个国家的个人信息保护法借鉴了GDPR域外效力的立法实践,我国的《个人信息保护法》也反映了国际个人信息保护的域外效力趋势。
个人信息保护法草案 如何捍卫信息安全?
用户的网络记录被平台擅自收集用于商业推销、公民在相关机构登记的个人信息被泄露外传……近年来,随着大数据技术在各领域的广泛应用,公民个人隐私的边界也频频遭遇挑战。
13日,个人信息保护法草案在全国人大常委会会议上首次亮相,从确立“告知——同意”为核心的个人信息处理一系列规则、严格限制处理敏感个人信息、明确国家机关对个人信息的保护义务等方面,全面加强个人信息的法律保护。
看点一:法律适用范围更明确
草案对本法中的个人信息作出界定。个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。
相比之下,今年5月通过的民法典规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
北京理工大学法学院民法典研究中心主任孟强表示,该草案没有具体列举个人信息范围,避免了立法重复;在规定个人信息的概念时,既强调了个人信息的权利保护,也强调了对个人信息权的规范行使和运用。
看点二:收集用户大数据须用户同意
在网上搜索了一个商品,接着就会收到无数同类商品的广告推送;购买了网站VIP会员,平台却突然变更规则,购买“VVIP会员”才能享受全部会员权利……对此类侵犯用户权益的现象,网友“吐槽”声不绝。
草案明确,处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。
一些平台利用用户大数据推送个性化广告,草案对此强调,通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。
中国社科院学部委员孙宪忠表示,信息的核心环节就是告知,草案确立“告知——同意”为核心的个人信息处理规则十分必要,这也是个人信息保护立法中的核心制度点。
孟强认为,“告知——同意”规则还可以规定得更为详细,如区分自然人是否具有完全民事行为能力而采取不同的要求;对自然人权利的规定也可以进一步细化,如在撤回权之外,规定查询、更正、删除等权利。
看点三:国家机关保护义务更明确
近年来,公众人物航班行踪等信息的买卖形成黑色产业链,严重侵犯个人隐私;公民在有关机构登记的个人信息频遭泄露,甚至被用于电信诈骗等违法犯罪活动。
为此,草案设专节对处理敏感个人信息作出严格限制。根据草案,敏感个人信息包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等。个人信息处理者只有在具有特定的目的和充分的必要性的情形下,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意。
国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。国家机关不得公开或者向他人提供其处理的个人信息,法律、行政法规另有规定或者取得个人同意的除外。
草案还将应对突发公共卫生事件,或者紧急情况下保护自然人的生命健康,作为处理个人信息的合法情形之一,并强调,在上述情形下处理个人信息,也必须履行个人信息保护义务。
王浩公认为,区分一般个人信息与敏感信息有三个维度:泄露该信息是否会导致重大伤害、泄露该信息给信息主体带来伤害的几率是否较大、社会大多数人对该类信息的敏感度如何。“总体而言,草案对敏感个人信息的界定较为清晰准确,有助于更好地区分并作出有效保护。”他说。
“个人信息的处理和运用涉及社会生活的方方面面,如果还按照传统的职能部门划分进行治理,难以有效防治个人信息权被侵害的问题。”孟强建议,在立法进一步完善的基础上,还要综合统筹协调各相关部门的执法行动、强化中央和地方的沟通配合,实现个人信息保护的有效综合保障。
匿名化处理后的信息有哪些
匿名化处理后的信息有个人信息,数据信息。个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
什么是个人信息,什么又是个人信息处理?
《个人信息保护法》第四条第一款对个人信息的概念和范围进行了明确,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。而根据《个人信息保护法》第七十三条的规定,匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。因此,个人信息的范围排除了经匿名化处理后的信息,其核心的界定标准是识别性,这种识别性是一种动态的识别,包括已识别和可识别。与此同时,《个人信息保护法》还强调了对于个人信息中“个人敏感信息”的重点保护,该法第二十八条规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
《个人信息保护法》第四条第二款对个人信息处理的定义进行规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。因此,个人信息处理包含了个人信息“由生到死”的全过程,突出了《个人信息保护法》保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用的立法宗旨。
(中国法学会网络与信息法学研究会徐玖玖)
匿名短信会泄露他人信息吗?
会啊,当你收到匿名短信的时候,就说明你的个人信息已经泄露了,反正电话号码已经泄露了。
匿名化是指个人信息经过处理无法识别特定自然人的过程
匿名化是指个人信息经过处理无法识别特定自然人的过程出自《个人信息保护法》第七十三条(四)关于“匿名化”定义。
该定义中的“不能复原”主采取了两种方法:一是删除个人信息包含的个人描述部分,包括将描述部分替换为其他描述部分,或者使用具有不可恢复的方法等;二是删除所述个人信息中所包含的全部标识符,包括将标识符替换为其他描述部分,或者使用具有不可恢复的方法等。
《个人信息保护法》第四条第一款明确了“个人信息”的定义:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
该定义与《网络安全法》《民法典》以及最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中的“个人信息”定义在基本概念上保持了一致,强调了“已识别或者可识别的自然人信息”,但在内涵上却有很大的不同。
《个人信息保护法》中的“个人信息”定义增加了“不包括匿名化处理后的信息”,明确了“个人信息”经匿名化处理后不属于个人信息,也就无须适用《个人信息保护法》的相关规定,体现了《个人信息保护法》的“保护”和“利用”并重。
在数字化、智能化和网络化的时代,数据正在以前所未有的方式自由流动和跨境传输,因此个人信息保护立法仅有域内效力的规定根本无法充分保护本国公民的个人信息。
2018年生效的欧盟GDPR率先确立了个人数据保护的域外效力,目前已有多个国家的个人信息保护法借鉴了GDPR域外效力的立法实践,我国的《个人信息保护法》也反映了国际个人信息保护的域外效力趋势。
处理个人数据的要求
数据处理包含数据收集、数据使用、数据存储、数据披露(共享转让公开)、数据销毁(这里注意是要彻底删除,而非可恢复的删除)等较为完整的生命周期。此外,同时还应该关注数据传输过程。
数据采集应该遵循知情同意、合法、必要、正当的原则。GDPR中写的是个人数据的处理原则:合法、合理、透明。
以上资料参考:蚌山区数据资源管理局:【文字解读】《个人信息保护法》解读
0条大神的评论