信息来源：互联网   发布时间：2023-08-11

　　4月20日，国家发改委首次明确了“新基建”的范围，将5G、物联网、数据中心等技术纳入到信息基础设施的范畴

　　4月20日，国家发改委首次明确了“新基建”的范围，将5G、物联网、数据中心等技术纳入到信息基础设施的范畴。从“新基建”所覆盖的领域来看，无一例外地与数字化升级紧密契合；而通过5G、物联网进一步的深度应用，无疑将会加速“万物互联时代”的全面到来。

　　在“万物互联时代”，数据将进一步成为生产要素，企业对于用户个人隐私信息的采集和存储数量也会迎来爆发式的增长。数据在使用和流通环节中所面临的各类风险，将可能关系到人身安全、企业商业利益甚至是。

　　从疫情期间确诊病人的信息被随意公开，Zoom软件隐私事件来看，“万物互联时代”下的隐私和数据保护既重要、又难做。如何在促进数据流通共享趣味冷知识大全，助推企业和产业升级，加速“新基建”发展的同时，又尊重用户的个人隐私信息，确保合法合规，就成为了甲方企业信息安全负责人和从业者们都需要重点关注的命题。

　　为此，安在新媒体于千聊直播间举办了安在讲堂“万物互联时代下的隐私保护”特别活动，诚邀了BSI中国区ICT产品线技术总监万鑫、顺丰红岸科技解决方案部负责人刘新凯、腾讯数据隐私保护部高级法律顾问刘俊河、环球律师事务所合伙人孟洁四位专家，围绕法律法规解读、企业合规标准和最终落地实践等几个细节，共同探讨并推进落实个人隐私信息和数据保护的经验与总结。

　　本文将对孟洁律师的主题进行整理分享。孟洁律师所分享的主题是《数据与隐私保护的法律法规要求》，从监管层面对万物互联时代企业所需要关注并遵循的法律法规要求进行了解读，现由安在整理后将全文呈现。

　　个人简介：在数据合规、个人隐私保护、网络安全等领域有丰富的执业经验，曾在诺基亚等世界五百强跨国公司和知名律师事务所工作十余年，曾担任出门问问公司总法律顾问和数据保护官，负责法律、合规、知识产权、政策研究和政府关系。

　　大家都知道，我国互联网的发展是日新月异的。根据数据统计，截至2019年6月趣味冷知识大全，我国网民总数已达8.47亿，手机接入互联网的比例高达99.1%一天一个冷知识。随着互联网的发展，智能手机的普及以及相关应用的不断增多，整个过程都会围绕数据的流动，数据的利用价值也进一步提高。

　　据工信部2018年的统计显示，市场上检测到的App已经有440万款一天一个冷知识，第三方应用的分发累计数量也超过了20000亿次。App已经成为广大用户的生活必需品，但也同时收集了大量的用户信息。因此，既要保证产业的发展和迭代，同时对于个人信息的保护也刻不容缓。

　　以App为例，我们应当让用户对于个人信息的收集、使用、存储、共享等整个生命周期做到全面知情，这样才能让用户更加安全放心地把个人信息让渡给企业。因此，我国整体的隐私保护需要基于比较坚实的基础，而这个基础就是要保证企业在收集用户个人信息之前，必须要得到信息主体的同意，同时并保证用户个人信息的安全性。

　　所以，我们在发挥企业能动性，加快产业迭代和增强科技发展的同时，也要对用户的个人信息做好相应的保护，在产业发展和个人隐私保护以及数据安全之间寻找最佳平衡。

　　在万物互联产业里有很多不同的生态，硬件和设备厂商生产手机设备和硬件产品，并且为App提供硬件和运行环境。App给硬件厂商提供相应的设备功能，并且还需要经由应用商店审核分发。作为消费者，用户需要下载App，App在给用户提供服务的同时收集个人隐私信息。

　　在应用商店下载的过程中，应用商店也会对用户的个人信息进行收集。硬件厂商和设备厂商也会给用户提供相应的服务，这个过程中也会再一次收集个人信息。与此同时，许多App会集成第三方SDK，两者之间会产生数据共享，那么第三方SDK也会直接或间接对个人信息进行收集。

　　总的来说，万物互联产业下的生态十分复杂，牵一发而动全身，某一个环节的安全事故极有可能导致用户的个人信息暴露在威胁之中，对于个人隐私信息的保护尤为重要。

　　从数据保护的目标和层次来看，除了保护个人隐私信息以外，我们还需要从国家层面上保护关键信息基础设施的数据的安全，重要数据以及敏感数据。在这一问题的归置上，我们要尤其关注数据的损毁会给所带来的威胁。

　　对于个人隐私信息的保护，要更多站在企业的角度，考量企业对于数据的控制能力，是否履行了网络运营相关的义务，有没有尊重个人信息在被收集后的安全性问题。因此，我们首先需要在法律法规框架理解个人信息保护的概念，从国家和个人数据层面认识维度性的变化。

　　当前我国的数据保护立法主要以综合性为主，包括从企业内部维护网络运营安全和网络信息安全，这需要我们更多从信息安全角度维护后端的计算机信息系统内部的安全；同时我们也要重视数据生命周安全的概念，对前端在用户的交互上，注重法律法规的要求。

　　另外，对于“新基建”等创新型概念，我国目前还没有统一的数据保护立法，基本上是通过不同的法律、行政法规、部门规章和国家标准进行归置的。

　　在法律层面，由全国或全国会代表全国签发的相应法律，位阶是非常高的；在全国的授权下，国务院也会制定签发相应的法规，属于行政法规的层级；网信办的法规虽然属于部门规章，但如果经过国务院授权颁布，那么效力就会相对较高，也会起到行政法规的作用。

　　除了法律法规以外，我们还有许多的技术标准，这些标准的主要作用是给相应的行政法规做落地性的指引，更多的时候会形成强制性、推荐性的行业规范。

　　从整个框架来看关于女生的知识，如果说是在不同的法律之间有冲突，那么位阶高的法律会打败位阶低的法律，变成需要执行的标准；新法一定会优于旧法执行。

　　从法律层面来说，包括《民法总则》、《刑法》、《网络安全法》、《侵权责任法》、《消费者权益保》和《全国会关于加强网络信息保护的决定》，以及一些刑法修正案，都属于最高层级的法律。有的是围绕数据安全保护的所做的专项规定，有的是通过某一专章或专节来做相应的规定。

　　除了法律以外，像大家都在等待的《关键信息基础设施保护条例》、《数据安全管理办法》、《儿童信息安全保护规定》等条例和规章，也是我们需要关注的行政法规。除此以外，还有一些标准和司法解释，也需要重视。

　　站在数据安全保护角度来看，目前我国比较全面的法律是《网络安全法》，基本上对用户的个人信息保护制度、一般网络安全和等级保护制度、网络运行安全保护制度、安全认证检测制度一天一个冷知识、审查制度和关键信息基础设施的保护制度以及数据存储都做了非常全面的归纳。

　　那么从2019年开始，国内围绕数据安全和个人隐私信息的法律部法规越来越密集，也被称为“App治理元年”。

　　首先是1月5日，发布了《关于开展App违法违规收集使用个人信息专项治理的公告》，3月3日又发布了发布《App违法违规收集使用个人信息自评估指南》；紧接着是5月5日，国家颁布了《App违法违规使用个人信息的认定方法》，并且也在2019年底的时候做了更新；随后是5月28，网信办发布了《数据安全管理办法征求意见稿》，得到了各行各业的反响，但目前还没有正式生效。

　　6月6日，《网络安全实践指南》颁布，规范了移动互联网应用基本业务功能的必要信息；6月13日发布了《个人信息出境安全评估办法（征求意见稿）》，其实是对2017年的《个人信息与重要数据出境安全评估办法》做了一次更新，对于重要数据部分，将来可能会出台新的办法来规定。

　　8月23日，《个人信息网络保护规定》正式稿颁布，这可能是这么多征求意见稿当中唯一一个从部门规章角度正式生效的文件；同一天还颁布了《网络生态治理规定》，已经于今年的1月1日正式生效，且更名为《网络信息内容生态治理规定》。

　　10月22日的时候，《个人信息安全规范》又进行了一次更新，在整个2019年当中一共进行了4次更新，且于今年的3月6日发布了正式版本；10月24日，对于《移动互联网应用收集可个人信息基本规范》进行了草案的更新，并且颁布了《惩罚网络犯罪的司法解释》；28日签发了《App违法违规收集个人信息行为认定方法》，于12月28日对外发布；10月底《密码法》颁布。

　　整个2019年，围绕个人隐私安全规范的立法速度是非常快的，步入2020年，这些法律规范也有了新的变化，承接了2019的步伐。

　　比如1月20日，更新了《关于移动互联网App手机个人信息基本规范》；《个人信息安全规范》更新了第5个版本，最终定于10月1日正式生效；3月30日，《移动互联网应用程序个人信息防范指引》也进一步对疫情期间个人信息的收集和使用提出了相应的指引。

　　整体而言，2019的法律环境基本上和App的治理紧密相关。那么在2020年的法律趋势上，将会不仅仅关注App法律法规的生效，更多的是涉及小程序、第三方SDK等方面的内容。我们还需要同步关注手机与快应用相关的规定，这些都是2020年数据安全和个人信息保护工作的重点方向。

　　上文所提到的数据保护整体范围是比较广的，除了个人隐私信息以外，还包括了关键信息基础设施数据、重要信息等等。

　　对于企业来讲，我们要在企业内部进行组织上和制度流程的建设趣味冷知识大全，通过一些技术手段来保障整体的运行和信息安全。在涉及到跨境传输环节，我们还需要关注国家层面相关法律法规的评估标准，讨论跨境传输相应的机制。

　　在全球化的相关问题上，我比较建议企业在建立了相应规范的基础上，结合产品共通性，预先对危急情况进行处理，确保企业在全球化过程中有的放矢地做好数据安全保护。

　　国外（主要是欧美）对App的隐私有些什么样的要求？是否对应国内单独围绕数据合规和技术手段多层次的立法要求？如果欧美不存在App专项要求，体现在什么法律框架内？

　　孟洁：当前很多的App都是在不同的应用商店进行全球同步发行，这就需要满足不同地域的数据和隐私保护要求。

　　相对于国内的各种App专项治理和法律法规，欧美国家并没有专门针对App制定的相关法律。和国内App以用户同意为基本原则不同，欧美国家在隐私政策中的作法比较特殊。

　　比如按照《GDPR》的要求，一款App在每一个特别的要求上都需要通过单独的页面和同意选项请求用户进行明确地、自主地授权，不能以隐私协议上的统一同意为标准。并且用户服务协议和隐私政策可能也不允许在同一时间出现请求用户一揽子同意，这就是国内外的最大区别。

　　据我所知，《GDPR》的许多处罚案例都是因为所谓的用户同意并不是在用户自主选择下做出的而判罚的，其他的像没有单独给出用户不同的授权协议，没有给到用户主动删除的权利，以及没有保证相应的安全措施等等，都是《GDPR》处罚的依据。

　　与此同时，《GDPR》还会预留一些空间给不同地域的法律进行相应的归置。所以不同的地域在执法时，大原则会遵守《GDPR》，在某些细节可能会根据当地的法律进行更严格的处罚。

　　美国当前有两个非常严格的法律，一个是《CCPA》，另一个是专门针对儿童的法案。虽然也没有专门针对App的管理和归置，但这两个法规基本对App的运营者起到了较为全面的约束。比如给到用户主动的退出机制，在网站和应用软件上明确设置退出和隐私政策的链接，这些都是美国监管的重点，也是区别于国内的地方。

　　国内目前最新的《儿童个人信息网络安全保护规定》当中并没有涉及家长验证机制的细则，而美国在这一块监管也非常严格，稍有不慎就会进行处罚。所以虽然欧美国家目前没有专门针对App的专项治理趣味冷知识大全，但根据现有的相关法律，也可以做到严格的处罚。

　　在孟洁律师分享结束后关于女生的知识，万鑫、刘俊河和刘新凯三位专家分别以《隐私合规与iso27701隐私信息管理体系建设与实践》、《企业如何有效满足监管方关于数据和隐私保护方面的要求》和《个人隐私保护如何在企业落地》为主题进行了分享。

　　后续我们还会对三位专家的分享进行整理，不期呈现，敬请关注。再次提示，本篇文章全部内容皆可在千聊“安在讲堂”直播间回看。

　　如果想进一步与专家们进行线下互动，获取本次直播的全部主题课件，那就赶快扫码加入“诸子云知识星球”吧。里有上百位安全专家实时在线讨论和互动，也有最新最全面的行业资料和咨询趣味冷知识大全，让我们热情互动、共同进步。

免责声明：本站所有信息均搜集自互联网，并不代表本站观点，本站不对其真实合法性负责。如有信息侵犯了您的权益，请告知，本站将立刻处理。联系QQ：1640731186