2018-08-21 15:09
个人信息权其实并没有在我国的某一部法律中给出明确的定义,但是结合《网络安全法》以及《民法总则》与配套的《个人信息安全规范》,可以明确个人信息权的内容以及范围。我国在网络安全方面的立法模式借鉴了欧洲的经验,在个人信息以及数据保护方面也在逐渐与欧盟《通用数据保护条例》(GDPR)看齐。今天信息合规培训就结合GDPR对我国个人信息权的具体内容进行解析。
我国《网络安全法》及其配套规定设定的个人信息权大致分七类:知情权、删除权、更正权、明示同意权、访问权、注销权、撤回权。信息合规培训将对其内容分别评述。
知情权是最基本、基础的权利。《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。收集和使用公民个人信息必须遵循合法、正当、必要原则,且目的必须明确并经用户的知情同意。
《网络安全法》第四十三条规定,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息。我国《网络安全法》中的删除权实质上类似于 GDPR 第 17 条规定
的被遗忘权。数据主体有权要求数据控制者及时删除与其有关的个人数据,且在特定情形下数据控制者有义务立即删除这些个人数据。
《个人信息安全规范》明确了“明示同意”的具体内涵,即个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。此种肯定性动作包括个人信息主体主动作出声明、主动勾选、主动点击“同意”“注册”“发送”和“拨打”等。我国《个人信息安全规范》的“明示同意”与GDPR 的严格个人同意标准相比较,后者更为详细和严谨。GDPR 的个人同意必须是自愿作出的、特定的、具体的、知情的及明确的同意。个人如果通过书面声明的方式同意 , 同意的内容应当易于理解且与其他事项显著区别开 , 数据控制者不能扩大个人同意的范围。而且,GDPR 授权个人随时可以撤回先前的同意 , 数据控制者应保证撤回同意与作出同意一样容易。
《网络安全法》第四十三条同时规定,个人发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。该规定于GDPR的修正权类似,数据主体有权要求数据控制者无不当延误地修正与其相关的不准确的个人数据。
《个人信息安全规范》设置了“个人信息访问”权,要求个人信息控制者应向个人信息主体提供访问三类信息的方法:一是其所持有的关于该主体的个人信息或类型;二是上述个人信息的来源、所用于的目的;三是已经获得上述个人信息的第三方身份或类型。
个人信息主体有权注销其账户,我国《个人信息安全规范》7.8 要求个人信息控制者为个人信息主体提供注销账户的方法,一是通过注册账户提供服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且该方法应简便易操作;二是个人信息主体注销账户后,应删除其个人信息或做匿名化处理。
个人信息主体有权撤回其先前的同意,个人信息控制者应向个人信息主体提供方法撤回收集、使用其个人信息的同意授权。撤回同意后,个人信息控制者后续不得再处理相应的个人信息。
总体上我国的网络安全立法在借鉴域外立法经验的同时加入了我国特色,充分体现了我国的安全发展观,但在效力层级上还存在进展空间。
严正声明:本文章内容为佑碧艾商务咨询(上海)有限公司(以下简称:LEB)原创作品,LEB对该作品享有全部著作权。欢迎转发,如需以任何形式转载请注明作品出处及标注作者(LEB)署名,违者将承担相应法律责任。特此声明。
[ 2024-07-11 13:41]
[ 2024-06-14 09:15]
[ 2024-05-13 17:05]
[ 2024-04-25 10:49]
[ 2024-04-19 10:31]
[ 2022-02-28 15:22]
[ 2023-04-28 10:00]
[ 2023-04-25 10:00]