Data Privacy under the PRC Network Security Law and the Draft PRC E-Commerce Law

First, here are some slides for quick reference if you are lazy and don’t want to read.

Capture6

Capture7
Capture8

The PRC Network Security Law (“NS Law”) has come into force on June 1, 2017. This law provides certain provisions in relation to the data privacy. Some of them appear to be beneficial to the individual data owners, whilst some others may be counter-productive to the protection of data privacy.

In parallel, the legislative branch of the Chinese government has published a draft PRC E-Commerce Law (“Draft EC Law”) for public consultation in December 2016.  This draft law has not yet to be passed by the PRC National People’s Congress (NPC) to become effective. However, its provisions have reflected some basic attitudes of the Chinese authority towards the protection of data privacy.

This essay sets out and provides my comments on the key provisions with respect the data privacy under the NS Law and the Draft EC Law.  In order to make readers digesting these laws easily, I will apply Daniel J. Solove’s theory of categorization of the data privacy issues.

1. Data Collection and Aggregation

“Aggregation” means the gathering of a person’s data from different sources and then combining them to form a clearer image of the person.

  • Art. 22.3 of the NS Law: ISP cannot collect its users’ personal information without the expressive consent. Art. 41 of the NS Law: ISP shall publish the rules, purpose, method, and scope of collection of personal information. No collection without users’ consent.[Comments: (i) These provisions do not distinguish “collection” and “aggregation”.  (ii) As a result, although these provisions have clearly required an operator to obtain consent before collecting its users’ information, they did not address the issue whether a third party can search and aggregate personal information (either from the public domain or from the first-hand data collectors.)]

2. Surveillance

Surveillance means the act or system enabling the government or a company to monitor user’s activities (“Big brother is watching you”).

  • Art. 51 of the Draft EC Law obliges E-commerce business operators to provide data to government authority (although it also said that the government authority should adopt “necessary measures” to protect data security).
    [Comments: (i) This provision legitimized (rather than prohibited) the surveillance practice.]
  • Art. 21.3 of the NS Law: ISPs are obliged to monitor and record user’s activities and should keep records for no less than 6 months.
    [Comments: (i) this could be counter-productive to protecting privacy from the individual data owner’s perspective; (ii) the 6 months storage obligation is not new in China, but the NS Law makes the compliance to be a necessity (at least on paper). ]

3. Identification

Identification means to identify a particular person or a particular group of persons by data analysis.

  • Art. 42.1 of the NS Law: No sharing of identifiable personal data without consent. Art. 50 of the Draft EC Law: an E-commerce business entity is obliged to take protection measures to ensure anonymity before it shares the e-commerce data with another E-commerce business entity.[Comments: Article 42 of the NS Law first prohibits business operators from divulging personal information to a third party. Then it says that if the data cannot identify a particular person, then it is fine to transfer without the data owner’s consent. Article 50 of the Draft EC Law has generally kept consistency with the NS Law on this regard. ]
  • Art. 45 of the Draft EC Law confirms that the buyers have autonomy over their personal data; it also defines the personal data with a detailed list, such as name, ID certificates number, address, contact details, information of geographical location, bank card info, transaction records, payment records and records of accepting logistic services.[Comments: The Draft EC Law did not distinguish the “private personal data” and the “business personal data”.  In some countries, use and aggregation of the business contacts (e.g. office telephone numbers, office email address and other info shown on a business card) may enjoy certain exemptions.]
  • Art. 46 of the Draft EC Law first provides that collection of personal data requires user consent; then it prohibits the denial of service due to the user’s refusal of providing personal data.

4. Disclosure and Insecurity

Disclosure means the data holder’s own act of disclosing the private facts. Insecurity means the situation that the data is attacked and stolen.

  • Art. 21. 2 and 21.4 of the NS Law request ISP to take technical measures to protect its system from attack; ISP also needs to classify, backup and encrypt data.
  • Art. 22.1 and 22.2 of the NS Law request ISP to take remedial actions when its system is in risk; provide security maintenance during the term of service. These provisions also generally requested the producer of network security products or services to report the authority about the data breach.
  • Art. 27 of the NS Law generally prohibits hacking acts. It also prohibits the assistance of hacking practice, such as tech support, advertising, and settlement of payment.
    [Comments: The provision did not clarify if the “assistance” means knowingly assistance. It also did not clarify if “constructive knowledge” also applies to this provision.]
  • Art. 42.2 of the NS Law requests ISP to take technical measures to protect data from disclosure, damages or loss. It also mentioned that the data holder shall report the data breach to the relevant authority.
  • Art. 49 of the Draft EC Law provides that e-commerce business entities must establish rules and technologies to prevent disclosure of data. It also provides if there is a data breach, the e-commerce business entity is obliged to (i) take remedial measures, (ii) notify the users and (iii) report to government authorities.

5. Exclusion 

Exclusion means the act/rule disabling/excluding a user from maintenance and deletion of his personal data from the system. The reason for deletion can be either those data are objectively outdated or the data owner simply changed its mind of disclosing the data.

  • Art. 43 of the NS Law: User has right to request deletion if the service provider’s collection or use of personal information in breach of the law/agreement; or there are mistakes in the personal information.[Comments: According to this provision, if there is no mistake in the personal information and the service provider does not breach the contract, then the data owner will not have right to remove the data he/she has provided to the service provider. It is not clear whether “mistake” herein includes “outdated”.  However, it seems clear that data owner would have lost an absolute right of deletion.]
  • Art. 47 of the Draft EC Law: provides that when a user requests correction or supplement of his/her personal information, the E-commerce business entity should correct or supplement the information accordingly.
  • Art. 48(3) of the Draft EC Law: provides that a user has right to delete its personal information. However, such right of deletion only arises (and is only mentioned) upon lapse of agreed / statutory term of preservation of personal data.

6. Increased Accessibility

Increased accessibility means, without the consent of the personal data owner, making the information that is already available to the public EASIER for a wider scope of the audience to access.

E.g., a buyer’s review of a particular product is usually made available to the public.  However, the buyer might not want his friends or colleagues to know that he purchased such product.

Neither the Draft EC Law nor the NS Law has provision preventing increased accessibility of data.

7. Blackmail, which means using a person’s personal data to blackmail him/her.

In e-commerce scenarios, it is possible that an e-commerce vendor may blackmail a buyer with the buyer’s personal records when the vendor gives a negative review of the vendor’s product. The Draft EC Law has no provision preventing such blackmails.

8. Distortion

Distortion: means disseminating false and misleading information to manipulate the way a person is perceived and judged by others.

  • Art. 42.1 of the NS Law provides that service providers cannot distort personal information. But this appears to be too general.
  • Art. 52 of the Draft EC Law stipulates that the state should promote all e-commerce business entities to ensure that information is accurate and reliable etc.

9. Second Use

Second use means the use of data for purposes unrelated to the purposes for which the data was initially collected without the data subject’s consent.

  • Art. 52 of the Draft EC Law provides that the State shall establish public data sharing mechanism. Such mechanism necessarily involves the second use of data. However, no guidance or rules are provided in relation to second use except to the extent that the State should ensure e-commerce business entities shall protect the liability, security, and authenticity of aggregated data.

 

信息安全技术公共及商用服务信息系统个人信息保护指南

 信息安全技术公共及商用服务信息系统个人信息保护指南

 
工业和信息化部2013年1月21日颁布,自2013年2月1日起施行
 
1  范围
本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程,为信息系统中个人信息处理不同阶段的个人信息保护提供指导。
 
本指导性技术文件适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构,如电信、金融、医疗等领域的服务机构,开展信息系统中的个人信息保护工作。
 
2 规范性引用文件
 
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
 
GB/T 20269-2006 信息安全技术 信息系统安全管理要求
 
GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南
 
3 术语和定义
 
GB/T 20269-2006 和GB/Z 20986-2007中界定的以及下列术语和定义适用于本技术性指导文件。
 
3.1 
 
信息系统 information system
 
即计算机信息系统,由计算机(含移动通信终端)及其相关的和配套的设备、设施(含网络)构成,能够按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理。
 
3.2 
 
个人信息 personal information
 
可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。
 
3.3 
 
个人信息主体 subject of personal information
 
个人信息指向的自然人。
 
3.4 
 
个人信息管理者 administrator of personal information
 
决定个人信息处理的目的和方式,实际控制个人信息并利用信息系统处理个人信息的组织和机构。
 
3.5 
 
个人信息获得者 receiver of personal information
 
从信息系统获取个人信息的个人、组织和机构,依据个人信息主体的意愿对获得的个人信息进行处理。
 
3.6 
 
第三方测评机构 third party testing and evaluation agency
 
独立于个人信息管理者的专业测评机构。
 
3.7 
 
个人敏感信息 personal sensitive information
 
一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。
 
3.8 
 
个人一般信息 personal general information
 
除个人敏感信息以外的个人信息。
 
3.9 
 
个人信息处理 personal information handling
 
处置个人信息的行为,包括收集、加工、转移、删除。
 
3.10 
 
默许同意 tacit consent
 
在个人信息主体无明确反对的情况下,认为个人信息主体同意。
 
3.11 
 
明示同意 expressed consent
 
个人信息主体明确授权同意,并保留证据。
 
4 个人信息保护概述
 
4.1 角色和职责
 
4.1.1 综述
 
信息系统个人信息保护实施过程中涉及的角色主要有个人信息主体、个人信息管理者、个人信息获得者和独立测评机构,其职责见4.1.2至4.1.5。
 
4.1.2 个人信息主体
 
在提供个人信息前,要主动了解个人信息管理者收集的目的、用途等信息,按照个人意愿提供个人信息;发现个人信息出现泄漏、丢失、篡改后,向个人信息管理者投诉或提出质询,或向个人信息保护管理部门发起申诉。
 
4.1.3 个人信息管理者
 
负责依照国家法律、法规和本指导性技术文件,规划、设计和建立信息系统个人信息处理流程;制定个人信息管理制度、落实个人信息管理责任;指定专门机构或人员负责机构内部的个人信息保护工作,接受个人信息主体的投诉与质询;制定个人信息保护的教育培训计划并组织落实;建立个人信息保护的内控机制,并定期对信息系统个人信息的安全状况、保护制度及措施的落实情况进行自查或委托独立测评机构进行测评。
 
管控信息系统个人信息处理过程中的风险,对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等事件制定预案;发现个人信息遭到泄漏、丢失、篡改后,及时采取应对措施,防止事件影响进一步扩大,并及时告知受影响的个人信息主体;发生重大事件的,及时向个人信息保护管理部门通报。
 
接受个人信息保护管理部门对个人信息保护状况的检查、监督和指导,积极参与和配合第三方测评机构对信息系统个人信息保护状况的测评。
 
4.1.4 个人信息获得者
 
当个人信息的获取是出于对方委托加工等目的,个人信息获得者要依照本指导性技术文件和委托合同,对个人信息进行加工,并在完成加工任务后,立即删除相关个人信息。
 
4.1.5 第三方测评机构
 
从维护公众利益角度出发、根据个人信息保护管理部门和行业协会的授权、或受个人信息管理者的委托,依据相关国家法律、法规和本指导性技术文件,对信息系统进行测试和评估,获取个人信息保护状况,作为个人信息管理者评价、监督和指导个人信息保护的依据。
 
4.2 基本原则
 
个人信息管理者在使用信息系统对个人信息进行处理时,宜遵循以下基本原则:
 
a)目的明确原则——处理个人信息具有特定、明确、合理的目的,不扩大使用范围,不在个人信息主体不知情的情况下改变处理个人信息的目的。
 
b)最少够用原则——只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息。
 
c)公开告知原则——对个人信息主体要尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向个人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信息。
 
d)个人同意原则——处理个人信息前要征得个人信息主体的同意。
 
e)质量保证原则——保证处理过程中的个人信息保密、完整、可用,并处于最新状态。
 
f)安全保障原则——采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段,保护个人信息安全,防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和篡改个人信息。
 
g)诚信履行原则——按照收集时的承诺,或基于法定事由处理个人信息,在达到既定目的后不再继续处理个人信息。
 
h)责任明确原则——明确个人信息处理过程中的责任,采取相应的措施落实相关责任,并对个人信息处理过程进行记录以便于追溯。
 
5 个人信息保护
 
5.1 概述
 
信息系统中个人信息的处理过程可分为收集、加工、转移、删除4个主要环节。对个人信息的保护贯穿于4个环节中:
 
a)收集指对个人信息进行获取并记录。
 
b)加工指对个人信息进行的操作,如录入、存储、修改、标注、比对、挖掘、屏蔽等。
 
c)转移指将个人信息提供给个人信息获得者的行为,如向公众公开、向特定群体披露、由于委托他人加工而将个人信息复制到其他信息系统等。
 
d)删除指使个人信息在信息系统中不再可用。
 
5.2 收集阶段
 
5.2.1 要具有特定、明确、合法的目的。
 
5.2.2 收集前要采用个人信息主体易知悉的方式,向个人信息主体明确告知和警示如下事项:
 
a)处理个人信息的目的;
 
b)个人信息的收集方式和手段、收集的具体内容和留存时限;
 
c)个人信息的使用范围,包括披露或向其他组织和机构提供其个人信息的范围;
 
d)个人信息的保护措施;
 
e)个人信息管理者的名称、地址、联系方式等相关信息;
 
f)个人信息主体提供个人信息后可能存在的风险;
 
g)个人信息主体不提供个人信息可能出现的后果;
 
h)个人信息主体的投诉渠道;
 
i)如需将个人信息转移或委托于其他组织和机构,要向个人信息主体明确告知包括但不限于以下信息:转移或委托的目的、转移或委托个人信息的具体内容和使用范围、接受委托的个人信息获得者的名称、地址、联系方式等。
 
5.2.3 处理个人信息前要征得个人信息主体的同意,包括默许同意或明示同意。收集个人一般信息时,可认为个人信息主体默许同意,如果个人信息主体明确反对,要停止收集或删除个人信息;收集个人敏感信息时,要得到个人信息主体的明示同意。
 
5.2.4 只收集能够达到已告知目的的最少信息。
 
5.2.5 要采用已告知的手段和方式直接向个人信息主体收集,不采取隐蔽手段或以间接方式收集个人信息。
 
5.2.6 持续收集个人信息时提供相关功能,允许个人信息主体配置、调整、关闭个人信息收集功能。
 
5.2.7 不直接向未满16周岁的未成年人等限制民事行为能力或无行为能力人收集个人敏感信息,确需收集其个人敏感信息的,要征得其法定监护人的明示同意。
 
5.3 加工阶段
 
5.3.1 不违背收集阶段已告知的使用目的,或超出告知范围对个人信息进行加工。
 
5.3.2 采用已告知的方法和手段。
 
5.3.3 保证加工过程中个人信息不被任何与处理目的无关的个人、组织和机构获知。
 
5.3.4 未经个人信息主体明示同意,不向其他个人、组织和机构披露其处理的个人信息。
 
5.3.5 保证加工过程中信息系统持续稳定运行,个人信息处于完整、可用状态,且保持最新。
 
5.3.6 个人信息主体发现其个人信息存在缺陷并要求修改时,个人信息管理者要根据个人信息主体的要求进行查验核对,在保证个人信息完整性的前提下,修改或补充相关信息。
 
5.3.7 详细记录对个人信息的状态,个人信息主体要求对其个人信息进行查询时,个人信息管理者要如实并免费告知是否拥有其个人信息、拥有其个人信息的内容、个人信息的加工状态等内容,除非告知成本或者请求频率超出合理的范围。
 
5.4 转移阶段
 
5.4.1 不违背收集阶段告知的转移目的,或超出告知的转移范围转移个人信息。
 
5.4.2 向其他组织和机构转移个人信息前,评估其是否能够按照本指导性技术文件的要求处理个人信息,并通过合同明确该组织和机构的个人信息保护责任。
 
5.4.3 保证转移过程中,个人信息不被个人信息获得者之外的任何个人、组织和机构所获知。
 
5.4.4 保证转移前后,个人信息的完整性和可用性,且保持最新。
 
5.4.5 未经个人信息主体的明示同意,或法律法规明确规定,或未经主管部门同意,个人信息管理者不得将个人信息转移给境外个人信息获得者,包括位于境外的个人或境外注册的组织和机构。
 
5.5 删除阶段
 
5.5.1 个人信息主体有正当理由要求删除其个人信息时,及时删除个人信息。删除个人信息可能会影响执法机构调查取证时,采取适当的存储和屏蔽措施。
 
5.5.2 收集阶段告知的个人信息使用目的达到后,立即删除个人信息;如需继续处理,要消除其中能够识别具体个人的内容;如需继续处理个人敏感信息,要获得个人信息主体的明示同意。
 
5.5.3 超出收集阶段告知的个人信息留存期限,要立即删除相关信息;对留存期限有明确规定的,按相关规定执行。
 
5.5.4 个人信息管理者破产或解散时,若无法继续完成承诺的个人信息处理目的,要删除个人信息。删除个人信息可能会影响执法机构调查取证时,采取适当的存储和屏蔽措施。

 信息安全技术公共及商用服务信息系统个人信息保护指南

 
工业和信息化部2013年1月21日颁布,自2013年2月1日起施行
 
1  范围
本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程,为信息系统中个人信息处理不同阶段的个人信息保护提供指导。
 
本指导性技术文件适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构,如电信、金融、医疗等领域的服务机构,开展信息系统中的个人信息保护工作。
 
2 规范性引用文件
 
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
 
GB/T 20269-2006 信息安全技术 信息系统安全管理要求
 
GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南
 
3 术语和定义
 
GB/T 20269-2006 和GB/Z 20986-2007中界定的以及下列术语和定义适用于本技术性指导文件。
 
3.1 
 
信息系统 information system
 
即计算机信息系统,由计算机(含移动通信终端)及其相关的和配套的设备、设施(含网络)构成,能够按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理。
 
3.2 
 
个人信息 personal information
 
可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。
 
3.3 
 
个人信息主体 subject of personal information
 
个人信息指向的自然人。
 
3.4 
 
个人信息管理者 administrator of personal information
 
决定个人信息处理的目的和方式,实际控制个人信息并利用信息系统处理个人信息的组织和机构。
 
3.5 
 
个人信息获得者 receiver of personal information
 
从信息系统获取个人信息的个人、组织和机构,依据个人信息主体的意愿对获得的个人信息进行处理。
 
3.6 
 
第三方测评机构 third party testing and evaluation agency
 
独立于个人信息管理者的专业测评机构。
 
3.7 
 
个人敏感信息 personal sensitive information
 
一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。
 
3.8 
 
个人一般信息 personal general information
 
除个人敏感信息以外的个人信息。
 
3.9 
 
个人信息处理 personal information handling
 
处置个人信息的行为,包括收集、加工、转移、删除。
 
3.10 
 
默许同意 tacit consent
 
在个人信息主体无明确反对的情况下,认为个人信息主体同意。
 
3.11 
 
明示同意 expressed consent
 
个人信息主体明确授权同意,并保留证据。
 
4 个人信息保护概述
 
4.1 角色和职责
 
4.1.1 综述
 
信息系统个人信息保护实施过程中涉及的角色主要有个人信息主体、个人信息管理者、个人信息获得者和独立测评机构,其职责见4.1.2至4.1.5。
 
4.1.2 个人信息主体
 
在提供个人信息前,要主动了解个人信息管理者收集的目的、用途等信息,按照个人意愿提供个人信息;发现个人信息出现泄漏、丢失、篡改后,向个人信息管理者投诉或提出质询,或向个人信息保护管理部门发起申诉。
 
4.1.3 个人信息管理者
 
负责依照国家法律、法规和本指导性技术文件,规划、设计和建立信息系统个人信息处理流程;制定个人信息管理制度、落实个人信息管理责任;指定专门机构或人员负责机构内部的个人信息保护工作,接受个人信息主体的投诉与质询;制定个人信息保护的教育培训计划并组织落实;建立个人信息保护的内控机制,并定期对信息系统个人信息的安全状况、保护制度及措施的落实情况进行自查或委托独立测评机构进行测评。
 
管控信息系统个人信息处理过程中的风险,对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等事件制定预案;发现个人信息遭到泄漏、丢失、篡改后,及时采取应对措施,防止事件影响进一步扩大,并及时告知受影响的个人信息主体;发生重大事件的,及时向个人信息保护管理部门通报。
 
接受个人信息保护管理部门对个人信息保护状况的检查、监督和指导,积极参与和配合第三方测评机构对信息系统个人信息保护状况的测评。
 
4.1.4 个人信息获得者
 
当个人信息的获取是出于对方委托加工等目的,个人信息获得者要依照本指导性技术文件和委托合同,对个人信息进行加工,并在完成加工任务后,立即删除相关个人信息。
 
4.1.5 第三方测评机构
 
从维护公众利益角度出发、根据个人信息保护管理部门和行业协会的授权、或受个人信息管理者的委托,依据相关国家法律、法规和本指导性技术文件,对信息系统进行测试和评估,获取个人信息保护状况,作为个人信息管理者评价、监督和指导个人信息保护的依据。
 
4.2 基本原则
 
个人信息管理者在使用信息系统对个人信息进行处理时,宜遵循以下基本原则:
 
a)目的明确原则——处理个人信息具有特定、明确、合理的目的,不扩大使用范围,不在个人信息主体不知情的情况下改变处理个人信息的目的。
 
b)最少够用原则——只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息。
 
c)公开告知原则——对个人信息主体要尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向个人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信息。
 
d)个人同意原则——处理个人信息前要征得个人信息主体的同意。
 
e)质量保证原则——保证处理过程中的个人信息保密、完整、可用,并处于最新状态。
 
f)安全保障原则——采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段,保护个人信息安全,防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和篡改个人信息。
 
g)诚信履行原则——按照收集时的承诺,或基于法定事由处理个人信息,在达到既定目的后不再继续处理个人信息。
 
h)责任明确原则——明确个人信息处理过程中的责任,采取相应的措施落实相关责任,并对个人信息处理过程进行记录以便于追溯。
 
5 个人信息保护
 
5.1 概述
 
信息系统中个人信息的处理过程可分为收集、加工、转移、删除4个主要环节。对个人信息的保护贯穿于4个环节中:
 
a)收集指对个人信息进行获取并记录。
 
b)加工指对个人信息进行的操作,如录入、存储、修改、标注、比对、挖掘、屏蔽等。
 
c)转移指将个人信息提供给个人信息获得者的行为,如向公众公开、向特定群体披露、由于委托他人加工而将个人信息复制到其他信息系统等。
 
d)删除指使个人信息在信息系统中不再可用。
 
5.2 收集阶段
 
5.2.1 要具有特定、明确、合法的目的。
 
5.2.2 收集前要采用个人信息主体易知悉的方式,向个人信息主体明确告知和警示如下事项:
 
a)处理个人信息的目的;
 
b)个人信息的收集方式和手段、收集的具体内容和留存时限;
 
c)个人信息的使用范围,包括披露或向其他组织和机构提供其个人信息的范围;
 
d)个人信息的保护措施;
 
e)个人信息管理者的名称、地址、联系方式等相关信息;
 
f)个人信息主体提供个人信息后可能存在的风险;
 
g)个人信息主体不提供个人信息可能出现的后果;
 
h)个人信息主体的投诉渠道;
 
i)如需将个人信息转移或委托于其他组织和机构,要向个人信息主体明确告知包括但不限于以下信息:转移或委托的目的、转移或委托个人信息的具体内容和使用范围、接受委托的个人信息获得者的名称、地址、联系方式等。
 
5.2.3 处理个人信息前要征得个人信息主体的同意,包括默许同意或明示同意。收集个人一般信息时,可认为个人信息主体默许同意,如果个人信息主体明确反对,要停止收集或删除个人信息;收集个人敏感信息时,要得到个人信息主体的明示同意。
 
5.2.4 只收集能够达到已告知目的的最少信息。
 
5.2.5 要采用已告知的手段和方式直接向个人信息主体收集,不采取隐蔽手段或以间接方式收集个人信息。
 
5.2.6 持续收集个人信息时提供相关功能,允许个人信息主体配置、调整、关闭个人信息收集功能。
 
5.2.7 不直接向未满16周岁的未成年人等限制民事行为能力或无行为能力人收集个人敏感信息,确需收集其个人敏感信息的,要征得其法定监护人的明示同意。
 
5.3 加工阶段
 
5.3.1 不违背收集阶段已告知的使用目的,或超出告知范围对个人信息进行加工。
 
5.3.2 采用已告知的方法和手段。
 
5.3.3 保证加工过程中个人信息不被任何与处理目的无关的个人、组织和机构获知。
 
5.3.4 未经个人信息主体明示同意,不向其他个人、组织和机构披露其处理的个人信息。
 
5.3.5 保证加工过程中信息系统持续稳定运行,个人信息处于完整、可用状态,且保持最新。
 
5.3.6 个人信息主体发现其个人信息存在缺陷并要求修改时,个人信息管理者要根据个人信息主体的要求进行查验核对,在保证个人信息完整性的前提下,修改或补充相关信息。
 
5.3.7 详细记录对个人信息的状态,个人信息主体要求对其个人信息进行查询时,个人信息管理者要如实并免费告知是否拥有其个人信息、拥有其个人信息的内容、个人信息的加工状态等内容,除非告知成本或者请求频率超出合理的范围。
 
5.4 转移阶段
 
5.4.1 不违背收集阶段告知的转移目的,或超出告知的转移范围转移个人信息。
 
5.4.2 向其他组织和机构转移个人信息前,评估其是否能够按照本指导性技术文件的要求处理个人信息,并通过合同明确该组织和机构的个人信息保护责任。
 
5.4.3 保证转移过程中,个人信息不被个人信息获得者之外的任何个人、组织和机构所获知。
 
5.4.4 保证转移前后,个人信息的完整性和可用性,且保持最新。
 
5.4.5 未经个人信息主体的明示同意,或法律法规明确规定,或未经主管部门同意,个人信息管理者不得将个人信息转移给境外个人信息获得者,包括位于境外的个人或境外注册的组织和机构。
 
5.5 删除阶段
 
5.5.1 个人信息主体有正当理由要求删除其个人信息时,及时删除个人信息。删除个人信息可能会影响执法机构调查取证时,采取适当的存储和屏蔽措施。
 
5.5.2 收集阶段告知的个人信息使用目的达到后,立即删除个人信息;如需继续处理,要消除其中能够识别具体个人的内容;如需继续处理个人敏感信息,要获得个人信息主体的明示同意。
 
5.5.3 超出收集阶段告知的个人信息留存期限,要立即删除相关信息;对留存期限有明确规定的,按相关规定执行。
 
5.5.4 个人信息管理者破产或解散时,若无法继续完成承诺的个人信息处理目的,要删除个人信息。删除个人信息可能会影响执法机构调查取证时,采取适当的存储和屏蔽措施。

Stopbadware Intro – 制止坏软件组织 – 源自哈佛Berkman中心

Stopbadware是源自哈佛大学Berkman互联网与社会中心的一个非盈利性组织。

豆注:其实什么是bad ware,核心就是一句话:它在和你抢夺你电脑和网络连接的控制权吗?越是在你不知道的情况下、或者虽然你知道却无法改变的情况下,夺取你对你的电脑和网 络的控制权的软件,越是坏软件。自由最核心的要义就在于选择和决定。没有选择的地方,就是没有自由的地方,抢夺你的选择权、决定权的人,就是自由的敌人。

以下内容翻译自Stopbadware官方网站

———————————————————–

Stopbadware是源自哈佛大学Berkman互联网与社会中心的一个非盈利性组织。

豆注:其实什么是bad ware,核心就是一句话:它在和你抢夺你电脑和网络连接的控制权吗?越是在你不知道的情况下、或者虽然你知道却无法改变的情况下,夺取你对你的电脑和网 络的控制权的软件,越是坏软件。自由最核心的要义就在于选择和决定。没有选择的地方,就是没有自由的地方,抢夺你的选择权、决定权的人,就是自由的敌人。

以下内容翻译自Stopbadware官方网站

———————————————————–

StopBadware(制止坏软件项目)旨在培育一个由个人和机构共同参与的社群,这个社群以消除病毒、间谍程序以及其它坏软件为共同的诉求。我们通过联络这个社群中的成员,为它们提供实践中有用的知识,帮助他们有效地与坏软件作斗争。

通过与坏软件作斗争,StopBadware和它的参与者帮助人们建立一个可以控制他们自己的电脑的世界。在这个世界里,我们每个人都能决定自己的电脑硬件、软件和网络连接在做什么,以及何时做什么。

StopBadware项目源于哈佛大学Berkman互联网与社会中心,由该中心的Jonathan Zittrain教授和John Palfrey教授共同领导。2010年1月,Stopbadware成为一个独立的非盈利性组织。其资助者包括一些著名的技术公司,例如Google,Paypal和Mozilla。我们的董事会由相关领域的顶级专家组成,包括Palfrey教授和互联网的先驱者Vint Cerf先生、Esther Dyson女士。

——————————

什么是坏软件呢? Stopbadware组织是这样定义的:

坏软件,就是那些完全不尊重用户选择,即不让他们决定如何使用及什么时候使用他们自己的电脑或网络连接的软件。

一些坏软件是专门设计用于犯罪的、政治的或者有害的目的的软件。这些目的可能包括:

  • 窃取金融账号、密码、公司商业秘密或者其他秘密信息;
  • 欺骗用户去买一些他们不需要的东西;
  • 发送垃圾邮件;
  • 攻击其它电脑或网络;
  • 散发更多地坏软件.

上述这些坏软件通常被称为恶意软件(malware), 包括病毒、木马、碎甲(rootkits, 就是帮助黑客隐藏自己的一种程序)、垃圾机器人以及其它一些软件。

此外,还有另一些软件也是坏软件——这些软件可能不是专门用于恶意用途,但它们忽视了用户对电脑硬件、软件和网络连接的控制权。例如,假设有这样一个浏览器的工具条,它能让你更高效地网络购物,同时忘记了提醒你,你向提供该工具条的公司所购买的东西的目录会传送到这个公司。在这个例子里,你不能获得足够的信息从而做出决定是安装使用还是不安装安装使用这个工具条。另一个例子是,如果你安装一个软件,那个软件又在你预期之外安装了额外的软件,那么这个软件也是坏软件。因为那个额外安装的软件可能会做一些你不想要你的电脑做的事,甚至可能在你卸载前面那个软件时,这个额外的软件也不会跟着一起卸载。

有时候,故意的恶意软件和无意的坏软件之间的界限是很模糊的。一个好的软件设计者(提供者)可以,并且应当远离那些模糊地带,而是采用清楚的通知和仔细认真的产品设计,以便于用户保持他们对自己电脑和网络的控制。

——————————-

除了上面的简略介绍外,Stopbadware还对坏软件的判定提供了非常详细的指引(点这里察看)

——————————

豆又注:其实我特别不喜欢翻译的,而且法豆的读者中,看得懂英文的肯定比看得懂中文的要多,而且我很粗心,常常会翻译错——推荐您直接去

Stop Bad Ware的官方网站

察看更详细的内容。

视觉化的Facebook信息流分析

下面的视频是一个视觉化的Facebook信息流分析计划,这种图像过去貌似只出现在描写007、FBI或者NCIS的影视中。技术从来不是我关心的重点,我只是忽然想大学时读过的一部科幻小说。那部小说里的人类科技无限发达,科学家们用数学运算的方法,在实验室里建立起了一个世界。然后忽然发现,我们的宇宙也是另一个宇宙的科学家们建立起来的一只小白鼠。类似的思想,在《黑客帝国》里也有过。

最后再稍微说明一下,宏观上,当人类有可能成为上帝的时候,我其实倒不是太恐慌——因为那属于杞人忧天,三千大千世界本由心生,没什么好着急的。再说我类大多难以成佛,所以只关心小世界也就行了,因此,我们真正需要关心的,恐怕在于这小世界的信息的总合逐渐为少部分师兄所掌握后,或者换句话说,当万千业力被统计和计算后,掌握统计结果的师兄们会不会拿着它们来要挟我,让我不但做小白鼠,而且还作小蟑螂被无端地撕扯(点这里看蟑螂的故事点这里读另一个故事)。

下面的视频是一个视觉化的Facebook信息流分析计划,这种图像过去貌似只出现在描写007、FBI或者NCIS的影视中。技术从来不是我关心的重点,我只是忽然想大学时读过的一部科幻小说。那部小说里的人类科技无限发达,科学家们用数学运算的方法,在实验室里建立起了一个世界。然后忽然发现,我们的宇宙也是另一个宇宙的科学家们建立起来的一只小白鼠。类似的思想,在《黑客帝国》里也有过。

最后再稍微说明一下,宏观上,当人类有可能成为上帝的时候,我其实倒不是太恐慌——因为那属于杞人忧天,三千大千世界本由心生,没什么好着急的。再说我类大多难以成佛,所以只关心小世界也就行了,因此,我们真正需要关心的,恐怕在于这小世界的信息的总合逐渐为少部分师兄所掌握后,或者换句话说,当万千业力被统计和计算后,掌握统计结果的师兄们会不会拿着它们来要挟我,让我不但做小白鼠,而且还作小蟑螂被无端地撕扯(点这里看蟑螂的故事点这里读另一个故事)。

信息网络安全法律问题调查报告(节录)

Report of the Survey on Legal Issues on Information and Network Security (Excerpt)

 DONG Hao, ZHANG Fan

This report is a part of the China National Humanity and Sociology Research Project: Legal Issues in the Concern of Information and Internet Security (Team Leader: ZHANG Chu)By using online questionnaires to the netizens and varified with control group, the authors made a survey on the following aspects:

(1)  The Netizen’s attitudes to the issues relevant to ISPs’ liabilities in providing services, such as online bank, music downloading, e-contracting, e-payment, e-governance, online games, etc.

(2) The Netizen’s sense of legal conduction while surfing the line, such as the percentage of reading privacy policies before using web services, the attitude to the "human searching" (collective digging personal information in the Internet), the percentage of using pirate works, etc.

(3) The Netizen’s attitudes to the offensive conducts, such as online harassment, distributing individual portraits, unsolicited E-mails, etc., and their attitudes to the means of dispute resolution.

(3) The Netizen’s values in confront with the digitalization, such as their attitudes to the online copyright, the freedom of expression, the virtule properties in web games, etc.

The 22,000 words report analyzed the results of the above survey in details, the full copy of the report will be provided in this page soon.

 


 

信息网络安全法律问题调查报告(节录)

董皓、张樊

获取方式:

本报告全文刊发于中国政法大学知识产权研究中心学术辑刊:《知识产权前沿报告》第二卷,中国检察出版社,2008,各地书店有售。

内容简介:

  本报告为国家社会科学基金项目《信息网络安全的法律问题研究》(主持人:张楚)的组成部分。课题组采用问卷调查的方法,借助网络技术,面向大众进行了在线调查(同时设置了两个问卷点以校验结果)。调查内容包括:(1)网民对网络服务商责任的态度,包括网民对互联网服务的认识,对网上银行、网络音乐下载、电子合同、收费服务、电子政务、网络游戏等问题的态度;(2)网民对自身信息安全的法律意识,包括对网络立法的了解程度、对软件协议条款、隐私权政策的关注程度,(3)网民对网上性骚扰、肖像权侵害、成人信息、商业广告邮件等侵权(或准侵权)或违法行为的态度,以及对纠纷解决途径的认识;(4)网民对与信息安全有关的法律现象的认识,包括网民的版权保护意识、对网络言论尺度的看法、对个人电脑的保护重视程度、对网络交往的态度、对虚拟物的权利的态度等方面。

  报告对调查问卷的32个问题分别进行了详细的数据分析,所有问题均包括统计图表,报告全文二万余字,以下仅节录部分根据调查数据和分析得出的观点,供有兴趣的读者参考。如需获得报告全文,请参考上述全文获取方式。

Report of the Survey on Legal Issues on Information and Network Security (Excerpt)

 DONG Hao, ZHANG Fan

This report is a part of the China National Humanity and Sociology Research Project: Legal Issues in the Concern of Information and Internet Security (Team Leader: ZHANG Chu)By using online questionnaires to the netizens and varified with control group, the authors made a survey on the following aspects:

(1)  The Netizen’s attitudes to the issues relevant to ISPs’ liabilities in providing services, such as online bank, music downloading, e-contracting, e-payment, e-governance, online games, etc.

(2) The Netizen’s sense of legal conduction while surfing the line, such as the percentage of reading privacy policies before using web services, the attitude to the "human searching" (collective digging personal information in the Internet), the percentage of using pirate works, etc.

(3) The Netizen’s attitudes to the offensive conducts, such as online harassment, distributing individual portraits, unsolicited E-mails, etc., and their attitudes to the means of dispute resolution.

(3) The Netizen’s values in confront with the digitalization, such as their attitudes to the online copyright, the freedom of expression, the virtule properties in web games, etc.

The 22,000 words report analyzed the results of the above survey in details, the full copy of the report will be provided in this page soon.


信息网络安全法律问题调查报告(节录)

董皓、张樊

获取方式:

本报告全文刊发于中国政法大学知识产权研究中心学术辑刊:《知识产权前沿报告》第二卷,中国检察出版社,2008,各地书店有售。

内容简介:

  本报告为国家社会科学基金项目《信息网络安全的法律问题研究》(主持人:张楚)的组成部分。课题组采用问卷调查的方法,借助网络技术,面向大众进行了在线调查(同时设置了两个问卷点以校验结果)。调查内容包括:(1)网民对网络服务商责任的态度,包括网民对互联网服务的认识,对网上银行、网络音乐下载、电子合同、收费服务、电子政务、网络游戏等问题的态度;(2)网民对自身信息安全的法律意识,包括对网络立法的了解程度、对软件协议条款、隐私权政策的关注程度,(3)网民对网上性骚扰、肖像权侵害、成人信息、商业广告邮件等侵权(或准侵权)或违法行为的态度,以及对纠纷解决途径的认识;(4)网民对与信息安全有关的法律现象的认识,包括网民的版权保护意识、对网络言论尺度的看法、对个人电脑的保护重视程度、对网络交往的态度、对虚拟物的权利的态度等方面。

  报告对调查问卷的32个问题分别进行了详细的数据分析,所有问题均包括统计图表,报告全文二万余字,以下仅节录部分根据调查数据和分析得出的观点,供有兴趣的读者参考。如需获得报告全文,请参考上述全文获取方式。

部分观点节录:

  ……个人数据资料的拥有者不是企业,他们往往分散,并且他们的资料往往只有在被集中起来的时候,才成为具有交换价值的客体,在利益动因较小和较分散的条件下,对个人资料的保护问题,也就很难被和软件版权的保护一样,被媒体反复强调了。我们认为,在这种情况下,政府就应发挥其提供公共品的职能,增加对网络上的个人数据保护的宣传——只有这样,才能使享受“网络安全”(即合法利益受到保护的状态)的利益群体不仅仅是营利性的企业,而且还包括众多的个人网络用户。

  ……尽管网民已经开始有了对自身个人资料的保护意识,但他们大多仍对个人资料被搜集可能带来的潜在的利益损害缺乏足够认知……单纯责怪网民缺乏法律意识是不正确的……要达到“网络安全”(即正当秩序得以实现)的目的,政府应该将更多的精力集中在宣传和保障私人利益的安全的地方……

  ……从法律关系的角度上看,所谓个人电脑的信息安全,实际上仍然是人的安全,是个人对自己的电脑中的信息行使利用的权利及防止他人侵害这种权利的可能性……真正的问题在于,由于法律制度中没有详细规定诸如当事人应该从什么途径搜集证据、谁应承担协助义务、掌握相关信息的人应承担哪些作为和不作为的义务等具体的问题,造成了在纠纷发生的时候,人们丧失了获取证据的最佳时机,甚至在证据清楚的情况下,裁判者也只能通过对十分概括性和原则性的法律规范进行解释来要求侵权者承担责任……

  ……调查结果清楚地证明了我们的如下判断:一方面,绝大多数人并不会因为是在网络上发言而改变自己的言论风格,另一方面,绝大多数人并不会比平常更厌恶网络上出现的、针对自己的过激语言……这充分说明,我们完全不必将网络上的言论自由当作洪水猛兽,大部分网民是理智和宽容的,人们在网络上的发言并不会造成社会风气的恶化,反而能逐渐使人们学会在自由表达观点的同时,倾听他人的声音——这一点,对信息网络安全立法的指导意义尤为重要……

  ……多数人在愿意为信息网络的这种便捷性提供更丰富的资源的同时,也意识到了要获得这种便捷,就必须尊重他人的权利,以使信息网络不因为失去秩序而崩溃——我们认为,这一利益平衡的认识状态并非仅仅源于法律的指引作用……而更多地是源于人们为了维护所获得的便利而作出的理性选择……

  ……倾向于对“软黄色”信息作否定性评价的受访者比例大大超过了倾向于对纯粹淫秽的黄色网站作否定性评价的受访者比例……答卷者这种心理上的微妙差异,来自于人们对刊登“软黄色”信息的网站的排斥心态……我们认为,这一调查结果说明,对信息网络的内容应该采取分级管理的方法,要求含有特定内容的网站清楚地标明其内容可能造成的负面影响,同时将注意力集中于那些企图逃避监管、模糊法律界限的行为上,尽可能减少中间地带和监管空白的出现,而不能采取一刀切的方式,这不但不能达到正确地引导网络文化的目的,而且还可能因为“软黄色”、“软暴力”等信息的大量存在而适得其反……

  ……在北京、上海、广州三城市被调查者中仅有4.0%的人(三城市分别是3.2%、3.5%和5.2%)认为网上购物最不让人放心的是“买卖纠纷处理”,位列最后一位。我们认为这种差别与网络的开放性有关,在信息网络中,保护个体的人格权的难度增大,同时侵权的成本下降,如何在法律上调整这种不平衡,是一个值得深入研究的课题……

tags:调查,网络安全

不听豆豆言,吃亏在眼前

前几天我才说的:是药三分毒,话还没凉呢。

标题:诺顿误杀导致系统崩溃 中文企业版用户成重灾区
http://www.techweb.com.cn/news/2007-05-18/194434.shtml

【TechWeb消息】5月18日,诺顿杀毒软件升级病毒库后,会把Windows XP系统的关键系统文件当作病毒清除,重启后系统将会瘫痪。瑞星公司表示,截至中午12点已有超过7千名个人用户和近百家企业用户向瑞星客户服务中心求助,更多用户由于系统繁忙无法打入电话。
  据瑞星方面介绍,已经有大型互联网公司受此影响,上千台电脑无法正常使用,公司内部几乎瘫痪,原因就是使用诺顿企业版而引起系统崩溃。
  瑞星安全专家表示,安装了MS06-070补丁的XP系统,如果将诺顿升级最新病毒库,则诺顿杀毒软件会把系统文件netapi32.dll、 lsasrv.dll隔离清除,从而造成系统崩溃。由于国外品牌的笔记本和台式机多数预装了Windows XP系统和诺顿杀毒软件,这些用户极其容易遭到此次“误杀”攻击,因此中国大陆地区将有数百万台电脑面临崩溃的危险。由于该次误杀只发生在简体中文版的 XP系统上,因此对国外用户几乎没有影响 ……

前几天我才说的:是药三分毒,话还没凉呢。

标题:诺顿误杀导致系统崩溃 中文企业版用户成重灾区
http://www.techweb.com.cn/news/2007-05-18/194434.shtml

【TechWeb消息】5月18日,诺顿杀毒软件升级病毒库后,会把Windows XP系统的关键系统文件当作病毒清除,重启后系统将会瘫痪。瑞星公司表示,截至中午12点已有超过7千名个人用户和近百家企业用户向瑞星客户服务中心求助,更多用户由于系统繁忙无法打入电话。
  据瑞星方面介绍,已经有大型互联网公司受此影响,上千台电脑无法正常使用,公司内部几乎瘫痪,原因就是使用诺顿企业版而引起系统崩溃。
  瑞星安全专家表示,安装了MS06-070补丁的XP系统,如果将诺顿升级最新病毒库,则诺顿杀毒软件会把系统文件netapi32.dll、 lsasrv.dll隔离清除,从而造成系统崩溃。由于国外品牌的笔记本和台式机多数预装了Windows XP系统和诺顿杀毒软件,这些用户极其容易遭到此次“误杀”攻击,因此中国大陆地区将有数百万台电脑面临崩溃的危险。由于该次误杀只发生在简体中文版的 XP系统上,因此对国外用户几乎没有影响 ……