分类目录归档:法律边缘

逃离“告知-同意”:《个人信息去标识化指南》笔记

一、“告知-同意”以外

网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

——《网络安全法》第四十二条第一款

我国个人信息保护规则围绕着“告知-同意”原则构建,无论是收集、使用几乎都需要向个人信息主体告知并获得同意。征求意见中的《信息安全技术 个人信息告知同意指南(征求意见稿)》就是对“告知-同意”的详尽路线图。但无论怎样设计“告知-同意”都是一条充满荆棘的路途,而在这条路途以外,去标识化就成为值得探索的荒原。

《信息安全规范 个人信息去标识化指南》(GB/T 37964-2019)(“《个人信息去标识化指南》”)是个人信息领域最为重要的国家标准之一,是“告知-同意”以外,个人信息收集、处理的另一条进路。在杨合庆主编的《中华人民共和国网络安全法解读》中,将个人信息去匿名化的重任,交给了国家标准:“对个人信息匿名化处理的具体规则和技术要求等,本条未作具体规定,应当遵守有关标准和技术规范要求。”

匿名化处理的本质在于将个人信息处理为非个人信息,让匿名化处理后的个人信息不再具有人格属性,从而无需再遵守关于个人信息保护的规定。去标识化虽然不完全等同于匿名化,但却是现阶段退而求其次的选择,可以有效帮助企业降低收集、处理个人信息的合规风险,控制个人信息泄露的危害。

继续阅读

穿透告知同意的迷雾:《个人信息告知同意指南(征求意见稿)》发布

中国个人信息制度主要是以“告知同意”为基础构建,对个人信息的收集、处理均要求个人信息控制者向个人信息主体告知规则并获得同意。但如何告知,如何才算获得了同意却是一个非常棘手的难题。

张新宝教授在《个人信息收集:告知同意原则适用的限制》一文中认为:很多情况下,手机App等互联网应用所谓的“告知”并不是真正的告知,用户的“同意”并非真正的“同意”,并且不乏大量手机App等互联网应用采取隐瞒方式获取用户同意的情形。

中国农历春节前,信安标委就《个人信息告知同意指南(征求意见稿)》开始征求意见。在正式版本生效后,这份文件可能会是与《个人信息安全规范》(GB/T 35273-2017)同等重要甚至是更为重要的一份标准。《个人信息告知同意指南(征求意见稿)》开始征求意见无疑是一个好的开始,有助于收集、处理个人信息的企业穿透迷雾,履行法律义务。

继续阅读

微信2020年1月法律文件更新

概要:微信为视频号与更新了《微信隐私保护指引》,为功能号更新了《微信软件许可及服务协议》。

2020年1月21日,腾讯修改了自己的《微信隐私保护指引》,腾讯上一次修改《微信隐私保护指引》是在2019年9月30日。

这次修改微信主要涉及了以下内容:

除了隐私政策,腾讯《微信软件许可及服务协议》同样进行了修改,主要涉及:

电子数据真实性审查的“进化”

2019年12月26日,最高人民法院修改《关于民事诉讼证据的若干规定》并将于2020年5月1日施行。修改后的《关于民事诉讼证据的若干规定》较之2018年《关于互联网法院审理案件若干问题的规定》有了更进一步的规定。

仅就电子数据的真实性审查的部分,对比如下:

《关于民事诉讼证据的若干规定》


关于民事诉讼证据的若干规定(2019)关于互联网法院审理案件若干问题的规定(2018)
1电子数据的生成、存储、传输所依赖的计算机系统的硬件、软件环境是否完整、可靠电子数据生成、收集、存储、传输所依赖的计算机系统等硬件、软件环境是否安全、可靠
2电子数据的生成、存储、传输所依赖的计算机系统的硬件、软件环境是否处于正常运行状态,或者不处于正常运行状态时对电子数据的生成、存储、传输是否有影响电子数据的存储、保管介质是否明确,保管方式和手段是否妥当
3电子数据的生成、存储、传输所依赖的计算机系统的硬件、软件环境是否具备有效的防止出错的监测、核查手段
4电子数据是否被完整地保存、传输、提取,保存、传输、提取的方法是否可靠电子数据的存储、保管介质是否明确,保管方式和手段是否妥当
5电子数据是否在正常的往来活动中形成和存储N/A
6保存、传输、提取电子数据的主体是否适当电子数据提取和固定的主体、工具和方式是否可靠,提取过程是否可以重现
7影响电子数据完整性和可靠性的其他因素N/A
8N/A电子数据的内容是否存在增加、删除、修改及不完整等情形
9N/A电子数据是否可以通过特定形式得到验证

第十四条 电子数据包括下列信息、电子文件:
(一)网页、博客、微博客等网络平台发布的信息;
(二)手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息;
(三)用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息;
(四)文档、图片、音频、视频、数字证书、计算机程序等电子文件;
(五)其他以数字化形式存储、处理、传输的能够证明案件事实的信息。
第十五条 当事人以视听资料作为证据的,应当提供存储该视听资料的原始载体。
当事人以电子数据作为证据的,应当提供原件。电子数据的制作者制作的与原件一致的副本,或者直接来源于电子数据的打印件或其他可以显示、识别的输出介质,视为电子数据的原件。
第九十四条 电子数据存在下列情形的,人民法院可以确认其真实性,但有足以反驳的相反证据的除外:
(一)由当事人提交或者保管的于己不利的电子数据;
(二)由记录和保存电子数据的中立第三方平台提供或者确认的;
(三)在正常业务活动中形成的;
(四)以档案管理方式保管的;
(五)以当事人约定的方式保存、传输、提取的。
电子数据的内容经公证机关公证的,人民法院应当确认其真实性,但有相反证据足以推翻的除外。

《关于互联网法院审理案件若干问题的规定》

第十一条 ……
当事人提交的电子数据,通过电子签名、可信时间戳、哈希值校验、区块链等证据收集、固定和防篡改的技术手段或者通过电子取证存证平台认证,能够证明其真实性的,互联网法院应当确认。
当事人可以申请具有专门知识的人就电子数据技术问题提出意见。互联网法院可以根据当事人申请或者依职权,委托鉴定电子数据的真实性或者调取其他相关证据进行核对。