侵犯公民个人信息罪法律问题解析(五)
在前文探讨了互联网企业发展道路上的必经之路与信息保护的潜在要求中存在似乎不可磨灭的、直接性的冲突,这一现象在企业中数据保护中显得格外突出,由此也就引出了一个新领域的话题,企业数据合规风险。
企业数据合规风险往往是指企业在数据处理过程中未能尽到数据合规义务,未能采取必要措施保障数据安全所产生的潜在风险。那数据合规义务是怎么产生的,具体内容又是什么?具体采取什么样的保障数据安全措施?从哪些方面实际落实?
目前,以《网络安全法》为代表的网络安全体系,以《数据安全法》为核心的数据安全体系和以《个人信息保护法》为核心的个人信息保护体系共同构成了我国数据法律规范体系的基本形状。
在这些法律法规中的条文里包含了企业合规的所应当承担的义务,例如《网络安全法》适用于中国境内建设、运营、维护和使用网络以及网络安全的监督管理,其中明确规定了网络等级保护制度、关键信息基础设施保护制度、网络安全审查制度等;《数据安全法》中对数据进行评估与认证,对数据安全事件采取处置措施,对设立数据安全负责人及管理机构、对依法开展数据出镜等内容进行了规定;《个人信息保护法》明确了个人信息分级分类保护制度,针对个人信息一般处理者,平台型处理者和接受委托处理个人信息者规定了不同义务,针对相关违法人员建立了职业禁入的制度等等。除了常见的法律法规之外,围绕这个人信息保护还存在针对特定领域的规范,例如《未成年人保护法》、《儿童个人信息网络保护规定》等,不仅凸显了《个人信息保护法》中的原则性条款,还强调了要求按照最有利于未成年人的原则保护其隐私和个人数据,并对未成年人个人信息给予特殊保护;又例如《电子商务法》、《消费者权益保护法》等,在强调基本信息保护法律规范的基础上,细化了个人信息保护的内容,明确交易信息保存时间,明确经营者收集、使用信息应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意等。
