《“互联网+行业”个人信息保护研究报告-D》由会员分享,可在线阅读,更多相关《“互联网+行业”个人信息保护研究报告-D(47页珍藏版)》请在金锄头文库上搜索。
1、“互联网+行业”个人信息保护研究报告采集数据脑电图用于检测精神分裂症、躁狂抑郁症、精神异常等睡眠数据智能枕头收集数据,分析睡眠质量步行计数运动手环等智能设备记录步行数量治疗性数据医嘱反应医生的针对性诊疗方案病历反应患者基本情况、治疗过程和效果医保数据反应医学诊断、药物报销等数据来源:腾讯“互联网+医疗健康”个人信息的定义和范围正在研究明确。全国信息安全标准化技术委员会正在组织制定信息安全技术健康医疗信息安全指南(征求意见稿)标准,使用了个人健康医疗信息的概念,将其界定为“能够单独或者与其他信息结合识别特定自然人或者反映特定自然人生理或心理健康相关信息,涉及个人过去、现在或将来的身体或精神健康状
2、况、接受的医疗保健服务和支付的医疗保健服务费用等”,具体可能包括:1)提供健康医疗服务时登记的个人信息;2)出于健康医疗目的,例如治疗、支付或保健护理等,分配给个人的唯一标识号码或符号等;3)在向个人提供健康医疗服务过程中采集的有关个人的任何数据;4)来自身体部位或身体物质检查或检验的结果数据;5)可穿戴设备采集的与个人健康相关的数据;6)接受的健康医疗服务相关数据;7)为个人提供健康医疗服务的服务者身份信息;8)关于个人的支付或医保相关数据等等。去标识化的医疗个人信息使用规则仍需探索明确。“去标识化”在概念上是指通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别个人信息主体的过
3、程。信息安全技术健康医疗信息安全指南(征求意见稿)使用了 受限制数据集(limited dataset) ”的概念,规定经过去标识化处理的个人健康医疗信息可在未经个人健康医疗信息主体授权的情形下用于研究或公共卫生等目的,另外在临床研究场景中也以对信息“去标识化”为前提给出了获取受试者知情同意的例外情形。然而信息安全技术健康医疗信息安全指南只是处于征求意见稿状态的推荐性国家标准,不具有强制约束力,现有条款对知情同意的豁免也仅限于研究或公共卫生等目的,关于去标识化医疗健康信息的合规收集和使用规则仍有待明确。3. “互联网+智能家居”多样的产品形态使得个人信息收集碎片化特征明显。智能家居设备类型丰富
4、,所收集使用的个人信息类型多样,数据碎片化存储在各类设备中。以米家应用为例,智能家居设备目前已有十一个大类产品,包括摄像机、电源开关、照明、家居安防、厨房电器、环境电器、传感器、娱乐影音、生活电器、运动健康等。智能家居设备可以覆盖用户在所有房间的使用,例如厨房的烟灶机、洗手间的感应灯、客厅的扫地机器人、卧室的空气净化器。这些丰富产品的个人信息收集情况依据各自服务场景而有所不同。例如,扫地机器人为了完成定时打扫的任务,会收集用户的定时信息、设定的路线;智能灯具会收集用户的起居时间、明暗偏好等信息。如果智能家居设备运用到了设备间联动场景,则会收集用户多种设备的信息进行计算处理,数据类型更丰富。例如
5、,当用户设定条件为:进入家门则房间亮彩色的灯且播放音乐。那么,为了实现此联动,至少需要收集用户的指纹信息(门锁收集)、开门的状态(门锁收集),以及灯和音箱的状态。目前部分智能家居设备在实现产品功能时,收集个人敏感信息。智能门锁以指纹作为开锁凭证时,需要收集个人的指纹信息。具备人脸识别功能的摄像头,需要收集人脸信息。智能体重秤收集用户个人的身高、体重、心率等,进而为用户提供健康提示。安防摄像头在实现安防监测和预警时,会记录反映用户生活状态的视频信息。智能音箱在提供语音助手服务过程中,会记录用户的语音对话信息。手机客户端软件作为个人信息汇聚和传输的关键通道,直接制约“互联网+智能家居”产品和服务的
6、个人信息保护水平。用户在使用智能家居产品中,大多通过手机客户端软件实现产品和服务的设置和控制,依托无线通信实现设备连接交互,通过互联网实现数据的上传汇聚和智能分析。在此过程中,用户个人信息在手机客户端软件、数据传输通道、后台服务器等关键环节流转,因此,隐私保护制度设计和安全技术应用对于智能家居产品和服务的个人信息安全保障至关重要。4. “互联网+出行服务”收集“位置”等个人敏感信息且信息收集实时性要求高为满足运营网约车的基本要求,网约车在提供服务过程中需要获取个人身份以进行实名制认证和安全保护,需要获取位置以提供叫车服务,需要获取支付信息以完成订单支付。衍生出的常去地点、轨迹信息、出行偏好属于
7、相对敏感的个人信息,且在用户使用服务过程中需要持续获取“位置”等信息以提供必要的行程计费和安全保障等基础服务。根据目前用户使用网络预约出租车服务流程进行梳理,分析网约车服务收集个人信息情况主要如下表2O表2 “网约车服务收集、使用个人信息梳理功能个人信息用途注册手机号实名制要求,用于联系用户。账号、密码用于网络约车用户账号信息安全。电子邮箱地址用于收取电子发票进行报销。发单常用地址记录方便用户输入目的地提升使用体验。代人叫车通讯录导入联系人方便输入被代叫人的手机信息,提升体验。接驾IM文字聊天记录允许保存用户文字聊天记录作为服务判责依据。IM语音内容允许保存用户文字聊天记录作为服务判责依据。完
8、成订单用户发布信息用于形成出行订单。身份认证信息监管要求。订单日志用于用户查询行程,报销,找回丢失物品等O上网日志监管要求。行驶轨迹用于用户查询行程,报销,找回丢失物品等O约车交易信息用于用户查询行程,报销,找回丢失物品等。录音录像用于安全保障以及投诉处理的录音和视频取证。安全联系人用户亲友电话信息,在发生特殊情况能够紧急联系。出发地精准定位信息仅用于确定用户当前位置,推荐周围上车点,搜索显示附近车辆信息。到达地位置信息支付第三方支付方式用于用户使用第三方支付方式对订单付款、用户账户余额提现等。客服客服通话录音用于监督客服服务质量。风险控制.设备信息用于用户身份识别、风险防控。数据来源:美团出
9、行在车主端,还需要车主提供身份证、驾驶证、行驶证、车辆图片等车主认证信息,网约车资质认证信息以及用于确认车主身份的人脸识别信息等。由于政策要求,车主端收集、使用个人信息类型更加多样,且敏感程度更高,车主端个人信息保护需求相对更高。二、我国个人信息保护政策措施现状(一)个人信息保护法律制度框架逐步形成我国的个人信息保护立法属于分散模式,专门性的个人信息保护法尚未出台。现有立法通过“人格尊严、“个人隐私、“个人秘密、“保障信息安全等范畴对个人信息实现直接或间接的保护。例如,民法通则、民法总则、消费者权益保护法、治安管理处罚法、侵权责任法、居民身份证法等法律、行政法规中都涉及到个人信息保护的相关条款
10、。近年来,在法规中直接对“个人信息保护”进行规定的趋势日益明显。2012年底,全国人大常委会通过了关于加强网络信息保护的决定(以下简称人大决定),首次以法律的形式明确规定保护公民个人及法人信息安全,建立网络身份管理制度,赋予政府主管部门必要的监管手段,对进一步促进我国互联网健康有序发展具有重要意义。为落实人大决定的要求,2013年7月,工业和信息化部出台了电信和互联网用户个人信息保护规定,该规定进一步明确了电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则和信息安全保障措施等。2016年11月7日,全国人大常委会通过了网络安全法,并将个人信息保护纳入网络安全保护的范畴,网络安全法
11、第四章“网络信息安全也被称为“个人信息保护专章。网络安全法总结了我国个人信息保护立法经验,针对实践中存在的突出问题,将近年来一些成熟的做法作为制度确定下来。一是统一了 “个人信息”的定义和范围。人大决定将其保护的信息界定为“公民个人电子信息;而2013年工业和信息化部的电信和互联网用户个人信息保护规定(第24号令)则采用了 “用户个人信息”的表述。网络安全法中统一采用了 “个人信息的表述,并将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”二是确立了个人信息收
12、集使用的基本原则。网络安全法在人大决定和工信部第24号令的基础上,充分吸收国际个人信息保护通行规则,确立了个人信息收集使用的基本原则。具体体现在五个方面:1.合法正当原则,网络运营者收集使用个人信息必须出于正当目的,采用合法形式;2.知情同意原则,要求网络运营者公开隐私规则,获得用户同意;3.目的限制原则,网络运营者不得超范围收集、不得违法和违约收集;4.安全保密原则,网络运营者不得泄露毁损个人信息,要采取预防措施、补救措施防止个人信息事故;5.删除改正原则,网络运营者应当应个人要求删除违法、违约信息、改正有误信息。三是规定了相关主体的个人信息保护义务。对于网络运营者,要求其在收集使用个人信息
13、的时候 遵守网络安全法规定的基本原则;未经被收集者同意,不得向他人提供个人信息;应当建立网络信息安全投诉、举报制度,及时受理并处理有关网络信息安全的投诉和举报;并积极配合网信部门和有关部门依法实施的监督检查。对于依法负有网络安全监督管理职责的部门及其工作人员,要求必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。此外,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。四是规定了违反个人信息保护的法律责任,弥补了人大决定中没有罚则的不足。网络安全法第六十四条赋予了主管部门根据违法情节采取责令改正、警告、没收违法
14、所得、罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等层次分明的行政处罚的措施。同时,第七十四条也规定了违反本法规定应当依法承担民事责任、治安处罚和刑事责任。通过建立完善的法律责任体系,网络安全法为公民个人信息保护提供了强有力的保障,也为主管部门在个人信息数据管理执法提供了丰富的执法手段。此外,征信业管理条例(2013年)、刑法修正案(九)(2015年),以及司法解释最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定(2014)、最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释(2017)、最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释(2019)等也分别是行业监管立法、刑事立法、民事立法等方面进一步补充健全了我国的个人信息保护法律体系。(二)各行业在“互联网+创新发展中不断强化个人信息保护要求网络安全法等综合立法明确了各行业在“互联网+ 应用下的个人信息保护义务,众多行业主管部门出台的规章、规范性文件中也对具体行业个人信息保护提出了要求。在“互联网+电子商务”领域,电子商务法明确要求电子商务经营者收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定。电子商务经营者应遵守网络安全法等法规
