煮酒言规
///////////////
数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
• CONTENT •
「数据安全和信息安全异同」
「大型网络平台的认定」
「已公开个人信息的拒绝处理」
-问:性别也是隐私信息么?报告称,超过21万名美国跨性别选民可能因身份证件法而面临投票障碍
-答1:是不是隐私需要依据context确定,比如有的人不想别人知道自己变性了,那可能就是隐私。
-答2:有些国家肯定是隐私,因为一眼过去的,不一定是真实的。
总结:即使在国内,性别自然有是隐私的可能性,毕竟这是一个主观的东西。
-问:有关信息安全和数据安全的差别是什么呢 ,正在编写相关培训PPT ,从当前搜素的内容 ,数据安全应该信息安全的一个子集,但是当前按照国内的说法,是不是可以等同于数据安全为信息安全,甚至当期数据安全都是信息安全的一个部分 ?
-答1:非要抠字眼 信息安全大于数据安全,信息方式很多,例如气味气体。不抠字眼信息安全≈数据安全。
-答2:国内语境下,其实是不同时期演变后的不同说法,称谓、重点和范围可能都发生了变化。比如tc260已经从信息安全标准委员会改为网络安全标准委员会了,他下面的工作组也有数据安全的。《信息安全技术 信息安全事件分类分级指南》(GB/Z 20986-2007)废止后的替代标准就是《信息安全技术 网络安全事件分类分级指南》(GB/T 20986-2023)。
-答3:数据安全和信息安全事件是两个,监管检查的时候特地会看的。
-答4:信息安全是技术很早期的说法了,一个大而全的概念,涉及软硬件,包括非网络和网络的安全,有些信息并不在网络上,例如纸质文件。数据安全应该也是信息安全的子集。数据是信息的载体,有了数据安全的概念后,信息安全和网络安全就有了抓手,变得没那么虚。
-答5:我职称里面专业是信息安全,现在监管觉得证书没覆盖数据安全。按照金融监管的发文指导思路,后面从组织架构开始都得拆网络安全和数据安全。我们信息安全管理制度重新搞了网络安全管理制度和数据安全管理制度。
-答6:信息安全 也讲CIA(机密性Confidentiality、完整性 Intergrity、可用性 Availability)范围更大 保护的资产 也涵盖 数据。
总结:数据是信息的载体。
-问:《网络数据安全管理条例》对大型网络平台的定义如何理解?有没有可能指标到了,但业务类型不复杂,然后不是大型网络平台呀?
-答1:麻策律师的观点。
大型网络平台是指注册用户5000万以上或者月活跃用户1000万以上的平台,我理解“业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台”不是“注册用户5000万以上或者月活跃用户1000万”的平级条件,而是自然递进关系。 公众号:网络法实务圈
极简《网数条例》评析,看这15个关键词就够了
-答2:感觉执行起来,只有这两个数字有意义。
总结:工农中建这种商业银行注册用户肯定不止5,他们算吗?
-问:大家怎么看这个案例?“搬运”已公示的单位录用名单信息,构成侵权吗?
简言之就是,公众号搬运录用公示名单(原信息于公示期结束后删除)并暗示录用人员为关系户,且在个人拒绝其处理个人信息后仍不删帖,未侵犯名誉权,未侵犯隐私权,但侵犯个人信息权益。
-答1:就告知删除就行了?避风港了又?
-答2:要不然就被公考机构二次利用。
-答3:从我所知,政府信息公开条例中只有对至少公开多少天的规定。有些机关公示之后一直放在那里,有些机关公示期过了就删除了,有些公示机关则是定期删除超过一定期限的信息。看起来被告并不是因为搬运,而是拒不回应删除权的请求,从而导致义务违反。公示机关过了公示期后删除信息,并不造成搬运公开信息的不合法,因为相关信息业已因为公示变成公开信息。挺合理的。
总结:确实对已公开个人信息的使用需合理,在个人拒绝后应当删除。
• END •
关注小号防失联
