星星之火—《个人信息保护法》重点问题的解读

作者:叶鹏

观点

2021年8月20日,《中华人民共和国个人信息保护法》(以下称“《个保法》”)通过并发布。《个保法》是我国第一部关于个人信息保护的专门性基本法律,点燃了我国个人信息保护的星星之火,将与2017年出台的《网络安全法》和2021年9月起正式施行的《数据安全法》共同构建关于网络安全和数据保护的基本法律框架,我国网络安全和数据保护的合规工作将进入新的局面。

 

随着信息时代的来临,作为大数据核心资源的个人信息的有效流通和合理利用成为中国数字经济发展的重要课题。另一方面,由于个人信息被过度滥用引发了诸多社会问题,也客观加速了个人及社会对于个人信息和隐私保护意识的觉醒。此外,国内外相关立法活动的推动也使得中国个人信息保护的专门立法工作箭在弦上。本次《个保法》的立法工作自2019年12月被明确列入全国人大常委会的立法工作计划,到2020年10月首次公开《个人信息保护法(草案)》(以下称“《草案》”)并向社会征求意见,再到2021年4月《个人信息保护法(草案二审稿)》(以下称“《二审稿》”)提请审议,直至本次《个保法》的正式出台,其过程一直受到社会各界的普遍关注。

 

《个保法》的立法结合我国国情和实际需要,同时吸收并借鉴了国外相关立法经验,在处理个人信息权益的保护以及促进个人信息合理有效利用的平衡这一世界性立法难题上做出了努力尝试。最终出台的《个保法》回应了诸多社会关注的热点问题。将于11月1日起正式施行的《个保法》确立了个人信息保护的基本法律框架,对于企业合规提出了明确的要求,同时也与每一个体的权益息息相关。本文试图通过对《个保法》重点问题的解读,理清法律脉络,为企业研究合规对策提供借鉴。

 

一、《个保法》的适用范围

(一)适用原则

《个保法》采取以属地管辖为基础,辅以适度的域外适用规则。即在明确《个保法》适用任何主体在中华人民共和国境内处理自然人个人信息的活动的同时,规定在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,如果符合(1)以向境内自然人提供产品或者服务为目的;(2)分析、评估境内自然人的行为;(3)法律、行政法规规定的其他情形[1]中的任一情形,也应适用《个保法》。

 

    (二)重点概念

   1.中华人民共和国境内

参照有关法律法规的规定,应当指除香港特别行政区、澳门特别行政区和台湾地区之外的中国大陆地区。只要是在中国境内进行的个人信息处理活动,无论个人信息处理者来自境内或境外,也不管个人信息的主体是境内还是境外,都应当适用《个保法》。换言之,外国公司在中国境内处理外国自然人的个人信息同样应当适用《个保法》。同时,符合前述任一情形的,无论境内还是境外的个人信息处理者,即便在中国境外,处理中国境内自然人的个人信息时,也应适用《个保法》。

 

2.个人信息

《个保法》规定个人信息是指以电子或者其他方式记录的、与已识别或者可识别的自然人有关的各种信息[2]。历经《网络安全法》《民法典》对个人信息定义的调整,作为个人信息保护的专门法律,《个保法》对个人信息的最终定义与欧盟的《通用数据保护条例(General Data Protection Regulations)》(以下称“GDPR”)相类似,采取了“可识别”“已识别”的概念,与2020年10月施行的国家标准《信息安全技术 个人信息安全规范》(GB/T 35272-2020)(以下称“《安全规范》”)中提出的“识别”+“关联”的判定方式一致。即个人信息既包括由信息本身的特殊性识别特定自然人的信息,也包括由特定自然人在其活动中产生的信息。

 

3.处理活动

《个保法》规范的对象是个人信息的处理活动,包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等[3]。相较《草案》和《二审稿》,《个保法》对于个人信息的处理的定义,增加了“删除”一项,进一步补充和完善了处理活动,即包括个人信息全生命周期内的各种活动。

 

二、个人信息处理者及其义务

(一)个人信息处理者的定义

《个保法》对个人信息处理者的定义是,在个人信息处理活动中自主决定处理目的、处理方式的组织、个人[4]。与《草案》《二审稿》相比,《个保法》对于个人处理的定义最终聚焦在“处理目的、处理方式”,删除了“等个人信息处理事项”的表述,更加明确具体。个人信息处理者的定义中另一个关键词是“自主决定”,我们认为根据《个保法》的规定,只有根据自身需要可以独立决定个人信息的处理目的和处理方式的组织或个人,才能构成《个保法》中的个人信息处理者,承担《个保法》中规定应由个人信息处理者承担的义务和责任。

在个人信息处理活动的实务中,可能存在多种不同身份的主体,甚至同一主体在个人信息生命周期处理活动的不同阶段,可能会承担不同角色。不同身份主体之间的关系不同,承担的义务和责任也不同。个人信息处理活动中主体之间的关系主要可分为以下两种:

 

1.共同处理

两个以上的主体共同决定个人信息的处理目的和处理方式的,两个以上的主体都同时构成个人信息处理者,彼此之间是共同处理者的关系。共同处理者应当约定各自的权利和义务,个人可以向任一个人信息处理者主张权利,个人信息处理者应当对侵害个人信息权益造成的损害承担连带责任[5]。

 

2.委托处理

接受个人信息处理者委托处理个人信息,构成委托处理关系。受委托人对处理目的和处理方式没有决定权,应当依照委托人的委托内容实施处理活动。个人信息处理者应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督[6]。个人信息处理者除了需要在委托前进行个人信息保护影响评估之外,对于《个保法》要求的监督活动,可以参照《安全规范》的内容,对受委托人进行审计、记录和存储委托处理个人信息的情况、发生问题时采取补救措施等[7]。受委托人虽然不是个人信息处理者,但是仍负有采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行法律法规规定的义务[8]。同时受委托人还负有按照与委托处理的个人信息处理者的合同约定进行处理活动的合同义务,违反合同约定应当承担违约责任。受委托人超出委托范围自行决定处理活动,可能构成个人信息处理者承担相应责任。

 

(二)个人信息处理者的义务

个人信息处理者应当依照《个保法》规定的个人信息处理规则进行处理活动,《个保法》中还专章规定了个人信息处理者的义务,具体包括[9]:

(1)制定管理制度和操作规程

(2)个人信息分类管理

(3)必要安全技术措施(加密/去标识化)

(4)确定合理权限,进行安全培训教育

(5)制定应急预案,进行定期合规审计,实施个人信息保护影响评估

(6)对个人信息安全事件的补救和通知义务

(7) 处理个人信息达到国家网信部门规定数量的,指定个人信息保护负责人,公开并报送

(8)境外个人信息处理者在中国境内设立专门机构或指定代表并备案的义务

 

   此外,个人信息处理者应当保证个人在个人信息处理活动中的权利,并为个人行使权利提供便捷方式。《个保法》中个人在个人信息处理活动中的权利包括:知情权、决定权、查询复制权、可携带权、更正补充权、删除权、撤回同意权、要求解释权等。其中可携带权借鉴了GDPR的做法,是《个保法》中最新追加的一项个人主体权利。可携带权设立的目的在于强化保证个人拥有个人信息控制权的同时,对平台可能出现的数据垄断问题提供解决方案。但是,《个保法》规定的可携带权是有限权利,需要“符合国家网信部门规定条件”[10],相关条件以及可携带权行使的方式、费用承担等仍有待相关细则加以明确。

 

  《个保法》对于个人信息处理者义务的规定中另一个亮点,在于从《二审稿》开始,针对提供重要互联网平台服务[11]、用户数量巨大、业务类型复杂的个人信息处理者设置了单独的义务条款,内容包括建立健全合规制度体系,成立主要由外部成员组成的独立机构进行监督;制定平台规则,明确平台内产品或服务提供者的义务并对严重违法的相关提供者停止服务;定期发布个人信息保护社会责任报告。专门条款强化了大型数据企业等的合规义务。

 

(三)个人信息处理者的过错推定原则

为了强化个人信息处理者的义务履行,从《二审稿》开始增加了对个人信息处理者侵权责任的过错推定原则。《个保法》中的表述稍有调整,最终规定为“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。[12]”个人信息处理者如何证明自己没有过错,需要结合司法解释和审判实践在今后进一步确认,但是我们认为企业切实履行《个保法》规定的个人信息处理者义务,并保存相关记录,对于个人信息处理者的履行举证责任将起到至关重要的作用。

 

三、个人信息处理的合法性基础和原则

(一)《个保法》对个人信息处理合法性基础的重构

《个保法》在个人信息处理规则中,确立了以下个人信息处理的合法性规则:“(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。[13]”

 

在《个保法》之前,全国人民代表大会常务委员会在2012年发布的《关于加强网络信息保护的决定》(以下称“《决定》”)被长期作为个人信息保护领域的基础法律依据。《决定》确立了个人信息收集、使用的合法基础是“经被收集者同意”[14],这一规则也被沿用至此后相关的法律法规之中,包括《消费者权益保护法》(2013年修正)[15]、《网络安全法》[16]等。但是,随着数据资源重要性的不断提升,单一的“个人同意”规则,越来越不能满足社会和经济对于个人信息有效利用日益高涨的实际需求。2020年的《安全规范》中规定了收集、使用中征得授权同意的例外和共享、转让、公开披露个人信息时事先征得授权同意的例外[17]。在2021年正式施行的《民法典》中,虽然仍然延续了“同意”的合法性原则,但是同时规定“法律、行政法规另有规定的除外”[18],为专门法律法规的规定留下接口和空间,同时将公开信息的合理使用和为了公共利益或自然人合法权益的合理使用以法定免责(民事责任)的形式,实际纳入到民事领域的合法性基础范围内。

 

《个保法》此次在取得个人同意之外,对于个人信息处理的合法性基础增加并明确规定上述(二)至(七)项情形的,不需取得个人同意[19],体现了《个保法》兼顾个人信息权益保护和促进个人信息合理有效利用之间平衡的立法价值。《个保法》的合法性基础第(二)项,在《草案》和《二审稿》的基础上,新增了“实施人力资源管理所必需”,也是该立法价值的具体体现。我们理解同为合法性基础的个人同意,与其后的(二)到(七)项是平行关系,可以互为替代。

 

(二)个人信息处理的原则

《个保法》在承继自《决定》开始确立的个人信息处理应当遵循的合法、正当、必要原则的基础上,追加了诚信原则,规定不得通过误导、欺诈、胁迫等方式处理个人信息[20]。对于必要原则,《个保法》进一步明确规定“与处理目的直接相关”“采取对个人权益影响最小的方式”“限于实现处理目的的最小范围,不得过度收集”[21],从目的、方式、范围的维度对于必要原则加强了阐明。除此之外,《个保法》强调公开、透明原则,要求“公开个人信息处理规则,明示处理的目的、方式和范围。”[22]需要企业特别注意的是,依照前述合法性基础处理个人信息时,同样需要遵循个人信息处理的原则要求。合法性基础(二)到(七)项免除的只是取得个人同意,并不意味免除《个保法》及相关法律法规规定的个人信息处理过程中其他的义务和责任。例如,在个人信息跨境提供的场景,符合合法性基础中(二)到(七)项,只是无需取得个人信息主体单独同意的理由,而非无需遵守合法、正当、必要和诚信原则,公开处理规则,进行个人信息保护影响评估以及满足其他法律规定的具体条件的理由。但是,在依法无需取得个人同意的场景下,如何实现公开个人信息处理规则的要求,需要根据实施细则的具体规定以及结合实际场景具体研究。

 

(三)个人同意和有效性

诚然如前所述,《个保法》重构了个人信息处理的合法性基础。但是,无论从个人信息保护的人格权益属性,个人信息保护的底层要求,还是实际应用场景的数量上,个人同意仍然是个人信息处理合法性原则的核心。因此,个人同意有效性的考量仍然是企业合规工作中的重中之重。

 

个人同意有效性的前提是满足个人信息处理的原则要求。超越原则,不具有明确、合理的目的,超过最小必要的范围处理个人信息,或者没有通过个人信息处理规则明确告知处理的目的、方式和范围等,即使取得个人同意,仍然存在重大的合规瑕疵。为了保证上述前提,《个保法》对于个人同意的方式、个人撤回同意时的处理、对个人履行告知义务的方式、内容、形式等都进行了具体规定[23]。此外, 2021年3月,国家互联网信息办公室(以下称“国家网信办”)、工业和信息化部(以下称“工信部”)、公安部和国家市场监督管理总局(以下称“市监总局”)联合发布了《常见类型移动互联网应用程序必要个人信息范围规定》,虽然该规定主要为了规范移动互联网应用程序(App)收集个人信息行为,对于一般场景处理个人信息活动的最小必要范围的判定仍有一定参考借鉴的意义。

 

取得个人同意的方式也是个人同意有效性的另一个重要因素。《个保法》中明确规定了单独同意的取得个人同意的方式。明确了针对特定的个人信息处理活动(提供[24]、公开[25])、特殊个人信息类型(敏感个人信息[26])、特别处理场景(个人图像、身份识别信息用于公共安全之外目的[27]以及个人信息的跨境提供[28])需要采取单独同意的要求。另一方面,单独同意区别于《安全规范》中的明示同意和授权同意,从文义上,与2021年5月生效的《网络交易监督管理办法》中规定收集、使用敏感信息应当“逐项取得消费者同意”[29]也应当有所不同。我们理解单独同意的重点在于与其他同意事项相区分,目的在于对个人起到单独提示的作用,并不得与其他事项进行捆绑。虽然,有关单独同意的具体认定,还需要结合实施细则和规范性文件的规定以及通过执法实践进一步验证,但是我们理解实务中应当基于法律的立法本意,结合线上或线下处理的实际场景,在平衡合规要求和注重用户体验的前提下,综合考虑具体的落地方法。

 

四、个人信息处理活动的特殊规则

(一)敏感个人信息的处理规则

《个保法》在一般个人信息的基础上,明确定义了敏感个人信息,并规定了敏感个人信息处理的特殊规则。《个保法》对敏感个人信息的定义,仍然沿用了《安全规范》中以发生个人信息事故时的危害结果作为界定标准的方式。其中,个人信息事故包括信息的泄露或非法使用,危害结果是指容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害[30]。虽然《个保法》对敏感个人信息定义的表述较《安全规范》有所变化,我们理解主要是由于《民法典》明确了人格尊严受法律保护[31],个人信息保护属于“自然人享有基于人身自由、人格尊严产生的其他人格权益[32]”,实质上《个保法》对于敏感个人信息的定义没有本质变化。除了《个保法》中举例的敏感个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息之外,《安全规范》中的列示对于判断敏感个人信息同样有重要参考意义。

 

《个保法》对于敏感个人信息处理的特殊规则,包括更高的必要性要求;更严格的保护措施要求;单独同意或书面同意的要求;更充分告知义务的要求以及针对不满十四岁未成年人信息,制定专门的个人信息处理规则和取得未成年人父母或其他监护人的同意的强化要求。此外,对于个人信息处理者在处理敏感个人信息之前还要求进行个人信息保护影响评估,并对处理情况进行记录。

 

(二)自动化决策的处理规则

针对大数据分析和人工智能等技术运用的迅猛发展,《个保法》对于该技术的重要应用自动化决策进行了专门规定[33]。包括(1)个人信息处理者应当保证决策的透明度和结果公平、公正,强调不得对个人在交易价格等交易条件上实行不合理的差别待遇。此规定意图规范和禁止普遍关注的“大数据杀熟”问题,也是《个保法》在《草案》《二审稿》基础上补充强调的内容。(2)通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。强调保护个人对自动化决策推送信息的选择权,以防范“信息茧房”问题。(3)通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。其中对个人权益有重大影响的决定,参照《安全规范》中的举例,包括自动决定个人征信及贷款额度,或用于面试人员的自动筛选等[34]。此外,《个保法》还要求个人信息处理者在利用个人信息进行自动化决策之前,要进行个人信息保护影响评估,并对处理情况进行记录[35]。

 

2021年8月27日,国家互联网信息办公室(以下称“国家网信办”)公布了《互联网信息服务算法推荐管理规定(征求意见稿)》(以下称“《算法推荐规定》”)并向社会公开征求意见。虽然并非所有自动化决策都利用个人信息,《算法推荐规定》中的应用算法推荐技术也并非仅用于自动化决策,或者全部使用个人信息,但不可否认二者仍有着紧密的关系。《算法推荐规定》中第14条对于算法推荐服务透明度的规定,第10条加强用户模型和用户标签管理的规定,第15条提供关闭算法推进服务选项等均与《个保法》关于自动化决策的前述规定一以贯之。特别值得注意的是,根据《算法推荐规定》,对于应用算法推荐技术提供互联网信息服务的服务提供者(以下称“算法推荐服务提供者”),国家将实施分类分级管理。对于其中具有舆论属性或者社会动员能力的算法推荐服务提供者,将要求实施备案和强制的安全评估。

 

(三)个人信息的跨境提供规则

互联网技术的发展、经济全球化和数据资源的广泛利用,使得数据跨境成为必然要求,另一方面,数据的跨境关系到数据安全、个人信息和隐私权利的保护,甚至关联国家安全和国家数据主权,因此数据跨境问题,特别是个人信息的跨境规则一直备受瞩目。

 

在中国的相关立法中,自《网络安全法》开始明确规定关键信息基础设施的运营者(以下称“CIIO”)对在中国境内运营中收集和产生的个人信息和重要数据的本地化存储原则要求,同时规定确需向境外提供的,需要进行安全评估。作为对跨境提供规则的落实,中国先后推出了《个人信息和重要数据出境安全评估办法(征求意见稿)》(2017)、《信息安全技术  数据出境安全评估指南(送审稿)》(2017)、《个人信息出境安全评估办法(征求意见稿)》(2019)等相关法规和规范性文件,但是除了将适用对象由CIIO统一扩大到了一般的网络运营者,对于具体适用措施,则一直存在变动,始终未能确定。《个保法》终于确定了个人信息的跨境规则,并以专章进行了规定。具体规则的概要可参见下表[36]:

 


规则内容

适用对象

一般规则

通过国家网信部门组织的安全评估

CIIO和处理个人信息达到国家网信部门规定数量的个人信息处理者

经专业机构进行个人信息保护认证

上述之外的个人信息处理者

按照国家网信部门制定的标准合同与境外接收方订立合同

法律、行政法规或者国家网信部门规定的其他条件

例外规则

中华人民共和国缔结或者参加的国际条约、协定对向中国境外提供个人信息的条件等有规定的。

所有个人信息处理者

前提条件

向个人告知并取得个人的单独同意。

所有个人信息处理者

应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

特殊规则

依外国司法或者执法机构关于提供存储于境内个人信息的请求提供个人信息须经中国主管机关批准。

所有个人信息处理者

被国家网信部门列入限制或者禁止个人信息提供清单,予以公告,应当依照限制或者禁止向其提供个人信息等措施的规定。

针对对中国采取歧视性的禁止、限制或者其他类似措施的国家或地区,依照中国采取的对等措施。

 

《个保法》借鉴了包括GDPR在内国外立法的经验,采用了标准合同的规则方式以及确认“充分保护标准”的要求等,基本明晰了个人信息跨境的规则框架。同时,与《出口管制法》等相关法律进行了衔接。但是,涉及个人信息跨境提供的实际问题,包括跨境提供的认定、安全评估的具体内容和流程、认证机构的确定、标准合同的公布、采取必要措施的认定以及过境数据的处理规则等,仍需要实施细则和规范性文件加以明确。我们估计相关细则和规范性文件正在紧锣密鼓的制定过程中,很有可能在11月1日《个保法》施行前后出台。

 

五、个人信息保护的监管及法律责任

(一)监管部门和职责权限

与《网络安全法》《数据安全法》基本一致,《个保法》规定国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依法在各自职责范围内负责个人信息保护和监督管理工作[37]。国务院有关部门在实务中主要包括工信部、公安部和市监总局。从2019年1月开始的App违法违规收集使用个人信息专项治理即是由上述四个部门联合行动的。从《个保法》立法之初,各界一直有建立统一的执法机关专门管理个人信息保护工作的呼声。但出于国家机构编制改革,以及各个部门的各自主管领域短期内恐难整合等诸多因素的考虑,最终仍然维持了《网络安全法》建立的管理体制,不能不说是本次立法中一个“遗憾”,“九龙治水、多头共管”的监督管理格局仍将继续。

 

《个保法》在规定履行个人信息保护职责的部门的工作职责的同时,赋权相关部门可以采取包括询问当事人、查阅、复制有关资料、现场检查、查封或扣押、约谈个人信息处理者负责人、要求进行合规审计、处理投诉、举报等多项措施[38],并规定了当事人应当协助配合的义务。

 

(二)法律责任

相较于《网络安全法》,《个保法》对于违法处理个人信息,或者处理个人信息未履行《个保法》规定的个人信息保护义务的行为,规定了更加严格的法律责任。根据违法行为的情节,最高可以处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。同时,对直接负责的主管人员和其他直接责任人员可以最高处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。[39]其中,最高罚款金额据说是借鉴了GDPR(4%)和《反垄断法》(1%-10%)二者的经验[40]。

在法律责任的规定中,除了前文中介绍的个人信息处理者侵权责任的过错推定原则之外,《个保法》规定的公益诉讼制度,同样备受关注。人民检察院、法律规定的消费者组织和由国家网信部门确定的组织将可以就个人信息处理者违法处理并侵害众多个人的权益的情形,向人民法院提起诉讼。除了行政责任之外,预计涉及侵害个人信息保护的权益的民事案件也会大幅增加。

 

结语

《个人信息保护法》是基础性法律,规定的是原则性问题,规定的执行和落地还需要与相关细则和实施规范相结合。《个人信息保护法》的出台和正式施行,必将带动相关配套法规和规范性文件的出台。中国网络安全和数据保护的法律体系已经初步建成,并将日趋完善和严格,这也对企业合规工作提出了新的要求。我们会持续关注有关法律动向,助力企业合规成长。

 



[1] 《个人信息保护法》第三条

[2] 《个人信息保护法》第四条

[3] 《个人信息保护法》第四条

[4] 《个人信息保护法》第七十三条

[5] 《个人信息保护法》第二十条

[6] 《个人信息保护法》第二十一条

[7] 《信息安全技术 个人信息安全规范》(GB/T 35272-2020)9.1

[8] 《个人信息保护法》第五十九条

[9] 《个人信息保护法》第五章

[10] 《个人信息保护法》第四十五条

[11] 《二审稿》中的表述为基础性互联网平台服务

[12] 《个人信息保护法》第六十九条

[13] 《个人信息保护法》第十三条

[14] 《全国人民代表大会常务委员会关于加强网络信息保护的决定》第二条

[15] 《消费者权益保护法》(2013年修正)第二十九条

[16] 《网络安全法》第四十一条

[17] 《信息安全技术 个人信息安全规范》(GB/T 35272-2020)5.6、9.5

[18] 《民法典》第一千零三十五条

[19] 《个人信息保护法》第十三条

[20] 《个人信息保护法》第五条

[21] 《个人信息保护法》第六条

[22] 《个人信息保护法》第七条

[23] 《个人信息保护法》第十四条、第十五条、第十六条、第十七条

[24] 《个人信息保护法》第二十三条

[25] 《个人信息保护法》第二十五条

[26] 《个人信息保护法》第二十九条

[27] 《个人信息保护法》第二十六条

[28] 《个人信息保护法》第三十九条

[29] 《网络交易监督管理办法》第十三条

[30] 《个人信息保护法》第二十八条

[31] 《民法典》第一百零九条

[32] 《民法典》第九百九十条

[33] 《个人信息保护法》第二十四条

[34] 《信息安全技术 个人信息安全规范》(GB/T 35272-2020)7.7

[35] 《个人信息保护法》第五十五条

[36] 《个人信息保护法》第三章

[37] 《个人信息保护法》第六十条

[38] 《个人信息保护法》第六十三条、第六十四条、第六十五条

[39] 《个人信息保护法》第六十六条

[40] 南方都市报APP・隐私护卫队课题组:详解个保法:区分大小企业保护义务,违法人员或被限制从业https://m.mp.oeeee.com/a/BAAFRD000020210820587568.html?layer=2&share=chat&isndappinstalled=0&wxuid=ogVRcdAjENHcM_LSN5oI3X9Lzqk8&wxsalt=9f5284(最后访问时间:2021年8月30日)


作者

作者动态

作者其他文章

相关领域

Copyright © 1998-2018 天达共和律师事务所 京ICP备11012394号
联系我们 关注公众号
联系我们